rootkit possible ? pas de port svchost 135! - aucun utilisateur dans gestionaire tache!... une idée ?????
3 réponses
elarifr
Bonjour
J'ai depuis quelques jours un soucis qui semble être un rootkit possible
avec comme symptome :
- Aucune connection ouverte/visible par svchost sur le port EPMAP (135). je
n'ai
pas bloque volontairement l'utilisation de ce port sur ce pc. svchost est
bien en memoire.
- Les connections SVCHOST sont visibles lors des maj win update
- Le gestionnaire de tache ne montre AUCUN utilisateur/session ouverte alors
que j'ai bien ouvert une session
- Les processus tournent sous aucun nom d'utilisateur/system/auth.nt ou
autre. Seul NULL (processus inactif) tourne sous SYSTEME.
je ne trouve aucun process bizarre
les rapport hjackthis2 / a2hijack / codestuff / autorun sysinternals sont
clean
Gmer / Darkspy / Seem / Icesword ne trouvent que les hook normaux de klif
(kaspersky) ; fwdr/khips (kerio) et guard (Avg AntiSpyware)
les autres rootkit blacklight/panda/mcafee/ ne voient rien
seul Rku trouve une injection inline [unknown_code_page] :
ndis.sys-->NdisMIndicateStatus, Type: Inline - DirectJump at address
0xF83C9A5F hook handler located in [fwdrv.sys]
ntoskrnl.exe-->FsRtlCheckLockForReadAccess, Type: Inline - RelativeJump at
address 0x80503C29 hook handler located in [klif.sys]
ntoskrnl.exe-->IoCreateDevice, Type: EAT modification at address 0x806818F4
hook handler located in [unknown_code_page]
ntoskrnl.exe-->IoIsOperationSynchronous, Type: Inline - RelativeJump at
address 0x804E8752 hook handler located in [klif.sys]
ntoskrnl.exe-->SwapContext, Type: Inline - RelativeJump at address
0x804DB92E hook handler located in [klif.sys]
tcpip.sys-->ndis.sys-->NdisCloseAdapter, Type: IAT modification at address
0xF42AFF28 hook handler located in [fwdrv.sys]
tcpip.sys-->ndis.sys-->NdisOpenAdapter, Type: IAT modification at address
0xF42AFF54 hook handler located in [fwdrv.sys]
tcpip.sys-->ndis.sys-->NdisRegisterProtocol, Type: IAT modification at
address 0xF42AFF60 hook handler located in [fwdrv.sys]
tcpip.sys-->ntoskrnl.exe-->IoCreateDevice, Type: IAT modification at address
0xF42AFF88 hook handler located in [unknown_code_page]
wanarp.sys-->ndis.sys-->NdisCloseAdapter, Type: IAT modification at address
0xF86BBB4C hook handler located in [fwdrv.sys]
wanarp.sys-->ndis.sys-->NdisDeregisterProtocol, Type: IAT modification at
address 0xF86BBB1C hook handler located in [fwdrv.sys]
wanarp.sys-->ndis.sys-->NdisOpenAdapter, Type: IAT modification at address
0xF86BBB3C hook handler located in [fwdrv.sys]
wanarp.sys-->ndis.sys-->NdisRegisterProtocol, Type: IAT modification at
address 0xF86BBB28 hook handler located in [fwdrv.sys]
wanarp.sys-->ntoskrnl.exe-->IoCreateDevice, Type: IAT modification at
address 0xF86BBC08 hook handler located in [unknown_code_page]
Une probable modif de kernel32 ?
ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com
explorer.exe pid: 620
Command line: C:\WINDOWS\Explorer.EXE
Base Size Version Path
*** Loaded C:\WINDOWS\system32\kernel32.dll differs from file image:
*** File timestamp: Wed Jul 05 12:56:38 2006
*** Loaded image timestamp: Wed Jul 05 12:56:39 2006
*** 0x7c800000 0x104000 5.01.2600.2945 C:\WINDOWS\system32\kernel32.dll
si quelqu'un a cette version de kernel32
version : 5.1.2600.2945 (xpsp_sp2_gdr.060704-2349)
merci de verifier que les hash correspondent :
Md5 =: CE4AF1FA47A29ADF97CB107775CE395C
Sha1 = 9101E33663A168326921A0325E7FC0ED9C0F50E7
un sniff du reseau ne trouve rien de particulier !
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
NM
hello elarifr you wrote
Bonjour
J'ai depuis quelques jours un soucis qui semble être un rootkit possible avec comme symptome : - Aucune connection ouverte/visible par svchost sur le port EPMAP (135). je n'ai pas bloque volontairement l'utilisation de ce port sur ce pc. svchost est bien en memoire.
________
Si tu veux analyser toi même c'est bien...Alors pourquoi poster :-D
Si tu veux de l'aide alors postes donc un HJT complet, car là si tu veux faire de l'auto-médicamentation c'est bien parti.
Si c'etait juste pour dire , c'est fait .
Si tu penses n'avoir besoin de rien ni de personne, alors tes élucubrations ne servent à rien, sauf te conforter toi- même.
Je veux bien aider, mais inutile de me souffler la réponse,
En toute amitié,
-- bob
hello elarifr you wrote
Bonjour
J'ai depuis quelques jours un soucis qui semble être un rootkit
possible avec comme symptome :
- Aucune connection ouverte/visible par svchost sur le port EPMAP
(135). je n'ai
pas bloque volontairement l'utilisation de ce port sur ce pc. svchost
est bien en memoire.
________
Si tu veux analyser toi même c'est bien...Alors pourquoi poster :-D
Si tu veux de l'aide alors postes donc un HJT complet, car là si tu veux
faire de l'auto-médicamentation c'est bien parti.
Si c'etait juste pour dire , c'est fait .
Si tu penses n'avoir besoin de rien ni de personne, alors tes
élucubrations ne servent à rien, sauf te conforter toi- même.
Je veux bien aider, mais inutile de me souffler la réponse,
J'ai depuis quelques jours un soucis qui semble être un rootkit possible avec comme symptome : - Aucune connection ouverte/visible par svchost sur le port EPMAP (135). je n'ai pas bloque volontairement l'utilisation de ce port sur ce pc. svchost est bien en memoire.
________
Si tu veux analyser toi même c'est bien...Alors pourquoi poster :-D
Si tu veux de l'aide alors postes donc un HJT complet, car là si tu veux faire de l'auto-médicamentation c'est bien parti.
Si c'etait juste pour dire , c'est fait .
Si tu penses n'avoir besoin de rien ni de personne, alors tes élucubrations ne servent à rien, sauf te conforter toi- même.
Je veux bien aider, mais inutile de me souffler la réponse,
En toute amitié,
-- bob
Nina Popravka
On Sun, 8 Apr 2007 21:20:12 +0200, "elarifr" wrote:
si quelqu'un a cette version de kernel32 version : 5.1.2600.2945 (xpsp_sp2_gdr.060704-2349) merci de verifier que les hash correspondent : Md5 =: CE4AF1FA47A29ADF97CB107775CE395C
Lol... CE4AF1FA47A29ADF97CB107775CE395C pour le mien aussi, et désolée je n'ai pas de quoi calculer le SHA1 sous la main. Sur le fond, je pense que vous cherchez midi à quatorze heures. Modifier des trucs de genre, c'est un fonctionnement de rootkit *nix, pas Win. Ca me paraît dur de modifier et conserver opérationnel un truc dont on n'a pas les sources :-) -- Nina
On Sun, 8 Apr 2007 21:20:12 +0200, "elarifr" <elarifr@nospam.com>
wrote:
si quelqu'un a cette version de kernel32
version : 5.1.2600.2945 (xpsp_sp2_gdr.060704-2349)
merci de verifier que les hash correspondent :
Md5 =: CE4AF1FA47A29ADF97CB107775CE395C
Lol...
CE4AF1FA47A29ADF97CB107775CE395C pour le mien aussi, et désolée je
n'ai pas de quoi calculer le SHA1 sous la main.
Sur le fond, je pense que vous cherchez midi à quatorze heures.
Modifier des trucs de genre, c'est un fonctionnement de rootkit *nix,
pas Win. Ca me paraît dur de modifier et conserver opérationnel un
truc dont on n'a pas les sources :-)
--
Nina
On Sun, 8 Apr 2007 21:20:12 +0200, "elarifr" wrote:
si quelqu'un a cette version de kernel32 version : 5.1.2600.2945 (xpsp_sp2_gdr.060704-2349) merci de verifier que les hash correspondent : Md5 =: CE4AF1FA47A29ADF97CB107775CE395C
Lol... CE4AF1FA47A29ADF97CB107775CE395C pour le mien aussi, et désolée je n'ai pas de quoi calculer le SHA1 sous la main. Sur le fond, je pense que vous cherchez midi à quatorze heures. Modifier des trucs de genre, c'est un fonctionnement de rootkit *nix, pas Win. Ca me paraît dur de modifier et conserver opérationnel un truc dont on n'a pas les sources :-) -- Nina
elarifr
Bonjour Merci Nina pour le md5 info : pour ma part- j'utilise hashtab freeware dispo sur http://www.beeblebrox.org/hashtab/ qui permet d'avoir un onglet md5/sha1 dans les propiétés et de comparer les valeurs
sur le fond: les rootkits ne sont plus l'apanage des *nix mais de plein pied dans le monde win :(
Modifier des trucs de genre, c'est un fonctionnement de rootkit *nix, pas Win. Ca me paraît dur de modifier et conserver opérationnel un truc dont on n'a pas les sources :-) "on" ne modifie pas le kernel à la sauce nix mais on modifie les tables de
hook ssdt / iat des api windows et certains nouveaux rk sont difficilement detectables. je te propose de faire un tour sur http://rootkit.com/ bonne journée elarifr
PS je cherche toujours quelqu'un connaissant le fonctionnement de RkUnhooker ayant deja vu dans l'onglet Code Hook Detector des hook de type Inline-Relative Jump [unknown_code_page] .... http://www.open-files.com/forum/index.php?showtopic0269 le site offi http://www.rku.xell.ru semble innaccessible actuellement ?
"Nina Popravka" a écrit dans le message de news:
On Sun, 8 Apr 2007 21:20:12 +0200, "elarifr" wrote:
si quelqu'un a cette version de kernel32 version : 5.1.2600.2945 (xpsp_sp2_gdr.060704-2349) merci de verifier que les hash correspondent : Md5 =: CE4AF1FA47A29ADF97CB107775CE395C
Lol... CE4AF1FA47A29ADF97CB107775CE395C pour le mien aussi, et désolée je n'ai pas de quoi calculer le SHA1 sous la main. Sur le fond, je pense que vous cherchez midi à quatorze heures. Modifier des trucs de genre, c'est un fonctionnement de rootkit *nix, pas Win. Ca me paraît dur de modifier et conserver opérationnel un truc dont on n'a pas les sources :-) -- Nina
Bonjour
Merci Nina pour le md5
info : pour ma part- j'utilise hashtab freeware dispo sur
http://www.beeblebrox.org/hashtab/
qui permet d'avoir un onglet md5/sha1 dans les propiétés et de comparer les
valeurs
sur le fond: les rootkits ne sont plus l'apanage des *nix mais de plein pied
dans le monde win :(
Modifier des trucs de genre, c'est un fonctionnement de rootkit *nix,
pas Win. Ca me paraît dur de modifier et conserver opérationnel un
truc dont on n'a pas les sources :-)
"on" ne modifie pas le kernel à la sauce nix mais on modifie les tables de
hook ssdt / iat des api windows
et certains nouveaux rk sont difficilement detectables.
je te propose de faire un tour sur http://rootkit.com/
bonne journée
elarifr
PS je cherche toujours quelqu'un connaissant le fonctionnement de RkUnhooker
ayant deja vu dans l'onglet Code Hook Detector des hook de type
Inline-Relative Jump [unknown_code_page] ....
http://www.open-files.com/forum/index.php?showtopic0269
le site offi http://www.rku.xell.ru semble innaccessible actuellement ?
"Nina Popravka" <Nina@nospam> a écrit dans le message de news:
8hgi13tb4o4srofif5pgeci7ulp4jfu7q6@4ax.com...
On Sun, 8 Apr 2007 21:20:12 +0200, "elarifr" <elarifr@nospam.com>
wrote:
si quelqu'un a cette version de kernel32
version : 5.1.2600.2945 (xpsp_sp2_gdr.060704-2349)
merci de verifier que les hash correspondent :
Md5 =: CE4AF1FA47A29ADF97CB107775CE395C
Lol...
CE4AF1FA47A29ADF97CB107775CE395C pour le mien aussi, et désolée je
n'ai pas de quoi calculer le SHA1 sous la main.
Sur le fond, je pense que vous cherchez midi à quatorze heures.
Modifier des trucs de genre, c'est un fonctionnement de rootkit *nix,
pas Win. Ca me paraît dur de modifier et conserver opérationnel un
truc dont on n'a pas les sources :-)
--
Nina
Bonjour Merci Nina pour le md5 info : pour ma part- j'utilise hashtab freeware dispo sur http://www.beeblebrox.org/hashtab/ qui permet d'avoir un onglet md5/sha1 dans les propiétés et de comparer les valeurs
sur le fond: les rootkits ne sont plus l'apanage des *nix mais de plein pied dans le monde win :(
Modifier des trucs de genre, c'est un fonctionnement de rootkit *nix, pas Win. Ca me paraît dur de modifier et conserver opérationnel un truc dont on n'a pas les sources :-) "on" ne modifie pas le kernel à la sauce nix mais on modifie les tables de
hook ssdt / iat des api windows et certains nouveaux rk sont difficilement detectables. je te propose de faire un tour sur http://rootkit.com/ bonne journée elarifr
PS je cherche toujours quelqu'un connaissant le fonctionnement de RkUnhooker ayant deja vu dans l'onglet Code Hook Detector des hook de type Inline-Relative Jump [unknown_code_page] .... http://www.open-files.com/forum/index.php?showtopic0269 le site offi http://www.rku.xell.ru semble innaccessible actuellement ?
"Nina Popravka" a écrit dans le message de news:
On Sun, 8 Apr 2007 21:20:12 +0200, "elarifr" wrote:
si quelqu'un a cette version de kernel32 version : 5.1.2600.2945 (xpsp_sp2_gdr.060704-2349) merci de verifier que les hash correspondent : Md5 =: CE4AF1FA47A29ADF97CB107775CE395C
Lol... CE4AF1FA47A29ADF97CB107775CE395C pour le mien aussi, et désolée je n'ai pas de quoi calculer le SHA1 sous la main. Sur le fond, je pense que vous cherchez midi à quatorze heures. Modifier des trucs de genre, c'est un fonctionnement de rootkit *nix, pas Win. Ca me paraît dur de modifier et conserver opérationnel un truc dont on n'a pas les sources :-) -- Nina
