|
Poslao: 04 Maj 2004 19:24
|
offline
- Dejo23
- Novi MyCity građanin
- Pridružio: 13 Apr 2004
- Poruke: 13
|
Znači imam gore navedeni koji se nalazi u fajlu hxdefdrv.sys. Kav ga prepozna obriše. Takođe i u system restore. Posle restartovanja sve isto. Šta da radim.
|
|
|
|
|
Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
|
|
|
|
|
Poslao: 04 Maj 2004 21:40
|
offline
- SVITAC
- Legendarni građanin
- Pridružio: 28 Apr 2003
- Poruke: 5919
- Gde živiš: Beograd
|
Postoji mogućnost da nije ta verzija u pitanju .. bio bih ti zahvalan ako bi zipovao taj inficirani fajl i poslao mi na mail svitac@serbiantech.com ..
Koju verziju AV programa koristiš ?
Na sledećem linku imaš FaQ pri dnu stranice ..
1.0 + SOURCE!
http://www.rootkit.com/newsread.php?newsid=60
version: 073
0.7.3 + direct hooking method
+ hiding files via NtQueryDirectoryFile hook
+ hiding files in ntvdm via NtVdmControl hook
+ new process hooking via NtResumeThread hook
+ process infection via LdrInitializeThunk hook
+ reg keys hiding via NtEnumerateKey hook
+ reg values hiding via NtEnumerateValueKey hook
+ dll infection via LdrLoadDll hook
+ more settings in inifile
+ safemode support
+ masking memory change in processes via NtReadVirtualMemory hook
x fixed debugger bug
x fixed w2k MSTS bug
x found and fixed zzZ-service bug
|
|
|
|
|
|
|
Poslao: 05 Maj 2004 00:33
|
offline
- Dejo23
- Novi MyCity građanin
- Pridružio: 13 Apr 2004
- Poruke: 13
|
Imam WinXP, AV je Kasperski verzija 4.5.0.49 update-ovan danas. Skenirao sam i u safe modu ali kav ga pronađe izbriše i fajl i system restor. Kad restartujem com ponovo ga ima. Imam sve zakrpe za xp.
Svitac, poslaću ti fajl.
Ima na forumu jedan sličan problem sa Backdoor.Prorat.11a; 13; 14, rešenje je dao GoranK ali za prorat-a, ako neko zna i za ovog HacDef molim neka kaže.
|
|
|
|
|
|
|
Poslao: 05 Maj 2004 00:41
|
offline
- Pridružio: 20 Apr 2003
- Poruke: 2091
- Gde živiš: Novi Sad
|
ajde prvo iskljuci system restore u XP-u... pa onda uradi sve gore navedeno...
nista mi drugo ne pada na pamet...
|
|
|
|
|
|
|
Poslao: 05 Maj 2004 02:11
|
offline
- Dejo23
- Novi MyCity građanin
- Pridružio: 13 Apr 2004
- Poruke: 13
|
Ne pomaže. U safe modu iskeniram on nađe taj fajl i obriše ga kad restartujem opet ga ima i ...
Sledeći text razumem ali nisam ja baš neki haker pa ne razumem kako da uninstal-ujem hacker defend ili da zaustavim njegov rad.
Molim za objašnjenje sledećeg texta:
1)
Q: I've download hxdef, run it and can't get a rid of it. How can I uninstall
it if I can't see its process, service and files?
A: If you left default settings you can run shell and stop the service:
>net stop HackerDefender100
Hxdef is implemented to uninstall completely is you stop its service. This does
the same as -:uninstall but you don't need to know where hxdef is.
If you changed ServiceName in inifile Settings, type this in your shell:
>net stop ServiceName
where ServiceName stands for the value you set to ServiceName in inifile.
If you forgot the name of the service you can boot your system from CD
and try to find hxdef inifile and look there for ServiceName value and then
stop it as above.
2)
Q: Somebody hacked my box, run hxdef and I can't get a rid of it. How can I
uninstall it and all that backdoors that were installed on my machine?
A: Only 100% solution is to reinstall your Windows. But if you want to do this
you'll have to find the inifile like in question 1) above. Then after
uninstalling hxdef from your system go through inifile and try to find all
files that match files in Hidden Table. Then you should verify those files
and delete them.
3)
Q: Is this program detected by antivirus software? And if yes, is there any way
to beat it?
A: Yes, and not only the exefile is detected, few antivirus systems also
detect inifile and also driver file may be detected. The answer for second
question here is yes, you can beat it quite easily.
Inače na serveru skeniraju svu poštu tako da ti Svitac nemogu poslati fajl.
Ko zna sta je ovo. Na sajtu safesite.net naso sam uputstvo kako da ga skinem. Da prekinem neke procese pa potom da obrišen neke fajlove. Niti meni trenutno idu ti procesi a nemam nijedan fajl sa spiska.
Skinuo sam program pestpatrole koji uklanja baš HacDef. Javiću štaje bilo.
[mod note] ajde malo uzmi i procitaj nas Pravilnik!! tamo eksplicitno stoji pravilo da se poruke ne dupliraju ili tripliraju!!! Poslednja opomena![/mod note]
[mod note2] GoranK-e nemoj brisati ovu gornju napomenu, to treba svi da vide (da se dupliranje poruka ne tolerise) [/mod note2]
|
|
|
|
|
|
|
Poslao: 05 Maj 2004 10:27
|
offline
- Dejo23
- Novi MyCity građanin
- Pridružio: 13 Apr 2004
- Poruke: 13
|
A šta sam ja to duplirao ili triplirao. Ovo je deo texta koji sam hteo da mi neko objasni. Nije ničija poruka koju sam ja duplirao a ni triplirao. U celoj poruci se ne ponavlja nijedan red. Jedino je poruka malo duža a ako je to problem ja se izvinjavam.
|
|
|
|
|
|
|
Poslao: 05 Maj 2004 10:51
|
offline
- Pridružio: 20 Apr 2003
- Poruke: 2091
- Gde živiš: Novi Sad
|
Dejo23 nemoj da mi se pravis pametan.... ja sam licno od 3 tvoje poruke napravio ovu jednu!!!! ako ne razumes sta znaci udvajanje poruka... da ti nacrtam onda:
to je kada napravis nekoliko pojedinacnih poruka jednu za drugom umesto da sve to sto si hteo da kazes napises u jednoj jedinoj poruci, kao sto je ova koju sam ti ja napravio gore!!!
|
|
|
|
|
|
|
Poslao: 05 Maj 2004 14:48
|
offline
- SVITAC
- Legendarni građanin
- Pridružio: 28 Apr 2003
- Poruke: 5919
- Gde živiš: Beograd
|
verzija 1.0 kojoj je code objavljen se briše zaustavljanjem njegovog servisa .. ali je pitanje kako to i da li funkcioniše u modifikovanim verzijama koje se pojavljuju ..
Dejo23 .. probaj da ZIP'uješ taj *.exe fajl koji ti nalazi pa da pošalješ !
|
|
|
|
|
|
|
Poslao: 05 Maj 2004 17:07
|
offline
- Dejo23
- Novi MyCity građanin
- Pridružio: 13 Apr 2004
- Poruke: 13
|
Drax, nije mi bila namera da dupliram poruke, ako sam to radio.
Znači izvinio sam se.
Ali ja stvarno imam problem sa ovim HacDef-om.
Kao sto rekoh skinuo sam taj PestPatrol za koji sami autori kazu da prepoznaje i briše HacDef i to baš taj 073.b. Međutim on ništa ne prepozna. Čak ga uputim na taj fajl hacdefdrv.sys i ništa. Ovo je opis fajla od strne PestPatrol-a:
File Analysis
File: C:\WINDOWS\hxdefdrv.sys
Size: 365,568 bytes
Pest: Not a known pest
MD5: 3e9d619427bc3b8c7536196ef51dc721
Running/Active?: No.
Creation Date: 05/05/2004
Last Write: 05/05/2004
Text: h.rdata H.data INIT .reloc RtlFreeAnsiString RtlUnicodeStringToAnsiString ObQueryNameString IofCompleteRequest KeDetachProcess ObfDereferenceObject ObReferenceObjectByHandle KeAttachProcess PsLookupProcessByProcessId ZwClose ZwSetInformationProcess ZwDuplicateToken ZwOpenProcessToken ZwOpenProcess IoDeleteDevice IoDeleteSymbolicLink RtlInitUnicodeString IoCreateSymbolicLink IoCreateDevice ntoskrnl.exe 5/585A5J5p5 objfre\i386\driver.sys
File Type: .sys file.
Compression: No compression or unknown compression method.
Language: Unknown Language.
Kao što sam napomenuo probao sam i ručno da obrišem fajlove koje su navedeni kao fajlovi HacDef-a međutim ja ih u kompu nemam.
Jedino što Kav prepoznaje je taj hacdefdrv.sys i to je to.
|
|
|
|
|
|
