Buenas! ^^
Bien, todo empezó ayer de noche.
Apagado Iniciado por system
El servicio iniciador de proceso de servidor DCOM ha terminado de manera inesperada...
shutdown -a y listo ^^
Bien, netstat nada raro, tcp view nada raro, listdlls nada raro, handle nada raro,autoruns nada raro...
Bien, services.msc >iniciador de proceso de servidor DCOM>propiedades >recuperación >reiniciar siempre el servbicio ...
Bien, abrimos el eventlog y...
Todos errores del scm cada mas o menos 30 min por finalización inesperada del servicio antes mencionado.
huhuhu.
Ahora si me empezaba a preocupar ^^.
Bien, llegue a la conclusión, luego de usar las herrameintas clasicas process monitor,etc, estoy infectado con un rootkit ^^.
GMER
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT
activity.
Dou you want to fully scan your system ?
Sí No
Lo peor es que no solo hay un servicio oculto, si no que tiene hookeada iats de ntoskrnl y companía ^^.
el fichero es:
Service C:\WINDOWS\system32\drivers\senekaqaedapqm.sys (*** hidden *** ) [SYSTEM] seneka <-- ROOTKIT !!!
Lo peor es que en descripción del fichero pone rootkit, es como un insulto ^^.
googleando un rato, encontre algo en el foro de los chicos de sysinternals.
El tema es que parece que la única manera de sacar este rootkit es booteando con un livecd, o desde otro disco duro.
algo que no sería complicado, sería eliminar las keys y luego dejar el .sys para analizarlo.
Mi pregunta es
Hay forma de sacar este rootkit online?
es decir, sin tener que bootear con livecd y eso.
además, el rootkit, bloquea el acceso directo a disco, utilidades de recuperación de fichero no funcionan.
desde antes de ayer que tengo internet, por lo que se me hace que esto vino con alguna bug de mi so, ya que por cuestiones de rendimiento tanpoco uso otro fw que no sea el de windows.
seneka <-- ROOTKIT
Por lo que veo ese es su nombre, el path puede cambiar, pero siempre se llama así.
claro que, el rootkit no me preocupa, me preocupa el malware que esconde.
Usando gmer no se puede eliminar, ya que regresa enseguida.
Si no, veamos si alguien consigue alguna muestra, y los chicos de malware ven algun modo de programar un driver que lo saque ^^.
so:win xp sp2
Saludos
edit:
http://www.exterminate-it.com/malpedia/remove-senekaahora veo si funciona ^^
No funciona,