Questions tagged «rootkit»

我的显示器上方有一个Microsoft LifeCam HD。如今，它完全亮了起来–当发生这种情况时，我只是在浏览网页（在Chrome中）。大约5分钟后，网络摄像头关闭。 自然，我立即怀疑了我的前妻（有疑问时，我总是怀疑她），但是她对计算机的了解还不够。 我查看了进程列表，没有发现任何可疑的东西。我正在运行几个开源项目和免费应用程序（例如greenshot，powermenu，supertray），但是我已经使用了很多年。自动运行不会在启动时报告任何可疑内容，Windows Defender也不会。 无论如何，那会是什么？接下来我应该看什么？

60 windows-7  virus  webcam  spyware  rootkit 

我使用带有多个OpenVZ容器的Debian Squeeze运行服务器。这些容器主要运行Squeeze，一些运行Lenny，有些已经更新为Wheezy。主机除了iptables和DHCP之外没有做其他事情。文件服务器，代理，邮件服务器，Kerberos，LDAP等都放入容器中。该系统运行稳定多年，除了一年多的一些防火墙规则外，没有任何重大变化。 2天前，系统突然崩溃了。我有很多问题要重新提出来。起初它不会让我通过ssh登录。root登录被“您不存在。走开！' 本地登录很好。一段时间后，ssh再次起作用。碰巧的是，我没有重复使用bash历史记录中的行，而是键入了一个新命令，该命令经过三遍检查与该行相同，该行之前不起作用，但在崩溃之前起作用。 然后系统开始运行，但是在大多数协议上的网络流量在SYN ACK之后被阻止。DNS，Telnet和SSH都不错，但其余的一团糟。在黑暗中钓鱼几个小时并重新加载防火墙几次后，突然一切恢复正常。我在日志中找不到任何可疑的东西-但我不是法医专家。 今天，由于容器配额的原因，文件服务器的nscd不再使用套接字来与LDAP联系。以前从未发生过的事情。我还看到了smbd声称有很多（> 30个）套接字。 / var / log / messages看起来与syslog完全相同。/var/log/kern.log具有有关崩溃原因的以下附加信息： /var/log/kern.log:2950:Sep 19 10:46:57 asgard kernel: [6529441.320086] INFO: task sendmail:32181 blocked for more than 120 seconds. /var/log/kern.log:2982:Sep 19 10:48:57 asgard kernel: [6529561.324525] INFO: task kdmflush:1932 blocked for more than 120 seconds. /var/log/kern.log:3005:Sep 19 10:48:57 asgard kernel: [6529561.324694] …

11 linux  debian  crash  rootkit  virus 

我的HP笔记本电脑出现奇怪的问题。这是最近开始发生的。每当我启动计算机时，Windows 7操作中心都会显示以下警告： 您需要重新启动计算机才能关闭UAC。 实际上，如果在特定日期发生一次，则不会发生这种情况。例如，当我早上启动机器时，它会显示出来；但在该天内的后续重启中都不会显示。在第二天，同样的事情再次发生。 我从不禁用UAC，但显然某些rootkit或病毒会导致这种情况。收到此警告后，我将立即转到UAC设置，然后重新启用UAC以消除此警告。这是一个令人困扰的情况，因为我无法解决。 首先，我在计算机上进行了全面扫描，以检查是否存在任何可能的病毒和恶意软件/ rootkit活动，但趋势科技防毒墙网络版表示未发现病毒。我使用Windows系统还原去了一个旧的还原点，但是问题没有解决。 到目前为止，我已经尝试过（找不到rootkit）： 趋势科技防毒墙网络版防病毒 AVAST Malwarebytes的反恶意软件 广告意识 Vipre Antivirus GMER TDSSKiller（卡巴斯基实验室） HiJackThis 注册表运行 UnHackMe SuperAntiSpyware便携式 泰泽Rootkit剃刀（*） Sophos Anti-Rootkit 间谍猎人4 组合修复 机器上没有其他奇怪的活动。除了这个奇怪的事件，一切都正常。 这个讨厌的rootkit的名字是什么？如何检测和删除它？ 编辑：以下是HijackThis生成的日志文件： Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 13:07:04, on 17.01.2011 Platform: Windows 7 (WinNT 6.00.3504) MSIE: Internet Explorer v8.00 (8.00.7600.16700) …

10 windows-7  virus  uac  malware  rootkit 

我正试图从rootkit感染恢复，我无法连接到互联网。 当我尝试ping路由器时，这是输出： 使用32字节数据对192.168.1.254进行Ping操作： 来自192.168.1.70的回复：目标主机无法访问。 来自192.168.1.70的回复：目标主机无法访问。 来自192.168.1.70的回复：目标主机无法访问。 来自192.168.1.70的回复：目标主机无法访问。 192.168.1.254 =路由器 192.168.1.70 =分配给笔记本电脑的IP。 它通过以太网电缆连接到网关时有效，但无线无线。 我已经尝试重新安装无线驱动程序。 当我尝试运行ipconfig /renew命令时，我得到了这个输出： 更新接口无线网络连接时发生错误：操作已被用户取消。 在媒体断开连接时，无法对Local Area Connection执行任何操作。 释放接口时发生错误Loopback Pseudo-Interface 1：系统找不到指定的文件。 当我运行命令时netsh int ip reset，一切正常，除非重置响应请求时失败并显示拒绝访问错误消息。（是的，我在一个提升的命令提示符下运行） 重新格式化也是绝对的最后手段，我真的很想避免。有任何想法吗？ 编辑：这是http://pastebin.com/fwuRxiT2的输出ipconfig /all

2 wireless-networking  windows-vista  internet-connection  rootkit  malware-removal 

我有一个相当奇怪的问题。我遇到了一个包含文件的文件夹，我无法看到或删除。我相信这是一个rootkit，我迫切希望将它从我的机器上取下来。我以root身份登录服务器。该文件夹名为silver，位于var目录中。我没做什么列出文件夹。ls -la不显示文件夹，但我可以通过访问该目录cd silver。在文件夹里面有一个叫做的文件~.b- 再次我看不到它或访问它但我知道它存在，因为我的dmesg日志充满了由这个文件引起的分段错误。 trivial-rewrite [24096]：segfault at 2 ip 00007f65c5457e65 sp 00007fff596e5360 error 4 in~.b [7f65c5455000 + 6000] 清理[24097]：段错误2 ip 00007fd614f29e65 sp 00007ffffe7ad2c0错误4 in~.b [7fd614f27000 + 6000] 尝试更改文件或文件夹上的属性似乎没有任何效果 chattr -sia ~.b chattr：尝试stat~.b时没有这样的文件或目录 如何摆脱这个文件和目录？

2 linux  malware-removal  rootkit 

今天，我使用rkhunter --check命令对rootkit进行了系统范围的扫描。除警告以外，所有结果均正常： [10:14:30] Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: Ruby script, ASCII text 最终结果是： [10:15:53] System checks summary [10:15:53] ===================== [10:15:53] [10:15:53] File properties checks... [10:15:53] Files checked: 130 [10:15:53] Suspect files: 1 [10:15:53] [10:15:53] Rootkit checks... [10:15:53] Rootkits checked : 242 [10:15:53] Possible rootkits: …

linux  rootkit