[2003] Onbekende poorten en geen processen zichtbaar,rootkit

Als ik tcpview (van sysinternals) start zie ik entrys staan met de volgende waardes:
<non-existent>:1416 TCP 0.0.0.0:1805
<non-existent>:1416 TCP 0.0.0.0:51500 (t/m 507)
<non-existent>:1416 TCP 172.0.0.1:20000

Start ik de taskmanager zie ik deze processen niet staan, gebruik ik procexp.exe (process explorer van sysinternals ) dan zie ik deze processen ook niet, gebruik ik echter IceSword dan zie ik deze wel in de port lijst staan met daarbij het path
Dat is: C:\Windows\System32\lsass.exeY (De Y is een kleine Y met puntjes erop)

De server is dus vrwijel zeker geinfecteerd met iets maar de vraag is wat, uit voorzorg heb ik de poorten al dicht gezet in de Firewall (poort 1805 was bv een open RDP verbinding met admin rechten), men kan in iedergeval niet meer connecten naar deze poorten

De tools rootkitrevealer van sysinternals wil niet starten ook het programma blacklight van F-secure wil niet starten, andere anti viri of bot scanners detecteren niets.

Mijn vraag is nu:
Kent iemand deze bot en hoe is deze te verwijderen zonder dat ik de hele server moet reinstallen?

[ Voor 3% gewijzigd door Verwijderd op 14-07-2006 14:22 ]

Renamen helpt niet maar ik wil eerst weten wat het is en hoe het erop gekomen is.

Reinstallen ga ik ook doen alleen niet op heel korte termijn, het is een machine die niet echt belangrijke dingen staat te doen.(gameservertje)

Ik wil eerst dus weten wat dit is en wat het doet en hoe te disablen/removen.
Zodra ik weer in het datacenter kom installeer ik hem dan wel opnieuw.

Ik gebruik nod32 als viri scanner en ik kan dat bestand niet uploaden omdat het een windows bestand is
lsass.exe en svchost.exe zijn volgens de programma's de files die de processen stoppen en veroorzaken.

Natuurlijk is de server geheel up-to-date, alle patched zijn en waren geinstalleerd.
Ik ben waarschijnlijk geinfecteerd met een een rootkit, de vraag is alleen hoe ik deze er nu af krijg, de processen kan ik met een andere tool wel stoppen alleen dan reboot de server direct.

Opnieuw installeren is de correcte manier maar ik zit niet bij de server (is colocated) en heb geen plannen om op korte termijn naar het datacenter te gaan, vandaar zocht ik voor een tijdelijke oplossing om het eerst te proberen te vewijderen en daarna als ik in datacenter kom het te herinstalleren.

Gmer ga ik proberen, blacklight heb ik al geprobeert, deze start ook niet.
Process wordt direct gekilled door de rootkit

Gmer wordt ook direct gekilled door de rootkit als je het start

[ Voor 22% gewijzigd door Verwijderd op 14-07-2006 21:23 ]

Nee heroemen werkt niet.

Ik heb de genoemde tools allemaal al geprobeert, sommige werken helemaal niet andere wel maar die detecteren bv weer niets of ze hebben geen mogelijkheid om het te verwijderen.

Iets wordt er gestart met lsass.exe en scvhost.exe (beide vanuit de system32 map) on boot maar ik kan niet vinden wat en waar, zodra je het process killed reboot de hele server en wordt het process weer gestart.

Al met al krijg ik het er niet vanaf, heb de gebruikte poorten volledig dicht gezet (ik meet ook geen activiteit meer nu) om meer misbruik tegen te gaan en ik ga voor mijn vakantie nog naar het DC en herinstalleer de server.
Tot die tijd laat ik maar zoals het nu is.

Nee want het zijn windows bestanden
Ik zie alleen dat er hidden processen draaien welke gestart worden door lsass.exe en scvhost.exe
Deze 2 bestanden zelf zijn niet geinfecteerd.

Maar wat en waar er iets gestart wordt kan k niet vinden, de meeste tools die dit zouden moeten detecteren werken dus niet, viri scanners (heb er 4 geprobeert inmiddels) vinden helemaal niets en rootkit detecors werken niet of kunnen het niet verwijderen.
Zodra je dus de hidden lsass.exe of svchost.exe processen (welke gewoon standaard windows onderdelen zijn) probeert te stoppen dan reboot de server direct en worden ze gewoon weer geladen bij de boot.

Al met al de server is goed geinfecteerd, reinstall lijkt me helaas de enige optie.