freenet sormuş:
ODTU'de hazırlanan ve el altından dağıtılan bir windows XP cd'sini kullanıyorum. Cd'nin içinde komut satırıyla bazı programlar hazır olarak yükleniyor (ssh secureshell,ghostscrip,java runtime vb..) fakat bu Cd'yi kullandığımdan beri çeşitli firewall'lar isteğim dışında sürekli odtü'yle izinsiz bağlanıldığı uyarısı veriyor. Firewall'ler midyat.general.services.metu.edu.tr(144.122.144.160) adresini işaret ediyor. işin ilginci bu adres odtü'nün üstüne kayıtlı gözüküyor. Sorunum bu kadarla olsa iyi fakat birde svchost üzerinden uzak masaüstü hizmetini çalıştıran bu servis(görev yöneticisinde NETWORK SERVICE olarak gözüküyor) sonlandırılmak istendiğinde "RPC hizmeti beklenmeyen bir biçimde sonlandırıldığından bilgisayarınız 60 saniye içinde kapatılacaktır" diyor. fakat shutdown -a yazıp işlerime devam etmeye çalıştığımda bu seferde Kopyala/Yapıştır ve sürükle-bırak hizmetleri devre dışı kalıyor. Rootkit'ten şüpheliyim ama kaspersky internet security 7,nod32,norman antivirus,avast antivirus gibi yazılımlar hatta en yeni windows RPC yamasını da yüklemeye bile kalktım, ayrıca sophos anti-rootkit de yükledim fakat bu gömülü rootkit'i tespit edilemiyor. İşin ilginci birde sistem servisleri altından da RPC ve Uzaktan kayıt defteri hizmetlerini sonlandıramıyorsunuz. şimdi akla gelen ilk çözüm kolay! başka bir windows edinmek. Fakat bu sorundan haberi olmayan bir sürü insan var ve gizlice izlendiklerinden haberleri bile yok! İşin ilginci insanların bilgisayarına yüzsüzce rootkit yerleştirip birde güvenlik sitesinde RPC hizmetindeki güvenlik açıklarını dalga geçer gibi haber veren bu insanları nasıl uyarmalıyız? ve başımıza açtıkları bu rootkit'i hangi yöntemle temizleyebiliriz? birşeyler yapmadan önce sizlere danışayım dedim.
bağlantı kurulan adresi KIS7 tespit etmişti ss'sini alıp saklamıştım:
Soru Türü: Yazılım
İşletim Sistemi: Windows XP
Sistem Özellikleri:
1gb ddr2 662 oem ram
intel e6300 core2duo 1.86 ghz
Palit 7600gt 256mb 128 bit
250gb samsung sata2 ncq hdd
52xlg cdrom
nec 3540a dvdrw
msi p965f neo2 anakart
Windows xp sp2
Bilgisayar:
Bilgisayar Türü ACPI Çok işlemcili Bilgisayar
İşletim Sistemi Microsoft Windows XP Professional
OS Servis Paketi Service Pack 2
Internet Explorer 7.0.5730.13
DirectX 4.09.00.0904 (DirectX 9.0c)
Bilgisayar Adı METU-FBD8331B01
Kullanıcı Adı Administrator
Oturum Etki Alanı METU-FBD8331B01
Tarih / Saat 2008-02-08 / 17:07
Anakart:
CPU Türü Mobile DualCore Intel Merom, 1866 MHz (7 x 267)
Anakart Adı Bilinmiyor
Anakart Çipseti Bilinmiyor
Sistem Belleği 1024 MB
BIOS Türü Award (08/18/06)
İletişim (COM ve LPT) İletişim Bağlantı Noktası (COM1)
İletişim (COM ve LPT) İletişim Bağlantı Noktası (COM2)
İletişim (COM ve LPT) Yazıcı Bağlantı Noktası (LPT1)
Görüntü Birimi:
Görüntü Bağdaştırıcısı NVIDIA GeForce 7600 GT (256 MB)
Monitör Philips 107E (107E2) [17" CRT] (HD 013159)
Çokluortam:
Ses Bağdaştırıcı Intel 82801HB ICH8 - High Definition Audio Controller
Depolama :
IDE denetleyici Intel(R) ICH8 2 port Serial ATA Storage Controller - 2825
IDE denetleyici Intel(R) ICH8 4 port Serial ATA Storage Controller - 2820
SCSI/RAID denetleyici JMicron JMB36X RAID Controller
SCSI/RAID denetleyici SCSI/RAID Host Controller
Floppy Sürücüsü Disket sürücüsü
Disk Sürücüsü SATA SA MSUNG SP SCSI Disk Device (232 GB)
Optik Sürücü _NEC DVD_RW ND-3540A SCSI CdRom Device (DVD+R9:8x, DVD-R9:4x, DVD+RW:16x/8x, DVD-RW:16x/6x, DVD-ROM:16x, CD:48x/32x/48x DVD+RW/DVD-RW)
Optik Sürücü GS3790Z SQC551W SCSI CdRom Device
Optik Sürücü GS3790Z SQC551W SCSI CdRom Device
Optik Sürücü HL-DT-ST CD-RW GCE-8526B SCSI CdRom Device (52x/32x/52x CD-RW)
SMART Sabit Disk Durumu Bilinmiyor
Bölümler:
C: (NTFS) 80003 MB (1026 MB boş)
D: (NTFS) 39997 MB (5710 MB boş)
E: (NTFS) 118463 MB (11224 MB boş)
Toplam Boyut 232.9 GB (17.5 GB boş)
Giriş:
Klavye Standard 101/102 Tuşlu ya da Microsoft Natural PS/2 Klavye
Fare HID uyumlu fare
Ağ:
Ağ Bağdaştırıcısı Realtek RTL8169/8110
İnternet Tarayıcı: Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.8.1.12) Gecko/20080201 Firefox/2.0.0.12