Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Подозрение на руткит (http://forum.oszone.net/showthread.php?t=287012)

Anonymоus 25-08-2014 21:53 2394007
Подозрение на руткит
 
Здравствуйте. Прошу помощи в диагностике и лечении проблемы, есть подозрения на руткит, описываю хронологию ситуации.
1. Зависает Firefox, не реагирует ни на что. В это же время зависает скайп - окно отображается, но никакие операции с ним не доступны. При попытке вызвать диспетчер задач, подвисает проводник. Симптомы те же - окна переключать могу, но сделать ничего не выходит. Хоткеем вызываю командную строку, прописываю shutdown /r /f /t 0, компьютер уходит в перезагрузку
2. Во время перезагрузки замечаю подозрительное поведение - сразу после самодиагностики, на черном экране с лого Windows, внизу бегут строки. Пробежали очень быстро, что успел выхватить взглядом - "system", "64". Далее - стандартное окно логина в систему, перед логином сообщает мне об обновлении - "Подождите, не выключайте компьютер, идёт обновление Windows". Замечу, что автоматическое обновление у меня отключено, все обновления ставлю вручную. После логина в систему лезу в журнал обновлений, последнее - 16 числа, как раз тогда, когда я и устанавливал его. Вот это "обновление" в журнале не отразилось.
3. Быстрый просмотр запущенных процессов ничего подозрительного не выявил, лезу в журналы Windows и нахожу там два подозрительных (на мой дилетантский взгляд) момента:
Вкладка "Безопасность"
читать дальше »
Код:
Изменились параметры аудита для объекта.

Предмет:
        Идентификатор безопасности:                система
        Имя учетной записи:                APPLEJACK$
        Домен учетной записи:                2CH
        Идентификатор входа:                0x3e7

Объект:
        Сервер объекта:        Security
        Тип объекта:        Device
        Имя объекта:        \Device\459890D7FA9DAAEE
        Идентификатор дескриптора:        0x1bb0

Сведения о процессе:
        Идентификатор процесса:        0x4
        Имя процесса:       

Параметры аудита:
        Исходный дескриптор безопасности:        S:AI
        Новый дескриптор безопасности:                S:(ML;;NW;;;S-1-16-0)

Вкладка "Установка"
читать дальше »
Код:
25.08.2014 19:43:21 Запуск изменения пакета KBWUClient-SelfUpdate-Aux. Текущее состояние - Промежуточное. Целевое состояние - Установлено. Код клиента: WindowsUpdateAgent.
25.08.2014 19:43:25 Чтобы изменить состояние пакета KBWUClient-SelfUpdate-Aux на Установлено, необходимо выполнить перезагрузку.
25.08.2014 19:44:17 Состояние пакета KBWUClient-SelfUpdate-Aux изменено на Установлено.

Так как на обычное обновление это мало похоже, я гуглю название пакета и получаю кучу результатов с различных форумов, где именно этот пакет упоминается в связи с различными руткитами. Сопоставив с описанным выше явно нештатным поведением системы, скачиваю свежий Cure It и проверяю. Нулевой результат, ничего подозрительного. Но так же в сети попалась и информация, датированная 2012 годом, о том, что Microsoft принудительно устанавливает некоторые обновления, невзирая на отключенную пользователем возможность автообновления. Помогите разобраться, это всё же было принудительным обновлением или похоже на зловред?

Логи dds и автологгера из прикрепленной темы сделал, во вложении.

Sandor 26-08-2014 10:30 2394166
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Windows\expstart.exe','');
 DeleteFile('C:\Windows\expstart.exe', '32');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Anonymоus 26-08-2014 12:15 2394213
Карантин отправил, свежие логи в аттаче.

Sandor 26-08-2014 12:38 2394229
Выполните скрипт в АВЗ (Файл - Выполнить скрипт - запускать AVZ обязательно правой кнопкой от имени администратора):
Код:
begin
 RegKeyParamDel('HKCU', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Shell');
 ExecuteWizard('SCU',2,2,true);
 RebootWindows(false);
end.
Компьютер перезагрузится.

Еще раз повторите логи по правилам.
Что с проблемой?

+
Если карантин отправляли по форме, продублируйте, пож., на почту.

Anonymоus 26-08-2014 13:08 2394250
Карантин продублировал.
Про проблеме: описанные в первом посте зависания больше ни разу не воспроизводились. Но меня больше беспокоит, чем это было изначально вызвано — в логах было что-нибудь подозрительное, или мои опасения беспочвенны?

Sandor 26-08-2014 14:01 2394277
В логах тоже порядок.
Дождемся ответа из вирлабов. Похоже, связано было с какой-то программой, меняющей кнопку Старт.

Для профилактики и защиты от повторных заражений скачайте и запустите SecurityCheck by glax24.
Когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности.
Скачайте и установите обновления по ссылкам.

Рекомендации после лечения.

Anonymоus 26-08-2014 14:11 2394288
Security Check by glax24 version 0.2.5.61 rc2
WebSite: www.safezone.cc
DateLog: 26.08.2014 13:09:38
Run directory: C:\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: False
FileVersionInet: 8.1
__________________________________________________

Windows 7 (6.1.7601) Service Pack 1 (x64) Enterprise Lang: Russian(0419)
Дата установки ОС: 28.03.2013 17:19:43
Статус лицензии: Windows(R) 7, Enterprise edition Срок истечения многопользовательской активации: 227580 мин.
Системный диск: C:\ ФС: NTFS Емкость: [99.9 Гб] Занято: [70.3 Гб] Свободно: [29.6 Гб]
Браузер по умолчанию: C:\Program Files (x86)\Mozilla Firefox\firefox.exe
-------------Windows------------------------------
Internet Explorer 10.0.9200.17054 Внимание! Скачать обновления
Контроль учётных записей пользователя включен
Уведомлять о загрузке и установке обновлений
Дата установки обновлений: 2014-08-15 23:17:56
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
COMODO Antivirus
Сканирование отключено
-------------Firewall_WMI-------------------------
COMODO Firewall
-------------AntiSpyware_WMI----------------------
Windows Defender
COMODO Antivirus
-------------AntiVirusFirewallInstall-------------
COMODO Internet Security v.6.0.2566.2708
-------------OtherUtilities-----------------------
CCleaner v.4.00
-------------Java---------------------------------
Java 7 Update 17 (64-bit) v.7.0.170 Внимание! Скачать обновления
^Скачайте jre-7u67-windows-x64.exe^
-------------AdobeProduction----------------------
Adobe Flash Player 11 Plugin v.11.7.700.224 Внимание! Скачать обновления
-------------Browser------------------------------
Mozilla Firefox 28.0 (x86 ru) v.28.0 Внимание! Скачать обновления
-------------EmailClient--------------------------
Mozilla Thunderbird 24.6.0 (x86 ru) v.24.6.0 Внимание! Скачать обновления
-------------RunningProcess-----------------------
firefox.exe
-------------EndLog-------------------------------

Sandor 26-08-2014 14:15 2394295
Обновите указанное, включая IE, т.к. его использует система.

Удачи!


Время: 23:39.

Время: 23:39.
© OSzone.net 2001-