|
|
|
|
| Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Подозрение на руткит |
|
|
[решено] Подозрение на руткит
|
|
Старожил Сообщения: 415 |
Здравствуйте. Прошу помощи в диагностике и лечении проблемы, есть подозрения на руткит, описываю хронологию ситуации.
1. Зависает Firefox, не реагирует ни на что. В это же время зависает скайп - окно отображается, но никакие операции с ним не доступны. При попытке вызвать диспетчер задач, подвисает проводник. Симптомы те же - окна переключать могу, но сделать ничего не выходит. Хоткеем вызываю командную строку, прописываю shutdown /r /f /t 0, компьютер уходит в перезагрузку 2. Во время перезагрузки замечаю подозрительное поведение - сразу после самодиагностики, на черном экране с лого Windows, внизу бегут строки. Пробежали очень быстро, что успел выхватить взглядом - "system", "64". Далее - стандартное окно логина в систему, перед логином сообщает мне об обновлении - "Подождите, не выключайте компьютер, идёт обновление Windows". Замечу, что автоматическое обновление у меня отключено, все обновления ставлю вручную. После логина в систему лезу в журнал обновлений, последнее - 16 числа, как раз тогда, когда я и устанавливал его. Вот это "обновление" в журнале не отразилось. 3. Быстрый просмотр запущенных процессов ничего подозрительного не выявил, лезу в журналы Windows и нахожу там два подозрительных (на мой дилетантский взгляд) момента: Вкладка "Безопасность" Вкладка "Установка" Так как на обычное обновление это мало похоже, я гуглю название пакета и получаю кучу результатов с различных форумов, где именно этот пакет упоминается в связи с различными руткитами. Сопоставив с описанным выше явно нештатным поведением системы, скачиваю свежий Cure It и проверяю. Нулевой результат, ничего подозрительного. Но так же в сети попалась и информация, датированная 2012 годом, о том, что Microsoft принудительно устанавливает некоторые обновления, невзирая на отключенную пользователем возможность автообновления. Помогите разобраться, это всё же было принудительным обновлением или похоже на зловред? Логи dds и автологгера из прикрепленной темы сделал, во вложении. |
|
|
Отправлено: 21:53, 25-08-2014 |
Ветеран Сообщения: 5318
|
Профиль | Отправить PM | Цитировать Здравствуйте!
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): Код:
 begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Windows\expstart.exe','');
DeleteFile('C:\Windows\expstart.exe', '32');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. |
|
------- Отправлено: 10:30, 26-08-2014 | #2 |
|
Старожил Сообщения: 415
|
Профиль | Отправить PM | Цитировать Карантин отправил, свежие логи в аттаче.
|
|
Последний раз редактировалось Anonymоus, 22-01-2019 в 00:50. Отправлено: 12:15, 26-08-2014 | #3 |
|
Ветеран Сообщения: 5318
|
Профиль | Отправить PM | Цитировать Выполните скрипт в АВЗ (Файл - Выполнить скрипт - запускать AVZ обязательно правой кнопкой от имени администратора):
Код:
begin
RegKeyParamDel('HKCU', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Shell');
ExecuteWizard('SCU',2,2,true);
RebootWindows(false);
end.
Еще раз повторите логи по правилам. Что с проблемой? + Если карантин отправляли по форме, продублируйте, пож., на почту. |
|
------- Отправлено: 12:38, 26-08-2014 | #4 |
|
Старожил Сообщения: 415
|
Профиль | Отправить PM | Цитировать Карантин продублировал.
Про проблеме: описанные в первом посте зависания больше ни разу не воспроизводились. Но меня больше беспокоит, чем это было изначально вызвано — в логах было что-нибудь подозрительное, или мои опасения беспочвенны? |
|
|
Последний раз редактировалось Anonymоus, 22-01-2019 в 00:50. Отправлено: 13:08, 26-08-2014 | #5 |
|
Ветеран Сообщения: 5318
|
Профиль | Отправить PM | Цитировать В логах тоже порядок.
Дождемся ответа из вирлабов. Похоже, связано было с какой-то программой, меняющей кнопку Старт. Для профилактики и защиты от повторных заражений скачайте и запустите SecurityCheck by glax24. Когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам. Рекомендации после лечения. |
|
------- Отправлено: 14:01, 26-08-2014 | #6 |
|
Старожил Сообщения: 415
|
Профиль | Отправить PM | Цитировать Security Check by glax24 version 0.2.5.61 rc2
WebSite: www.safezone.cc DateLog: 26.08.2014 13:09:38 Run directory: C:\Temp\SecurityCheck\ Log directory: C:\SecurityCheck\ IsAdmin: False FileVersionInet: 8.1 __________________________________________________ Windows 7 (6.1.7601) Service Pack 1 (x64) Enterprise Lang: Russian(0419) Дата установки ОС: 28.03.2013 17:19:43 Статус лицензии: Windows(R) 7, Enterprise edition Срок истечения многопользовательской активации: 227580 мин. Системный диск: C:\ ФС: NTFS Емкость: [99.9 Гб] Занято: [70.3 Гб] Свободно: [29.6 Гб] Браузер по умолчанию: C:\Program Files (x86)\Mozilla Firefox\firefox.exe -------------Windows------------------------------ Internet Explorer 10.0.9200.17054 Внимание! Скачать обновления Контроль учётных записей пользователя включен Уведомлять о загрузке и установке обновлений Дата установки обновлений: 2014-08-15 23:17:56 Центр обновления Windows (wuauserv) - Служба работает Центр обеспечения безопасности (wscsvc) - Служба работает -------------Antivirus_WMI------------------------ COMODO Antivirus Сканирование отключено -------------Firewall_WMI------------------------- COMODO Firewall -------------AntiSpyware_WMI---------------------- Windows Defender COMODO Antivirus -------------AntiVirusFirewallInstall------------- COMODO Internet Security v.6.0.2566.2708 -------------OtherUtilities----------------------- CCleaner v.4.00 -------------Java--------------------------------- Java 7 Update 17 (64-bit) v.7.0.170 Внимание! Скачать обновления ^Скачайте jre-7u67-windows-x64.exe^ -------------AdobeProduction---------------------- Adobe Flash Player 11 Plugin v.11.7.700.224 Внимание! Скачать обновления -------------Browser------------------------------ Mozilla Firefox 28.0 (x86 ru) v.28.0 Внимание! Скачать обновления -------------EmailClient-------------------------- Mozilla Thunderbird 24.6.0 (x86 ru) v.24.6.0 Внимание! Скачать обновления -------------RunningProcess----------------------- firefox.exe -------------EndLog------------------------------- |
|
Отправлено: 14:11, 26-08-2014 | #7 |
|
Ветеран Сообщения: 5318
|
Профиль | Отправить PM | Цитировать Обновите указанное, включая IE, т.к. его использует система.
Удачи! |
|
------- Отправлено: 14:15, 26-08-2014 | #8 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Подозрение на вирус | piter777 | Лечение систем от вредоносных программ | 2 | 06-04-2012 22:23 | |
| Подозрение на вирусы | pav83 | Лечение систем от вредоносных программ | 4 | 25-03-2012 13:49 | |
| сбой на sfc.SYS - руткит. | clearsky49 | Лечение систем от вредоносных программ | 1 | 14-02-2010 19:07 | |
| [решено] Подозрение на руткит: скрытая служба, неизвестное устройство, BSODы. | paulkorotoon | Лечение систем от вредоносных программ | 19 | 19-12-2009 00:07 | |
| Подозрение на червь | Сет | Программное обеспечение Windows | 7 | 26-10-2007 17:43 | |
|
|
Время: 21:29. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
