Не работает обновление и восстановление ОС (подозрение на руткиты)
Доброй ночи уважаемые форумчане,
На моем домашнем ПК с ОС Windows2003 R2 SP2 Ru 32bit (нравится мне эта операционка), в диспетчере процессов AVZ недавно была замечена подозрительная активность (ее не видно только в режиме Safe Mode) из которой видны только PID этих процессов (см. скрин, эти процессы помечены красным) фактически больше ни какой информации о этих процессах не имеется, - стандартный диспетчер задач, AnvirTask Manager и другое аналогичное и испробованное мной ПО их не видит вообще что наводит на мысль что это инфекция, а точнее как мне кажется руткит(ы). Количество этих не идентифицированных процессов не постоянно (их количество может перевалить за несколько десятков всего за час-два работы ОС), их PID(ы) так же не постоянны (после перезагрузки ПК они могут быть другими), "убить" эти процессы с помощью единственного видящего эти процессы инструмента (AVZ - диспетчер процессов) не удается. Подозреваю что именно эти процессы (или их последствия) не дают на данный момент обновлять ОС как в автоматическом так и ручном режиме (процесс обновления обрывается без каких либо записей в журнале событий ОС, в панели установка и удаление записи о успешной установке пакетов KB так же отсутствуют), кроме того так же обрывается-уходит в бесконечный цикл (от 0% до примерно 50%, затем авто рестарт и все опять с 0% по новой) восстановление ОС (консоль R - Recovery). Штатный CIS (Comodo Internet Security) иногда завершается с крахом, кроме того не может обновить свои антивирусные базы. Изредка не функционирует как нужно и интернет коннект (при перезагрузке в другую, установленную второй системой, ОС - Linux, проблем с интернет коннектом не наблюдается). На данный момент были опробованы: Dr.Web (Cureit & Shark, LiveCD), Kaspersky (AVPTool, TDSSKiller), McAfee (Stinger, Rootkit Detective), Malwarebytes (Malwarebytes Anti-Malware), SUPERAntiSpyware (SUPERAntiSpyware Free Edition), Crawler (SpywareTerminator Free), ESET (NOD32 разные версии). Ни одно из выше названных ПО не смогло справиться с этой проблемой.
Кроме того видимым присутствием чего то вредоносного на ПК считаю: при открытии в проводнике каких либо папок иногда наблюдается временное исчезновение содержимого этих папок (часто помогает только ее закрытие и последующая повторная попытка открытия) этот эффект чем то напоминает сплайсинг, т.е. подмену истинного содержимого фейком-подделкой. Попытки чистки профилей (временных папок, удаление папок System Volume Information, pagefile.sys и т.д.) а так же откат на созданный ранее с помощью ERUNT бэкап реестра спасают не более чем на полчаса-час (после обязательного рестарта следующего после отката реестра, через некоторое время, эти неизвестные процессы появляются вновь).
P.S. Так же имеющаяся утилита UVS (Universal Virus Sniffer) периодически обнаруживает в списке автозапуска реестра неизвестные записи (сами файлы на которые они указывают обычно отсутствуют) под именами CLSID и UPLOADMGR, после их удаления они опять, произвольно, (когда вздумается) появляются вновь (сверка автозапуска через ту же UVS ни чего не дала). Создание новой учетки с ограниченными правами на данный момент не решает проблему, под ней вообще не загружается ни чего, даже Рабочий стол и т.д...
Собственно сам вопрос, - как это можно победить (или смело можно форматировать диск С: ??) ?? ...
Заранее признателен за вашу помощь.
С уважением, Слава.
Последний раз редактировалось bvvuz; 03.06.2012 в 07:59.
Причина: не прикрепились с первого раза вложения
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) bvvuz, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
QuarantineFile('C:\Documents and Settings\sl\Local Settings\Temp\tmp4.tmp','');
DeleteFile('C:\Documents and Settings\sl\Local Settings\Temp\tmp4.tmp');
DeleteService('WinRing0_1_2_0');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится
После перезагрузки:
- Выполните в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
Вот все логи, карантин так же присоединяю к опции прикрепления карантина.
...после обработки скриптов и создания архива quarantine.zip (AVZ на момент работы обоих скриптов работал в режиме AVZGuard) и последующем отключении AVZGuard система проработала не более двух минут и ушла в BSOD с ошибкой 0х000000CE и ссылкой на источник ошибки в драйвере AVZ, после рестарта сразу же ОС предложила установить новое оборудование, я отказался, в дальнейшем в диспетчере устройств не найдено ни одного неисправного устройства (похоже что какой то зловред пытается перехватить контроль над драйвером AVZ ?!).
По поводу неопознанных процессов, общее количество ПК с этой версией ОС которые я анализировал 6 штук (один мой домашний), из этих шести как минимум 2 не показывают такого рода (помеченные красным) подозрительные процессы, 4 из оставшихся показывают, но на то есть думаю что веская причина, все эти ПК (с подозрительными процессами) были атакованы зловредами (свой ПК на работе скорее всего заразил через Remote Desktop соединившись с одним из зараженных ПК, домашний ПК был заражен случайно через флешку по моей небрежности-усталости, вечером после работы, это мое упущение, - админу на работе похоже все по барабану поэтому и свой рабочий ПК, и домашний естественно тоже, пытаюсь содержать в порядке-чистоте самостоятельно) в том числе на них были заражены и загрузочные записи HDD (MBR, IPL, VBR), загрузчики были вылечены с помощью LiveCD и UVS, найденные трояны и черви уничтожены, но все же что то продолжает свою деструктивную деятельность, при анализе с помощью AVZ на этих ПК постоянно выявляются поврежденными: режим Safe Boot, не функционирующее как надо автообновление системы, режим R-Recovery (из консоли восстановления), даже sfc /scannow не отрабатывает как положено (тоже обрывается без записи в журнал событий) в общем фактически все тоже самое что и с домашним ПК...
P.S. не знаю связано ли это с этой основной проблемой или нет, но, при попытке открытия в браузере Firefox (сейчас установлена версия 12) ранее сохраненных htm(l) страниц иногда выскакивает сообщение о том что этот документ не найден, при этом он все же открывается в этом же браузере...
С уважением, Слава.
- - - Updated - - -
не понял в чем проблема, созданный архив (quarantine.zip) не прикрепляется к опции - Прислать запрошенный карантин, появляется сообщение - Результат загрузки Ошибка загрузки. Данный файл уже был загружен ...а, все, вроде прикрепил, повторно заархивировал (архив в архиве) с паролем как и просила страница загрузки ...
Последний раз редактировалось bvvuz; 03.06.2012 в 18:16.
жаль,...возможно причина неуспеха в лечении только что выявленные ограничения у учетной записи администратора (ограничения в правах) не устраняемые AVZ (похоже какой то зловред после их правки тут же их ограничивает опять), в реестре периодически появляются скрытые (явно левые) параметры что так же наводит на мысль о скрытой инфекции, сейчас пытаюсь устранить проблемы с помощью CCE (Comodo Cleaning Essentials) именно она засекла эти проблемы но предыдущее сканирование закончилось BSOD ом (похоже инфекция сопротивляется своему обнаружению), попробую то же самое в SafeBoot, - не поможет придется форматировать раздел и ставить ОС заново ...
Тему можно считать закрытой.
В любом случае большое спасибо за оказанную вами помощь .
нет у вас инфекции ... вы используете продукты не предназначенные для серверной оси ... !!! они не будут корректно работать ... все ваши подозрения это и есть "особенности" работы на сервере
Вам конечно виднее, у вас больше чем у меня опыта, но, почему тогда такие вещи я вижу только на пролеченных ПК (на минимум двух, здоровых, ПК с этой же версией ОС, с таким же набором ПО, АВЗ не показывает эти подозрительные вещи, и с учетками-обновлениями-логами-уведомлениями и т.д. и т.п. там все в норме ??). Этой ОС и софтом (как минимум 95% из него) я пользуюсь уже более трех лет (на покупку серверного ПО у меня естественно нет средств, да и ОС не куплена тоже, но речь собственно не об этом). Те помеченные красным процессы (скрин АВЗ в первом сообщении) появились не более нескольких недель назад, их источник как постепенно начинает проясняться домашние ПК нескольких сотрудников нашей организации (принесли уже несколько мне на профилактику, сижу когда за ними и просто "шизею" от того "зоопарка" который вижу на них пытаясь их вылечить), на них установлены и ХР и 7. Кто то из этих сотрудников (кто именно еще не выяснил) любитель "клубнички", и принося регулярно всякую дрянь заражает ПК на работе, а так же остальные передают заразу друг другу с флэшками не подозревая что все и вся заражают (как я уже говорил выше админу на работе все фиолетово), USB модемами и т.д.. Как вы наверное понимаете какая бы защита на ПК не была установлена последнюю точку над "i" ставит все же пользователь ПК разрешая-запрещая что либо (особенно это относится к новой неизвестной для защиты инфекции), самая крутая эвристика увы не более чем в 50% поможет в этих ситуациях. Общие симптомы не смотря на различие в версиях ОС такие же как и на этих же с 2003 установленных на рабочих ПК (те же неизвестные помеченные красным процессы в АВЗ), не работающее авто и ручное обновление системы, постоянные выявляющиеся ограничения прав учеток хоть исправляй хоть не исправляй (эти проблемы появились тоже не так давно), BSOD ы проверенных и ранее работавших драйверов и системных библиотек (тот же NTFS.sys, хотя хард исправен, и не единственный с такими иногда проявляющимися проблемами), не работающий (уходящий в бесконечное кольцо) режим восстановления ОС - естественно ОС при этом больше не запустится (процесс восстановления же не завершается на 100%), приходится делать откат на сохраненный бэкап в акронисе, но он тоже заражен, да и проблема то собственно не в этом - найти нужно то что все это делает (инфекцию) и найти метод лечения от нее иначе всех откатов-чистовых установок хватит не более чем на час-два (до подключения флешки, сети и т.д.) собственно это то и интересует больше всего...
P.S. я хотел спросить о другом, та гадость которую пока не могу отловить и оставляющая в реестре свои следы CLSID, SERVICE, UPLOADMGR (видны в UVS, на все из них появляются ключи в автозагрузке, в том числе и для режима Safe Mode, но сами файлы на которые ссылаются эти ключи всегда отсутствуют), появилась хоть и призрачная (пока не смог выловить, только один раз видел такого рода ключ там же в реестре, вчера поздно ночью когда присвоил все права на доступ к HDD своей учетке в режиме SafeMode, после перезагрузки в штатный режим они естественно опять слетели) но "жертва", файл вида хххххххх.sys (при этом это не драйвер АВЗ или еще чего то что я устанавливал и названия которых я знаю точно, и не родной системный, тем более что он явно скрывается от пользователя !), где хххххххх произвольный цифро буквенный набор (как только опять увижу эту или подобную запись в реестре, спровоцирую BSOD с помощью RootkitUnhooker или другим ПО и из Linux попробую его найти, - если он только в оперативке-свопе не "селится"), собственно сам вопрос, как выловлю могу я его вам прислать на анализ (упакованным естественно в архив с паролем) ??
С уважением, Слава.
P.P.S. пока писал-правил это сообщение браузер несколько раз "улетел" с краш репортом (Mozilla Firefox 12), до инфицирования этих проблем тоже не было...
- - - Updated - - -
...вот кстати что бы не быть голословным (сейчас я на работе) снимки с двух ПК на работе (из названий снимков видно с какого ПК он), ОС одинаковые (2003), установленный софт между ними во многом схож (временно на своем рабочем ПК даже CIS снес и установил аналогичный антивирус, Rising), на здоровом ПК "краснухи" не наблюдается вообще !,...такие вот "веселые картинки" я периодически наблюдаю на многих ПК которые приходится лечить, и иногда еще и восстанавливать на них поврежденную ОС (операционки на них в основном: ХР, 7, 2000, и такая же как у меня 2003),...в общем думаю снимки говорят сами за себя...
Последний раз редактировалось bvvuz; 06.06.2012 в 09:01.
Всеми ли утилитами проверились на максимальных настройках? После некоторых утилит, Ваша система вообще может не стартануть, так что, если удаляете и подозреваете все подряд, без разбора, не удивляйтесь, что отваливаются какие-нибудь компоненты...
Сообщение от bvvuz
в общем думаю снимки говорят сами за себя...
Лично мне, снимок Вашей системы, говорит только о том, что Вы установили "Драйвер расширенного мониторинга процессов AVZPM".
Да уж, не зря говорят - век учись и все равно дураком помрешь , в общем вы правы оказались (сбило с толку что на одном ПК был установлен антивирусный пакет McAfee 8.8i с максимально строгими настройками в Защита доступа, там эти драйверы просто блокировались на старте самим антивирусом) они исчезли,...правда странно получается что АВЗ сам свои же драйвера-процессы распознает как руткиты, это уже получается недоработка этой утилиты ...
В общем эта проблема снята (зря только столько времени мучал свой мозГ и вас с толку сбивал ).
Буду разбираться с еще остающимися актуальными проблемами, - почему не работает как должно обновление и восстановление ОС, а так же откуда "растут ноги" с частыми и без причины (сам я ни чего не делал) блокировками в правах у имеющихся учеток в системе...
P.S. В плане что это серверная ОС я согласен, тем не менее она и на десктопе отлично идет, уязвимостей меньше чем у ХР, имеется хороший и регулярный источник для закачки последних заплаток - хотфиксов, более новое чем у ХР ядро, да и различия с той же ХР не такие уж и существенные (после чистовой установки просто все лишнее отключается) ...
Большое спасибо за вашу помощь.
С уважением, Слава.
Последний раз редактировалось bvvuz; 07.06.2012 в 13:27.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
...
...
...
...
Сообщение от bvvuz
, в общем вы правы оказались (сбило с толку что на одном ПК был установлен антивирусный пакет McAfee 8.8i с максимально строгими настройками в Защита доступа, там эти драйверы просто блокировались на старте самим антивирусом) они исчезли,...правда странно получается что АВЗ сам свои же драйвера-процессы распознает как руткиты, это уже получается недоработка этой утилиты 
...
