Показано с 1 по 8 из 8.

Новая угроза. Хакерский руткит. (заявка № 13396)

  1. #1
    Junior Member Репутация
    Регистрация
    18.10.2007
    Сообщений
    9
    Вес репутации
    34

    Новая угроза. Хакерский руткит.

    Привет всем!
    Начало очень типично – руткит. Но не все так просто, как кажется на первый взгляд.
    У меня такая же проблема, какая описана в теме моего знакомого (Руткит –помогите кто может).
    Не занимался его подробным изучением, но могу сообщить следующее.
    Касперский 7 его не видит ни на компе, ни в Интернете. Регистрирует только на то, что жрется трафик, хотя программ в Интернете 0. Например, вчера ушло 330кБ – что-то качалось с и на какой-то IP адрес (в смысле посторонний). Друг говорит, руткит у него тоже лезет на этот адрес. Ни GMER, ни RkU его уничтожить не могут.
    Раньше AVZ писал, что обнаружен перехват и перехватчик неопределен. Теперь вообще ничего, кроме Касперского и алкоголя ничего не видит.
    Outpost Firewall 5 видит руткит в Интернете как процесс n/a, который делает IGMP атаки. Блокирует n/a по причине «транзитных пакетов на закрытый порт». Но кончился ключ, и Outpost пришлось удалить.
    Однажды скачал кучу толи вирусов, то ли червей. Логии не сохранились, названия не помню. Появилась откуда ни возьмись MS-DOSовская программа NTOS, которая работала из-под winlogon. Комп выдавл синие экраны смерти при любых действиях. Пшлось форматировать винчестер, но с восстановив данные, восстановил руткита.
    Вот моя проблема.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
     QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll','');
    end.
    Загрузите карантин AVZ по Правилам (см. приложение 3 Правил), используя эту ссылку.

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Нет у вас никакого руткита.

    ConnectionServices - это Adware (рекламная программа), она может расходовать трафик примерно в таком объеме, как вы пишете. Удалите ее обычным способом. В HijackThis пофиксите строчку (если останется):
    Код:
    O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll
    Далее, Kaspersky Internet Security у вас ведь обновляется?
    Это тоже трафик, хотя и небольшой.

    Ну и вот это для порядка рекомендую поправить:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Скажите, что нужно / не нужно, сделаем скрипт.
    I am not young enough to know everything...

  5. #4
    Junior Member Репутация
    Регистрация
    18.10.2007
    Сообщений
    9
    Вес репутации
    34

    Ошибайтесь!

    Касперский обновлял, сейчас отключил обновление. А РАЗВЕ КАСПЕРСКИЙ ЛЕЗЕТ НА 62.183.0.196?
    А почему Outpost выдал сообщение "система пытается установить IGMP соединение"? И что это за процесс n/a устанавливающий ICMP соединения?
    И какого черта у меня делает такой вот драйвер:
    Driver name:
    Loaded from:
    Adress: 0xF7473000
    Size: 98304
    ПОСМОТРИТЕ В ОТЧЕТЕ ПУНКТ "МОДУЛИ ПРОСТРАНСТВА ЯДРА".
    Ну неужели ничего странного?

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2265
    Вышенаписанные указания выполнили? если нет - выполните, напишите о результатах. Если вас так беспокоит тот драйвер - сделайте логи как написано здесь http://virusinfo.info/showthread.php?t=10387

  7. #6
    Junior Member Репутация
    Регистрация
    18.10.2007
    Сообщений
    9
    Вес репутации
    34

    !

    Кстати, если можно, то хотелось бы все отрубить, кроме автозапуска CD.
    А вот этот драйвер меня действительно беспокоит. Неужели нормальный драйвер иожет быть без имени и месторасположения?
    Если у вас есть разумное объяснение я буду спать спокойно.
    Вложения Вложения

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Вот скрипт для отключения лишнего:
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.
    (автозапуск CD оставил).

    Добавлено через 20 минут

    Безымянный модуль пространства ядра, который вас беспокоит, не является зловредом. Была аналогичная тема где-то в начале года - с него сняли дамп памяти, который исследовали аналитики лаборатории Касперского. Ничего вредоносного там нет. Такой модуль встречается довольно часто, никаких проблем он не вызывает.

    И еще: вы очень сильно замусорили систему, устанавливая и удаляя всевозможные антивирусные, антишпионские и т.п. программ. На компьютере должен быть ровно один активный антивирус и один фаервол, либо одна комплексная программа типа Kaspersky Internet Security (кстати, зачем ее убрали, очень хороший выбор). При наличии номального антивируса всякие anti-spyware и анти-трояны не нужны вовсе. Определитесь, что будете использовать, удалите все лишнее и сделайте еще раз последний лог, подчистим остатки.

    Добавлено через 16 минут

    Указанный вами IP адрес принадлежит Краснодарскому провайдеру ("Southern Telecommunication Company"). Протоколы ICMP и IGMP используются для передачи служебных пакетов. Маленький служебный трафик между вашим компьютером и сервером провайдера всегда имеет место, даже если не запущена ни одна программа, работающая с интернетом. Этот трафик не тарифицируется.
    Последний раз редактировалось Bratez; 22.10.2007 в 04:06. Причина: Добавлено
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    18.10.2007
    Сообщений
    9
    Вес репутации
    34

    Простите, непонял.

    Значит, на моем компе откуда ни возьмись появилась программа какого-то провайдера, которая нагло лезет в интерент, посылает фрагментированные пакеты вызывающие сбой системы и испоьзует stealth технологии?!!
    И какого черта пока я не поставил Outpost у меня в Интернете появлялся синий экран смерти?
    И еще один маленький ВОПРОС: при копировании даннных в диспетчере задач появляется процесс Drag. Это нормальный процесс или левый?

  • Уважаемый(ая) Колян, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Принтер - новая угроза безопасности
      От Ilya Shabanov в разделе Новости компьютерной безопасности
      Ответов: 0
      Последнее сообщение: 26.01.2011, 18:00
    2. Угроза: Руткит:Hidden:WinFLdrv.sys
      От ixaa в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 19.01.2011, 14:35
    3. INF/Autoran.gen и новая угроза?
      От efimov.sergey в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 09.07.2009, 15:07
    4. Новая угроза или паранойя?
      От More в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 05.03.2009, 20:17
    5. P2P-ботнеты - новая угроза безопасности
      От ALEX(XX) в разделе Новости компьютерной безопасности
      Ответов: 1
      Последнее сообщение: 23.04.2007, 20:21

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00290 seconds with 22 queries