Привет всем! Начало очень типично – руткит. Но не все так просто, как кажется на первый взгляд. У меня такая же проблема, какая описана в теме моего знакомого (Руткит –помогите кто может). Не занимался его подробным изучением, но могу сообщить следующее. Касперский 7 его не видит ни на компе, ни в Интернете. Регистрирует только на то, что жрется трафик, хотя программ в Интернете 0. Например, вчера ушло 330кБ – что-то качалось с и на какой-то IP адрес (в смысле посторонний). Друг говорит, руткит у него тоже лезет на этот адрес. Ни GMER, ни RkU его уничтожить не могут. Раньше AVZ писал, что обнаружен перехват и перехватчикнеопределен. Теперь вообще ничего, кроме Касперского и алкоголя ничего не видит. Outpost Firewall 5 видит руткит в Интернете как процесс n/a, который делает IGMP атаки. Блокирует n/a по причине «транзитных пакетов на закрытый порт». Но кончился ключ, и Outpost пришлось удалить. Однажды скачал кучу толи вирусов, то ли червей. Логии не сохранились, названия не помню. Появилась откуда ни возьмись MS-DOSовская программа NTOS, которая работала из-под winlogon. Комп выдавл синие экраны смерти при любых действиях. Пшлось форматировать винчестер, но с восстановив данные, восстановил руткита. Вот моя проблема.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
ConnectionServices - это Adware (рекламная программа), она может расходовать трафик примерно в таком объеме, как вы пишете. Удалите ее обычным способом. В HijackThis пофиксите строчку (если останется):
Далее, Kaspersky Internet Security у вас ведь обновляется?
Это тоже трафик, хотя и небольшой.
Ну и вот это для порядка рекомендую поправить:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Касперский обновлял, сейчас отключил обновление. А РАЗВЕ КАСПЕРСКИЙ ЛЕЗЕТ НА 62.183.0.196?
А почему Outpost выдал сообщение "система пытается установить IGMP соединение"? И что это за процесс n/a устанавливающий ICMP соединения?
И какого черта у меня делает такой вот драйвер:
Driver name:
Loaded from:
Adress: 0xF7473000
Size: 98304
ПОСМОТРИТЕ В ОТЧЕТЕ ПУНКТ "МОДУЛИ ПРОСТРАНСТВА ЯДРА".
Ну неужели ничего странного?
Вышенаписанные указания выполнили? если нет - выполните, напишите о результатах. Если вас так беспокоит тот драйвер - сделайте логи как написано здесь http://virusinfo.info/showthread.php?t=10387
Кстати, если можно, то хотелось бы все отрубить, кроме автозапуска CD.
А вот этот драйвер меня действительно беспокоит. Неужели нормальный драйвер иожет быть без имени и месторасположения?
Если у вас есть разумное объяснение я буду спать спокойно.
Безымянный модуль пространства ядра, который вас беспокоит, не является зловредом. Была аналогичная тема где-то в начале года - с него сняли дамп памяти, который исследовали аналитики лаборатории Касперского. Ничего вредоносного там нет. Такой модуль встречается довольно часто, никаких проблем он не вызывает.
И еще: вы очень сильно замусорили систему, устанавливая и удаляя всевозможные антивирусные, антишпионские и т.п. программ. На компьютере должен быть ровно один активный антивирус и один фаервол, либо одна комплексная программа типа Kaspersky Internet Security (кстати, зачем ее убрали, очень хороший выбор). При наличии номального антивируса всякие anti-spyware и анти-трояны не нужны вовсе. Определитесь, что будете использовать, удалите все лишнее и сделайте еще раз последний лог, подчистим остатки.
Добавлено через 16 минут
Указанный вами IP адрес принадлежит Краснодарскому провайдеру ("Southern Telecommunication Company"). Протоколы ICMP и IGMP используются для передачи служебных пакетов. Маленький служебный трафик между вашим компьютером и сервером провайдера всегда имеет место, даже если не запущена ни одна программа, работающая с интернетом. Этот трафик не тарифицируется.
Последний раз редактировалось Bratez; 22.10.2007 в 04:06.
Причина: Добавлено
Значит, на моем компе откуда ни возьмись появилась программа какого-то провайдера, которая нагло лезет в интерент, посылает фрагментированные пакеты вызывающие сбой системы и испоьзует stealth технологии?!!
И какого черта пока я не поставил Outpost у меня в Интернете появлялся синий экран смерти?
И еще один маленький ВОПРОС: при копировании даннных в диспетчере задач появляется процесс Drag. Это нормальный процесс или левый?
Уважаемый(ая) Колян, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: