Предположительно есть троян, но ни один антивирусник не идентифицирует его
Сабж: некоторое время назад начала замечать кратковременные подвисания ноута при работе в сети (меньше 10 секунд), на интенсивное кликание мышкой или нажатие кнопок реагировал "песочными часами" и возвращением в нормальный режим работы через пару секунд. В последние дни сие безобразие идёт почти каждые 10 минут, вне зависимости от сайта, на котором сижу. Отмечу, что нагрузки на канал нет, траф не утекает. Всё выглядит так, будто комп загрузила какая-то задача, но диспетчер устройств ничего не показал. Полезла в журнал событий и к своему удивлению увидела там чуть ли не ежесекундное отключение\запуск тех или иных служб, к которым я, естественно, не обращаюсь. То есть, например, служба регистрации ошибок остановлена...и через 2 минуты запущена снова... а потом снова остановлена и снова запущена код события 7036, и вот этим событием забит весь журнал (раздел "система") с момента старта компа. Также в разделе "безопасность" по 100500 раз в день появляются такие отчёты:
Новому сеансу входа назначены специальные привилегии.
Субъект:
ИД безопасности: система
Имя учетной записи: система
Домен учетной записи: NT AUTHORITY
Код входа: 0x3e7
________________________
Вход с учетной записью выполнен успешно.
Субъект:
ИД безопасности: система
Имя учетной записи: FOX_NOS-ПК$
Домен учетной записи: WORKGROUP
Код входа: 0x3e7
Тип входа: 5
Новый вход:
ИД безопасности: система
Имя учетной записи: система
Домен учетной записи: NT AUTHORITY
Код входа: 0x3e7
GUID входа: {00000000-0000-0000-0000-000000000000}
Сведения о процессе:
Идентификатор процесса: 0x30c
Имя процесса: C:\Windows\System32\services.exe
Сведения о сети:
Имя рабочей станции:
Сетевой адрес источника: -
Порт источника: -
Сведения о проверке подлинности:
Процесс входа: Advapi
Пакет проверки подлинности: Negotiate
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0
Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен.
Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.
В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой).
Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход.
В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.
Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
- GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC.
- В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
- Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
- Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Причём, момент появления этих отчётов совпадает со временем подвисания на компе. В сети ничего толкового не нашла, кроме предложения проверить память и жёсткий диск. Проверила. Всё нормально. Также обратила внимание, что Комодо частенько блокирует c:\users\user\appdata\local\mailru\mailruupdater.e xe при попытке обращения к dns\rpc, а также сом-интерфейсу, цель - svchost.exe. Комодовский killprocess утверждает, что активная папка этого файла - system32, хотя его там нет. Однако, он нашёлся в автозапуске и ещё в огромном количестве папок и веток реестра (поиск проводила в АВЗ). Поскольку я нуб в правке реестра, удалять ничего не стала, решила обратиться к Вам. При проверке АВТул и Курейт оба промолчали как партизаны, при проверке данного файла на вирустотал, несколько не очень популярных антивирусников находят троянца. АВЗ молчит, однако, запущенный с максимальными настройками нашёл вагон рукитов, которые якобы, нейтрализовал, но после перезагрузки ОСи и нового сканирования, нашёл и нейтрализовал их снова (кстати, комп после этого действительно стал работать пошустрее). Также старый добрый APS раз в сутки кричит о атаке какого-то Robo-hack по пять тысяч какому-то порту, пытающемуся залезть в локалхост.
До кучи хочу отметить, что последние несколько месяцев на мой роутер идёт ежедневная атака с китайских IP. Пару раз, такое ощущение, что удалось вскрыть пароль, т.к. в логах были записи о изменении прошивки. После смены пароля на ещё более сложный, атака идёт почти круглосуточная. Файрвол роутера пока справляется, но фиг его знает, насколько его хватит... как сменить порты я в инструкции не нашла, гугл также не помог. Связаны ли все вышеописанные события между собой, не знаю.
При сканировании системы, был создан автокарантин 16 мб, если надо - пришлю. Хотя непонятно, что он туда положил, ведь в логе не было упоминаний о проблемах
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Ekaterina Ikonnikova, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выгрузила даже... всё равно не заработал. Запустила через startf (как было сказано тут http://av-help.narod.ru/uvs.html), запустилось, но "Запустить под LocalSystem" не дало, пункт был заблокирован, поэтому запустила под текущим пользователем с чистым рабочим столом. Результат тут ____http://rghost.ru/58210819 (форум не даёт загрузить, слишком большой файл). Ещё забавно, пришлось перезагрузится и теперь при старте стало вылетать вот такое окошко. Экзешник - скаченный для проверки АВТул чё-та я совсем ничего не понимаю, он ведь не устанавливается при проверке, почему же ОСь ругается на отсутствие файла, хотя его никто не удалял (Каспером проходилась до АВЗ)
Выгрузить мало, блокировка на уровне драйвера. Достаточно было по правой кнопке мыши на значке Comodo в трее отключить 3 компонента: антивирус, HIPS, AutoSandBox.
Всё в порядке в системе. Часть проблем могут быть из-за Comodo, 7-я версия весьма глюкава.
Исправляюсь подумалось, ему хватит "выйти". Не думаю, что дело в Комодо, проблема появилась многим позже установки программы... И как быть с этим Мейл.ру? Я его не устанавливала, АВЗ находит около 100 ссылок по реестру и среди файлов
С чем могут быть связаны подвисания и постоянные отключения и запуски служб?
Сделано. До кучи прицепляю результаты поиска по реестру по запросу "mailruupdater.exe" (АВЗ), выполненный после этих 2 скриптов, обнуления журнала Комодо и удаления точек восстановления. После выполнения первого скрипта, мейлрушный файл действительно удалился почему-то в папке appdata было 2 мейловские папки, одна с логотипом "мейл спутника", вторая с вот этим загрузчиком. Она удалилась, вторая осталась. Ошибки, связанной с отсутствием чего-то там у Каспера пока не вылетело. Со службами всё та же непонятка, включаются-выключаются.
Сделано правда, после перезагрузки пропал Яндекс браузер. Сама программа осталась на диске, пропали ярлыки на рабочем столе и в меню "Пуск". Восстановила.
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.