Доброго Всем времени суток! Прошу за беспокойство.
Очень нужна Ваша консультация по удалению руткита, сидящего на HDD в MBR. Предполагаю, что компьютер взломали.
Примерно в декабре прошлого года заметил, что Windows XP стала работать медленно, замедлилась скорость доступа в сеть (всё как-бы через фильтр), постоянно изменяется размер файлов входа в систему- winlogon.exe, csrss.exe, smss.exe, появляются и всплывают в procexp какие-то случайные DLL. Проверка на заражённой машине TDSSKiller результата не дала. AVZ видимо обрубает корни этому руту, но он вновь восстанавливается из MBR, "расшаривает" сетевые службы удалённого доступа, что-то пытается сам качать через порты (видно по трафику, хотя автообновление везде отключено). Переустановка Win XP не помогла решить проблему, при установке всплывают предупреждения, система ставится очень долго (проверка из MBR руткитом?)-
Поставщик HiPerfCooker_v1 зарегистрирован в пространстве имен WMI Root\WMI с правами локальной системы. Это может привести к нарушениям зашиты, если поставщику не удастся олицетворить запрос пользователя.
Поставщик CmdTriggerConsumer зарегистрирован в пространстве имен WMI Root\cimv2 с правами локальной системы. Это может привести к нарушениям зашиты, если поставщику не удастся олицетворить запрос пользователя.
Поставщик Rsop Planning Mode Provider зарегистрирован в пространстве имен WMI root\RSOP, но не указал свойство HostingModel. Для запуска поставщика будет использоваться учетная запись LocalSystem. Это привилегированная учетная запись, и если поставщику не удастся олицетворить запрос пользователя, это может привести к нарушению безопасности. Проверьте, что поставщик не угрожает безопасности, и обновите свойство регистрации поставщика HostingModel до учетной записи с наименьшими привилегиями, необходимые для данной функциональности.
Чистка MBR сторонними программами не помогла, восстановление системы из AVZ на время решает проблему- размер winlogon.exe, csrss.exe, smss.exe становится меньше, система работает быстрее, но после перезагрузки- всё на круги своя. Возможно-ли удаление какой-то программой или всё-же необходимо резервное копирование данных и низкоуровневое форматирование HDD с очисткой MBR.
Уже читал вот тут, проблема не нова, пришлось человеку проводить низкоуровневое форматирование и даже пререшивать BIOS- http://www.securitylab.ru/forum/forum27/topic18217/ .
Очень нуждаюсь в Ваших советах, как далее поступать, какую программу использовать, дабы убить его корни в MBR. Логи сканирования прилагаю. Очень бы не хотелось делать резервную копию всего HDD и последующее низкоуровневое форматирование.
Заранее благодарю.
Последний раз редактировалось Андрей 777; 25.04.2015 в 19:28.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Андрей 777, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Свежие логи, базы обновил. User & Kernel-Mode блокировку не включал.
Забыл отметить- имя пользователя в диспетчере задач скрыто, "игры" с реестром не помогли.
Последний раз редактировалось Андрей 777; 26.04.2015 в 12:28.
Вот видимо те, простите, запутался уже просто.... Думал достаточно текстовых отчётов.
- - - - -Добавлено - - - - -
Кстати, после сканирования и всех манипуляций заметил, что размер файлов winlogon.exe, csrss.exe, smss.exe ещё увеличился ~ на 4 кб. Имя всех пользователей в диспетчере задач также скрыто, не отображается значок сетевое подключение на панели инструментов, хотя выход в сеть есть.
Последний раз редактировалось Андрей 777; 26.04.2015 в 23:37.
Загрузите SecurityCheck by glax24отсюда и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Выходит рутник самоликвидировался, просто как-то загадочно?
Спасибо, тем не менее, что уделили мне, столь скромному пользователю, часть своего драгоценного времени.
Буду надеяться, что так оно и есть. Смутили HiPerfCooker_v1, CmdTriggerConsumer, Rsop Planning Mode Provider в WMI-Root при установке, самораскрытие сетевых служб удалённого доступа, отчего и решил- модификация MBR!!! Информации в сети мало, по всем признакам похоже на рут. Спасибо Вам ещё раз, поживём- понаблюдаем за системой.
Уважаемый(ая) Андрей 777, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: