Здравствуйте!
На сервере поселился руткит, никак не могу с ним справиться.
NOD32, AVPTool, Dr. Web CureIt! ничего не видят.
Загружался с CD, через консоль восстанавливал загрузочную запись на диске, вручную распаковывал с дистрибутива системные файлы, но, видимо, что-то упустил. При первой же загрузке устанавливается какой-то драйвер и все опять "в ажуре". Отловить откуда и что устанавливается не смог.
Логи согласно ПРАВИЛАМ прилагаю.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Скрипт выполнил - он создал пустую папку. Карантин пустой!
Логи сделал, прилагаю.
Спасибо AndreyKa за подсказку, но я внимательно ознакомился с документацией AVZ до того, как решил побеспокоить многоуважаемую публику. Взгляните на hijackthis.log
Последний раз редактировалось Rene-gad; 03.05.2009 в 11:14.
...и найдите десять отличий. Что там не так, если не обращать внимания на то, что файлы служб ищутся не там?
Может тогда мне кто-нибудь объяснит, что означает Unknown owner и file missing, если служба запущена, файл служб находится там, где и должен быть, а HiJackThis упорно не хочет их сопоставить?
Первое это неизвестный источник/владелец файла, file missing говорит о том, что либо файл отсутствует/запущен с параметрами командной строки или блокирует чтение...
Сообщение от http://technet.microsoft.com/ru-ru/magazine/2007.04.desktopfiles.aspx
Windows [x64] предоставляет совершенно новый слой эмуляции, называющийся Windows On Windows (WOW), чтобы у этих 32-разрядных приложений было отдельное представление операционной системы – как будто выполнение осуществляется в 32-разрядной версии Windows. В WOW приложения x86 видят Program Files (X86) как просто Program Files. Аналогично, %WINDIR%\SysWOW64 виден приложениям x86 как %WINDIR%\System32, а раздел системного реестра HKLM\SOFTWARE\Wow6432Node как HKLM\SOFTWARE.
Всем спасибо, отдельное AndreyKa.
Подвожу итог:
Поскольку HiJackThis 32-разрядная версия, то вместо реального %WINDIR%\System32 она смотрит в %WINDIR%\SysWOW64. Естественно файлов служб там нет, отсюда file missing и, как следствие, Unknown owner.
AVZ по той же причине не находит C:\WINDOWS\system32\ntoskrnl.exe.
ВЫВОД: Система чистая, а причина проблем, которые побудили меня "копать" скорее всего в некорректном драйвере какого-то устройства.
Еще раз всем спасибо.
Уважаемый(ая) ssh, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: