Добрый день! У меня на компьютере нет видимых проблем, но я подозреваю, что на сервере, через который я получаю Интернет, есть Rootkit и он захватывает компьютеры, которые через этот сервер подсоединены к Интернет. Я работаю Африке (преподаю). Сервер под Windows, его обслуживают студенты и не умеют настроить сервер. Проблемы были раньше. Подсоединился к Интернет где-то в январе прошлого года. После подсоединения к Интернет полетела флешка, ни с того ни с сего перезагрузился компьютер. Потом я обнаружил несанкционированное подключение, скачал AVZ и разбирался. Потом просто переустановил WIndows. Видел проблемы у других преподавателей (например, AVZ в протоколе писал про установку Backdoor, было огромное количество попорченных файлов и загрузка компа минут 40). Здесь нет нужных спецов и я хочу разобраться, действительно ли на сервере Rootkit, научиться от него защищаться и просто мне интересно разобраться. У сервера где-то тысяча пользователей. Прежде всего хочу понять сообщения в протоколе AVZ "перехватчик не определён". Ниже - часть протокола AVZ.
1.5 Проверка обработчиков IRP
\FileSystem\FastFat[IRP_MJ_CREATE] = 86D661F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 86D661F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 86D661F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 86D661F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 86D661F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 86D661F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 86D661F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 86D661F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 86D661F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 86D661F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 86D661F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 86D661F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 86D661F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 86D661F8 -> перехватчик не определен
Помогите разобраться. Анатолий
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Добрый день.
Сделал, как Вы сказали (только насчёт "очистить темп-папки, кэш проводников и корзину" затруднился: корзину почистил - это понятно; остальное - через AVZ И Оперу). Только по моему ничего не изменилось: как было "перехватчик не определён", так и осталось. Посмотрел (до создания последних логов): cлужба Plugsmtiluc была отключена. Ни AVZ, ни FAR файла Plugsmtiluc не находили. После выполнения Вашего скрипта службы Plugsmtiluc не стало, но протокол AVZ мало изменился. Но добавилось
Разрешен автозапуск с HDD
Разрешен автозапуск с сетевых дисков
Разрешен автозапуск со сменных носителей
Этот кусочек исправил с помощью AVZ. Дальше не знаю, на что подумать. Ещё: в директории AVZ4\Quarantine были только файлы с расширением ini (их я и послал по кнопке "Прислать запрошенный карантин"). Заглянул в них - должны быть те же файлы с расширением dat. Но этих файлов не было: и поиск в AVZ их не нашёл. Или я чего-то не понимаю?
Ещё AVZ в "Модули пространства ядра" показывает sp**.sys. При каждом запуске Windows это имя меняется! Почитал в Интернете: вроде это "эмулятор диска" и что это связано с программами, которые делают виртуальные диски - вроде DAEMON Tools. Что это такое - не понимаю. DAEMON Tools у меня был, но я его деинсталлировал, и а этот sp**.sys по прежнему живёт! У меня правда ещё Nero стоит. Может, это от него?
PS. Я на сервере впервые. Организация работы мне тут нравится. Спасибо
Последний раз редактировалось Rene-gad; 09.05.2009 в 11:22.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: