-
Junior Member
- Вес репутации
- 53
RootKit не обнаруживается
Доброго дня!
Уважаемые коллеги, не могу обнаружить на машинке Windows XP rootkit. То что с машиной не все в порядке говорит несколько факторов:
1. Закрыт порт 445, хотя все файрволлы отключены, либо настроены на пропускание из локалки трафик на него. С самой машины порт открыт. NetStat показывает, что порт вполне работоспособен.
2. ProcessHunter показывает один скрытый процесс без имени, который нельзя прибить ничем. PID периодически меняется, да и процессов может стать до 3-х. После мониторинга больше минуты машина трапается в синий экран "смерти".
3. При загрузке в Safe Mode в момент переключения в графическую моду машинка трапается в синий экран, затем быстро перегружается.
Все остальные антивирусы и искалки вторжения молчат как рыбы.
Как мне найти процесс перехватчик сетевых соединений и хитро скрывающий себя?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 53
Дополнительная информация
Уважаемые коллеги,
Во вложении файлы, которые требуются для анализа. Кроме этого в zip файле Compiledadapter лежит странный файл, который синхронизируется с моей папкой. Нужна ли еще дополнительная информация?
Последний раз редактировалось pig; 30.11.2009 в 06:11.
Причина: Подозрительные файлы прикреплять запрещено
-
Подозреваемого пришлите по правилам.
-
-
Junior Member
- Вес репутации
- 53
Доброго дня!
"Подозреваемый" выслан. Хочу сказать только, что не факт что это он. Этот файл пытается синхронизироваться с моей сетевой папкой, причем в вписке синхронизации Windows его нет. Там вообще нет ссылки на синхронизацию с моей папкой.
Нужна ли еще какая информация?
-
У Вас компьютер в домене. М.б. Админы Вам что-то перекрывают?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 53
Так администратор то я и есть!
Уважаемые коллеги.
Я в начале описал, что машинка ведет себя не адекватно.
- Закрыт порт 445 извне. Все стандартные методики закрытия не используются. Отключение firewall не влияет на доступность
- Машина выпадает в синий экран при попытке загрузиться в Safe mode
- Мне в сетевой каталог с этой машины синхронизируется файл, хотя в списке синхронизации отсутствует. Файл я выслал как подозрительный.
- ProcessHunter показывает скрытый процесс без имени но с pid. при попытке убить процесс не убивается. Если убивать утилитой kill из reskit то утилита выдает pid процесса очень большой не тот, который я ей передаю и говорит, что такой процесс нельзя прибить.
Добавлено через 1 час 24 минуты
Доброго дня, попробовал переустановить Windows с возможностью восстановления, но и это не удалось - синий экран о смерти...
Последний раз редактировалось Nautical; 30.11.2009 в 18:54.
Причина: Добавлено
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-
