-
Junior Member
- Вес репутации
- 52
Похоже на rootkit
Стянул с осла один хороший файл. Зовут его Запрещены ссылки на "варез" (нелицензионные или взломанные программы, серийные номера, кряки, кейгены), а также вопросы по поиску вышеперечисленного. При первом запуске он даже сделал вид что работает по назначению. При всех последующий запусках лишь DOS окно и, затем присутствие в процессах на некоторое время и выход. Посмотрел я на него через Process Explorer и увидел такие апилки как RegCreateKeyEx и иже с ними, что по моему мнение (могу и ошибаться), не свойственно программам такого характера. Да и upheaval.dat файл лежащий рядом меня насторожил (без него работать не хотим, сразу кричим что нехватает его). В собственных логах ничего интересного нет, честно говоря, кроме разве что:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
Система свежая, недавно поставил. Все эти службы включены и работают по дефолту? (Раньше пользовался только Home Edition)
Но раз уж положено — прикрепляю их. Прикреплю еще один лог, хотя это в правилах и запрещено, но это, я думаю, сильно ускорит процесс: rghost.ru/932569/private/0c371cb6c8db0a7ff3bcac786f66afde
Это лог Process Monitor'а от Sysinternals (открывать им же). Если нужна еще какая-то дополнительная инфо или сам виновник всего этого, то готов предоставить.
Последний раз редактировалось Rene-gad; 04.02.2010 в 16:09.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
В логах ничего подозрительного. Насчет потенциально опасных служб - АВЗ/Файл/Мастер поиска и устранения проблем...
-
-
Junior Member
- Вес репутации
- 52
Rene-gad, я сразу то и сказал что в логах ничего интересного нет, вся его работа наглядно видна из лога Process Monitor'а, который я выложил на rghost. Там отфильтрована только его работа и процесса, который он создает - ничего лишнего. Хотел чтоб кто-то знающий взглянул и сказал как мне зачистить все его следы, он пишет файлы в некоторые системные папки, у которых аттрибут "только чтение" перманентно. Да и хотелось бы выяснить что он сделал при первом запуске.