Не могу определить источник заразы... Есть предположения на руткит.
Проблема с рабочим компом... Примерно месяц назад стали появляться вирусы и трояны на компе.. причем вирусы свежайшие на тот момент (их позже тока антивирусы стали определять) плюс разок было сообщение файрвола что процесс system полез в инет.
В общем победить руткит мне не удалось (какой то backdoor очевидно)
Переустановил систему пока не вылез снова в инет все работало...
Вчера выходил в интернет ненадолго (стоит Kaspersky Anti-Hacker ранее стоял Outpost) - сегодня вечером монитор Symantec`а обнаружил несколько (8 штук разнонаименнованных) вирусов W32.Rahack.H - эту ерунду я удалил - исследовал систему
1) avz не обнаружил перехватов (кроме klif и sptd - соответсвенно от AntiHacker и от Daemon Tools)
2) месяц назад делал md5 слепки файлов из system32 и system
- сверил - ни одна crc не изменилась только добавились новые - но все от Intel LANDesk и обновления Windows плюс некий издатель Lou maudio кажется (комп рабочий а пишу я из дома) но и это вроде как проекты от Microsoft (конкретно MS PowerToys)
Что мне делать?
1) Как проникает руткит?
2) есть ли он вообще ;-)))
3) завтра хочу загрузиться с диска XP пакет предустановки и проверить crc прямо с компактов и сравнить.. ведь если руткит и есть то так он найдется? я прав?
4) Я ищу тока в паках Windows System и System32 - этого достаточно?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Может и паранойя
Два антивируса, которые друг друга не любят - Norton & Kasperskyi
По-моему, это круто.
От Касперского драйвера видны. Видимо, некоректно деинсталлирован.
по сути: подозрительного не видно, только fast.exe в автозапуске наводит на мысли. Плюс bgswitch.exe там же.
Да и еще, стартовая страница IE.
Павел AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home) На up не реагирую
Насчет антивирусов - был не прав, ну никак не ожидал что знаменитый klif.sys живет и в АнтиХакере.
Вопросик - логи делались при запущенном IE? Если не был запущен, то логи придется повторить.
Павел AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home) На up не реагирую
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ep1k_certd.exe','');
QuarantineFile('C:\WINDOWS\system32\bgswitch.exe','');
QuarantineFile('V2IMount.sys','');
RebootWindows(true);
end.
После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".
2. Какие у Вас проблемы сейчас? Что именно Вас беспокоит? Что заставило обратиться к нам? Зачем делали md5 слепки файлов из system32 и system?
3. Ни кто Вам не даст такую гарантию...
1. Комп рабочий и там действительно хранится важная информация.
2. первый файлик утилита от Feitian для работы со смарт-картами
2а 2 и 3 файлик гляну более пристально (сейчас пишу из дома, доступа к рабочему нет)
3. Хотелось бы иметь гарантию, пусть через промежуточный комп в роли аппаратного файрвола.. (разумеется у меня хватит ума не запускать файлик типа run_me.exe ))) )
Последний раз редактировалось Макcим; 02.05.2007 в 15:31.
1. Комп рабочий и там действительно хранится важная информация.
2. первый файлик утилита от Feitian для работы со смарт-картами
2а 2 и 3 файлик гляну более пристально (сейчас пишу из дома, доступа к рабочему нет)
3. Хотелось бы иметь гарантию, пусть через промежуточный комп в роли аппаратного файрвола.. (разумеется у меня хватит ума не запускать файлик типа run_me.exe ))) )
4. Примерно месяц назад на комп проник троян-бэкдор не идентифицированный мной (идентифицировались тока следы - другие трояны и сетевая активность) - всё это при работающем файрволе... и антивирусе плюс заплатки стояли (до уровня неофициального SP3)
Уважаемый(ая) Voland, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: