Не работает обновление и восстановление ОС (подозрение на руткиты)

Доброй ночи уважаемые форумчане,

На моем домашнем ПК с ОС Windows2003 R2 SP2 Ru 32bit (нравится мне эта операционка), в диспетчере процессов AVZ недавно была замечена подозрительная активность (ее не видно только в режиме Safe Mode) из которой видны только PID этих процессов (см. скрин, эти процессы помечены красным) фактически больше ни какой информации о этих процессах не имеется, - стандартный диспетчер задач, AnvirTask Manager и другое аналогичное и испробованное мной ПО их не видит вообще что наводит на мысль что это инфекция, а точнее как мне кажется руткит(ы). Количество этих не идентифицированных процессов не постоянно (их количество может перевалить за несколько десятков всего за час-два работы ОС), их PID(ы) так же не постоянны (после перезагрузки ПК они могут быть другими), "убить" эти процессы с помощью единственного видящего эти процессы инструмента (AVZ - диспетчер процессов) не удается. Подозреваю что именно эти процессы (или их последствия) не дают на данный момент обновлять ОС как в автоматическом так и ручном режиме (процесс обновления обрывается без каких либо записей в журнале событий ОС, в панели установка и удаление записи о успешной установке пакетов KB так же отсутствуют), кроме того так же обрывается-уходит в бесконечный цикл (от 0% до примерно 50%, затем авто рестарт и все опять с 0% по новой) восстановление ОС (консоль R - Recovery). Штатный CIS (Comodo Internet Security) иногда завершается с крахом, кроме того не может обновить свои антивирусные базы. Изредка не функционирует как нужно и интернет коннект (при перезагрузке в другую, установленную второй системой, ОС - Linux, проблем с интернет коннектом не наблюдается). На данный момент были опробованы: Dr.Web (Cureit & Shark, LiveCD), Kaspersky (AVPTool, TDSSKiller), McAfee (Stinger, Rootkit Detective), Malwarebytes (Malwarebytes Anti-Malware), SUPERAntiSpyware (SUPERAntiSpyware Free Edition), Crawler (SpywareTerminator Free), ESET (NOD32 разные версии). Ни одно из выше названных ПО не смогло справиться с этой проблемой.

Кроме того видимым присутствием чего то вредоносного на ПК считаю: при открытии в проводнике каких либо папок иногда наблюдается временное исчезновение содержимого этих папок (часто помогает только ее закрытие и последующая повторная попытка открытия) этот эффект чем то напоминает сплайсинг, т.е. подмену истинного содержимого фейком-подделкой. Попытки чистки профилей (временных папок, удаление папок System Volume Information, pagefile.sys и т.д.) а так же откат на созданный ранее с помощью ERUNT бэкап реестра спасают не более чем на полчаса-час (после обязательного рестарта следующего после отката реестра, через некоторое время, эти неизвестные процессы появляются вновь).

P.S. Так же имеющаяся утилита UVS (Universal Virus Sniffer) периодически обнаруживает в списке автозапуска реестра неизвестные записи (сами файлы на которые они указывают обычно отсутствуют) под именами CLSID и UPLOADMGR, после их удаления они опять, произвольно, (когда вздумается) появляются вновь (сверка автозапуска через ту же UVS ни чего не дала). Создание новой учетки с ограниченными правами на данный момент не решает проблему, под ней вообще не загружается ни чего, даже Рабочий стол и т.д...

Собственно сам вопрос, - как это можно победить (или смело можно форматировать диск С: ??) ?? :O...

Заранее признателен за вашу помощь.

С уважением, Слава.

Уважаемый(ая) [B]bvvuz[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Маскировка процессов для Вашей системы - это нормально.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
QuarantineFile('C:\Documents and Settings\sl\Local Settings\Temp\tmp4.tmp','');
DeleteFile('C:\Documents and Settings\sl\Local Settings\Temp\tmp4.tmp');
DeleteService('WinRing0_1_2_0');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]

[COLOR=#FF0000]Компьютер перезагрузится[/COLOR]

[B]После перезагрузки:[/B]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[COLOR=Red][B]Прислать запрошенный карантин[/B][/COLOR]" вверху темы.

- Повторите логи.

Добрый день,

Вот все логи, карантин так же присоединяю к опции прикрепления карантина.

...после обработки скриптов и создания архива quarantine.zip (AVZ на момент работы обоих скриптов работал в режиме AVZGuard) и последующем отключении AVZGuard система проработала не более двух минут и ушла в BSOD с ошибкой 0х000000CE и ссылкой на источник ошибки в драйвере AVZ, после рестарта сразу же ОС предложила установить новое оборудование, я отказался, в дальнейшем в диспетчере устройств не найдено ни одного неисправного устройства (похоже что какой то зловред пытается перехватить контроль над драйвером AVZ ?!).

По поводу неопознанных процессов, общее количество ПК с этой версией ОС которые я анализировал 6 штук (один мой домашний), из этих шести как минимум 2 не показывают такого рода (помеченные красным) подозрительные процессы, 4 из оставшихся показывают, но на то есть думаю что веская причина, все эти ПК (с подозрительными процессами) были атакованы зловредами (свой ПК на работе скорее всего заразил через Remote Desktop соединившись с одним из зараженных ПК, домашний ПК был заражен случайно через флешку по моей небрежности-усталости, вечером после работы, это мое упущение, - админу на работе похоже все по барабану поэтому и свой рабочий ПК, и домашний естественно тоже, пытаюсь содержать в порядке-чистоте самостоятельно) в том числе на них были заражены и загрузочные записи HDD (MBR, IPL, VBR), загрузчики были вылечены с помощью LiveCD и UVS, найденные трояны и черви уничтожены, но все же что то продолжает свою деструктивную деятельность, при анализе с помощью AVZ на этих ПК постоянно выявляются поврежденными: режим Safe Boot, не функционирующее как надо автообновление системы, режим R-Recovery (из консоли восстановления), даже sfc /scannow не отрабатывает как положено (тоже обрывается без записи в журнал событий) в общем фактически все тоже самое что и с домашним ПК...

P.S. не знаю связано ли это с этой основной проблемой или нет, но, при попытке открытия в браузере Firefox (сейчас установлена версия 12) ранее сохраненных htm(l) страниц иногда выскакивает сообщение о том что этот документ не найден, при этом он все же открывается в этом же браузере...

С уважением, Слава.

[COLOR="silver"]- - - Updated - - -[/COLOR]

не понял в чем проблема, созданный архив (quarantine.zip) не прикрепляется к опции - Прислать запрошенный карантин, появляется сообщение - Результат загрузки Ошибка загрузки. Данный файл уже был загружен :O...а, все, вроде прикрепил, повторно заархивировал (архив в архиве) с паролем как и просила страница загрузки :)...

а про мою проблему не забыли ?? :>...

...придется наверное форматировать диск С: и переустанавливать ОС :(...

в логах ничего плохого ... авз не умеет работать с серверной осью

Доброе утро,

жаль,...возможно причина неуспеха в лечении только что выявленные ограничения у учетной записи администратора (ограничения в правах) не устраняемые AVZ (похоже какой то зловред после их правки тут же их ограничивает опять), в реестре периодически появляются скрытые (явно левые) параметры что так же наводит на мысль о скрытой инфекции, сейчас пытаюсь устранить проблемы с помощью CCE (Comodo Cleaning Essentials) именно она засекла эти проблемы но предыдущее сканирование закончилось BSOD ом (похоже инфекция сопротивляется своему обнаружению), попробую то же самое в SafeBoot, - не поможет придется форматировать раздел и ставить ОС заново :(...

Тему можно считать закрытой.

В любом случае большое спасибо за оказанную вами помощь :>.

С уважением, Слава.

нет у вас инфекции ... вы используете продукты не предназначенные для серверной оси ... !!! они не будут корректно работать ... все ваши подозрения это и есть "особенности" работы на сервере

Доброе утро,

Вам конечно виднее, у вас больше чем у меня опыта, но, почему тогда такие вещи я вижу только на пролеченных ПК (на минимум двух, здоровых, ПК с этой же версией ОС, с таким же набором ПО, АВЗ не показывает эти подозрительные вещи, и с учетками-обновлениями-логами-уведомлениями и т.д. и т.п. там все в норме ??). Этой ОС и софтом (как минимум 95% из него) я пользуюсь уже более трех лет (на покупку серверного ПО у меня естественно нет средств, да и ОС не куплена тоже, но речь собственно не об этом). Те помеченные красным процессы (скрин АВЗ в первом сообщении) появились не более нескольких недель назад, их источник как постепенно начинает проясняться домашние ПК нескольких сотрудников нашей организации (принесли уже несколько мне на профилактику, сижу когда за ними и просто "шизею" от того "зоопарка" который вижу на них пытаясь их вылечить), на них установлены и ХР и 7. Кто то из этих сотрудников (кто именно еще не выяснил) любитель "клубнички", и принося регулярно всякую дрянь заражает ПК на работе, а так же остальные передают заразу друг другу с флэшками не подозревая что все и вся заражают (как я уже говорил выше админу на работе все фиолетово), USB модемами и т.д.. Как вы наверное понимаете какая бы защита на ПК не была установлена последнюю точку над "i" ставит все же пользователь ПК разрешая-запрещая что либо (особенно это относится к новой неизвестной для защиты инфекции), самая крутая эвристика увы не более чем в 50% поможет в этих ситуациях. Общие симптомы не смотря на различие в версиях ОС такие же как и на этих же с 2003 установленных на рабочих ПК (те же неизвестные помеченные красным процессы в АВЗ), не работающее авто и ручное обновление системы, постоянные выявляющиеся ограничения прав учеток хоть исправляй хоть не исправляй (эти проблемы появились тоже не так давно), BSOD ы проверенных и ранее работавших драйверов и системных библиотек (тот же NTFS.sys, хотя хард исправен, и не единственный с такими иногда проявляющимися проблемами), не работающий (уходящий в бесконечное кольцо) режим восстановления ОС - естественно ОС при этом больше не запустится (процесс восстановления же не завершается на 100%), приходится делать откат на сохраненный бэкап в акронисе, но он тоже заражен, да и проблема то собственно не в этом - найти нужно то что все это делает (инфекцию) и найти метод лечения от нее иначе всех откатов-чистовых установок хватит не более чем на час-два (до подключения флешки, сети и т.д.) собственно это то и интересует больше всего...

P.S. я хотел спросить о другом, та гадость которую пока не могу отловить и оставляющая в реестре свои следы CLSID, SERVICE, UPLOADMGR (видны в UVS, на все из них появляются ключи в автозагрузке, в том числе и для режима Safe Mode, но сами файлы на которые ссылаются эти ключи всегда отсутствуют), появилась хоть и призрачная (пока не смог выловить, только один раз видел такого рода ключ там же в реестре, вчера поздно ночью когда присвоил все права на доступ к HDD своей учетке в режиме SafeMode, после перезагрузки в штатный режим они естественно опять слетели) но "жертва", файл вида хххххххх.sys (при этом это не драйвер АВЗ или еще чего то что я устанавливал и названия которых я знаю точно, и не родной системный, тем более что он явно скрывается от пользователя !), где хххххххх произвольный цифро буквенный набор (как только опять увижу эту или подобную запись в реестре, спровоцирую BSOD с помощью RootkitUnhooker или другим ПО и из Linux попробую его найти, - если он только в оперативке-свопе не "селится"), собственно сам вопрос, как выловлю могу я его вам прислать на анализ (упакованным естественно в архив с паролем) ??

С уважением, Слава.

P.P.S. пока писал-правил это сообщение браузер несколько раз "улетел" с краш репортом (Mozilla Firefox 12), до инфицирования этих проблем тоже не было...

[COLOR="silver"]- - - Updated - - -[/COLOR]

...вот кстати что бы не быть голословным (сейчас я на работе) снимки с двух ПК на работе (из названий снимков видно с какого ПК он), ОС одинаковые (2003), установленный софт между ними во многом схож (временно на своем рабочем ПК даже CIS снес и установил аналогичный антивирус, Rising), на здоровом ПК "краснухи" не наблюдается вообще !,...такие вот "веселые картинки" я периодически наблюдаю на многих ПК которые приходится лечить, и иногда еще и восстанавливать на них поврежденную ОС (операционки на них в основном: ХР, 7, 2000, и такая же как у меня 2003),...в общем думаю снимки говорят сами за себя...

Всеми ли утилитами проверились на максимальных настройках? После некоторых утилит, Ваша система вообще может не стартануть, так что, если удаляете и подозреваете все подряд, без разбора, не удивляйтесь, что отваливаются какие-нибудь компоненты...

[quote="bvvuz;894017"]в общем думаю снимки говорят сами за себя...[/quote]
Лично мне, снимок Вашей системы, говорит только о том, что Вы установили "Драйвер расширенного мониторинга процессов AVZPM".

1. AVZ - AVZPM - "Удалить и выгрузить Драйвер расширенного мониторинга процессов"
2. AVZ - Файл - Стандартные скрипты - Выполните скрипт 6
3. Перезагрузитесь

PS: это серверная система и использоваться она должна на серверах...

Добрый день,

Да уж, не зря говорят - век учись и все равно дураком помрешь :D, в общем вы правы оказались (сбило с толку что на одном ПК был установлен антивирусный пакет McAfee 8.8i с максимально строгими настройками в Защита доступа, там эти драйверы просто блокировались на старте самим антивирусом) они исчезли,...правда странно получается что АВЗ сам свои же драйвера-процессы распознает как руткиты, это уже получается недоработка этой утилиты :?...

В общем эта проблема снята (зря только столько времени мучал свой мозГ и вас с толку сбивал :D).

Буду разбираться с еще остающимися актуальными проблемами, - почему не работает как должно обновление и восстановление ОС, а так же откуда "растут ноги" с частыми и без причины (сам я ни чего не делал) блокировками в правах у имеющихся учеток в системе...

P.S. В плане что это серверная ОС я согласен, тем не менее она и на десктопе отлично идет, уязвимостей меньше чем у ХР, имеется хороший и регулярный источник для закачки последних заплаток - хотфиксов, более новое чем у ХР ядро, да и различия с той же ХР не такие уж и существенные (после чистовой установки просто все лишнее отключается) :)...

Большое спасибо за вашу помощь.

С уважением, Слава.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]