Замена исходником ничего не дала...
Пока присылаю ветку и результаты проверки на virustotal (всё чисто, но на всякий случай прилагаю результат)
Играться с аморфиком буду уже с понедельника...
Замена исходником ничего не дала...
Пока присылаю ветку и результаты проверки на virustotal (всё чисто, но на всякий случай прилагаю результат)
Играться с аморфиком буду уже с понедельника...
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
А вы не забыли проверить наличие файла Explorer.exe в папке C:\Winnt ?Сообщение от mrsbc
I am not young enough to know everything...
Да нет, не забыл...
Загрузка с полиморфиком ничего не изменила...
Последний раз редактировалось mrsbc; 21.12.2009 в 13:31.
Идёт совещание?
Да. Советуюсь с коллегами, простите что не быстро всё.
Т.е подключить ее реестр, посмотреть список процессов по сети можно.
есть ли возможность удаленного входа на эту машину?
The worst foe lies within the self...
Реестр просматриваю с LiveCD, процессы просмотреть не могу (точнее не знаю чем можно)
Удалённо вхожу радмином, но полное управление (монитор, клава, мыша) дают тот же результат (пустой екран) посилка стр+алт+дел не дает результата, могу просматривать файлы.
Добавлено через 1 минутуКод:tasklist.exe /S:_имя_машины_
В тот момент он не "живой"
А вот при работающей машине может быть и что-то интересное.
Собственно проблема где-то около winlogon.exe (полезно посмотреть запущен ли он)
Добавлено через 2 минуты
Еще очень полезно присоединиться оснасткой "Просмотр событий" и почитать журналы системы.
Там как раз могут быть указания на сбоящие модуля
Последний раз редактировалось Kuzz; 22.12.2009 в 16:45. Причина: Добавлено
The worst foe lies within the self...
Имя образа PID Имя сессии № сеанса Память
========================= ====== ================ ======== ============
System Idle Process 0 0 16 КБ
System 8 0 212 КБ
smss.exe 224 0 396 КБ
csrss.exe 248 0 1*908 КБ
winlogon.exe 244 0 2*452 КБ
services.exe 300 0 6*616 КБ
lsass.exe 312 0 6*604 КБ
svchost.exe 492 0 3*820 КБ
SPOOLSV.EXE 520 0 5*620 КБ
DefWatch.exe 568 0 1*060 КБ
tcpsvcs.exe 612 0 5*816 КБ
svchost.exe 628 0 11*516 КБ
hidserv.exe 644 0 1*424 КБ
llssrv.exe 680 0 1*764 КБ
msftesql.exe 748 0 3*196 КБ
sqlservr.exe 820 0 49*500 КБ
r_server.exe 1044 0 2*628 КБ
mstask.exe 1060 0 2*908 КБ
ScktSrvr.exe 1116 0 2*772 КБ
sqlbrowser.exe 1172 0 1*700 КБ
clntpp.exe 1228 0 5*352 КБ
termsrv.exe 1264 0 2*168 КБ
UPSMON_Service. 1268 0 1*852 КБ
winmgmt.exe 1280 0 4*544 КБ
wins.exe 1336 0 4*188 КБ
dfssvc.exe 1364 0 1*436 КБ
dns.exe 1384 0 2*960 КБ
inetinfo.exe 1404 0 10*152 КБ
SQLAGENT90.EXE 600 0 2*952 КБ
svchost.exe 1848 0 3*308 КБ
dllhost.exe 1940 0 4*924 КБ
По поводу "Просмотр событий" скачал Adminpak для Windows Server, но к сожелению "не найден сетевой путь", хотя к службам подключилось...
Последний раз редактировалось mrsbc; 22.12.2009 в 16:56.
Так.
Делаем такие правки в реестре:
Через 5 минут бездействия система попытается запустить "скринсейвер" - cmd.exeКод:Windows Registry Editor Version 5.00 [HKEY_USERS\.DEFAULT\Control Panel\Desktop] "ScreenSaveActive"="1" "ScreenSaverIsSecure"="1" "SCRNSAVE.EXE"="cmd.exe" "ScreenSaveTimeOut"="300"
Надеюсь, что дальше делать если это сработает понятно.
The worst foe lies within the self...
никакой реакции
А Вы перед этим консоль системы "потревожили" (чтоб таймаут запуска скринсейвера заново пошел)?
The worst foe lies within the self...
я перегрузил машину (точнее вкл/выкл)
А файл msgina.dll присутствует в системе/нормальный?
Добавлено через 3 минуты
Если есть доступ к управлению сервисами, то можно запустить телнет и собрать лог AVZ:
scan.scr:Код:avz.exe Script=scan.scrКод:begin ExecuteStdScr(2); end.
Последний раз редактировалось Kuzz; 23.12.2009 в 18:38. Причина: Добавлено
The worst foe lies within the self...
Файл присутствует, по дате, вроде нормальный...
Запустил avz через телнет, но что-то он быстро сработал...
syscheck прилагается...
Теперь в тот же файл scan.scr вставляем:
Запускаем через телнет как предыдущий разКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\DOCUME~1\2EDF~1.KRU\LOCALS~1\Temp\trqvt.dat',''); DeleteFile('C:\DOCUME~1\2EDF~1.KRU\LOCALS~1\Temp\trqvt.dat'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9'); BC_ImportDeletedList; ExecuteSysClean; SetAVZPMStatus(True); BC_Activate; RebootWindows(true); end.
После выполнения скрипта компьютер перезагрузится.
The worst foe lies within the self...
что-то оно не перегружается...
может вручную удалить trqvt.dat и внести изменения в реестре? Хотя 'C:\DOCUME~1\2EDF~1.KRU\LOCALS~1\Temp\trqvt.dat' - я такого почему-то не вижу... вижу только C:\DOCUME~1\2EDF~1.LOG
И к машине не могу подсоеденится радмином в режиме телнета...
Добавлено через 2 часа 5 минут
В общем, может зря, а может... прошло ведь 2 часа... сделал ему вкл/выкл и...пошли изменения - при входе запустилось стрл+алт+дел для выбора пользовтеля, я вошёл, на екране окно avz. Рабочего стола всё-так же нету.
Зато система на клавиши реагирует.
Мои дальнейшие действия? Стандартно, как в правилах?
Последний раз редактировалось mrsbc; 24.12.2009 в 16:13. Причина: Добавлено
Да, дальше по правилам.
Мы же им подменяли userinit.exe ))))
The worst foe lies within the self...
было такое дело... там столько наделано, что я уже и забыл
вернуть назад? или пока оставить?
Лучше вернуть оригинальный userinit.exe
А после этого делать логи
The worst foe lies within the self...
Уважаемый(ая) mrsbc, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
