Показано с 1 по 13 из 13.

Подозрение на заражение, возможно руткит (заявка № 47893)

  1. #1
    Junior Member Репутация
    Регистрация
    14.06.2009
    Сообщений
    6
    Вес репутации
    55

    Thumbs up Подозрение на заражение, возможно руткит

    Здравствуйте,
    Возникла проблема. На компьютере установлен KIS 2009, но был момент, когда один пользователь отключил KIS, а я полез без него в интернет.
    С тех пор складывается ощущение, что KIS в трее висит дляч галочки.
    Показателем для меня служит отсутсвие имён пользователей в диспетчере задач. Проверял 2 раза Malwarebytes' Anti-Malware, вирусы находил (логи включил). На 3ий раз и это не помогло
    Так же с помощью AVZ поотключал - как минимум один вирус. Несколько подозрительных файлов.
    Так же с помощью OSAM обнаружил руткит - отключил.
    Так же отметил проникновение на ВебМани с Московского IP, хотя я живу в Краснодаре. Благо, ничего не украли, включил блокировку по IP.

    Надеюсь на вашу помощь.
    С уважением, Валерий.
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 14.06.2009 в 19:40. Причина: Не постите и не прикрепляйте никакие другие файлы или протоколы, кроме логов HijackThis и AVZ, если Вас об этом не просили.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    В логах ничего подозрительного.
    - Установите IE 8
    - Обновите JavaRE
    - Обновите Acrobat Reader

  4. #3
    Junior Member Репутация
    Регистрация
    14.06.2009
    Сообщений
    6
    Вес репутации
    55
    А регулярное появление вирусов на компьютере с учётом включённого KIS? помоему - это не норма.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Цитата Сообщение от RED Посмотреть сообщение
    отсутсвие имён пользователей в диспетчере задач.
    Терминальная служба, наверное, выключена.

    Цитата Сообщение от RED Посмотреть сообщение
    Проверял 2 раза Malwarebytes' Anti-Malware, вирусы находил (логи включил).
    Так же с помощью AVZ поотключал - как минимум один вирус. Несколько подозрительных файлов.
    Так же с помощью OSAM обнаружил руткит - отключил.
    Адреса, пароли, явки? В смысле - что и в каких местах?

    Обновления на систему все стоят или ограничились SP3?

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от RED Посмотреть сообщение
    А регулярное появление вирусов на компьютере с учётом включённого KIS?
    А я же не сказал, что у Вас все нормально.
    В логах ничего подозрительного.
    - вот что я сказал...

  7. #6
    Junior Member Репутация
    Регистрация
    14.06.2009
    Сообщений
    6
    Вес репутации
    55
    Извините, Rene-gad, видимо не так понял.

    Обновления возможно не все, т.к. инет слабый - 128 кбит/c
    Но стараюсь выкачивать по мере возможности.

    По поводу вируса - висел в автозапуске некий sdra64.exe - вырубил и удалил.
    Похоже, выключение этого из автозапуска было излишним, извините, плохо разбираюсь.:
    shell32.dll
    ShellServiceObjectDelayLoad - ( CDBurn, PostBootReminder, SysTray, WPDShServiceObj)

    Вобщем, вложил отчёт. Там всё указано - что отключил, а что работает.

    По поводу руткита, обнаруженного OSAM:
    (Failed) HKLM\SYSTEM\CurrentControlSet\Services\aha4qapc aha4qapc
    C:\WINDOWS\system32\drivers\aha4qapc.sys

    К слову сказать, OSAM сейчвс показывает новый руткит:
    an6ynb5k Microsoft Corporation C:\WINDOWS\system32\drivers\an6ynb5k.sys

    Ветка реестра руткита:
    Код:
    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\an6ynb5k]
    "Start"=dword:00000003
    "Type"=dword:00000001
    "Group"="SCSI miniport"
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\an6ynb5k\Enum]
    "0"="ACPI\\PNPA000\\4&5d18f2df&0"
    "Count"=dword:00000001
    "NextInstance"=dword:00000001
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\an6ynb5k\Parameters]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\an6ynb5k\Parameters\PnpInterface]
    "0"=dword:00000001
    По факту - в папке C:\WINDOWS\system32\drivers\ этого файла нет.
    Последний раз редактировалось RED; 14.06.2009 в 21:11. Причина: Добавил лог OSAM

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от RED Посмотреть сообщение
    Обновления возможно не все, т.к. инет слабый - 128 кбит/c
    Сочувствую, но лучше сэкономить на игрушка, чем на безопасности.
    По поводу руткита, обнаруженного OSAM:
    C:\WINDOWS\system32\drivers\aha4qapc.sys
    Это драйвер АВЗ, посему его детект в порядке вещей.

    PS: Незапрошенные логи удалите, их прикрепление запрещено правилами.

  9. #8
    Junior Member Репутация
    Регистрация
    14.06.2009
    Сообщений
    6
    Вес репутации
    55
    Что же можете посоветовать?

    Вот список обновлений последних дней:

    Название : KB961501
    Описание : Обновление безопасности для Windows XP (KB961501)
    Установил : SYSTEM
    Дата установки : 10.06.2009
    ==================================================
    Название : KB968537
    Описание : Обновление безопасности для Windows XP (KB968537)
    Установил : SYSTEM
    Дата установки : 10.06.2009
    ==================================================
    Название : KB969897-IE7
    Описание : Обновление безопасности для Windows Internet Explorer 7 (KB969897)
    Установил : SYSTEM
    Дата установки : 10.06.2009
    ==================================================
    Название : KB969898
    Описание : Обновление безопасности для Windows XP (KB96989
    Установил : SYSTEM
    Дата установки : 10.06.2009
    ==================================================
    Название : KB970238
    Описание : Обновление безопасности для Windows XP (KB97023
    Установил : SYSTEM
    Дата установки : 10.06.2009
    ==================================================
    Название : KB938464-v2
    Описание : Обновление безопасности для Windows XP (KB938464-v2)
    Установил : SYSTEM
    Дата установки : 01.06.2009
    ==================================================
    Название : KB950974
    Описание : Обновление безопасности для Windows XP (KB950974)
    Установил : SYSTEM
    Дата установки : 01.06.2009
    ==================================================
    Название : KB951376-v2
    Описание : Обновление безопасности для Windows XP (KB951376-v2)
    Установил : SYSTEM
    Дата установки : 01.06.2009
    ==================================================
    Название : KB951978
    Описание : Обновление для Windows XP (KB95197
    Установил : SYSTEM
    Дата установки : 01.06.2009
    ==================================================
    Название : KB952954
    Описание : Обновление безопасности для Windows XP (KB952954)
    Установил : SYSTEM
    Дата установки : 01.06.2009
    ==================================================
    Название : KB954550-v5
    Описание : Hotfix for Windows XP (KB954550-v5)
    Установил : Alien
    Дата установки : 01.06.2009
    ==================================================
    Название : KB955839
    Описание : Обновление для Windows XP (KB955839)
    Установил : SYSTEM
    Дата установки : 01.06.2009
    ==================================================
    Название : KB956572
    Описание : Обновление безопасности для Windows XP (KB956572)
    Установил : SYSTEM
    Дата установки : 01.06.2009
    ==================================================
    Название : KB959426
    Описание : Обновление безопасности для Windows XP (KB959426)
    Установил : SYSTEM
    Дата установки : 01.06.2009
    ==================================================
    Название : KB960225
    Описание : Обновление безопасности для Windows XP (KB960225)
    Установил : SYSTEM
    Дата установки : 01.06.2009
    ==================================================
    Название : KB961118
    Описание : Исправление для Windows XP (KB96111
    Установил : SYSTEM
    Дата установки : 01.06.2009
    ==================================================
    Название : KB961373
    Описание : Обновление безопасности для Windows XP (KB961373)
    Установил : SYSTEM
    Дата установки : 01.06.2009
    ==================================================
    Название : KB963027-IE7
    Описание : Обновление безопасности для Windows Internet Explorer 7 (KB963027)
    Установил : SYSTEM
    Дата установки : 01.06.2009
    ==================================================
    Название : XPSEPSCLP
    Описание :
    Установил : Alien
    Дата установки : 01.06.2009

    Добавлено через 31 минуту

    Что-то странное творится, повключал всё отключенное из автозапуска, перезагрузился и из оборудования вылетели оба сидирома - реальный и виртуальный.
    Пишет:Драйвер этого устройства успешно загружен, но само устройство не обнаружено. (Код 41)

    При этом появилось какое-то новое устройство, подписанное, как - неизвестное устройство.

    Может ли это быть связано с вирусом?
    Последний раз редактировалось RED; 14.06.2009 в 21:56. Причина: Добавлено

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от RED Посмотреть сообщение
    Что же можете посоветовать?
    Вот список обновлений последних дней
    Могу посоветовать: www.windowsupdate.com, разрешить установку Active X + нажать Быстрый поиск, все найденные в автоматическом поиске обновления ОБЯЗАТЕЛЬНО установить.
    Цитата Сообщение от RED Посмотреть сообщение
    Что-то странное творится, повключал всё отключенное из автозапуска, перезагрузился и из оборудования вылетели оба сидирома - реальный и виртуальный.
    Реальный можно попробовать удалить в диспетчере оборудования, виртуальный - переустановить.
    Цитата Сообщение от RED Посмотреть сообщение
    При этом появилось какое-то новое устройство, подписанное, как - неизвестное устройство.
    Его точно удалить
    Цитата Сообщение от RED Посмотреть сообщение
    Может ли это быть связано с вирусом?
    Исключить это нельзя.

  11. #10
    Junior Member Репутация
    Регистрация
    14.06.2009
    Сообщений
    6
    Вес репутации
    55
    Из высокоприоритетных только:
    Пакет обновления 1 (SP1) для среды Microsoft .NET Framework 3.5 и обновление для семейства .NET Framework 3.5 (версии 2.0—3.5) для систем на базе процессоров x86 (KB951847)

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от RED Посмотреть сообщение
    Пакет обновления 1 (SP1) для среды Microsoft .NET Framework 3.5 и обновление для семейства .NET Framework 3.5 (версии 2.0—3.5) для систем на базе процессоров x86 (KB951847)
    Эти обновления не обязательны. А остальные, значит, все стоят? Чудненько...

  13. #12
    Junior Member Репутация
    Регистрация
    14.06.2009
    Сообщений
    6
    Вес репутации
    55
    Видимо проблема решилась... либо отсутствовала вовсе... нашёл в KIS хорошую функцию - восстановление после заражения. Надеюсь, что всё в порядке. А с сидиромом проблема - в реестре что-то вылетело. Исправил. Спасибо за внимание

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от RED Посмотреть сообщение
    Видимо проблема решилась... либо отсутствовала вовсе...
    Угу, скорее всего W32/PEBCAC.Worm посетил...
    Отберите у себя, любимого, права админа. Тогда перед каждым действием придется подумать А стоит ли?

  • Уважаемый(ая) RED, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Возможно заражение...
      От zonderz в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.10.2010, 19:50
    2. Возможно заражение Конфикером
      От eppa в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 09.06.2009, 19:18
    3. Возможно, заражение?
      От 4r0 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 24.05.2009, 14:14
    4. Возможно ли заражение в таком варианте
      От Sayn в разделе Общая сетевая безопасность
      Ответов: 3
      Последнее сообщение: 18.01.2008, 16:55
    5. Помогите ! возможно заражение.
      От VRV в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 18.08.2007, 10:35

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00926 seconds with 20 queries