-
Junior Member
- Вес репутации
- 41
Вредоносное ПО
Здравствуйте! Произошло следующее. На компьютер было установлено неизвестное ПО, не проверенное заранее антивирусом (если говорить по-простому - загрузили с сайта неизвестный файл с расширением .exe) и... кликнули по нему. Точно не помню сработал ли антивирус во время клика или нет. За некотрое время работы ПК по удаленному соединению кем-то была создана еще одна учетная запись, которая появилась на экране приветствия вместе с учетной записью пользователя, работающего за этим ПК, но только один раз (была замечена), далее - как обычно (Приветствие и сразу переход на рабочий стол работающего за этим ПК пользователя). Далее я обратил внимание на трафик. Сначала достаточно большие объемы были во входящем, затем через несколько месяцев - пошел исходящий. Именно пошел! Т.е. достаточно большие объемы пошли, возникло впечатление, что машина используется как хаб, хотя в то же время Сеть используется пользователем в основном для почты (небольшая переписка, текст) и небольшого веб-серфинга.
Что еще можно сказать. Скорость подключения к Интернету стала равна нулю. Доступ в Интернет - Ethernet, через роутер. OC в момент заражения - Win XP Pro SP2.
Выполненные действия:
Естественно выполнялись различные сканирования на предмет обнаружения, а именно использовались: CureIt, AVP Tools, Kaspersky Rescue Disk (в загрузочном режиме), также использовались утилиты AVZ и Hijack This. Также сканирование проводилось в Безопасном режиме. Данные программы вредоносного ПО не обнаружили.
Далее.
HDD = 80 Гб, вначале заражения - не размечен;
Далее выполнил частичную переустановку ОС - не помогло;
Создал на диске новый раздел на 15 Гб, выполнил форматирование данного раздела в NTFS;
В новый отформатированный раздел установил заново ОС Win XP Pro SP3. Поставил драйвер видеокарты.
Затем установил Антивирус Касперского 2009.
Подключил патч-корд к роутеру, в трее значок показывает, что соединение имеется, в Свойствах соединения информация о подключении присутствует.
На данный момент:
При запуске IE страницы не загружаются. Будто отсутствует доступ.
Антивирус также не может обновиться (средняя скорость - 0 байт/сек).
Т.е. получается фактически доступ в Сеть как таковой отсутствует.
В принципе пока все. Если будут нужны доп. ответы - готов ответить.
Лог от AVZ во вложении.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Evgeny D, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Сделайте логи по правилам (раздел диагностика п.1-3)
-
-
Junior Member
- Вес репутации
- 41
-
Junior Member
- Вес репутации
- 41
-
-
-
Junior Member
- Вес репутации
- 41
-
роутер с компьютера пингуется ? Меню Пуск - выполнить - cmd - ping адрес роутера.
-
-
Junior Member
- Вес репутации
- 41
Выполнил проверку при помощи MBAM. На разделе С винчестера (65 Гб) в папке Софт имелась небольшая папка Cracks, в которой было несколько патчей для Windows, которые ранее не использовались. Также в этой папке находилось еще около десяти кейгенов для различных программ, которые также не использовались. При проверке данной папки антивирусом программ, как вредоносных детектировано не было. При проверке HDD утилитой MBAM кейгены и патчи были детектированы как различные троянские или шпионские модули. Сделав бэкап данной папки Cracks, позднее удалил ее с жесткого диска, так как она не использовалась. В отчете MBAM по поводу каких-либо подозрительных файлов записано два пункта.
Далее.
роутер с компьютера пингуется ? Меню Пуск - выполнить - cmd - ping адрес роутера.
Не пробовал. Отключал роутер от питания, затем включал - на мониторе в трее как обычно появилась пиктограмма подключения к Сети, указаны адреса.
-
Сообщение от
Evgeny D
Не пробовал.
Попробуйте.
Зловредов в логах не видно.
И еще:
В командной строке, по очереди, выполните 2 команды:
Код:
ping yandex.ru
ping 87.250.250.11 -l 15000
-
-
Junior Member
- Вес репутации
- 41
При дальнейшем осмотре также увидел папки доп. учетных записей (в разделе Documents and Settings), папки были скрытыми, также как уже упоминал выше была создана учетная запись с именем Adminestrator (заметил). Также в свойствах HDD был разрешен общий доступ, кол-во пользователей - максимально возможное. Сдается такое впечатление, что с данным ПК просто кто-то работал удаленно. По крайней мере действия, которые я описываю происходили не сразу. Если же вернуть на место измененный параметр, то как правило - либо выскакивала ошибка, либо служба удалена, также в Центре обеспечения безопасности Windows указывалось на то, что антивирус отключен. В папке Documents and Settings помимо default user и собственно пользовательских учеток и администратора с гостем есть три скрытые неудаляемые учетки, что-то типа Network Assistant.
-
В меню Пуск - выполнить - control userpasswords2 (сделайте скриншот получившегося окна) прикрепите к теме.
В меню Пуск - выполнить - regedit - ветвь реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserLis t
в меню regedit Файл - Экспорт - присвойте имя файлу (произвольно) прикрепите файл к следующему сообщению, предварительно заархивировав его в rar/zip
Сделайте логи RSIT
-
-
Junior Member
- Вес репутации
- 41
1.
В командной строке, по очереди, выполните 2 команды:
Код:
ping yandex.ru
ping 87.250.250.11 -l 15000
Выполнил. Скрины прилагаю. (2)
2.
mrak74
В меню Пуск - выполнить - control userpasswords2 (сделайте скриншот получившегося окна) прикрепите к теме.
В меню Пуск - выполнить - regedit - ветвь реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserLis t
В меню regedit Файл - Экспорт - присвойте имя файлу (произвольно) прикрепите файл к следующему сообщению, предварительно заархивировав его в rar/zip
Выполнил. Скрины прилагаю.
3. RSIT при подключенной Сети зависал (скрин 5). Пришлось завершать аварийно. При отсутствии сети - сканировал без зависаний.
-
Учетная запись Мой компьютер (1), на одном из скриншотов Вам знакома ? Посмотрите в списке учетных записей Мой компьютер (правой кнопкой мыши) - Управление - Локальные пользователи и группы - Пользователи, есть ли там такая учётная запись ? Хотя подобное возможно при попытке переименовать существующую учетную запись. Подозрительного я не обнаружил.
-
-
Junior Member
- Вес репутации
- 41
При установке в раздел с 15 Гб операционной системы Win XP Pro SP3 я создал УЗ с именем Мой компьютер (1). Так что с этой УЗ все верно. А вот на второй половине диска (оставшиеся 65 Гб) - вот там в основном. Да, и еще хочу обратить внимание на то, что, когда на той половине загружал XP Home, в обычной УЗ (показывать скрытые файлы) эти папки отображались, при смене пользователя с дальнейшем переходом в УЗ Администратора - уже не наблюдались. Т.е. в когда в Администраторе - то не видно. Вот в чем фишка. Также папки наблюдаются при загрузке дистрибутива Win PE (с CD).
В Сеть по-прежнему нет доступа.
-
В Сеть по-прежнему нет доступа.
В меню пуск - выполнить - cmd -
Код:
ipconfig /all > C:\1.txt
полученный файл 1.txt из корня диска С приложите к следующему сообщению.
-
-
Провайдеру скажите, что у Вас потери пакетов.
-
-
Junior Member
- Вес репутации
- 41
Посмотрел еще раз, проверил - проблема подключения к Сети оказалась на аппаратном уровне. Исправил - доступ в Сеть есть.
По поводу "невидимых папок" - выполню завтра. Также как писал выше - видны при загрузке с CD (Win Pe, uVS), стандартными средствами Windows не определяются.
Вот еще. Посмотрите - http://narod.ru/disk/65277895001.d62...D1%80.rar.html
-
Junior Member
- Вес репутации
- 41
Посмотрел еще раз, проверил - неисправность подключения к Сети возникла на аппаратном уровне. Устранил. Доступ в Сеть есть.
По поводу "невидимых папок" - еще раз посмотрю завтра. Как и писал выше, опр-ся в режиме загрузки с CD (Win Pe, uVS). Стандартными средствами Windows не определяется.
Вот еще - http://narod.ru/disk/65277895001.d62...D1%80.rar.html
-
Junior Member
- Вес репутации
- 41
По поводу "невидимых папок" - еще раз посмотрю завтра.
Прилагаю скрин. Было несколько учетных записей типа NetworkService.Authority.
- - - Добавлено - - -
Также наблюдались отключения антивируса и брандмауэра (стандартный Win).