Показано с 1 по 15 из 15.

Предположительно есть троян, но ни один антивирусник не идентифицирует его (заявка № 167284)

  1. #1
    Junior Member (OID) Репутация
    Регистрация
    26.09.2014
    Сообщений
    7
    Вес репутации
    35

    Предположительно есть троян, но ни один антивирусник не идентифицирует его

    Сабж: некоторое время назад начала замечать кратковременные подвисания ноута при работе в сети (меньше 10 секунд), на интенсивное кликание мышкой или нажатие кнопок реагировал "песочными часами" и возвращением в нормальный режим работы через пару секунд. В последние дни сие безобразие идёт почти каждые 10 минут, вне зависимости от сайта, на котором сижу. Отмечу, что нагрузки на канал нет, траф не утекает. Всё выглядит так, будто комп загрузила какая-то задача, но диспетчер устройств ничего не показал. Полезла в журнал событий и к своему удивлению увидела там чуть ли не ежесекундное отключение\запуск тех или иных служб, к которым я, естественно, не обращаюсь. То есть, например, служба регистрации ошибок остановлена...и через 2 минуты запущена снова... а потом снова остановлена и снова запущена код события 7036, и вот этим событием забит весь журнал (раздел "система") с момента старта компа. Также в разделе "безопасность" по 100500 раз в день появляются такие отчёты:

    Новому сеансу входа назначены специальные привилегии.

    Субъект:
    ИД безопасности: система
    Имя учетной записи: система
    Домен учетной записи: NT AUTHORITY
    Код входа: 0x3e7

    Привилегии: SeAssignPrimaryTokenPrivilege
    SeTcbPrivilege
    SeSecurityPrivilege
    SeTakeOwnershipPrivilege
    SeLoadDriverPrivilege
    SeBackupPrivilege
    SeRestorePrivilege
    SeDebugPrivilege
    SeAuditPrivilege
    SeSystemEnvironmentPrivilege

    ________________________
    Вход с учетной записью выполнен успешно.

    Субъект:
    ИД безопасности: система
    Имя учетной записи: FOX_NOS-ПК$
    Домен учетной записи: WORKGROUP
    Код входа: 0x3e7

    Тип входа: 5

    Новый вход:
    ИД безопасности: система
    Имя учетной записи: система
    Домен учетной записи: NT AUTHORITY
    Код входа: 0x3e7
    GUID входа: {00000000-0000-0000-0000-000000000000}

    Сведения о процессе:
    Идентификатор процесса: 0x30c
    Имя процесса: C:\Windows\System32\services.exe

    Сведения о сети:
    Имя рабочей станции:
    Сетевой адрес источника: -
    Порт источника: -

    Сведения о проверке подлинности:
    Процесс входа: Advapi
    Пакет проверки подлинности: Negotiate
    Промежуточные службы: -
    Имя пакета (только NTLM): -
    Длина ключа: 0

    Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен.

    Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

    В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой).

    Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход.

    В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

    Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
    - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC.
    - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
    - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
    - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.



    Причём, момент появления этих отчётов совпадает со временем подвисания на компе. В сети ничего толкового не нашла, кроме предложения проверить память и жёсткий диск. Проверила. Всё нормально. Также обратила внимание, что Комодо частенько блокирует c:\users\user\appdata\local\mailru\mailruupdater.e xe при попытке обращения к dns\rpc, а также сом-интерфейсу, цель - svchost.exe. Комодовский killprocess утверждает, что активная папка этого файла - system32, хотя его там нет. Однако, он нашёлся в автозапуске и ещё в огромном количестве папок и веток реестра (поиск проводила в АВЗ). Поскольку я нуб в правке реестра, удалять ничего не стала, решила обратиться к Вам. При проверке АВТул и Курейт оба промолчали как партизаны, при проверке данного файла на вирустотал, несколько не очень популярных антивирусников находят троянца. АВЗ молчит, однако, запущенный с максимальными настройками нашёл вагон рукитов, которые якобы, нейтрализовал, но после перезагрузки ОСи и нового сканирования, нашёл и нейтрализовал их снова (кстати, комп после этого действительно стал работать пошустрее). Также старый добрый APS раз в сутки кричит о атаке какого-то Robo-hack по пять тысяч какому-то порту, пытающемуся залезть в локалхост.
    До кучи хочу отметить, что последние несколько месяцев на мой роутер идёт ежедневная атака с китайских IP. Пару раз, такое ощущение, что удалось вскрыть пароль, т.к. в логах были записи о изменении прошивки. После смены пароля на ещё более сложный, атака идёт почти круглосуточная. Файрвол роутера пока справляется, но фиг его знает, насколько его хватит... как сменить порты я в инструкции не нашла, гугл также не помог. Связаны ли все вышеописанные события между собой, не знаю.
    При сканировании системы, был создан автокарантин 16 мб, если надо - пришлю. Хотя непонятно, что он туда положил, ведь в логе не было упоминаний о проблемах
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Ekaterina Ikonnikova, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
    Только Comodo перед запуском отключите полностью, включая HIPS и AutoSandBox.
    WBR,
    Vadim

  5. #4
    Junior Member (OID) Репутация
    Регистрация
    26.09.2014
    Сообщений
    7
    Вес репутации
    35
    Скачала, при попытке запустить ничего не происходит.

    - - - - -Добавлено - - - - -

    Скачала, при попытке запустить ничего не происходит.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Значит, как я и предупредил, не отключили Comodo.
    WBR,
    Vadim

  7. #6
    Junior Member (OID) Репутация
    Регистрация
    26.09.2014
    Сообщений
    7
    Вес репутации
    35
    Выгрузила даже... всё равно не заработал. Запустила через startf (как было сказано тут http://av-help.narod.ru/uvs.html), запустилось, но "Запустить под LocalSystem" не дало, пункт был заблокирован, поэтому запустила под текущим пользователем с чистым рабочим столом. Результат тут ____http://rghost.ru/58210819 (форум не даёт загрузить, слишком большой файл). Ещё забавно, пришлось перезагрузится и теперь при старте стало вылетать вот такое окошко. Экзешник - скаченный для проверки АВТул чё-та я совсем ничего не понимаю, он ведь не устанавливается при проверке, почему же ОСь ругается на отсутствие файла, хотя его никто не удалял (Каспером проходилась до АВЗ)
    Изображения Изображения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Выгрузить мало, блокировка на уровне драйвера. Достаточно было по правой кнопке мыши на значке Comodo в трее отключить 3 компонента: антивирус, HIPS, AutoSandBox.

    Всё в порядке в системе. Часть проблем могут быть из-за Comodo, 7-я версия весьма глюкава.
    WBR,
    Vadim

  9. #8
    Junior Member (OID) Репутация
    Регистрация
    26.09.2014
    Сообщений
    7
    Вес репутации
    35
    Исправляюсь подумалось, ему хватит "выйти". Не думаю, что дело в Комодо, проблема появилась многим позже установки программы... И как быть с этим Мейл.ру? Я его не устанавливала, АВЗ находит около 100 ссылок по реестру и среди файлов
    С чем могут быть связаны подвисания и постоянные отключения и запуски служб?
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Comodo также отключите и выполните скрипт в uVS:
    Код:
    ;uVS v3.83.1 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v383c
    delall %SystemDrive%\USERS\FOX_NOS\APPDATA\LOCAL\MAILRU\MAILRUUPDATER.EXE
    deldir %SystemDrive%\USERS\FOX_NOS\APPDATA\LOCAL\MAILRU
    deltmp
    delnfr
    restart
    Компьютер перезагрузится.

    Сделайте лог AdwCleaner (by Xplode).
    WBR,
    Vadim

  11. #10
    Junior Member (OID) Репутация
    Регистрация
    26.09.2014
    Сообщений
    7
    Вес репутации
    35
    Сделано. До кучи прицепляю результаты поиска по реестру по запросу "mailruupdater.exe" (АВЗ), выполненный после этих 2 скриптов, обнуления журнала Комодо и удаления точек восстановления. После выполнения первого скрипта, мейлрушный файл действительно удалился почему-то в папке appdata было 2 мейловские папки, одна с логотипом "мейл спутника", вторая с вот этим загрузчиком. Она удалилась, вторая осталась. Ошибки, связанной с отсутствием чего-то там у Каспера пока не вылетело. Со службами всё та же непонятка, включаются-выключаются.
    Вложения Вложения

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.

    Всё найденное в реестре относится к правилам HIPS и файрвола Comodo. Удалите MailRuUpdater.exe из правил файрвола и списка блокированных файлов HIPS.
    WBR,
    Vadim

  13. #12
    Junior Member (OID) Репутация
    Регистрация
    26.09.2014
    Сообщений
    7
    Вес репутации
    35
    Сделано правда, после перезагрузки пропал Яндекс браузер. Сама программа осталась на диске, пропали ярлыки на рабочем столе и в меню "Пуск". Восстановила.
    Вложения Вложения

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Больше ничего плохого не видно.

    Выполните скрипт в AVZ при наличии доступа в интернет:
    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
    WBR,
    Vadim

  15. #14
    Junior Member (OID) Репутация
    Регистрация
    26.09.2014
    Сообщений
    7
    Вес репутации
    35
    Благодарю

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    WBR,
    Vadim

Похожие темы

  1. Не устанавливаеться ни один антивирусник!
    От sava2111 в разделе Помогите!
    Ответов: 14
    Последнее сообщение: 02.12.2010, 20:31
  2. Не запускается ни один антивирусник
    От men8219 в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 06.06.2009, 13:19
  3. Не запускается ни один антивирусник
    От uzayli в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 03.06.2009, 12:17
  4. Не запускается ни один антивирусник
    От uzayli в разделе Помогите!
    Ответов: 10
    Последнее сообщение: 23.05.2009, 01:39
  5. Не устанавливается ни один антивирусник!
    От vovchik47 в разделе Помогите!
    Ответов: 11
    Последнее сообщение: 04.04.2009, 20:15

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00504 seconds with 20 queries