WinXP SP1.
Симптомы.
1. Поле, где ставится галочка отключения восстановления системы, не активно, наблюдение за дисками ведется, утилита восстановлени системы при запуске говорит, надо перезагрузиться и попробовать еще раз.
2. При соединении с инетом в tcpview отображается порядка 30 строк (каждой) типа
"winlogon.exe:880 TCP vistor:4849 10.1.140.29:microsoft-ds SYN_SENT",
"[System Process]:0 TCP vistor:4750 host204-13-161-99.oversee.net:http TIME_WAIT"
и "winlogon.exe:880 TCP vistor:4858 vistor:0 LISTENING".
3. При загрузке (не каждый раз, но чаще так, нежели должным образом), при выборе учетной записи мышь двигается, но при наведении на значки пользователей и выключения они не активируются и не действуют при нажатии. С клавиатуры управлять тоже невозможно - только ресет.
Все это (1, 2, 3) начало проявляться, когда удалит Simantec AntiVir, а пока он стоял...
4. Периодически, при подключении к инету, он (SAV) сообщал, что по пути "C:\WINDOWS\system32\config\systemprofile\Loca l Settings\Temporary Internet Files\Content.IE5\XHUTURQJ\" обнаружен вирус "что-то там.Banwarum". Поставил на эту папку filemon и увидел, что файл 10.1.7[1] создает lsass.exe
"109 17:56:20 lsass.exe:964 WRITE C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\XHUTURQJ\10.1.7[1] SUCCESS Offset: 892 Length: 48" и в это же время пропадала локальная сеть.
5. Пропадала в том смысле, что пинги шли, сервисы типа http, radmin, dns работали, но не мог быть осуществлен доступ к расшаренным папкам и принтерам, т.е. smb не работал. Глянул etherealом, вроде все ответные пакеты от компа с шарой идут нормальные, а система (диалоговое окно windows с кнопной ок) при подключении сетевого диска, ранее настроенного, отвечает, что "пакет проверки подлинности не опознан".
Вот так, может быть немного сумбурно, но суть именно в этом.
Заранее спасибо.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
При выполнении этого скрипта, как и при выполнении стандартного скрипта лечения\карантина, система устойчиво (5 попыток) выпадает в синий экран stop 0xA IRQL_NOT_LESS_OR_EQUAL. Выполняя Ваш скрипт, она падает после надписи в окне лога:
"1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен"
Вот логи, которые было возможно сделать. Файлов в карантине не появилось, там только пять позиций с именами, длинами, причинами и проч. в которых стоят знаки "?". Есть карантин (высылаю), который был создан в первый раз, т.е. до выполнения скрипта, присланного Вами.
В защищенном режиме выполнил Ваш скрипт и стандартный лечения\карантина. Перезагрузился в обычном режиме, заархивировал карантин, выполнил скрипт сбора информации и hijackthis.
Все скрипты вызывают синий экран stop 0xA IRQL_NOT_LESS_OR_EQUAL на строке SearchRootkit(true, true) в обычном режиме. Есть ли смысл их выполнять в защищенном режиме?
Ваши скрипты и скрипт лечение\карантин выполнены в защищенном режиме, остальное в обычном. При загрузке в защищенном режиме (мигает курсор на черном экране) и при выходе из него (идет завершение работы...) на перезагрузку или выключение диск крутится порядка 4-5 минут, а при обычном режиме все достаточно быстро... В утилите tcpview все еще множество строк типа
"[System Process]:0 TCP vistor:3156 unknown.hostforweb.com:http TIME_WAIT "
1. -В tcpview все еще много строк типа [System Process]:0 TCP vistor:3025 unknown.hostforweb.com:http TIME_WAIT, как оказалось это Ваш хост 216.246.90.119.
2. -При выполнении скрипта лечение\карантир - синий экран...
3. -Загрузка и завершение работы в защищенном режиме происходит в течении 5-6 минут.
4. +"Галочка" в востановлении системы стала активной.
5. +Лишнего трафика нет.
Если будут какие-либо еще проявления вирусной активности, то в эту же тему писать или создавать новую?
Спасибо за помощь.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: