Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Не могу поймать руткит. (заявка № 23615)

  1. #1
    Junior Member Репутация
    Регистрация
    28.05.2008
    Адрес
    Курск
    Сообщений
    31
    Вес репутации
    35

    Thumbs up Не могу поймать руткит.

    Подцепил очень интересный вирус, маскирующийся по руткит-технологии.
    КЛИНИКА: комп очень сильно тормозит при любых обращениях к файлам на жёстком диске. При этом в диспечере задач загрузка процессора 50-60%, а сумма загрузки всеми процессами (согласно списку процессов) менее 20%.В системе явно присутствует скрытый процесс!!!

    Антивирусы KAV7 и NOD32 ничего не находят при самом глубоком анализе.
    При сканировании системы утилитой AVZ, определяется перехват всех обращений к файловой системе, при этом перехватчик не определяется.(фрагмент лога:"\FileSystem\ntfs[IRP_MJ_CREATE] = 89D031F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_CLOSE] = 89D031F8 -> перехватчик не определен") всего 16 функций!
    Также перехватывается часть функций библиотек kernel32.dll и user32.dll.

    P.S.: При установке чистой винды на другой раздел и сканировании всего харда из неё антивирусы тоже ничего не находят.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от Doc18 Посмотреть сообщение
    Подцепил очень интересный вирус, маскирующийся по руткит-технологии.
    Судя по логам - никаких руткитов на машине нет. КАВ с Аутпостом вместе давно у Вас стоят? КАВ - какая сборка?

  4. #3
    Junior Member Репутация
    Регистрация
    28.05.2008
    Адрес
    Курск
    Сообщений
    31
    Вес репутации
    35
    КАВ 7.0.1.325 скачал и поставил сегодня.
    обычно использую НОД32

    А если нет руткитов, то почему в диспечере задач загрузка процессора 50-60%, а сумма загрузки всеми процессами (согласно списку процессов) менее 20% и комп очень сильно тормозит при любых обращениях к файлам на жёстком диске.

    РЕинстал винды проблему решает. У меня это уже было в феврале. Тогда искал неделю - не нашёл. Переустановил винду. Недавно началось опять. Один вирус удалил, работает быстрее, но, всё равно, не так.

    И кто перехватывает обращения к файловой системе?

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    автообновление включить не пробовали ?
    наверно с пол сотни критических обновлений не установлено ... ?

  6. #5
    Junior Member Репутация
    Регистрация
    28.05.2008
    Адрес
    Курск
    Сообщений
    31
    Вес репутации
    35
    Цитата Сообщение от V_Bond Посмотреть сообщение
    автообновление включить не пробовали ?
    наверно с пол сотни критических обновлений не установлено ... ?
    Автообновление чего? Винды? А если у меня не лицензия...

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    ну и будете переустанавливать раз в две недели ... все из-за критических уязвимостей и никакие антивирусы -фаерволы не помогут ...

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.08.2005
    Адрес
    Узбекистан, Ташкент
    Сообщений
    2,117
    Вес репутации
    1799
    Деинсталлируйте BitAccelerator через "Панель управления".

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3166
    На пиратскую Винду критические обновления ставятся при включенном автоматическом апдейте, только когда автоматически скачается 3-й сервис пак, Винда запросит активацию

  10. #9
    Junior Member Репутация
    Регистрация
    28.05.2008
    Адрес
    Курск
    Сообщений
    31
    Вес репутации
    35
    Всё сделал. Ничего не изменилось.
    Проц грузится на 50% на простое...
    Касперский регулярно вылетает с ошибками. Думаете это конфликт с аутпостом?

    За совет по обновлениям спасибо.

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    аутпост с касперским можно подружить ... на сайтай обоих программ есть рецепты
    например http://support.kaspersky.ru/faq/?qid=180593972 ..

  12. #11
    Junior Member Репутация
    Регистрация
    28.05.2008
    Адрес
    Курск
    Сообщений
    31
    Вес репутации
    35
    Снёс аутпост. После ребута тормоза остались и касперский снова вылетел. Всё-таки я думаю, что это вирус...

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    режим работы винчестера какой ?

  14. #13
    Junior Member Репутация
    Регистрация
    28.05.2008
    Адрес
    Курск
    Сообщений
    31
    Вес репутации
    35
    Цитата Сообщение от V_Bond Посмотреть сообщение
    режим работы винчестера какой ?
    Не уверен, что понял правильно...

    Обычный домашний комп, не сервер. Сегодня сижу только в инете. Никаких тяжёлых программ. При этом индикатор загрузки IDE-каналла почти всегда горит на постоянку(а должен редко подмигивать же...). Дефрагментацию делал недвно. Свободное место есть.

    P.S. С момента последнего поста каспер ещё 2 раза вылетел.

    уже 3...

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    В диспетчере устройств найдите первичный канал IDE (полагаю, диск у вас именно на первичном шлейфе), откройте свойства, там на одной из вкладок будут установки режима передачи. Интересует текущий режим.

    Загрузка процессора после сноса Outpost нормализовалась или по-прежнему 50%?

  16. #15
    Junior Member Репутация
    Регистрация
    28.05.2008
    Адрес
    Курск
    Сообщений
    31
    Вес репутации
    35
    загрузка процессора не изменилась, жесткого диска тоже.

    Режим передачи:"DMA, если доступно"
    Текущий режим: "PIO"

    Кстати... Как первичный, так и вторичный каналлы в диспечере в 2-х экземплярах.
    В одном из них отсутствует вкладка "ресурсы"... Может это не в тему... просто уже обращаю внимание на всё мне непонятное....

    КАВ регулярно вылетает, на винте уже около 2Гб дампов.
    Интересно, что как только запускаешь проверку - вылетает меньше чем через минуту...
    У меня такое было года 1.5-2 назад или с 5, или с 6 версией. Тогда был вирус.
    Помог тогда AntiVir... Может его опять попробовать...
    Последний раз редактировалось Doc18; 29.05.2008 в 01:17.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Цитата Сообщение от Doc18 Посмотреть сообщение
    Режим передачи:"DMA, если доступно"
    Текущий режим: "PIO"

    Кстати... Как первичный, так и вторичный каналлы в диспечере в 2-х экземплярах.
    В одном из них отсутствует вкладка "ресурсы"... Может это не в тему... просто уже обращаю внимание на всё мне непонятное....
    Правильно обращаете. Может, грохнуть контроллер и поставить драйвер чипсета заново?
    Только не спешите ломать, это я в порядке бреда. Подождём советов от более знающих.

  18. #17
    Junior Member Репутация
    Регистрация
    28.05.2008
    Адрес
    Курск
    Сообщений
    31
    Вес репутации
    35
    Я на то, что их по 2 обратил внимание при первой установке системы. После этого 1 раз переустанавливал (та же проблема была, что сейчас)... Так по 2 и осталось. Попробовать, конечно, можно, но думаю не в контролёре дело. Из-за него Каспер вылетать так врядли будет.

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    Цитата Сообщение от Doc18 Посмотреть сообщение
    Режим передачи:"DMA, если доступно"
    Текущий режим: "PIO"
    вот корень ваших всех проблем ....
    - удалите в диспетчере контнтроллеры ...
    - перегрузитесь и вставте диск с драйверами чипсета ...

  20. #19
    Junior Member Репутация
    Регистрация
    28.05.2008
    Адрес
    Курск
    Сообщений
    31
    Вес репутации
    35
    Спасибо! Всё работает отлично. Теперь стоит режим "Ultra DMA 2".
    Касперского на форуме Kaspersky Lab Forum мне посоветовали переустановить, т.к. он часто не дружит с Аутпостом. переустановил. пока не вылетел. точно станет ясно после окончания полного сканирования

    А из-за чего он мог измениться?

    P.S. Пока искал решение проблемы основательно почистил систему и поймал 1 трояна...

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    Цитата Сообщение от Doc18 Посмотреть сообщение
    А из-за чего он мог измениться?
    слетели или не были установлены драйвера контроллера ...

  • Уважаемый(ая) Doc18, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Руткит бродит по системе,не могу поймать.
      От samyrai в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 14.12.2010, 21:51
    2. Не могу поймать вирус
      От berz в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 13.04.2010, 10:05
    3. Не могу поймать вирус
      От banpa в разделе Помогите!
      Ответов: 39
      Последнее сообщение: 05.04.2010, 18:46
    4. Ответов: 10
      Последнее сообщение: 22.02.2009, 04:00
    5. Не могу поймать вирус
      От t04ka в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 19.07.2008, 15:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01563 seconds with 17 queries