Подозрение на наличие в системе руткита, трояна и кейлоггера.
Дня два назад заметил в системе странные вещи, которые сначала списывал на глюки железа или венды:
1) Периодически на короткий промежуток времени переставали работать разные комбинации клавиш с клавишей "shift", например "shift+y", "shift+/", "ctrl+shift", возможно и другие комбинации клавишь перестают работать, но я не помню, чтобы такое заметил.
2) При выделении, копировании, переименовании файлов и обычных окнах вендозного эксплорера(explorer.exe) периодически стало вылезать окно где мне венда предлагала выбрать куда я хочу скопировать файлы, по дефолту путь обычно был то-ли "C:\Windows\System32\drivers", то-ли просто "C:\Windows\System32\".
Через некоторое время после начала глюков я запустил утилиту HiJackThis, и запустил скан, в результатах скана заметил несколько странных записей, о которых я к сожалению помню только то, что там фигурировало "[tsuninstall]", "RunOnce" и таких записей, практически идентичных было три, у одной в конце видел "SYSTEM", у другой, если не изменяет память "NETWORK", а у трей то-ли ничего не было, то-ли было имя пользователя(Administrator), кроме того в первых строчках результатов скана HTJ была вот такая строка:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 89.107.26.229:3128
насчет которой я сначала решил, что просто забыл удалить прокси сервер из его настроек.
После этого я скачал утилиту Dr.Web CureIT, перезагрузился в сэйф мод, и прогнал полную проверку системного диска, результатом стало только это:
C:\WINDOWS\system32\3913560.exe инфицирован Trojan.Popuper.6943 - удален
После завершения скана, я на всякий случай провериться ещё и Virus Removal Tool от касперского, тоже свежескачанной. Запустил проверку в максимально "параноидальном" режиме сначала с проверкой "программ и документов" по расширению и потом "прорамм и документов" по содержимому, эта утилита ничего больше не смогла найти.
После произведения вышеупомянутых действий я загрузился в обычном режиме, и на всякий случай ещё раз запустил HiJackThis, где заметил, что строка в которой говорилось о проси сервере установленном в IE вернулась обратно на своё место, ещё раз пофиксил её, но при следующем запуске HTJ через пару минут она снова была там...
Через некоторое время после загрузки проблемы с комбинациями клавиш, в которых учавствовал "shift" и окна с вопросами отом куда я хочу переместить файлы вернулись, так же был замечен ещё один глюк, при переключении в окно проигрывателя(foobar2000), через некоторое время проигрываемый трек начал с интервалом в несколько милисекунд на несколько милисекунд ставиться на паузу, в общем создавалось ощущение, что система просто начала подтормаживать...
Ну собственно через некоторое время после этого я решил обратиться сюда, ещё раз просканировался утилитой CureIt в безопасном режиме, которая уже ничего не нашла, а дальше выполнил указания по диагностике.
P.S. Надеюсь я не слишком много личшней информации изложил тут.
P.P.S. Ума не приложу откуда эта штука взялась, т.к. я не использую Internet Explorer для просмотра страниц, а пользуюсь только оперой с отключенной жавой, FF с noscript'ом, недавно так же поставил Google Chrome, Iron(броузер на движке Chronium, который используется в упомянутом Google Chrome) и Arora, которыми несколько раз просматривал разный страници. Кроме того, почти всё, что я скачиваю, я обычно проверяю на virustotal.com, изредка конечно бывает что что-то не проверяю, но обычно это что-то вроде дистрибутива опервы слитого с её сайта, хотя такие вещи тоже стараюсь проверять... Ну, кроме этого у меня ос Win2k3, в которой отключены потенциально опасные сервисы вроде удаленного реестра(ну, возможно не все), отключен NetBios, включено автоматическое обновление и вобще я стараюсь не пользоваться софтом о котором известно, что он весьма дырявый, например mIRC, Outlook и уже упомянутый Internet Explorer...
UPDATE:
Забыл добавить, файл "ah8w1pvh.SYS" и "a3srl5u5.SYS" - это судя по всему одно и то же и судя по всему он меняет своё имя после каждой перезагрузки или с интервалом в несколько минут, кроме того просто так его в папке не видно.
Последний раз редактировалось Shadow[13]; 09.06.2009 в 20:14.
Причина: Память...
[RIGHT][I]Холодильник тоже космос...[/I][/RIGHT]
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
А от чего у меня могут быть упомянутые глюки? Неужели таким странным образом у меня глючит клава?
И почему в HTJ строка "R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 89.107.26.229:3128" появляется снова через некоторое время после фикса?
Может-ли быть, что у меня где-то какой-то очень мало распространенный или очень навароченный руткит сидит?
Какие ещё действия для диагностики можно предпринять?
89.107.26.229 - вообще-то шаровый прокси .... не пользуетесь? убирается через свойства обозревателя ...
А где именно, что-то я не могу его там найти, в Tools>Internet Options>Connection>Lan Settings... его нет, а нигде в другом месте я упоминания прокси не могу найти... Кроме того, я его фиксил через HTJ, после чего я сразу произвел повторный скан и его там не было, а потом минут через 5-10, может больше, я просканил ещё раз и он там снова появился...
Ну и ещё одна маленькая странность, после safe mode у меня сбиваются некоторые настройки папок, например каждая новая папка открывается в новом окне и полный путь не показывается в её заголовке, кроме того вид папок сбивается на "Icons" с "Details"...
Сообщение от V_Bond
демон , алкоголь - вам виднее ...
У меня есть DAEMON Tools версии 4.10, но я не совсем понимаю зачем ему менять имя файла драйвера каждый раз при запуске, и почему он не показывает его в папке... Это абсолютно точно драйвер от эмулятора?
UPDATE:
Как-то это странно совсем, когда после загрузки около час всё работает нормально, а потом начинаются проблемы... ещё странно то что shift+r работает а shift+t не работает тоесть вопервых несколько разных комбинаций клавишь которые не работают с шифтом когда все остальные в это время работают... Сейчас попробую вторую клавиатуру подключить посмотрим изменится-ли что может действительно что-то странное. (Сорри что без запятых - не работает комбинация клавиш.)
UPDATE2:
С другой клавиатурой точно такие же проблемы, толкьо вот когда на одной клавиатуре эти клавиши работают - надругой они не работают.
Последний раз редактировалось Shadow[13]; 10.06.2009 в 00:36.
Значит не с клавиатурой проблемы, а с материнкой, по крайней мере с портом клавиатуры. У Вас USB или PS2-подключение? Смените на противоположность. Если проблемы уйдут - хорошо, нет - значит материнка.
Значит не с клавиатурой проблемы, а с материнкой, по крайней мере с портом клавиатуры. У Вас USB или PS2-подключение? Смените на противоположность. Если проблемы уйдут - хорошо, нет - значит материнка.
Так, как я уже говорил, проблемы проявляются далеко не всегда... Сейчас попробую воткнуть ещё PS/2 клавиатуру, а потом когда будут проблемы - проверю, заодно из под bartpe попоробую загрузиться и просканироваться...
Но всёравно, странно очень, проблемы проявляются далеко не всегда...
Вот, под BartPE заодно попробую проверить будут-ли те же проблемы, хотя их может просто не возникать часами... Кстати, я помню когда-то на сайте посвященном руткитам читал кусок статьи о руткитах, которые живут в железе, можете что-нибудь сказать по этому поводу или посоветовать что-нибудь почитать?
Ну и кроме того, можете посоветовать ещё какие-нибудь способы просканироваться? Хочется проверить все возможные варианты.
Где точно читал не помню, но название сайта было что-то вроде "rootkit.org", в статье конкретно упоминался какой-то руткит который был в биосе то-ли звуковой карты то-ли видео карты...
BartPE не грузится, доходит до загрузки десктопа, грузит свою обоину, думает некоторое время, потом меняет разрешение на более высокое и через секунду перезагружается...
А вобще, учитывая что современный софт для современных мамок умеет обновлять биос из нета и при живой системе(ну и возможности обновления биосов прочего железа), и учитывая общие тенденции увеличения количества багов и дыр мне вполне верится в то, что руткит, который может залезть в железо вполне может существовать... Другое дело, что у меня каких-то конкретных данных по этому вопросу нет...
UPDATE:
Вроде как на "rootkit.com" я эту инфу читал... Но это года 2-3 назад было примерно...
UPDATE2:
Не могли бы вы заодно помочь мне избавиться от Keyboard Maestro? А то что-то его анинсталл сносить не хочет.
Последний раз редактировалось Shadow[13]; 10.06.2009 в 16:00.
Хех.. теперь клавы перестали работать =)
"Windows cannot load the device driver for this hardware. The driver may be corrupted or missing. (Code 39)" удал./добавл. клав не помогает =)
UPDATE:
Пришлось обратно поставить KeyMaestro, в прочем саму программу я потом снес, от неё видимо опять остался только драйвер, без которого клава теперь наверное не будет работать... Возможно он просто при установке драйвера меняет какие-то настройки и если их восстановить, то клавиатуры бы нормально работали...
Последний раз редактировалось Shadow[13]; 10.06.2009 в 21:20.
Хм... Теперь начались странности с переключением раскладки на PS/2 клавиатуре.
Может ещё можно какие-нибудь исследования провести на предмет руткитов, кейлоггеров, троянов и прочего?..
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: