Hi, All кто разбирается в животных.
Есть странности ... Утверждать наверняка, что на диске кто-то живет, в данную минуту не могу...
Описание проблемы -
Излагаю по порядку...
Недели может 3, а может месяц назад, неожиданно nod32 сказал, что не может обновить базу из-за неверного логина/пароля. После ввода пароля ручками - обновил. Но автоматическое обновление с этого момента не работало - сообщение о неправильном пароле.
Несколько дней так прошло, я удивлялся, но выводов не делал, а потом вдруг наткнулся на "Диспетчер задач отключен администратором". "Ага!" - смекнул Штирлиц ... Но после включения его взад ручками, снова он не отключался.
Ни один из антивирусов нифига не нашел. Сгоряча я снес под корень несколько программок, на которые упало подозрение. (Собственно, я под виндой не работаю - это скорей испытательный полигон, потому и бардак) Но фигня с паролем для nod32 продолжалась.
Стал внимательно следить за траффиком - обнаружил некий ленивый обмен, который не смог идентифицировать (с десяток килобайт записал). Причем этот обмен возникал не сразу после загрузки, а через какое-то время, довольно значительное. Если машину загрузить и не трогать - обмена нет. Да, в какой-то момент мне "повезло" - увидел как некий прцесс с каким-то дурацким названием типа "системная задача" (?) открыл сокет на несколько секунд и опять закрыл.
Несколько дней я не мог выбрать время чтоб заняться этой проблемой, просто не грузил винду. Наконец собрался - и не обнаруживаю никаких признаков деятельности животного.... Обмена нет, nod32 обновляется... Но я ничего больше не делал. Чтоб зараза вылечилась сама - верится слабо....
Систему эту мне не жалко, все равно пора переустановить , но беспокоит меня то, что источник "странностей" так и не был обнаружен, а значит я с большой вероятностью на него нарвусь опять.
Кто-нибудь может мне чего умного посоветовать ?
Последний раз редактировалось anton_dr; 29.05.2006 в 08:02.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
в логах ничего особого не заметно. единственная просьба - прислать для изучения файлы
F:\WINDOWS\system\dri-VIRUS\ntuser.e
F:\Program Files\Eset\pr_imon.dll
Ну, видимо для начала нужно прислать файлы
F:\WINDOWS\system\dri-VIRUS\ntuser.e
F:\Program Files\Eset\pr_imon.dll (этот для коллекции безопасных)
f:\program files\mozilla.org\mozilla\mozilla.exe (налогично)
А в остальном на первый взгляд чисто. Возможно, что "зверь" самоликвидировался, такое сейчас часто бывает - набезобразит и испарится. В частности, подобные вещи Hoax программы делают и некоторые Trojan-PSW (последний пароли соберет, передаст и ему по сути делать на ПК уже нечего).
Закачал.
Что касается ntuser.e - это да, это зараза, но старая ; он назывался F:\WINDOWS\system\drivers\ntuser.exe , я не стал его убивать исключительно ради контроля антивирусов В смысле - чтоб испугаться, если они вдруг перестанут его находить
Т.е. я пару дней подожду (вдруг еще какие файлы понадобятся?), а потом переставлю все.
Пардон, а на будущее: если ли какие-нибудь программы, которые просто писали бы в лог основные файловые операции (типа создание, удаление, переименование) и операции записи в реестр, с целью последующего разбора полетов ? Можете что-нибудь посоветовать ?
Спасибо.
Последний раз редактировалось stanislav.l; 29.05.2006 в 12:39.
В смысле - чтоб испугаться, если они вдруг перестанут его находить
а они его находили?
Complete scanning result of "ntuser.e", received in VirusTotal at 05.29.2006, 11:00:53 (CET).
Antivirus Version Update Result
AntiVir 6.34.1.34 05.29.2006 BDS/Iroffer.14b2.B
Authentium 4.93.8 05.28.2006 W32/Backdoor.HVJ
Avast 4.6.695.0 05.26.2006 Win32:Trojano-1333
AVG 386 05.28.2006 BackDoor.Generic.URF
BitDefender 7.2 05.29.2006 Backdoor.Irc.Elmer.A
CAT-QuickHeal 8.00 05.27.2006 no virus found
ClamAV devel-20060426 05.29.2006 no virus found
DrWeb 4.33 05.29.2006 BackDoor.IRC.Elmer
eTrust-InoculateIT 23.72.20 05.28.2006 no virus found
eTrust-Vet 12.6.2232 05.29.2006 Win32/Identdhack.A
Ewido 3.5 05.29.2006 no virus found
Fortinet 2.77.0.0 05.29.2006 W32/CPB.A!tr.bdr
F-Prot 3.16c 05.28.2006 security risk named W32/Backdoor.HVJ
Ikarus 0.2.65.0 05.28.2006 Backdoor.Win32.Noer
Kaspersky 4.0.2.24 05.29.2006 no virus found
McAfee 4771 05.26.2006 BackDoor-CPB
Microsoft 1.1441 05.29.2006 no virus found
NOD32v2 1.1563 05.28.2006 no virus found
Norman 5.90.17 05.29.2006 no virus found
Panda 9.0.0.4 05.28.2006 Bck/Zapchast.BB
Sophos 4.05.0 05.29.2006 no virus found
Symantec 8.0 05.29.2006 no virus found
TheHacker 5.9.8.149 05.26.2006 Trojan/Small
UNA 1.83 05.26.2006 Backdoor.Noer
VBA32 3.11.0 05.28.2006 BackDoor.Noer
Закачал.
Что касается ntuser.e - это да, это зараза, но старая ; он назывался F:\WINDOWS\system\drivers\ntuser.exe , я не стал его убивать исключительно ради контроля антивирусов В смысле - чтоб испугаться, если они вдруг перестанут его находить
Т.е. я пару дней подожду (вдруг еще какие файлы понадобятся?), а потом переставлю все.
Пардон, а на будущее: если ли какие-нибудь программы, которые просто писали бы в лог основные файловые операции (типа создание, удаление, переименование) и операции записи в реестр, с целью последующего разбора полетов ? Можете что-нибудь посоветовать ?
Спасибо.
Для разбора полетов очень хорошо ревизор применить, типа Kaspersky Inspector или Adinf32. Достоинство ревизора в том, что он в памяти постоянно не висит, но в любой момент можно посмотреть, что в системе изменилось относительно некоторого опорного снимка. Это свойство особо ценно тогда, когда некий зверь угробит операционку насмерть - базы ревизора при этом могут уцелеть и помочь в разборке ...
Хм... Уел, причем качественно ! Действительно ведь - не находит ...
Но я совершенно уверен, что нашел его именно nod32 ... Блин, давно было, не помню на 100% ...
Выходит, нод "испортился" ? И я не обратил внимания ...
Ревизоры за реестром не следят, только за файлами. Adinf32 еще и руткиты, что мне попадались, видел.
filemon и regmon с sysinternals.com пишут все, но они малопригодны для постоянного контроля.
Kaspersky Inspector следит за реестром. Т.е. он конечно в первую очередь ревизор диска, но отслеживает основные ключи реестра и соответственно их модификацию. Очень удобно для слежения за ключами автозапуска (но он не все изменения в реестре фиксирует и я не помню, можно ли это настроить)
Уважаемый(ая) stanislav.l, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: