Замена исходником ничего не дала...
Пока присылаю ветку и результаты проверки на virustotal (всё чисто, но на всякий случай прилагаю результат)
Играться с аморфиком буду уже с понедельника...
Замена исходником ничего не дала...
Пока присылаю ветку и результаты проверки на virustotal (всё чисто, но на всякий случай прилагаю результат)
Играться с аморфиком буду уже с понедельника...
Идёт совещание?
Да. Советуюсь с коллегами, простите что не быстро всё.
Добавлено через 1 минутуКод:tasklist.exe /S:_имя_машины_
В тот момент он не "живой"
А вот при работающей машине может быть и что-то интересное.
Собственно проблема где-то около winlogon.exe (полезно посмотреть запущен ли он)
Добавлено через 2 минуты
Еще очень полезно присоединиться оснасткой "Просмотр событий" и почитать журналы системы.
Там как раз могут быть указания на сбоящие модуля
Последний раз редактировалось Kuzz; 22.12.2009 в 16:45. Причина: Добавлено
The worst foe lies within the self...
Имя образа PID Имя сессии № сеанса Память
========================= ====== ================ ======== ============
System Idle Process 0 0 16 КБ
System 8 0 212 КБ
smss.exe 224 0 396 КБ
csrss.exe 248 0 1*908 КБ
winlogon.exe 244 0 2*452 КБ
services.exe 300 0 6*616 КБ
lsass.exe 312 0 6*604 КБ
svchost.exe 492 0 3*820 КБ
SPOOLSV.EXE 520 0 5*620 КБ
DefWatch.exe 568 0 1*060 КБ
tcpsvcs.exe 612 0 5*816 КБ
svchost.exe 628 0 11*516 КБ
hidserv.exe 644 0 1*424 КБ
llssrv.exe 680 0 1*764 КБ
msftesql.exe 748 0 3*196 КБ
sqlservr.exe 820 0 49*500 КБ
r_server.exe 1044 0 2*628 КБ
mstask.exe 1060 0 2*908 КБ
ScktSrvr.exe 1116 0 2*772 КБ
sqlbrowser.exe 1172 0 1*700 КБ
clntpp.exe 1228 0 5*352 КБ
termsrv.exe 1264 0 2*168 КБ
UPSMON_Service. 1268 0 1*852 КБ
winmgmt.exe 1280 0 4*544 КБ
wins.exe 1336 0 4*188 КБ
dfssvc.exe 1364 0 1*436 КБ
dns.exe 1384 0 2*960 КБ
inetinfo.exe 1404 0 10*152 КБ
SQLAGENT90.EXE 600 0 2*952 КБ
svchost.exe 1848 0 3*308 КБ
dllhost.exe 1940 0 4*924 КБ
По поводу "Просмотр событий" скачал Adminpak для Windows Server, но к сожелению "не найден сетевой путь", хотя к службам подключилось...
Последний раз редактировалось mrsbc; 22.12.2009 в 16:56.
Так.
Делаем такие правки в реестре:
Через 5 минут бездействия система попытается запустить "скринсейвер" - cmd.exeКод:Windows Registry Editor Version 5.00 [HKEY_USERS\.DEFAULT\Control Panel\Desktop] "ScreenSaveActive"="1" "ScreenSaverIsSecure"="1" "SCRNSAVE.EXE"="cmd.exe" "ScreenSaveTimeOut"="300"
Надеюсь, что дальше делать если это сработает понятно.
The worst foe lies within the self...
никакой реакции
А Вы перед этим консоль системы "потревожили" (чтоб таймаут запуска скринсейвера заново пошел)?
The worst foe lies within the self...
я перегрузил машину (точнее вкл/выкл)
А файл msgina.dll присутствует в системе/нормальный?
Добавлено через 3 минуты
Если есть доступ к управлению сервисами, то можно запустить телнет и собрать лог AVZ:
scan.scr:Код:avz.exe Script=scan.scrКод:begin ExecuteStdScr(2); end.
Последний раз редактировалось Kuzz; 23.12.2009 в 18:38. Причина: Добавлено
The worst foe lies within the self...
Теперь в тот же файл scan.scr вставляем:
Запускаем через телнет как предыдущий разКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\DOCUME~1\2EDF~1.KRU\LOCALS~1\Temp\trqvt.dat',''); DeleteFile('C:\DOCUME~1\2EDF~1.KRU\LOCALS~1\Temp\trqvt.dat'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9'); BC_ImportDeletedList; ExecuteSysClean; SetAVZPMStatus(True); BC_Activate; RebootWindows(true); end.
После выполнения скрипта компьютер перезагрузится.
The worst foe lies within the self...
что-то оно не перегружается...
может вручную удалить trqvt.dat и внести изменения в реестре? Хотя 'C:\DOCUME~1\2EDF~1.KRU\LOCALS~1\Temp\trqvt.dat' - я такого почему-то не вижу... вижу только C:\DOCUME~1\2EDF~1.LOG
И к машине не могу подсоеденится радмином в режиме телнета...
Добавлено через 2 часа 5 минут
В общем, может зря, а может... прошло ведь 2 часа... сделал ему вкл/выкл и... пошли изменения - при входе запустилось стрл+алт+дел для выбора пользовтеля, я вошёл, на екране окно avz. Рабочего стола всё-так же нету. Зато система на клавиши реагирует.
Мои дальнейшие действия? Стандартно, как в правилах?
Последний раз редактировалось mrsbc; 24.12.2009 в 16:13. Причина: Добавлено
Лучше вернуть оригинальный userinit.exe
А после этого делать логи
The worst foe lies within the self...
Уважаемый(ая) mrsbc, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.