Windows 2003 sp 1 слетел DNS и AD. Стоял NAV (обновление на автомате) - после прогона AD-Aware (deep scan) нашел в temp'e KillAV - убил. После восстановления AD через некоторое время изменились цвета, размер шрифтов и окон с настройками. Прогон Dr.Web, AVAST, NOD32 не дали результатов, пришлость востановить стистему. После установки обновлений и перезагрузки (через сутки), ситуация с цветами и шрифтами повторилась. Причем цвета фона менялись с периодичностью в несколько минут. AVZ в менеджере внедренных программ показала 50% вероятность торян или кейлоггер на целую кучу файлов (не сохранил, по памяти это winspool.drv, rsaenh.dll, ntdsapi.dll - точно, остальные не помню). Включил AVZGuard, AVZPM, - перезагрузился - цвета меняться перестали, зато слетели журналы событий application и system. Логи я прикрепил, вроде-бы все чисто, но есть подозрение, что что-то в системе сидит. Заранее спасибо за консультацию, WBRGS, Yuri aka ViVeda.
PS. Никто не знает как сбросить настройки (цвета, размеры шрифтов и окон) в значения по умолчанию - а то на экране кнопок настройки (рабочий стол) не видно
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Нет, все логи делаю на сервере. Сегодня опять поменялись цвета. Менеджер внедренных DLL выдал новые подозрения (см. вложения), правда не 50% как было раньше, а 0,4%-0,7%. Вчера эти файлы НЕ проходили контроль подлинности Microsoft - сегодня проходят.
Где еще ковырять?
После очередной проверки обнаружил \SystemRoot\System32\Drivers\dump_atapi.sys, \SystemRoot\System32\Drivers\dump_WMILIB.SYS
- у меня этих файлов на диске НЕТ!
Лог прилагаю.
Зашел на сервер под user'om - шрифты нормальные, но через некоторое время сбились. Цвета так-же прыгают
После очередной проверки обнаружил \SystemRoot\System32\Drivers\dump_atapi.sys, \SystemRoot\System32\Drivers\dump_WMILIB.SYS
- у меня этих файлов на диске НЕТ!
Это так выглядят в памяти atapi.sys и WMILIB.SYS. Я тоже через это проходил.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: