Показано с 1 по 11 из 11.

Что-то непонятное твориться с системой. Друзья говорят – RootKit, хотя я не совсем со (заявка № 7934)

  1. #1
    Junior Member Репутация
    Регистрация
    22.02.2006
    Сообщений
    29
    Вес репутации
    44

    Что-то непонятное твориться с системой. Друзья говорят – RootKit, хотя я не совсем со

    Что-то непонятное твориться с системой. Друзья говорят – RootKit, хотя я не совсем согласен. Помогите, пожалуйста.

    Введение в суть дела...

    1) Я пишу проги на Делфе (по базам данных) и в последнее время при компиляции проекта Делфи часто выдает сообщение о том, что некоторые юниты повреждены. Я считаю это странным, учитывая то, что еще минуту назад все нормально компилилось.
    Тем более за несколько лет работы я никогда ничего подобного н видел…Приходится восстанавливать копию (если есть) или переписывать процедуры заново... Переустановка Делфи результатов не дала.
    2) На днях при загрузке Винды окно ЛогОна стало неактивным, то есть я не мог ввести пароль для входа. Спасся только "запуском последней удачной конфигурации"...
    3) Не хочу показаться параноиком, но у меня вообще такое ощущение, что мою машину частично используют по сети (я подключен к домашним сетям, сотни юзверей, StrongDC++ и все такое) без моего согласия. Проще говоря - хакнули и удаленно управляют. В принципе мои догадки не безосновны… И вот почему: - сегодня поставил KAV 6.0 и Anti-Hacker 1.9.37 потому что ранее стоявший Zone Alarm v5.5.062 просто перестал корректно работать. Посбрасывал все логи атак. Прописал в Trust непонятные IPшники и не давал их снести. Вешал систему при попытке установить, что-либо с виртуала (Daemon 4.06HE). Так же Avast 4.7 и любимый SpyRemover 2.54 без особых причин стали отнимать по 99% проц. времени. Вот только NOD 32 вел себя тихо и спокойно. Пришлось всех "уволить" и поставить KAV 6.0.0.300
    4) После установки KAV 6.0 (базы новейшие) я 4 часа проверял систему с наивысшим уровнем безопасности и пометкой на "проверять ВСЕ файлы". Нашлось пару Ад-Аваре-рекламок да безобидных троянов и те, исключительно, в архивах. Посносил все не знаю как после этого будет с Делфой (нужно время до первого глюка) но подозрение на использование моей машины не пропали, можете назвать это шестым чувством, но не нравится мне ее поведение , что делать – не знаю.
    Теперь вся надежда на Вас. Либо решать проблему. Либо грохать Винду - но ОЧЕНЬ!!! не хочется. Либо.......... - об этом даже думать страшно
    Надеюсь на Вашу помощь, ведь однажды Вы уже спасли меня от огромных траблов с RDRIV.SYS и прочьей дрянью.
    Зарание благодарен, Алексей - aka <Alex>
    Последний раз редактировалось alex_prog; 13.02.2007 в 12:23.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2269
    Раз не в первый раз, то Вы должны быть в курсе - все советы после выполнения правил

  4. #3
    Junior Member Репутация
    Регистрация
    22.02.2006
    Сообщений
    29
    Вес репутации
    44

    Свосем забыл о ЛОГах... Высылаю...

    Свосем забыл о ЛОГах... Высылаю...
    Вложения Вложения

  5. #4
    Junior Member Репутация
    Регистрация
    22.02.2006
    Сообщений
    29
    Вес репутации
    44
    To anton_dr: Да, извините, я читал правила. Просто, чисто машинально забыл вложить логи...
    Последний раз редактировалось alex_prog; 13.02.2007 в 12:20.

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от alex_prog Посмотреть сообщение
    To anton_dr: Да, извините, я читал правила. Просто, чисто машинально забыл вложить логи...
    Выполните скрипт (Файл/Выполнить скрипт AVZ):
    Код:
    begin
     QuarantineFile('WgaLogon.dll','');
     QuarantineFile('Klpid.sys','');
     QuarantineFile('nvatabus.sys','');
     QuarantineFile('C:\DOS\DISCETS\bp\bppro\BIN\L17.EXE','');
     QuarantineFile('\SystemRoot\System32\Drivers\a8mbxjen.SYS','');
     QuarantineFile('\??\C:\WINDOWS\system32\drivers\EIO.sys','');
     QuarantineFile('C:\WINDOWS\system32\WgaLogon.dll','');
    end.
    и пришлите согласно правилам то, что попадет в карантин. Но большинство указанных в скрипте файлов видимо безопасны, это по сути для контроля.
    А откуда подозрение на руткит ? Я бы предложил:
    1. Отключиться на время от сети и понаблюдать за работой ПК - исчезнут аномалии или нет
    2. Провести полную проверку HDD на наличие физических и логических ошибок.
    3. Поменять все пароли и провести инвентаризацию учетных записей пользователей - нет ли лишних.

  7. #6
    Junior Member Репутация
    Регистрация
    22.02.2006
    Сообщений
    29
    Вес репутации
    44
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Выполните скрипт и пришлите согласно правилам то, что попадет в карантин. Но большинство указанных в скрипте файлов видимо безопасны, это по сути для контроля.
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение

    Отправил, судя по скрипту в папку карантина должно было попасть всего несколько файлов, но я нашел их более 2-х десятков. Поскольку все они за сегодняшний день, то я без лишних раздумий выслал их все. Если что не так – переделаю.

    Перед продолжением темы вопрос специалисту: какой из SpyAdAware-убийц можно поставить в помощь KAV 6.0? Раньше стоял SpyRemover 2.54 простой, полезный, не требовательный. Каждый вечер после проверки ловил куча мелких приколов в кукисах, а иногда и ключи в реестре. То, что ловил это хорошо. Но то, что он их пропускал – очень плохо. Ведь как говорится: «Чисто не там где убирают, а там где не сорят»…

    А откуда подозрение на руткит ?

    Тема письма: "Что-то непонятное твориться с системой. Друзья говорят – RootKit, хотя я не совсем согласен" - это не чисто мое подозрение Это, так сказать, "звонок другу", или "помощь зала"

    Я бы предложил:
    1. Отключиться на время от сети и понаблюдать за работой ПК - исчезнут аномалии или нет

    Это немного проблематично, потому как без сети нет жизненно необходимого И-НЕТа. Но раз другого выхода нет - буду что-то решать...

    2. Провести полную проверку HDD на наличие физических и логических ошибок.


    Файловая система у меня (C: FAT32, D: NTFS, E: NTFS)
    Проверилспомощью Ontrack EasyRecovery Pro v 6.03
    SMARTTests:
    Физических повреждений не найдено. Но вот только мне не понравилось то как СмартТест определил размер моего винта Capacity: 128.00 GB – хотя на самом деле у меня 250.00 GB…

    Partition Test:
    Partition test for drive C passed with no errors, no on-disk structure errors have been found
    Partition test for drive D failed, critical system structure errors have been found
    Partition test for drive E failed, critical system structure errors have been found
    Run the Full Diagnostic Test, from the DriveTests tool, on the drive containing the partition to verify if your drive has any physical problems

    А вот результаты ФуллДиагностик оказались самыми приятными
    Full Diagnostic Test:
    Testing drive WDC WD2500JS-00NCB1...
    Capacity: 232.88 GB
    Full Diagnostic Test: Passed.
    Full Diagnostic Test for drive WDC WD2500JS-00NCB1 passed, no physical drive problems have been found.

    К тому же утилитка HDDLifeрадостно кричит о том, что винт у меня в идеальном состоянии…

    Как бы там ни было, сыпется винт или нет, диск (С:\) прошел все тесты, а именно на нем установлена ВыньДОС и Делфи…


    3. Поменять все пароли и провести инвентаризацию учетных записей пользователей - нет ли лишних.


    Пароли сменю в ближайшем будущем, может даже и сегодня, просто с этим возникают кое-какие неудобства…
    А вот, что касается учетных записей. Раньше как-то не обращал внимания, но в системе на правах «ПОЛЬЗОВАТЕЛЬ» прописался:
    Имя:ASPNET
    Полноеимя: ASP.NET Machine Account
    Описание: Account used for running the ASP.NET worker process (aspnet_wp.exe)
    Это нормально или же просто кто-то/что-то маскируется?

    Ну и в конце всей этой тирады хотелось бы поблагодарить Зайцева Олега за полезную утилитку APS за помощь юзверям типа меня и отдельно за прекрасную программу-зверолов: AVZ которой я пользуюсь уже около года, и которая несколько раз серьезно мне помогала даже в тех ситуациях, где оказывались бессильными более раскрученные марки «звероловов».
    Большое Вам человеческое спасибо!!!

  8. #7
    Geser
    Guest
    KasperskyLab:
    Здравствуйте.
    В присланном Вами файле не найдено ничего вредоносного.
    Скорее всего проблема с винчестером (диск посыпался).
    Если проблема серьёзная можно воспользоватся утилитой filemon -- в
    настройках фильтра указать файл который часто портится и посмотреть
    какой программой к нему проявляется доступ на write.
    ---------
    С уважением, Кирилл Ерахтин
    Вирусный аналитик
    ЗАО "Лаборатория Касперского"

  9. #8
    Junior Member Репутация
    Регистрация
    22.02.2006
    Сообщений
    29
    Вес репутации
    44

    Приплыли :)

    Спасибо большое Geser'у, Кирилу Ерахтину, Олегу Зайцеву и anton_dr - лично, а так же всем, кто в той или иной мере причастен к проекту Virus.info - так держать

    З.Ы. Понимаю, что, возможно, уже надоел . Но все же хотелось бы услышать ответ на вопрос по-поводу:

    1) Перед продолжением темы вопрос специалисту: какой из SpyAdAware-убийц можно поставить в помощь KAV 6.0? Раньше стоял SpyRemover 2.54 простой, полезный, не требовательный. Каждый вечер после проверки ловил куча мелких приколов в кукисах, а иногда и ключи в реестре. То, что ловил это хорошо. Но то, что он их пропускал – очень плохо. Ведь как говорится: «Чисто не там где убирают, а там где не сорят»…

    2) А вот, что касается учетных записей. Раньше как-то не обращал внимания, но в системе на правах «ПОЛЬЗОВАТЕЛЬ» прописался:
    Имя:ASPNET
    Полноеимя: ASP.NET Machine Account
    Описание: Account used for running the ASP.NET worker process (aspnet_wp.exe)
    Это нормально или же просто кто-то/что-то маскируется?

    Просто для себя. Зарание благодарен Алексей - aka <Alex>

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2269
    1) KAV - достаточно.
    2)Такое часто встречается. Ставится со многим, например, с драйверами на видеокарту АТИ.

  11. #10
    Junior Member Репутация
    Регистрация
    22.02.2006
    Сообщений
    29
    Вес репутации
    44

    to anton_dr

    Спасибо anton_dr, всего наилучшего

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 30
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) alex_prog, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. системой овладел hacktool.rootkit
      От blk в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 21.04.2009, 16:40
    2. Что то не понятное твориться
      От kla228 в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 25.03.2009, 15:13
    3. Не пойму что твориться!
      От Gizzza в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 08.02.2009, 14:35
    4. Что-не то твориться с компом :(
      От script88 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 14.09.2008, 11:39
    5. чтото непонятное творится с системой
      От bezobrazie в разделе Помогите!
      Ответов: 24
      Последнее сообщение: 26.07.2008, 20:25

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00851 seconds with 17 queries