Что-то непонятное твориться с системой. Друзья говорят – RootKit, хотя я не совсем со
Что-то непонятное твориться с системой. Друзья говорят – RootKit, хотя я не совсем согласен. Помогите, пожалуйста.
Введение в суть дела...
1) Я пишу проги на Делфе (по базам данных) и в последнее время при компиляции проекта Делфи часто выдает сообщение о том, что некоторые юниты повреждены. Я считаю это странным, учитывая то, что еще минуту назад все нормально компилилось. Тем более за несколько лет работы я никогда ничего подобного н видел…Приходится восстанавливать копию (если есть) или переписывать процедуры заново... Переустановка Делфи результатов не дала. 2) На днях при загрузке Винды окно ЛогОна стало неактивным, то есть я не мог ввести пароль для входа. Спасся только "запуском последней удачной конфигурации"... 3) Не хочу показаться параноиком, но у меня вообще такое ощущение, что мою машину частично используют по сети (я подключен к домашним сетям, сотни юзверей, StrongDC++ и все такое) без моего согласия. Проще говоря - хакнули и удаленно управляют. В принципе мои догадки не безосновны… И вот почему: - сегодня поставил KAV 6.0 и Anti-Hacker 1.9.37 потому что ранее стоявший Zone Alarm v5.5.062 просто перестал корректно работать. Посбрасывал все логи атак. Прописал в Trust непонятные IPшники и не давал их снести. Вешал систему при попытке установить, что-либо с виртуала (Daemon 4.06HE). Так же Avast 4.7 и любимый SpyRemover 2.54 без особых причин стали отнимать по 99% проц. времени. Вот только NOD 32 вел себя тихо и спокойно. Пришлось всех "уволить" и поставить KAV 6.0.0.300 4) После установки KAV 6.0 (базы новейшие) я 4 часа проверял систему с наивысшим уровнем безопасности и пометкой на "проверять ВСЕ файлы". Нашлось пару Ад-Аваре-рекламок да безобидных троянов и те, исключительно, в архивах. Посносил все не знаю как после этого будет с Делфой (нужно время до первого глюка) но подозрение на использование моей машины не пропали, можете назвать это шестым чувством, но не нравится мне ее поведение , что делать – не знаю. Теперь вся надежда на Вас. Либо решать проблему. Либо грохать Винду - но ОЧЕНЬ!!! не хочется. Либо.......... - об этом даже думать страшно Надеюсь на Вашу помощь, ведь однажды Вы уже спасли меня от огромных траблов с RDRIV.SYS и прочьей дрянью. Зарание благодарен, Алексей - aka <Alex>
Последний раз редактировалось alex_prog; 13.02.2007 в 12:23.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
To anton_dr: Да, извините, я читал правила. Просто, чисто машинально забыл вложить логи...
Выполните скрипт (Файл/Выполнить скрипт AVZ):
Код:
begin
QuarantineFile('WgaLogon.dll','');
QuarantineFile('Klpid.sys','');
QuarantineFile('nvatabus.sys','');
QuarantineFile('C:\DOS\DISCETS\bp\bppro\BIN\L17.EXE','');
QuarantineFile('\SystemRoot\System32\Drivers\a8mbxjen.SYS','');
QuarantineFile('\??\C:\WINDOWS\system32\drivers\EIO.sys','');
QuarantineFile('C:\WINDOWS\system32\WgaLogon.dll','');
end.
и пришлите согласно правилам то, что попадет в карантин. Но большинство указанных в скрипте файлов видимо безопасны, это по сути для контроля.
А откуда подозрение на руткит ? Я бы предложил:
1. Отключиться на время от сети и понаблюдать за работой ПК - исчезнут аномалии или нет
2. Провести полную проверку HDD на наличие физических и логических ошибок.
3. Поменять все пароли и провести инвентаризацию учетных записей пользователей - нет ли лишних.
Выполните скрипт и пришлите согласно правилам то, что попадет в карантин. Но большинство указанных в скрипте файлов видимо безопасны, это по сути для контроля.
Сообщение от Зайцев Олег
Отправил, судя по скрипту в папку карантина должно было попасть всего несколько файлов, но я нашел их более 2-х десятков. Поскольку все они за сегодняшний день, то я без лишних раздумий выслал их все. Если что не так – переделаю.
Перед продолжением темы вопрос специалисту: какой из SpyAdAware-убийц можно поставить в помощь KAV 6.0? Раньше стоял SpyRemover 2.54 простой, полезный, не требовательный. Каждый вечер после проверки ловил куча мелких приколов в кукисах, а иногда и ключи в реестре. То, что ловил это хорошо. Но то, что он их пропускал – очень плохо. Ведь как говорится: «Чисто не там где убирают, а там где не сорят»…
Я бы предложил:
1. Отключиться на время от сети и понаблюдать за работой ПК - исчезнут аномалии или нет
Это немного проблематично, потому как без сети нет жизненно необходимого И-НЕТа. Но раз другого выхода нет - буду что-то решать...
2. Провести полную проверку HDD на наличие физических и логических ошибок.
Файловая система у меня (C: FAT32, D: NTFS, E: NTFS)
Проверилспомощью Ontrack EasyRecovery Pro v 6.03 SMARTTests:
Физических повреждений не найдено. Но вот только мне не понравилось то как СмартТест определил размер моего винта Capacity: 128.00 GB – хотя на самом деле у меня 250.00 GB…
Partition Test:
Partition test for drive C passed with no errors, no on-disk structure errors have been found
Partition test for drive D failed, critical system structure errors have been found
Partition test for drive E failed, critical system structure errors have been found
Run the Full Diagnostic Test, from the DriveTests tool, on the drive containing the partition to verify if your drive has any physical problems
А вот результаты ФуллДиагностик оказались самыми приятными Full Diagnostic Test:
Testing drive WDC WD2500JS-00NCB1...
Capacity: 232.88 GB
Full Diagnostic Test: Passed.
Full Diagnostic Test for drive WDC WD2500JS-00NCB1 passed, no physical drive problems have been found.
К тому же утилитка HDDLifeрадостно кричит о том, что винт у меня в идеальном состоянии…
Как бы там ни было, сыпется винт или нет, диск (С:\) прошел все тесты, а именно на нем установлена ВыньДОС и Делфи…
3. Поменять все пароли и провести инвентаризацию учетных записей пользователей - нет ли лишних.
Пароли сменю в ближайшем будущем, может даже и сегодня, просто с этим возникают кое-какие неудобства…
А вот, что касается учетных записей. Раньше как-то не обращал внимания, но в системе на правах «ПОЛЬЗОВАТЕЛЬ» прописался: Имя:ASPNET Полноеимя: ASP.NET Machine Account Описание: Account used for running the ASP.NET worker process (aspnet_wp.exe)
Это нормально или же просто кто-то/что-то маскируется?
Ну и в конце всей этой тирады хотелось бы поблагодарить Зайцева Олега за полезную утилитку APS за помощь юзверям типа меня и отдельно за прекрасную программу-зверолов: AVZ которой я пользуюсь уже около года, и которая несколько раз серьезно мне помогала даже в тех ситуациях, где оказывались бессильными более раскрученные марки «звероловов».
Большое Вам человеческое спасибо!!!
Здравствуйте.
В присланном Вами файле не найдено ничего вредоносного.
Скорее всего проблема с винчестером (диск посыпался).
Если проблема серьёзная можно воспользоватся утилитой filemon -- в
настройках фильтра указать файл который часто портится и посмотреть
какой программой к нему проявляется доступ на write.
---------
С уважением, Кирилл Ерахтин
Вирусный аналитик
ЗАО "Лаборатория Касперского"
Спасибо большое Geser'у, Кирилу Ерахтину, Олегу Зайцеву и anton_dr - лично, а так же всем, кто в той или иной мере причастен к проекту Virus.info - так держать
З.Ы. Понимаю, что, возможно, уже надоел . Но все же хотелось бы услышать ответ на вопрос по-поводу:
1) Перед продолжением темы вопрос специалисту: какой из SpyAdAware-убийц можно поставить в помощь KAV 6.0? Раньше стоял SpyRemover 2.54 простой, полезный, не требовательный. Каждый вечер после проверки ловил куча мелких приколов в кукисах, а иногда и ключи в реестре. То, что ловил это хорошо. Но то, что он их пропускал – очень плохо. Ведь как говорится: «Чисто не там где убирают, а там где не сорят»…
2) А вот, что касается учетных записей. Раньше как-то не обращал внимания, но в системе на правах «ПОЛЬЗОВАТЕЛЬ» прописался: Имя:ASPNET Полноеимя: ASP.NET Machine Account Описание: Account used for running the ASP.NET worker process (aspnet_wp.exe)
Это нормально или же просто кто-то/что-то маскируется?
Просто для себя. Зарание благодарен Алексей - aka <Alex>
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: