-
Подозрительная периодическая загрузка System.
Здравствуйте.
Недавно столкнулся с подозрительным поведением windows 7. Время от времени, примерно с частотой 1 раз в 1-5 минут системный процесс System полностью нагружает один из логических процессоров (25%)*. Process Explorer показывает, что это потоки с названиями "ntkrnlpa.exe!KeInsertQueueDpc+0x265" и "ntkrnlpa.exe!ExpWorkerThread".
Антивирус не стоял (предпочитаю вручную проверять), firewall только базовый виндовый+роутер к интернету, несколько виртуальных приводов Blue-ray/DVD/CD.
После обнаружения странного поведения проверял CureIt, все чисто. AVZ умирал в процессе работы (Access Violation...). HyperSight при первом запуске подвесил систему, затем ругался на отсутствие памяти для запуска. Другие программы для борьбы с вирусами так же вели себя нестандартно.
В дальнейшем AVZ заработал нормально (обнаруживая множество измененных адресов (попытка отключить их не удается)), HyperSight обнаруживает множество "covert code executed" - 5-10 за 10 секунд работы. Gmer выводит подозрение на руткит:
Type,Name,Value
Device,\FileSystem\Ntfs \Ntfs,858011F8
AttachedDevice,\Driver\kbdclass \Device\KeyboardClass0,Wdf01000.sys
AttachedDevice,\Driver\kbdclass \Device\KeyboardClass1,Wdf01000.sys
Попытка исследовать потоки xperf и kernrate дала мало (никогда не было опыта).
Подозрение, что это всё же руткит. Какие будут советы? Всё что в присланом (каждый файлик, длл-ка и т.д.) - было проверено. Из видимого всё чисто, ничего нет. Не проверял только адреса перехватов (не знаю как) и альтернативные потоки ntfs и более сложные методы (mbr, скрытая запись на диск вне FS и т.д.). Может это быть руткит, есть ли шанс, что он мог быть не обнаружен несмотря на такие усердные попытки его найти?
* на 5-10 секунд.
Кстати, системное восстановление выключено, не знаю, почему в логе показывается включенным. Специально проверял и перегружался.
Последний раз редактировалось ilax; 14.07.2010 в 18:25.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Эксперты, ну что скажете? Есть идеи?