Показано с 1 по 13 из 13.

Неизвестный руткит??? (заявка № 8683)

  1. #1
    Junior Member Репутация
    Регистрация
    28.03.2007
    Сообщений
    10
    Вес репутации
    63

    Exclamation Неизвестный руткит???

    Не могу определить источник заразы... Есть предположения на руткит.

    Проблема с рабочим компом... Примерно месяц назад стали появляться вирусы и трояны на компе.. причем вирусы свежайшие на тот момент (их позже тока антивирусы стали определять) плюс разок было сообщение файрвола что процесс system полез в инет.
    В общем победить руткит мне не удалось (какой то backdoor очевидно)
    Переустановил систему пока не вылез снова в инет все работало...
    Вчера выходил в интернет ненадолго (стоит Kaspersky Anti-Hacker ранее стоял Outpost) - сегодня вечером монитор Symantec`а обнаружил несколько (8 штук разнонаименнованных) вирусов W32.Rahack.H - эту ерунду я удалил - исследовал систему
    1) avz не обнаружил перехватов (кроме klif и sptd - соответсвенно от AntiHacker и от Daemon Tools)
    2) месяц назад делал md5 слепки файлов из system32 и system
    - сверил - ни одна crc не изменилась только добавились новые - но все от Intel LANDesk и обновления Windows плюс некий издатель Lou maudio кажется (комп рабочий а пишу я из дома) но и это вроде как проекты от Microsoft (конкретно MS PowerToys)

    Что мне делать?
    1) Как проникает руткит?
    2) есть ли он вообще ;-)))
    3) завтра хочу загрузиться с диска XP пакет предустановки и проверить crc прямо с компактов и сравнить.. ведь если руткит и есть то так он найдется? я прав?
    4) Я ищу тока в паках Windows System и System32 - этого достаточно?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Выполните правила - http://virusinfo.info/showthread.php?t=1235

  4. #3
    Junior Member Репутация
    Регистрация
    28.03.2007
    Сообщений
    10
    Вес репутации
    63
    Добавляю файлы.
    Вложения Вложения

  5. #4
    Junior Member Репутация
    Регистрация
    28.03.2007
    Сообщений
    10
    Вес репутации
    63
    PS - может это уже паранойя? пока признаков заражения нет...

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Может и паранойя
    Два антивируса, которые друг друга не любят - Norton & Kasperskyi
    По-моему, это круто.
    От Касперского драйвера видны. Видимо, некоректно деинсталлирован.

    по сути: подозрительного не видно, только fast.exe в автозапуске наводит на мысли. Плюс bgswitch.exe там же.
    Да и еще, стартовая страница IE.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Junior Member Репутация
    Регистрация
    28.03.2007
    Сообщений
    10
    Вес репутации
    63
    Касперский не стоит и не стоят
    Драйвера что видны - это драйвера Касперски АнтиХакер, а он выполняет только роль файрвола.

    Зы. А как мне могли попасть вирусы из первого поста.
    Кто нить может дать комменты по открытым портам.
    Удаленное управление RDP у меня разрешено

  8. #7
    Junior Member Репутация
    Регистрация
    28.03.2007
    Сообщений
    10
    Вес репутации
    63
    Цитата Сообщение от PavelA Посмотреть сообщение

    по сути: подозрительного не видно, только fast.exe в автозапуске наводит на мысли. Плюс bgswitch.exe там же.
    Да и еще, стартовая страница IE.
    fast и bgswitch - из пакета MS PowerToys
    Стартовая прописана мною (ресурс интравеба)

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Насчет антивирусов - был не прав, ну никак не ожидал что знаменитый klif.sys живет и в АнтиХакере.
    Вопросик - логи делались при запущенном IE? Если не был запущен, то логи придется повторить.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    28.03.2007
    Сообщений
    10
    Вес репутации
    63
    Да был запущен.. кажется.. первый лог точно по крайней мере

  11. #10
    Junior Member Репутация
    Регистрация
    28.03.2007
    Сообщений
    10
    Вес репутации
    63
    Тишина....
    То что AVZ не выявил признаков руткита это гарантия того что его нет?

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Несколько раз читал Ваш пост, но так и не понял чего Вы боитесь и почему... У Вас на компе храниться особая секретная информация?

    Давайте попорядку:
    1. Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\ep1k_certd.exe','');
     QuarantineFile('C:\WINDOWS\system32\bgswitch.exe','');
     QuarantineFile('V2IMount.sys','');
    RebootWindows(true);
    end.
    После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".

    2. Какие у Вас проблемы сейчас? Что именно Вас беспокоит? Что заставило обратиться к нам? Зачем делали md5 слепки файлов из system32 и system?

    3.
    То что AVZ не выявил признаков руткита это гарантия того что его нет?
    Ни кто Вам не даст такую гарантию...

  13. #12
    Junior Member Репутация
    Регистрация
    28.03.2007
    Сообщений
    10
    Вес репутации
    63
    Цитата Сообщение от MaXim Посмотреть сообщение
    Несколько раз читал Ваш пост, но так и не понял чего Вы боитесь и почему... У Вас на компе храниться особая секретная информация?

    Давайте попорядку:
    1. Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\ep1k_certd.exe','');
     QuarantineFile('C:\WINDOWS\system32\bgswitch.exe','');
     QuarantineFile('V2IMount.sys','');
    RebootWindows(true);
    end.
    После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".

    2. Какие у Вас проблемы сейчас? Что именно Вас беспокоит? Что заставило обратиться к нам? Зачем делали md5 слепки файлов из system32 и system?

    3. Ни кто Вам не даст такую гарантию...
    1. Комп рабочий и там действительно хранится важная информация.
    2. первый файлик утилита от Feitian для работы со смарт-картами
    2а 2 и 3 файлик гляну более пристально (сейчас пишу из дома, доступа к рабочему нет)
    3. Хотелось бы иметь гарантию, пусть через промежуточный комп в роли аппаратного файрвола.. (разумеется у меня хватит ума не запускать файлик типа run_me.exe ))) )
    Последний раз редактировалось Макcим; 02.05.2007 в 15:31.

  14. #13
    Junior Member Репутация
    Регистрация
    28.03.2007
    Сообщений
    10
    Вес репутации
    63
    Цитата Сообщение от Voland Посмотреть сообщение
    1. Комп рабочий и там действительно хранится важная информация.
    2. первый файлик утилита от Feitian для работы со смарт-картами
    2а 2 и 3 файлик гляну более пристально (сейчас пишу из дома, доступа к рабочему нет)
    3. Хотелось бы иметь гарантию, пусть через промежуточный комп в роли аппаратного файрвола.. (разумеется у меня хватит ума не запускать файлик типа run_me.exe ))) )
    4. Примерно месяц назад на комп проник троян-бэкдор не идентифицированный мной (идентифицировались тока следы - другие трояны и сетевая активность) - всё это при работающем файрволе... и антивирусе плюс заплатки стояли (до уровня неофициального SP3)

  • Уважаемый(ая) Voland, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. неизвестный вирус/руткит
      От zod1 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 04.12.2010, 00:18
    2. Неизвестный руткит Win32.Rootkit.Agent.NSY
      От Obsidian в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 03.04.2010, 13:53
    3. Ответов: 11
      Последнее сообщение: 03.10.2009, 22:56
    4. Ответов: 10
      Последнее сообщение: 22.02.2009, 04:00
    5. Ответов: 1
      Последнее сообщение: 03.02.2009, 15:34

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01057 seconds with 20 queries