Jump to content
СофтФорум - всё о компьютерах и не только

Подозрение на заражение системы.


Recommended Posts

Система 1:

На системе пока нет доступа к сети, поэтому загрузить сейчас нужное по и выложить логи нет возможности.

К сожалению название вируса не знаю, но вручную убил его системными утилитами, потому как антивир не помогал.

Проблемы с системой:

Как я понимаю тот вирь я не добил, и удалить последнюю библиотеку не получается, но от самого противного симптома избавился:

При двойном клике на диск в проводнике вылезало окошко выбора программы, вместо открытия диска.

Подозрение осталось вот в чем:

1) При попытке скопировать на комп большинство типов файлов, комп вис намертво. (удалось обмануть, архивированием, переименованием в ави и копированием с последующим обратным переименованием расширения.)

2) Регулярно "умирает" папка C:\win\system32\config\system

Через консоль восстановления папка видна и она есть, но при загрузке бывает, что винда ругается на ее отсутствие.

3) В компе ни когда не стояло атишной видеокарты, но процесс зовется ati2evxx.exe и запущен из свчоста.

4) Последний запуск комп после экрана с "загрузка вин ХР" залип на черном экране и не отзывался ни на что кроме резета.

Временно, установил еще одну копию винды, но поскольку тело где-то еще на харде, боюсь повторения.

Система 2:

При работе в системе вылезает ошибка "generic host process for win32 services" при закрытии которой комп виснет (поэтому просто прячем окошки с экрана), думал багнутый сп2 в дырами, т.к. на него ссылалось большинство сайтов. Проверка, что авастом, что каспером, не дает ни чего, все возможные заплатки поставил, результат тот же.

Приехали наши айтишники, сказали "кидо", но по симптомам не похоже.

Подозрение, что это именно вирус, потому, что со временем все компьютеры в сети стали выдавать туже ошибку, плюс точно такие же симптомы и в других организациях.

Link to comment
Share on other sites

Система 1: C:\win\system32\config\system - это реестр. Постоянные повреждения этого файла разве не повод переустановить систему :D

Система 2: а Кидо разве не вирус? Причем, судя по масштабам, требуется лечение всей сети

По крайней мере на этой системе логи можно сделать по правилам?

И дополнительно такую проверку

Загрузите GMER по одной из указанных ссылок

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

  • Sections
  • IAT/EAT
  • Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Edited by thyrex
Link to comment
Share on other sites

  • 2 weeks later...

Загрузите GMER по одной из указанных ссылок

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

  • Sections

  • IAT/EAT

  • Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

ГМером прогнал. Лог прикрепляю.

Остальные чуть позже.

Система 1: C:\win\system32\config\system - это реестр. Постоянные повреждения этого файла разве не повод переустановить систему

Систему переустанавливал не раз. От первоначальной системы там разве что мамка память и проц. А ошибка повторяется снова и снова. Я с этой мистикой уже упарился.

s2.log

s2.log

Link to comment
Share on other sites

Систему переустанавливал не раз. От первоначальной системы там разве что мамка память и проц. А ошибка повторяется снова и снова. Я с этой мистикой уже упарился.
Имелась в виду переустановка операционной системы. Но сначала рекомендую проверить винчестер на наличие ошибок

Лог оказался чистым.

Стало быть нужно выполнить стандартные правила

Link to comment
Share on other sites

Про перестановку системы и имелась ввиду переустановка ОС. Просто и операционку менял (ХР сп2, ХР сп3, безсервиспаковый ХР) а ошибка одна и таже. Даже на железо грешил, но суть и не в нем. Кроме как на мистику списать не могу. В шутку естественно. Думаю, что это из-за одной из прог которую брат ставит на ту систему, но из большого числа и редкого посещения его вычислить не смогу, так что со второй системой отбой, а вот с "эпидемией свчостов" все еще актуально.

Выкладываю часть логов и два скрина:

Ошибка хайджека.

Ну и так, скрин с теми самыми ошибками которые уже в 7 экземплярах (по количеству запущенных чостов). Раньше была 1, потом 3, потом 4, а сегодня уже 7 шт.

hj.JPG

hijackthis.log

avz_log.txt

info.txt

log.txt

err.JPG

post-84654-1247141260_thumb.jpg

hijackthis.log

avz_log.txt

info.txt

log.txt

post-84654-1247141466_thumb.jpg

Link to comment
Share on other sites

Когда делаете логи AVZ нужно:

1. Обновить базы AVZ

2. Выложить логи virusinfo_syscheck.zip, virusinfo_sysinfo.zip

Поступим так. Сделайте логи полиморфным AVZ (ссылка в моей подписи). Базы в нем по-новее, но не обновляются. И после этого предоставьте логи, указанные в п.2 предыдущего абзаца

Link to comment
Share on other sites

В этих логах чисто

Сделайте логи полиморфным AVZ (ссылка в моей подписи) с включенным AVZPM (выбрать первую строку в соответствующем меню программы). Базы в нем по-новее, но не обновляются. И после этого предоставьте логи

Edited by thyrex
Link to comment
Share on other sites

Есть локальная сетка в магазине.

Больше года работала нормально, но через какое-то время на части компов стала появляться ошибка svchost'ов.

На след день, ошибка вылезла еще на некоторых системах.

А через определенное время такая ошибка появилась на ВСЕХ системах сети. (Хотя одну систему переустановили полностью, впаяли аваста, и вроде пока, что бегает нормально, без ошибки. Выжидаем.)

Есть еще две локальных сетки в городе, независимые от нашей. Там таже проблема. Начиналось с одной системы, далее переползло на все.

Не похоже это на ошибку самой системы, уж слишком похоже на вирусную эпидемию. Хотя все может быть.

После чего ошибка вылезает, не понятно. Может и сразу после включения, а может часа через 4 работы. Одно точно, что всегда и везде подключена локальная сетка.

Link to comment
Share on other sites

Давайте этим посмотри

Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Базы МВАМ можно обновить отдельно - downloading the update MBAM

Link to comment
Share on other sites

Malwarebytes' Anti-Malware 1.38

Версия базы данных: 2414

Windows 5.1.2600 Service Pack 2

13.07.2009 9:21:18

mbam-log-2009-07-13 (09-21-15).txt

Тип проверки: Полная (C:\|)

Проверено объектов: 121377

Прошло времени: 12 minute(s), 49 second(s)

Заражено процессов в памяти: 0

Заражено модулей в памяти: 0

Заражено ключей реестра: 0

Заражено значений реестра: 0

Заражено параметров реестра: 3

Заражено папок: 0

Заражено файлов: 0

Заражено процессов в памяти:

(Вредоносные программы не обнаружены)

Заражено модулей в памяти:

(Вредоносные программы не обнаружены)

Заражено ключей реестра:

(Вредоносные программы не обнаружены)

Заражено значений реестра:

(Вредоносные программы не обнаружены)

Заражено параметров реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Заражено папок:

(Вредоносные программы не обнаружены)

Заражено файлов:

(Вредоносные программы не обнаружены)

Какбы чисто показывает. :)

Link to comment
Share on other sites

Да,чисто. Неплохо было бы проверить, после подключения какого из компьютеров в сеть возникают ошибки.

Если такой компьютер единственный, то источник проблем, возможно, на таком компьютере

А как насчет патчей для системы? Везде установлены последние обновления (как минимум SP3 давно нужно было поставить)?

Edited by thyrex
Link to comment
Share on other sites

Самому хотелось бы знать с какого компа "атаки". Хоть сниферы ставь на отслеживание и логирование трафика, потому, что ни как не остановить работу всего магазина ради поэтапной проверки и вычисления нужного компа.

Я бы все системы пропатчил, но мне не доверяют, а айтишники наши, хрен сдвинутся. Уже не первую неделю их пинают, а толку ноль.

Link to comment
Share on other sites

В общем если кому поможет, решилось все переустановкой каспера и полной проверкой системы. По результатам ни чего не найдено, но судя по всему каспер встал заплатками на дыры куда стучалась дрянь, и ошибки исчезли.

Link to comment
Share on other sites

ch4nger:

решилось все переустановкой каспера
с избыточными базами наверное? Просто подумалось, как бы он сам не вирусифицировался или не снёс что то нужное.
Link to comment
Share on other sites

Indomito: Буду надеяться, что не вирусифицировался. Пока что бегает и не тормозит, работать можно. Да и не думаю, что после такой тотальной проверки и нулевыми результатами что-то в системе есть. Больше склоняюсь к тому, что дрянь стучалась, но процесс в который должна была внедриться умирал, поэтому атаковался следующий, который тоже в свою очередь умирал, и так до конца. Ну а далее и стучаться некуда.

Но это только теория, практика же не показала ни чего.

Будем работать на надежде.

Всем спасибо.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...