Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Взлом без подключения к сети (http://forum.oszone.net/showthread.php?t=217392)

4nt 07-10-2011 19:43 1768250
Взлом без подключения к сети
 
Столкнулся с такой проблемой, что взламывают компьютер даже без подключенного кабеля. Пробовал разные файрволлы, антивирусы, переустанавливал систему много раз, форматировал диски, ничего не помогает (вирусы, вредоносные программы не находит). Сразу же после установки системы на отформатированный раздел кто-то появляется в системе, запускает процессы, меняет настройки и мешает нормальной работе. Каким образом, непонятно, сетевой кабель отключал. Кто может помочь распознать угрозу и как с ней бороться?

PS
Материнка Asus P7P55D-E PRO.
Никаких дополнительных плат, кроме Creative X-Fi, не установлено.

eco 07-10-2011 21:59 1768339
Цитата:
Цитата 4nt
переустанавливал систему много раз, »
С какой го***сборки?

Цитата:
Цитата 4nt
что взламывают компьютер даже без подключенного кабеля. »
НЛО скорее всего.

Цитата:
Цитата 4nt
на отформатированный раздел кто-то появляется в системе, запускает процессы, меняет настройки и мешает нормальной работе »
он наверное. :)

iskander-k 08-10-2011 14:03 1768664
Цитата:
Цитата 4nt
Столкнулся с такой проблемой, что взламывают компьютер даже без подключенного кабеля. Пробовал разные файрволлы, антивирусы, переустанавливал систему много раз, форматировал диски, ничего не помогает (вирусы, вредоносные программы не находит). »
Ни один антивирус не является гарантией чистоты от вирусов.

Раз у вас
Цитата:
Цитата 4nt
Сразу же после установки системы на отформатированный раздел кто-то появляется в системе, запускает процессы, меняет настройки и мешает нормальной работе. »
Значит сборка которую вы используете - уже заражена.
Озвучте что за сборку ОС вы используете и где скачивали ?

и

Выложите логи в соответствии с этими инструкциями.

4nt 08-10-2011 17:19 1768763
Вложений: 2
Сборка 2600.xpsp.080413_2111: Service Pack 3
Скачивал с torrents.ru (сейчас rutracker)
Логи прикрепил.

4nt 09-10-2011 14:12 1769358
Вложений: 2
Один из дисков был в формате RAW, восстановил его в NTFS, переделал логи.

iskander-k 09-10-2011 17:12 1769471
Зачем вам два антивируса ?
COMODO Internet Security

Цитата:
Comodo Internet Security - комплексное решение бесплатно. Защищает от вирусов и Интернет атак, включающая антивирус и антишпион, персональный фаервол и модуль защиты от вредоносных программ Comodo Defense+
и

Kaspersky Anti-Virus 2012


• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

4nt 11-10-2011 22:53 1771406
Comodo Internet Security ставил как файрволл (обычно использовал Outpost Firewall, но последнии 2 раза когда переустанавливал винду, после установки Outpost и перезагрузки, появлялся синий экран, загрузиться можно было только в безопасном режиме).
И Kaspersky Anti-Virus 2012 как антивирус.


Вот лог:
Код:
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Версия базы данных: 7924

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

11.10.2011 21:39:05
mbam-log-2011-10-11 (21-39-05).txt

Тип сканирования: Полное сканирование (C:\|D:\|E:\|F:\|)
Просканированные объекты: 155496
Времени прошло: 4 минут, 47 секунд

Зараженные процессы в памяти: 0
Зараженные модули в памяти: 0
Зараженные ключи в реестре: 0
Зараженные параметры в реестре: 0
Объекты реестра заражены: 1
Зараженные папки: 0
Зараженные файлы: 0

Зараженные процессы в памяти:
(Вредоносных программ не обнаружено)

Зараженные модули в памяти:
(Вредоносных программ не обнаружено)

Зараженные ключи в реестре:
(Вредоносных программ не обнаружено)

Зараженные параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Зараженные папки:
(Вредоносных программ не обнаружено)

Зараженные файлы:
(Вредоносных программ не обнаружено)

iskander-k 11-10-2011 22:58 1771409
Цитата:
Цитата 4nt
раздел кто-то появляется в системе, запускает процессы, меняет настройки и мешает нормальной работе. »
Какие процессы запускаются ? какие настройки меняются ?
Скачайте Process Explorer . Сделайте лог (меню File -> Save) и выложите.

4nt 12-10-2011 23:57 1772122
Процессы вроде как системные запускаются (wmiprvse, wmiadap, rundll32, imapi и т.д.) запускается установка драйверов каких то устройств, которые уже установлены или вообще которых нет на компе.

Лог:

Код:
Process        PID        CPU        Private Bytes        Working Set        Description        Company Name
System Idle Process        0        99.22        0 K        28 K               
System        4                0 K        268 K               
 Interrupts        n/a        0.39        0 K        0 K        Hardware Interrupts and DPCs       
 smss.exe        584                168 K        384 K        Диспетчер сеанса  Windows NT        Корпорация Майкрософт
  csrss.exe        640                1*444 K        3*736 K        Client Server Runtime Process        Microsoft Corporation
  winlogon.exe        664                6*380 K        1*504 K        Программа входа в систему Windows NT        Корпорация Майкрософт
  services.exe        708                1*648 K        3*408 K        Приложение служб и контроллеров        Корпорация Майкрософт
    svchost.exe        884                1*524 K        3*856 K        Generic Host Process for Win32 Services        Microsoft Corporation
    CTxfispi.exe        628                3*744 K        6*192 K        SPI (Creative X-Fi Module)        Creative Technology Ltd
    klwtblfs.exe        2612                1*056 K        3*764 K        WebToolBar component        Kaspersky Lab ZAO
    wmiprvse.exe        3116                2*052 K        5*236 K        WMI        Microsoft Corporation
    svchost.exe        972                2*008 K        4*620 K        Generic Host Process for Win32 Services        Microsoft Corporation
    cmdagent.exe        1016                33*700 K        2*580 K        COMODO Internet Security        COMODO
    svchost.exe        1040                10*776 K        18*144 K        Generic Host Process for Win32 Services        Microsoft Corporation
    CTAudSvc.exe        1096                1*052 K        3*112 K        Creative Audio Service        Creative Technology Ltd
    avp.exe        1116                77*824 K        42*112 K        Kaspersky Anti-Virus        Kaspersky Lab ZAO
  lsass.exe        720                2*324 K        1*340 K        LSA Shell (Export Version)        Microsoft Corporation
  taskmgr.exe        1848                1*252 K        4*636 K        Диспетчер задач Windows        Корпорация Майкрософт
explorer.exe        1644                26*592 K        35*188 K        Проводник        Корпорация Майкрософт
 rundll32.exe        296                4*760 K        5*956 K        Запуск библиотеки DLL как приложения        Корпорация Майкрософт
 avp.exe        352                28*344 K        4*172 K        Kaspersky Anti-Virus        Kaspersky Lab ZAO
 VolPanlu.exe        360                5*628 K        8*712 K        VolPanlu.exe        Creative Technology Ltd
 cfp.exe        380                18*812 K        4*880 K        COMODO Internet Security        COMODO
 ctfmon.exe        572                1*136 K        4*212 K        CTF Loader        Microsoft Corporation
 firefox.exe        2512                130*136 K        139*872 K        Firefox        Mozilla Corporation
 procexp.exe        3044        0.39        7*908 K        10*952 K        Sysinternals Process Explorer        Sysinternals - www.sysinternals.com

iskander-k 13-10-2011 21:07 1772747
Из этого куска лога ничего плохого не видно.
Цитата:
Цитата 4nt
запускается установка драйверов каких то устройств, которые уже установлены или вообще которых нет на компе. »
Чтобы этого не было - установите нормальную версию ОС - желательно лицензионную, без всяких встроенных драйверов от "Васи пупкина" с оформлением под висту или семёрку, чистая ОС будет надежнее.

4nt 13-10-2011 22:16 1772786
Цитата:
Цитата iskander-k
Чтобы этого не было - установите нормальную версию ОС »
Думал об этом. Но не факт что проблема устранится, уже устанавливал 2 разные сборки XP и Windows 7.

Я тут когда восстанавливал файлы с диска, который переконвентировали в RAW, увидил кучу левых папок, название которых большинство из них имели типа [00001]. И файлы с расширением *.sql, *.dll, *.exe как в этих папках, так и в других, в которых где их быть попросту не должно. Однако на диске и ни этих папок, ни этих файлов никогда не видел. Просматривал программой GetDataBack.

iskander-k 14-10-2011 18:23 1773395
Я не вижу у вас активного заражения.

Попробуем еще такой лог.



•Скачайте ComboFix или здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe.

4nt 15-10-2011 22:53 1774125
Вложений: 1
Прикрепил.

zirreX 15-10-2011 23:52 1774161
Ничего вредоносного.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall(Обязательно должен быть пробел между combofix и /u), нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

4nt 17-10-2011 22:07 1775675
Попробую еще восстановить те файлы которые небыли видный виндой, но видела программа GetDataBack и отправить на проверку. Пока это сделать не получается, права админа отобрали. Винду уже устал переустанавливать...


Время: 23:10.

Время: 23:10.
© OSzone.net 2001-