Part!zan, у мя стоит дома vmware - такого нет - проблема у него в чем то другом
Part!zan 19:48 25.09.2008
ERYO, это ты о чем? У мну тоже стоит вмваре, и не только дома.
Сообщение от ][irurg:
POSSIBLE ROOTKIT ACTIVITY DETECTED
Ты бы загрузился с LiveCD и изучил внимательно драйвера. И заодно кусок реестра, где драйверы прописаны.
trox 20:39 25.09.2008
Сообщение от ][irurg:
trox, выслал tscupgrd.exe. в принципе можно и тут его выложить.
Вроде не похож на вирус.
Сообщение от ][irurg:
ntoskrnl.exe-->_wcsupr, Type: EAT modification at address 0x809ABD84 hook handler located in [ntoskrnl.exe]
в конце показал что
!!POSSIBLE ROOTKIT ACTIVITY DETECTED!! =)
файрволл запущен? Антивирус? Какой-то драйвер меняет что-то в памяти ядра.Возможно руткит,а может быть что-то другое.Daemon Tools или Алкоголь стоит?
Выложи полный отчет от RKU-может что поймем=)
Сообщение от Part!zan:
Ты бы загрузился с LiveCD и изучил внимательно драйвера.
изучил внимательно - в смысле их размер? сейчас под рукой лайва нет, запишу
Сообщение от trox:
файрволл запущен? Антивирус?
антивирус - нод32, файерволла локально нет, на проксе поднят
Сообщение от trox:
Daemon Tools или Алкоголь стоит?
нет не стоит
Сообщение от trox:
Выложи полный отчет от RKU-может что поймем
в полном отчете был раздел hidden там много интимных файлов, удалил этот кусок, в остальном без изменений. вложил.
Сообщение от trox:
ntoskrnl.exe - да,это само ядро винды.
дело в том, что попробовав поискать этот файл я нашел его не только в системной папке, но и на диске С в неприметной папочке symbols, организовалась не помню когда и откуда. в ней лежит куча системных файлов:
это папки, в которых еще 1 папка вида "8592B6763F34476B9BB560395A383F962" в которой в свою очередь лежит системный файл, одинаковый с именем исходной папки. странная хрень -откуда эти копии. дата создания - 29,08,2008. можно ли выяснить происхождение этих папок? может попробовать скопировать их в системный каталог
вложил также ауторанс arn для реального режима
ЗЫ trox, cureit oм проверил, в первую очередь
Изображения
ERYO 09:13 26.09.2008
Сообщение от Part!zan:
ERYO, это ты о чем? У мну тоже стоит вмваре, и не только дома.
дык о том что бридж её на сетевой адаптер негативно не влияет
имхо происки вирусни какой то
trox 09:16 26.09.2008
Сообщение от ][irurg:
антивирус - нод32, файерволла локально нет, на проксе поднят
Его нужно было отключить.Возможно на нод32 и ругался RKU.
Сообщение от ][irurg:
в полном отчете был раздел hidden там много интимных файлов, удалил этот кусок, в остальном без изменений. вложил.
фотки?=))
Сообщение от ][irurg:
дело в том, что попробовав поискать этот файл я нашел его не только в системной папке, но и на диске С в неприметной папочке symbols, организовалась не помню когда и откуда. в ней лежит куча системных файлов:
Это наверное символьная информация для дебага. Возможно качалось с нета для vmware или visual studio.Программисты подскажут?
з.ы. Подумалось тут мне,может сделать так?
1. Сесть за комп,на котором у тебя все ОК(так же подключен к сети как и проблемный),создать список расположеннных файлов в system32/drivers.
2.Садишься за проблемный комп и переименовываешь все файлы,которых не было на рабочем компе.Т.е. если на проблемном есть vmnetbridge.sys ,а на рабочем нет такого,то переименовываем в vmnetbridge.sy!
3.Перезагрузимся и если проблема исчезла,потихоньку переименовываем обратно файлы до нахождения проблемного файла.
Если таким образом проблема не исчезла-наверное дело или в реестре или вирусе.
Отчет еще не смотрел.
][irurg 14:30 26.09.2008
Сообщение от trox:
1. Сесть за комп,на котором у тебя все ОК(так же подключен к сети как и проблемный),создать список расположеннных файлов в system32/drivers.
2.Садишься за проблемный комп и переименовываешь все файлы,которых не было на рабочем компе.Т.е. если на проблемном есть vmnetbridge.sys ,а на рабочем нет такого,то переименовываем в vmnetbridge.sy!
3.Перезагрузимся и если проблема исчезла,потихоньку переименовываем обратно файлы до нахождения проблемного файла.
идея интересная. реализация - сложновата. )
такого же компа у меня нет. нашел подобный, сравнил файлы - 35 разных. после удаления лишних исчезла мышь ), однако не все файлы согласились уйти безвозвратно, примерно с десяток винда тут же востановила. включил безопасный режим и начал рубить их вручную, после перезагрузки случился бсод , как закономерное следствие такого надругательства=)
зато пришлось срочно искать лайвсд и теперь готов попробовать что предлагал Part!zan
Part!zan 19:02 26.09.2008
Сообщение от ERYO:
бридж её на сетевой адаптер негативно не влияет
Это если все нормально работает, а если чего проглючило, то не факт.
Сообщение от ][irurg:
в смысле их размер?
В смысле их внутренности, имена и все такое интересное. Проверить наличие мелкософтовских подписей, странных имен файлов, информации о версии, закриптованных и т. п. Еще можно сохранить листинг виндовой папки со всеми файлами и подпапками и сравнить с тем, что видно загрузившись с ливсд.
Сообщение от ][irurg:
нашел его не только в системной папке, но и на диске С в неприметной папочке symbols
Да оно много где может валяться. Скажу тебе по секрету, что у винды не одно ядро, а несколько. ) Для разных типов компов. А в папочке symbols обычно лежат отладочные символьные данные, но расширения у них pdb должны быть. Откуда они у тебя - не знаю.
Сообщение от ][irurg:
включил безопасный режим и начал рубить их вручную
Да вы, батенька, маньяк. Так и винду укокошить недолго.
Сообщение от trox:
может сделать так?
Метод, конечно, интересный, но долгий. И не факт, что сработает. Для этого компы должны быть идентичны по железу и софту.
Щас еще отчеты посмотрю...
Кроме подозрительного
Сообщение от :
Driver: unknown_irp_handler
ниче не обнаружил.
trox 08:00 27.09.2008
Сообщение от ][irurg:
такого же компа у меня нет. нашел подобный,
Я ж тебе другое писал совсем=) Тебе нужен не идентичный комп,а допустим твой комп в локалке,значит и другой должен быть в локалке.Т.е. нужно,чтобы дрова были для сети и мы их не переименовали.Дрова для процессоров,материнки и др. железа не в счет!
Сообщение от ][irurg:
сравнил файлы - 35 разных. после удаления лишних исчезла мышь ),
Зачем удалять? Я ж тебе написал -переименовать!=) если ты ищешь зараженные дрова,то если это руткит-ничего таким образом не найдешь.
Сейчас глянул отчет ауторуна.Нужно было снимать галочки hamachi,bluetooth,starforce и др. Перезагрузится,проверить ping. А ты решил рубить=)
Ну теперь можешь пробовать загрузится под лайвсиди и посмотреть,совпадает ли количество файлов с обычным режимом.
][irurg 11:27 27.09.2008
Сообщение от Part!zan:
А в папочке symbols обычно лежат отладочные символьные данные, но расширения у них pdb должны быть.
да, там есть пару папок/файлов, расширение pdb
Сообщение от trox:
Зачем удалять? Я ж тебе написал -переименовать!=)
Сообщение от Part!zan:
Да вы, батенька, маньяк. Так и винду укокошить недолго.
спокойно господа =) копии файлов сделаны + винда на образе, все отлично с лайвсд восстановилось )
Сообщение от trox:
Я ж тебе другое писал совсем=) Тебе нужен не идентичный комп,а допустим твой комп в локалке,значит и другой должен быть в локалке.Т.е. нужно,чтобы дрова были для сети и мы их не переименовали.Дрова для процессоров,материнки и др. железа не в счет!
так как же тогда отличить скажем на проблемном компе er456r.sys - фильтр это, тормозящий пинг или просто драва материнки? компы должны быть подобными имхо.
Сообщение от trox:
Зачем удалять? Я ж тебе написал -переименовать!=)
пробовал и так и так
вкладываю список файлов каталога дров полученный с лайвсд и в реальном режиме, еще сам не изучал.
в тхт-шинке реального режима остались файлы с ! в имени - это те которые отличают проблемную машину от нормальной, после бсода все скопировал обратно, поэтому они повторяются в папке под нормальными именами
Изображения
trox 13:18 27.09.2008
Сообщение от ][irurg:
так как же тогда отличить скажем на проблемном компе er456r.sys - фильтр это, тормозящий пинг или просто драва материнки? компы должны быть подобными имхо.
Если в описании нет ничего,то это скорее всего не от материнки=) Значит переименовываем.
Вот для примера,у тебя есть !el556nd5.sys.В описании написано-"3Com 10/100 mini PCI" .У тебя есть такая сетевая? Если есть,пока оставим.Нет-переименовываем (не рубим=) )
Сообщение от ][irurg:
вкладываю список файлов каталога дров полученный с лайвсд и в реальном режиме, еще сам не изучал.
в тхт-шинке реального режима остались файлы с ! в имени - это те которые отличают проблемную машину от нормальной, после бсода все скопировал обратно, поэтому они повторяются в папке под нормальными именами
Как все запутано=) Проблемная машина и нормальная-это один и тот же комп?
Сранить тяжело эти текстовики.Лучше сделал бы:
1.Список файлов во время обычной работы
2.Список файлов с livecd.
Естественно одной и той же винды,папки system32/drivers
Это сравнение нужно для того,чтобы узнать,прячутся ли какие-то трояны в обычном режиме или нет.
Если список одинаков,будем считать что троянов нет(предположим=))
Значит нужно искать проблемные дрова.Это будем позже=)
Part!zan 16:27 27.09.2008
Кое-как сравнил файлики - разницы не заметил. Возможно, руткита нет.
Сообщение от trox:
Значит переименовываем
Таким способом слишком долго проверять, имхо...
trox 18:34 28.09.2008
Сообщение от Part!zan:
Таким способом слишком долго проверять, имхо...
Мы же легких путей не ищем=)
Можно пойти другим путем.Встретил в сети аналон autoruns.Значит так:
Образ диска есть? Поехали! (с) Гагарин
http://www.online-solutions.ru/files...r_portable.rar
В фильтрах вроде по умалчанию стоит скрывать дрова и библиотеки майкрософт. Остались только файлы других производителей.Подсвеченные зеленым- известного производителя,желтым-отсутствует описание(description)
Если мы думаем,что троянов нет,снимаем все галочки,для определения проблемного драйвера.Перезагружаемся.Если все равно проблема осталась-думаю нужно копать в сторону реестра.А вот что,загадка..
з.ы.Все это можно проделать с помощью autoruns,поставив в меню Options-Verify и Hide
А вышеописанная программа может пригодится для проверки по хэшам безопасных файлов(проверяет через инет).Мне она понравилась из-за фильтрации(безопасный файл,майкрософтовый файл и т.д.)
][irurg 09:13 29.09.2008
сорри за путаницу.
Сообщение от trox:
Как все запутано=) Проблемная машина и нормальная-это один и тот же комп?
Сранить тяжело эти текстовики.Лучше сделал бы:
1.Список файлов во время обычной работы
2.Список файлов с livecd.
это они и есть. сравнивать легко тотал командером Файл-Сравнить по содержимому
Сообщение от Part!zan:
Таким способом слишком долго проверять, имхо...
да, и результат пока - бсод
trox 12:04 29.09.2008
Сообщение от ][irurg:
это они и есть. сравнивать легко тотал командером Файл-Сравнить по содержимому
Там много одинаковых файлов и со знаком "!". Ну попробуй сравнить тоталкоммандером-ни один файл не совпадет.Нужно же найти лишний. C WinMerge та же ситуация.
Сообщение от ][irurg:
да, и результат пока - бсод
BSOD не должен быть,если не трогать майкрософтовые дрова и не стоит пока трогать наверное дрова антивируса и керио. В 43 посте подробнее написано.
Virt. 20:38 29.09.2008
пробуй sfc
проюзай avz (базы обнови)
по всем параметрам
+
отключи фаерволы, антивирусы
+
в параметрах поиска, галочки везде кроме:
пунктов автоматически исправлять...
эврестика на максимум
+
область поиска все, удалять почти все)) , на вкладке галочки везде
жмякай скан
+
Мастер поиска и устранения проблем
укажи все проблемы (проверка по всем катигориям)
+
в стандартных скриптах 1. Поиск и нейтрализации RootKit UserMode и KernelMode. Выполняет поиск руткитов с нейтрализацией всех обнаруженных перехватов
+
исследование системы
протокол сюда, файлы пока не надо
кажись ни чего не забыл
][irurg 13:07 30.09.2008
Сообщение от trox:
Ну попробуй сравнить тоталкоммандером-ни один файл не совпаде
да, извини - я делал еще логи в которых были просто имена файлов и сравнивал именно их, там отличие было видно четко.
Сообщение от Virt.:
пробуй sfc
да, разумеется пробовал, это партизан еще советовал.
Сообщение от Virt.:
проюзай avz (базы обнови)
после теста " по полной " авз сам себе закрыл, не оставив логов 0_о. система после перезагрузки жила минуту и падала в бсод. откатил систему обратно в работоспособное состояние, поставил в исследованиях точку.
эпилог. всем спасибо за поддержку и советы. времени больше нет заниматься этим одним компом, решил плюнуть и если сильно надоест - переустановить. вопрос считаю исчерпанным.
trox 13:29 30.09.2008
Сообщение от ][irurg:
времени больше нет заниматься этим одним компом, решил плюнуть и если сильно надоест - переустановить. вопрос считаю исчерпанным.
Когда-нибудь это должно было произойти=) Я вот думал,когда тебе это надоест,но ты оказался настырным=))
А вот то,что авз упал-странно.У меня он ни разу не падал.Возможно из-за Nod или kerio.У меня ни того,ни другого никогда не было..
Part!zan 19:34 30.09.2008
trox, драйвер авз может и просто так комп уронить в бсод... У меня было разок.
trox 20:06 30.09.2008
Сообщение от Part!zan:
trox, драйвер авз может и просто так комп уронить в бсод... У меня было разок.
Падает он скорее всего при проверки на руткиты.Поэтому нужно отключать антивири и файрволлы,что я и делаю при проверке.Правда давно уже AVZ не использовал.Для проверки на руткиты я использую другие программы.И еще-некоторые вирусы противодействуют AVZету из-за чего он и может уходить в бсод.
з.ы.Вполне возможно,что он падает из-за ошибок,но ведь нет программ без ошибок.Если только Hello World =)
Part!zan 21:57 30.09.2008
trox, он просто так упал. авз даже запущен не был.
trox 12:29 01.10.2008
Part!zan, если был включен guard или как его там..То этот драйвер будет постоянно загружаться и возможно он и конфликтует с антивирусом/файрволлом.Тут можно только отослать багрепорт Зайцеву-может он чего исправит=)
Part!zan 20:12 01.10.2008
trox, не, не гвард, драйвер расширенного мониторинга. В общем-то, я не вполне уверен, что он виноват, это отладчик ядра его назвал в качестве вероятной причины бсода... И было это всего один раз... В общем, предлагаю завязать с оффтопом... )
trox 12:40 02.10.2008
Сообщение от Part!zan:
В общем, предлагаю завязать с оффтопом... )
да конечно.ждемс когда ][irurg закроет тему=)
][irurg 13:41 02.10.2008
а вдруг озарение? поймем в чем проблема, а написать негде ?? хотя ладно...
