Anonymоus
25-08-2014, 21:53
Здравствуйте. Прошу помощи в диагностике и лечении проблемы, есть подозрения на руткит, описываю хронологию ситуации.
1. Зависает Firefox, не реагирует ни на что. В это же время зависает скайп - окно отображается, но никакие операции с ним не доступны. При попытке вызвать диспетчер задач, подвисает проводник. Симптомы те же - окна переключать могу, но сделать ничего не выходит. Хоткеем вызываю командную строку, прописываю shutdown /r /f /t 0, компьютер уходит в перезагрузку
2. Во время перезагрузки замечаю подозрительное поведение - сразу после самодиагностики, на черном экране с лого Windows, внизу бегут строки. Пробежали очень быстро, что успел выхватить взглядом - "system", "64". Далее - стандартное окно логина в систему, перед логином сообщает мне об обновлении - "Подождите, не выключайте компьютер, идёт обновление Windows". Замечу, что автоматическое обновление у меня отключено, все обновления ставлю вручную. После логина в систему лезу в журнал обновлений, последнее - 16 числа, как раз тогда, когда я и устанавливал его. Вот это "обновление" в журнале не отразилось.
3. Быстрый просмотр запущенных процессов ничего подозрительного не выявил, лезу в журналы Windows и нахожу там два подозрительных (на мой дилетантский взгляд) момента:
Вкладка "Безопасность"
Изменились параметры аудита для объекта.
Предмет:
Идентификатор безопасности: система
Имя учетной записи: APPLEJACK$
Домен учетной записи: 2CH
Идентификатор входа: 0x3e7
Объект:
Сервер объекта: Security
Тип объекта: Device
Имя объекта: \Device\459890D7FA9DAAEE
Идентификатор дескриптора: 0x1bb0
Сведения о процессе:
Идентификатор процесса: 0x4
Имя процесса:
Параметры аудита:
Исходный дескриптор безопасности: S:AI
Новый дескриптор безопасности: S:(ML;;NW;;;S-1-16-0)
Вкладка "Установка"
25.08.2014 19:43:21 Запуск изменения пакета KBWUClient-SelfUpdate-Aux. Текущее состояние - Промежуточное. Целевое состояние - Установлено. Код клиента: WindowsUpdateAgent.
25.08.2014 19:43:25 Чтобы изменить состояние пакета KBWUClient-SelfUpdate-Aux на Установлено, необходимо выполнить перезагрузку.
25.08.2014 19:44:17 Состояние пакета KBWUClient-SelfUpdate-Aux изменено на Установлено.
Так как на обычное обновление это мало похоже, я гуглю название пакета и получаю кучу результатов с различных форумов, где именно этот пакет упоминается в связи с различными руткитами. Сопоставив с описанным выше явно нештатным поведением системы, скачиваю свежий Cure It и проверяю. Нулевой результат, ничего подозрительного. Но так же в сети попалась и информация, датированная 2012 годом, о том, что Microsoft принудительно устанавливает некоторые обновления, невзирая на отключенную пользователем возможность автообновления. Помогите разобраться, это всё же было принудительным обновлением или похоже на зловред?
Логи dds и автологгера из прикрепленной темы сделал, во вложении.
1. Зависает Firefox, не реагирует ни на что. В это же время зависает скайп - окно отображается, но никакие операции с ним не доступны. При попытке вызвать диспетчер задач, подвисает проводник. Симптомы те же - окна переключать могу, но сделать ничего не выходит. Хоткеем вызываю командную строку, прописываю shutdown /r /f /t 0, компьютер уходит в перезагрузку
2. Во время перезагрузки замечаю подозрительное поведение - сразу после самодиагностики, на черном экране с лого Windows, внизу бегут строки. Пробежали очень быстро, что успел выхватить взглядом - "system", "64". Далее - стандартное окно логина в систему, перед логином сообщает мне об обновлении - "Подождите, не выключайте компьютер, идёт обновление Windows". Замечу, что автоматическое обновление у меня отключено, все обновления ставлю вручную. После логина в систему лезу в журнал обновлений, последнее - 16 числа, как раз тогда, когда я и устанавливал его. Вот это "обновление" в журнале не отразилось.
3. Быстрый просмотр запущенных процессов ничего подозрительного не выявил, лезу в журналы Windows и нахожу там два подозрительных (на мой дилетантский взгляд) момента:
Вкладка "Безопасность"
Изменились параметры аудита для объекта.
Предмет:
Идентификатор безопасности: система
Имя учетной записи: APPLEJACK$
Домен учетной записи: 2CH
Идентификатор входа: 0x3e7
Объект:
Сервер объекта: Security
Тип объекта: Device
Имя объекта: \Device\459890D7FA9DAAEE
Идентификатор дескриптора: 0x1bb0
Сведения о процессе:
Идентификатор процесса: 0x4
Имя процесса:
Параметры аудита:
Исходный дескриптор безопасности: S:AI
Новый дескриптор безопасности: S:(ML;;NW;;;S-1-16-0)
Вкладка "Установка"
25.08.2014 19:43:21 Запуск изменения пакета KBWUClient-SelfUpdate-Aux. Текущее состояние - Промежуточное. Целевое состояние - Установлено. Код клиента: WindowsUpdateAgent.
25.08.2014 19:43:25 Чтобы изменить состояние пакета KBWUClient-SelfUpdate-Aux на Установлено, необходимо выполнить перезагрузку.
25.08.2014 19:44:17 Состояние пакета KBWUClient-SelfUpdate-Aux изменено на Установлено.
Так как на обычное обновление это мало похоже, я гуглю название пакета и получаю кучу результатов с различных форумов, где именно этот пакет упоминается в связи с различными руткитами. Сопоставив с описанным выше явно нештатным поведением системы, скачиваю свежий Cure It и проверяю. Нулевой результат, ничего подозрительного. Но так же в сети попалась и информация, датированная 2012 годом, о том, что Microsoft принудительно устанавливает некоторые обновления, невзирая на отключенную пользователем возможность автообновления. Помогите разобраться, это всё же было принудительным обновлением или похоже на зловред?
Логи dds и автологгера из прикрепленной темы сделал, во вложении.