На других 3 компьютерах в моей семье я считаю, что у нас есть руткит в режиме ядра для Windows.
Похоже, что один и тот же руткит есть на всех них. Мы думаем.
Мы поменяли все важные пароли с моего компьютера, сейчас работали под Linux.
На всех зараженных компьютерах установлена Symantic Endpoint Protection, потому что она свободна от университета, в котором работают мои мама и папа. На мой взгляд, Symantec - это просто дерьмо, поскольку он даже не удалял файлы cookie для отслеживания, которые он обнаружил, когда попробовал его на своем компьютере.
Компьютеры и их установки:
Компьютер A: Vista Business; антивирус Symantec. запускается как администратор, без пароля. IE8. нет другого программного обеспечения для обеспечения безопасности, кроме того, что поставляется с Windows. Настройки безопасности IE8 по умолчанию
Компьютер B: XP Home Premium; антивирус Symantec. работает как обычный пользователь, без пароля, учетная запись администратора со слабым паролем, spybot, использует IE8 с настройками по умолчанию, иногда Firefox
Компьютер C: XP Home Premium; антивирус Symantec. работает как обычный пользователь, без пароля, учетная запись администратора со слабым паролем, использует IE8 с настройками по умолчанию, никаких других программ безопасности, кроме тех, которые поставляются с Windows
Это то, что происходит. Вырезать и вставить из сообщения на форуме моего отца.
-
Когда я сканировал свой ноутбук (Dell XPS M1330 с Windows Vista Small Business), Symantec Endpoint Protection на некоторое время зависает, возможно, на 10 секунд или более, на некоторых из следующих файлов 9129837.exe, hide_evr2.sys, VirusRemoval.vbs, NewVirusRemoval. vbs, dll.dll, alsmt.ext и _epnt.sys. Он делает это, если запускает сканирование, которое я настроил для запуска на новом диске миниатюр, и делает это, даже если миниатюра не подключена. Кажется, он этого не делает, если я сканирую только диск C:. Я проверил наличие проблем с защитой конечных точек Symantec, а также с Microsoft Security Essentials и Malwarebytes Anti-Malware. Они ничего не нашли, и я ничего не могу найти, ища скрытые файлы. Затем я попробовал rootkitrevealer от Microsoft. Он (rootkitrevealer) обнаружил 279660 (или около того) несоответствий, и после этого интерфейс стал таким глючным, что я не могу понять, что происходит. Экран блеклый. Rootkitrevealer извлекает много файлов из папки \programdata \applicationdata, и в конце этого файла также находятся многочисленные добавленные \applicationdata.
-
Как видите, мы установили MSE и MBAM и сканировали их обоих. Ничего, кроме файла cookie для отслеживания. Тогда я взял на себя и запустил rootkitrevealer.exe от MicroSoft с флешки. Он обнаружил кучу несоответствий, но только около 20 или около того, где связанные с безопасностью, остальные были файлы, которые вы просто не могли видеть из проводника Windows. Я не мог видеть, нет ли списка файлов выше, тех, на которых зависло сканирование, где-то в списке. Другое дело, я понятия не имею, что делать с вещами, которые предлагает сканирование.
Затем мы проверили другие компьютеры, и они делают то же самое при сканировании с помощью Symantec.
Люди в университете думали, что у папы, возможно, нет вируса, но два компьютера заметно замедлились, и IE8 начал вести себя очень забавно.
Ни одна из моей семьи не очень ориентирована на компьютер, и 2 из возможных причин руткита:
-Мой папа купил новую флешку, которая поставлялась с исполняемым файлом безопасности данных -Мой папа должен загрузить много статей для своей работы
Это единственные вещи, которые выделяются, но это могло быть что угодно.
Что мне делать с USB и картами памяти камеры, которые я вставил в эти компьютеры?
В настоящее время мы создаем резервные копии наших данных, и я опубликую их снова после попытки использования IceSword 1.22. Я только что посмотрел на тему форума моего отца, и кто-то порекомендовал GMER. Я тоже попробую.
Мы просто выяснили, что происходит. Symantec работает нормально, а медленные компьютеры работают с некоторыми новыми услугами / программным обеспечением. По крайней мере, теперь у меня есть родители, использующие Ubuntu LiveCD для банковских операций.