none
Windows XP Professional SP2 - Bezduvodny narust vyuziti systemovych prostredku

    Obecná diskuse

  • Dobry den.

    Pisi protoze mam maly problem s Windows XP Professional SP2. Instalace je zhruba pul roku stara, vyuzivana minimalne, na starem desktopu (Intel Pentium II Katmai@450MHz, 256MB RAM). System jsem upravou nekterych polozek v services optimalizoval tak, ze samotny beh systemu se drzel okolo 0-2% CPU load a 87,5MB@RAM. V teto konfiguraci system bezel bezproblemove vyse zminenou dobu do vcerejsiho vecera. Vcera po startu GUI jsem zaznamenal trhavy pohyb kurzoru a extremne dlouhe reakce mezi incializaci procesu a vykreslenim okna. Zkontroloval jsem task manager -> CPU load 96%(necinne procesy systemu) a 145MB@RAM (nejvice mel explorer - 6MB - ?). Chapu ze tento popis je vysoce abstraktni ale presto vas poprosim o radu nebo o typ. Tento system je obcasne pripojeny k siti, znamy si mysli ze by mohlo dojit k napadeni a zacleneni do BOTnetu. Avira Antivir Free nenasel zadnou infekci. Dnes jsem system kontroloval znova, v "performance" zalozce task manageru -> CPU load 0-2% avsak vyuziti RAM stale neoduvodnitelnych 147MB, v zalozce "processes" stale ukazuje 96% CPU load u necinnych procesu systemu (tedy rozpor mezi dvema ukazateli). Monitoring site nevykazuje zadny provoz. Pred kritickym dnem nedoslo k instalaci zadneho SW ani uprave v systemu.

    Diky za odpoved

    s uctou Jan A.
    • Upravený jan.a 9. června 2009 18:53
    9. června 2009 18:48

Všechny reakce

  • DOBRE psany malware NEODHALIS. Tedy rozhodne ne naivnim pokusem o jeho detekci z beziciho a nakazeneho OS - vyuziva STEALTH / rootkit techniky. ROZHODNE jej neuvidis v processes/threads/services .. a pravdepodobne ani v netstat.

    Takze:
    - precejen zkus pro zacatek netstat
    - kontrola totoznosti primary a backup MBR a dalsich zalezitosti
    - boot z PE media a "offline" sken disku
    - zapoj HUB nebo promiskujici switch mezi komp a sit a nejakym prostredkem (MS Network Monitor, Wireshark) se podivej zda neco tece do "botnetu" a pod.

    MP

    9. června 2009 20:15
    Moderátor
  • Koukal jsem jen zbezne na vystup z netstat -a -b a vsechno vypada v poradku. Vzhledem k tomu ze nemam zadne data potrebne zalohovat tak se asi rozhodnu k nejsnazssi ceste. Chtel jsem si jen overit hypotezu ze jedna o zasah treti strany :).

    Kazdopadne diky za vas cas a snahu.

    P.S.: Mozna by se hodilo nejake doporuceni pro priste. Jestli muzete.

    jeste jednou Diky.

    s uctou Jan A.
    9. června 2009 22:53
  • Ahoj,
    - v eventlogu nic?
    - klasicke pru.ery typu konflikt prostredku (IRQ), vypadek DMA modu disku, problem disku (SMART) ... nic?
    - offline sken na malware nic?
    - zadna sluzba nepribyla? opet - OFFLINE tzn. nejlepe nabootovat z PE media a mrknout se do system32\drivers na pribyvsi soubory, pripojit si registr a podivat se do vsech RUN  vetvi ...

    MP
    11. června 2009 8:04
    Moderátor