我的显示器上有一个 Microsoft LifeCam HD。今天,完全出乎意料,它的灯亮了——它发生时我只是在浏览网页(在 Chrome 中)。大约 5 分钟后,网络摄像头关闭。
当然,我立即怀疑我的前妻(如果有疑问,我总是怀疑她),但她对计算机的了解不够。
我查看了进程列表,没有看到任何可疑的东西。我正在运行几个开源项目和免费应用程序(例如,greenshot、powermenu、supertray),但我已经拥有它们多年了。Autoruns 在启动时没有报告任何可疑情况,Windows Defender 也没有报告。
无论如何,它可能是什么?我接下来应该看什么?
我使用带有多个 OpenVZ 容器的 Debian Squeeze 运行服务器。容器主要运行 Squeeze,一些 Lenny,还有一些已经更新到 Wheezy。除了 iptables 和 DHCP 之外,主机并没有做太多事情。文件服务器、代理、邮件服务器、kerberos、LDAP ……都被放入容器中。系统运行稳定多年,一年多除了一些防火墙规则外,没有大的变化。
2天前突然系统崩溃了。我有很多问题再次提出它。起初它不会让我通过 ssh 登录。root 登录被“你不存在”拒绝。离开!' 本地登录没问题。一段时间后 ssh 又开始工作了。巧合的是,我没有重新使用 bash 历史记录中的行,而是输入了一个新命令,该命令三次检查与该行相同,该行之前不起作用但在崩溃前起作用。
然后系统运行,但大多数协议上的网络流量在 SYN ACK 后被阻止。DNS、Telnet 和 SSH 都很好,但其余的就一团糟。在黑暗中钓鱼几个小时并重新加载防火墙几次后,突然一切都恢复正常了。我在日志中找不到任何可疑的东西 - 但我不是法医专家。
今天,由于容器配额,文件服务器的 nscd 耗尽了套接字以联系 LDAP。以前从未发生过的事情。我还看到了很多(> 30 个)smbd 声明的套接字。
/var/log/messages 看起来与syslog非常相似。/var/log/kern.log 有关于崩溃原因的附加信息:
/var/log/kern.log:2950:Sep 19 10:46:57 asgard kernel: [6529441.320086] INFO: task sendmail:32181 blocked for more than 120 seconds.
/var/log/kern.log:2982:Sep 19 10:48:57 asgard kernel: [6529561.324525] INFO: task kdmflush:1932 blocked for more than 120 seconds.
/var/log/kern.log:3005:Sep 19 10:48:57 asgard kernel: [6529561.324694] …我的 HP 笔记本电脑出现奇怪的问题。最近开始出现这种情况。每当我启动我的机器时,Windows 7 操作中心都会显示以下警告:
您需要重新启动计算机才能关闭 UAC。
实际上,如果在特定日期发生一次,则不会发生这种情况。比如我早上开机的时候,就出现了;但它从未出现在当天的后续重启中。第二天,同样的事情再次发生。
我从不禁用 UAC,但显然是某些 rootkit 或病毒导致了这种情况。收到此警告后,我立即前往 UAC 设置,并重新启用 UAC 以消除此警告。这是一个麻烦的情况,因为我无法解决它。
首先,我对计算机运行了全面扫描,以查找任何可能的病毒和恶意软件/rootkit 活动,但趋势科技防毒墙网络版表示未发现病毒。我使用 Windows 系统还原去了一个旧的还原点,但问题没有解决。
到目前为止我尝试过的(找不到rootkit):
机器上没有其他奇怪的活动。除了这个奇怪的事件外,一切正常。
这个烦人的rootkit的名字是什么?如何检测并删除它?
编辑:以下是 HijackThis 生成的日志文件:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:07:04, on 17.01.2011
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16700)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskhost.exe …以下条目显示在我的 PC 上的 DriverView 中:
这些文件不存在或被隐藏。
我没有在网上找到有关这些文件的任何具体信息。有人知道他们是否合法吗?
操作系统是 Windows 7 专业版。
谢谢。
我的家庭网络经常出现故障,我已将问题缩小到我的 ubuntu 机器上。
$ ps -ef | grep elastic
elastic+ 11183 1 0 8?10 ? 00:07:49 [.ECC6DFE919A382]
eugenek+ 14482 14453 0 22:08 pts/19 00:00:00 grep elastic
elastic+ 20208 1 0 8?07 ? 00:01:35 [.......]
elastic+ 24398 1 0 8?08 ? 00:01:20 [SSHD]
elastic+ 24745 1 4 10:44 ? 00:27:29 /tmp/.Udelo
elastic+ 27895 1 0 8?09 ? 00:00:47 [.......]
elastic+ 28652 1 0 8?09 ? 00:00:46 [.......]
elastic+ 31127 1 0 8?09 ? 00:00:41 [.......]
elastic+ 31223 1 0 8?07 ? …回答这个问题“任务管理器显示100%的CPU使用率,但没有在进程列表中呢。” ,Paul Woodward表示,他的 CPU 100% 问题是一个感染了他的计算机的 Rootkit。我的电脑似乎也遇到了同样的问题。
您推荐使用哪种 Windows XP 软件来检测和删除 rootkit?
所以我在我的 EEE 电脑上安装了有问题的操作系统,它要求我降级 BIOS,我真的不是专家。我使用了一个补丁,它似乎有效。
现在,我对降级感到偏执,因为老实说,我不知道代码来自哪里或其中可能包含什么。
那么,我的问题是,是否可以使用我的 BIOS 完全“重新开始”?就像清除可能是恶意的 BIOS 并返回到制造商提供的 BIOS 一样?
有没有人做过类似的事情?我只想将 Ubuntu Netbook Remix 安装到 EEE pc 1000,但我想确保 BIOS 是安全的。
任何建议都会有很大帮助,还是我只是超级偏执?BIOS绝对不是我的强项。
我有一台明显被感染的机器,当我运行 MalwareBytes 时,它告诉我它发现了一些“恶意”注册表项(令人惊讶的是,这些包含当前不存在的 javascript 文件的文件路径)。但是,仅此而已。完整扫描未发现任何恶意文件或内存中的恶意隐藏进程。就像,也许(隐藏?)进程出于某种原因定期将击键(热键?)注入到当前打开的任何窗口中。
然后在另一台没有明显感染的机器上,它发现了一个“malware.trace”注册表项,但同样没有文件或进程等。
这与人们对 MalwareBytes 的体验有何不同?它是否通常会发现感染的注册表项症状,但仅此而已?或者没有感染但仍然存在一些恶意注册表项是很常见的事情吗?
我需要在使用一些用过的硬盘驱动器之前对其进行擦除,以防它们包含恶意软件。移除主机保护区是否安全?
HPA 是用来存储备用扇区的吗?它只有 1 MB,但可能包含恶意软件。HPA 可以擦除然后恢复吗?如果它消失了,会损害驱动器的运行吗?或者没有 HPA 更安全,因为恶意软件无法隐藏在那里?
有许多专门的反恶意软件应用程序,即:
等等。什么样的免费 Windows 工具组合可以保护我免受任何类型的恶意软件的侵害?
有没有工具可以检查Win7系统文件的完整性并搜索无效或更改的文件。我想找到系统上安装的 rootkit 更改了哪些文件。如果存在一些带有系统文件名和相应哈希值的数据库(原始并由 Windows 更新更新),那就太好了。
我有 Windows 7,NTFS 硬盘。我检测到 rootkit 文件,但无法通过 Windows 资源管理器删除它们,显然是因为它们不可见。是否有其他一些文件浏览器正在使用低级函数调用,降低 win api,以便我可以在删除之前尝试查看和研究这些文件。我知道确切的位置。我知道我可以加载一些实时 CD 并删除它们,但我想知道第一个可能的解决方案。
rootkit ×12
windows-7 ×5
virus ×3
windows ×3
malware ×2
security ×2
anti-malware ×1
anti-spyware ×1
anti-virus ×1
bios ×1
crash ×1
debian ×1
drivers ×1
filesystems ×1
hard-drive ×1
hdparm ×1
linux ×1
reinstall ×1
spyware ×1
uac ×1
ubuntu ×1
webcam ×1
windows-xp ×1