Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
3 Страницы<123
Проблема Отказ в открытии сайтов HTTPS - Проблемы доступа с полным отказом: Generic Root CA
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline Максим Коллегин  
#21 Оставлено : 18 июня 2015 г. 15:20:44(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,396
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 718 раз в 622 постах
Добрался. На машине шпион, жестокий: с доступом к дисплею, клавиатуре, микровону и камере.
Спасибо братьям китайцам за волшебный xuetr (PCHunter) - помог обнаружить. Поскольку от обычных приложений он прячется.
Вот так выглядит в реестре его сервис:
Windows Registry Editor Version 5.00
Код:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SiFilterSvc]
"InstallPath"="C:\\Program Files (x86)\\SearchInformAgent\\SiFilterSvc1\\"
"ESVersion"="5.2.21.49"
"HOST"="GEOCentr.geo.local:8001:0:simh"
"agentid"="13c7413a-824e-44b4-bc1b-b0146fd2bec3"
"Type"=dword:00000010
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"=hex(2):22,00,43,00,3a,00,5c,00,50,00,72,00,6f,00,67,00,72,00,61,00,\
  6d,00,20,00,46,00,69,00,6c,00,65,00,73,00,20,00,28,00,78,00,\
  38,00,36,00,29,00,5c,00,53,00,65,00,61,00,72,00,63,00,68,00,\
  49,00,6e,00,66,00,6f,00,72,00,6d,00,41,00,67,00,65,00,6e,00,\
  74,00,5c,00,53,00,69,00,46,00,69,00,6c,00,74,00,65,00,72,00,\
  53,00,76,00,63,00,31,00,5c,00,53,00,49,00,46,00,69,00,6c,00,\
  74,00,65,00,72,00,53,00,76,00,63,00,2e,00,65,00,78,00,65,00,\
  22,00,00,00
"DisplayName"="SiFilterSvc"
"DependOnService"=hex(7):72,00,70,00,63,00,73,00,73,00,00,00,00,00
"ObjectName"="LocalSystem"
"Description"="Microsolt Corporation Agent Service"
"config_md5"=hex:9d,cb,f5,93,f3,69,b6,40,57,40,42,da,c3,99,68,96
"FullLogTo"=hex:5f,28,ac,e2,57,91,d0,01
"version"="5.2.21.49"
"MaxLogFileSize"=dword:0c800000
"debug"=dword:00000000


Контур Информационной Безопасности

Учетные записи и права

Описание учетных записей, используемых компонентами КИБ, а также прав, необходимых для их нормального функционирования.

Версия 1.1 (24/06/2010)

© SearchInform

Отредактировано пользователем 18 июня 2015 г. 15:22:18(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
Вверх
WWW
thanks 1 пользователь поблагодарил Максим Коллегин за этот пост.
Белый Орёл оставлено 19.06.2015(UTC)
Offline Белый Орёл  
#22 Оставлено : 19 июня 2015 г. 10:07:58(UTC)
Белый Орёл

Статус: Участник

Группы: Участники
Зарегистрирован: 16.06.2015(UTC)
Сообщений: 10
Российская Федерация
Откуда: Калуга

Сказал(а) «Спасибо»: 2 раз
Не смотря на то что сервер SearchInform был удалён с сервера организации с предварительно отключенными сниферами - то есть они, по идеи, должны были не только отключиться, но и удалиться с компьютеров пользователей, что, естественно, исходя из состояния систем, не произошло, насколько я понимаю, SEarchInform предполагает, что в дальнейшем он будет заново активирован, поэтому сервисы остаются в "спящем" состоянии. (http://www.xuetr.com/download/)
Что произошло - можно только предположить - видимо после 3 дней неактивности компьютеров службы SearchInform не смогли "пережить" такое и попытались активировать хоть что-нибудь. В результате мы получили сервис преобразования сертификатов - служба сниферров начала генерировать свои собственные при обращении к защищённым сайтам. Причём все сервисы SearchInforma, по умолчанию, скрыты не только от пользователя, но и от всех "простых" программ проверки запущенных процессов в штатном режиме.
Итак приступаем к чистке системы от "зловреда".
1) Перезагружаем компьютер и входим в БЕЗОПАСНЫЙ РЕЖИМ. Обратите внимание если компьютер отдельно стоящий то позиция входа не важна, но если есть сеть, а тем более если она доменная входим в БЕЗОПАСНЫЙ РЕЖИМ С ПОДДЕРЖКОЙ СЕТИ.
2) Запускаем файловый менеджер (Проводник для этих целей хуже) и вручную удаляем папки с названием SearchInformAgent, которые находятся в папках: C:\Program Files, C:\Users\All Users (может и отсутствовать).
3) Запускаем regedit32.exe и удаляем все ветки реестра в которых содержится строка SearchInform (Искать именно по полному названию). После удаления веток реестра останется только одна: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths её бросаем так как доступ сложно открыть, а, к тому же, она просто отключает возможность проверки файлов и процессов SearchInform программой Windows Defender. Iz reestra.txt (12kb) загружен 9 раз(а). killserviceSI.reg (5kb) загружен 7 раз(а).
4) Еслы вы ставили SearchInform в полном составе при наличии серверной версии антивирусной защиты следует зайти в интерфейс управления сервера антивируса и вычистить все исключения, которые были внесены для правильного функционирования SearchInform. Iskljuchenija dlja antivirusa.txt (3kb) загружен 7 раз(а).
5) Перезагружаем компьютер в нормальном режиме.
6) Необязательно - проверяем и чистим реестр.
7) Всё должно заработать.
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
3 Страницы<123
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET