hnsk

защита от изменений

В этой теме 11 сообщений

народ помогайте!

сработала защита от изменений

через ssc естественно не могу подключится к первичному серверу.

все клиенты висят на нем же!

в журнале сервера никаких записей нет

за то в логах приложений вот что:

Тип события: Ошибка

Источник события: Symantec AntiVirus

Категория события: Отсутствует

Код события: 45

Дата: 17.10.2009

Время: 12:02:32

Пользователь: NT AUTHORITY\SYSTEM

Компьютер: SDC

Описание:

ПРЕДУПРЕЖДЕНИЕ О ЗАЩИТЕ ОТ ИЗМЕНЕНИЙ

Целевой объект: C:\Program Files\SAV\Rtvscan.exe

Сведения о событии: Приостановить Поток

Выполненное действие: Заблокирован

Процесс-инициатор: C:\WINDOWS\System32\svchost.exe (PID 1800)

Время: 17 октября 2009 г. 12:02:32

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

отвечаю сам себе и для тех кто столкнется с такой же проблемой!

и так это действие руткита! берем avz или gmer и все удачно лучится!

тему можно закрыть! спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
отвечаю сам себе и для тех кто столкнется с такой же проблемой!

и так это действие руткита! берем avz или gmer и все удачно лучится!

тему можно закрыть! спасибо!

а Симантику дать с описанием траблы, дабы спецы над ним поработали???

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

хорошая идея :-) тока вот логи avz я по-моему не сохранил.

e-mail symantec'a я найду в документации?!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
хорошая идея :-) тока вот логи avz я по-моему не сохранил.

e-mail symantec'a я найду в документации?!

вот здесь есть ответы...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
e-mail symantec'a я найду в документации?!

В таком случае всегда нужно обращаться в тех. поддержку. SAV 10 не очень эффективно борется с руткитами, это факт. В SEP 11 же есть специальный антируткит модуль на базе технологии Veritas, поэтому рекомендую по возможности мигрировать на него

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

вообщем я обрадовался раньше времени

в воскресенье повторилось тоже самое:

вот логи avz:

Протокол антивирусной утилиты AVZ версии 4.32

Сканирование запущено в 19.10.2009 9:40:47

Загружена база: сигнатуры - 245017, нейропрофили - 2, микропрограммы лечения - 56, база от 16.10.2009 10:16

Загружены микропрограммы эвристики: 374

Загружены микропрограммы ИПУ: 9

Загружены цифровые подписи системных файлов: 148521

Режим эвристического анализатора: Средний уровень эвристики

Режим лечения: включено

Версия Windows: 5.2.3790, Service Pack 2 ; AVZ работает с правами администратора

Восстановление системы: включено

1. Поиск RootKit и программ, перехватывающих функции API

>> Опасно ! Обнаружена маскировка процессов

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Анализ user32.dll, таблица экспорта найдена в секции .text

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

>> Опасно ! Обнаружена маскировка процессов

1.2 Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

SDT найдена (RVA=0AEF20)

Ядро ntoskrnl.exe обнаружено в памяти по адресу 80800000

SDT = 808AEF20

KiST = 8083E5C8 (296)

Функция NtAlertResumeThread (0D) перехвачена (809A5D9E->81CB0B00), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtAlertThread (0E) перехвачена (8091D460->81CB0C78), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtAllocateVirtualMemory (12) перехвачена (808468D6->81CD6470), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtCreateMutant (2D) перехвачена (80917C28->81CB0430), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtCreateThread (37) перехвачена (8093BE07->81D630F8), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtDeleteValueKey (44) перехвачена (8090C66F->F0587350), перехватчик C:\Program Files\Symantec\SYMEVENT.SYS, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtFreeVirtualMemory (57) перехвачена (80851134->81CB1B00), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtImpersonateAnonymousToken (5D) перехвачена (809191F1->81CB05E0), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtImpersonateThread (5F) перехвачена (80925E2F->81CB0788), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtMapViewOfSection (71) перехвачена (809354FA->81C430A8), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtOpenEvent (78) перехвачена (809145C2->81CAF008), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtOpenProcessToken (81) перехвачена (8093A911->81CB1C78), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtOpenThreadToken (87) перехвачена (8093F568->81CB1698), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtQueryValueKey (B9) перехвачена (809316ED->81DB9008), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtResumeThread (D6) перехвачена (8093BBC0->81CCC498), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtSetContextThread (DD) перехвачена (808C039C->81CB1300), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtSetInformationProcess (ED) перехвачена (8093C86D->81CB1810), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtSetInformationThread (EE) перехвачена (8093EEB9->81CB1188), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtSetValueKey (100) перехвачена (8092F3A6->F0587580), перехватчик C:\Program Files\Symantec\SYMEVENT.SYS, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtSuspendProcess (106) перехвачена (809A5CE3->81CAFE70), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtSuspendThread (107) перехвачена (80904D2D->81CB0DF0), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtTerminateProcess (10A) перехвачена (8090E36C->81CB1DF0), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtTerminateThread (10B) перехвачена (8091F8F6->81CB10B0), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtUnmapViewOfSection (115) перехвачена (80935785->81CB1988), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtWriteVirtualMemory (11F) перехвачена (8093C7A3->81BF9430), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Проверено функций: 296, перехвачено: 25, восстановлено: 25

1.3 Проверка IDT и SYSENTER

Анализ для процессора 1

Анализ для процессора 2

CmpCallCallBacks = 00000000

Проверка IDT и SYSENTER завершена

1.4 Поиск маскировки процессов и драйверов

Проверка не производится, так как не установлен драйвер мониторинга AVZPM

Драйвер успешно загружен

1.5 Проверка обработчиков IRP

Проверка завершена

2. Проверка памяти

Количество найденных процессов: 49

Количество загруженных модулей: 374

Проверка памяти завершена

3. Сканирование дисков

4. Проверка Winsock Layered Service Provider (SPI/LSP)

Настройки LSP проверены. Ошибок не обнаружено

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

В базе 317 описаний портов

На данном ПК открыто 191 TCP портов и 25 UDP портов

Проверка завершена, подозрительные порты не обнаружены

7. Эвристичеcкая проверка системы

Проверка завершена

8. Поиск потенциальных уязвимостей

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)

>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)

>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!

>> Безопасность: разрешен автозапуск программ с CDROM

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>> Безопасность: к ПК разрешен доступ анонимного пользователя

Проверка завершена

9. Мастер поиска и устранения проблем

Проверка завершена

Просканировано файлов: 60755, извлечено из архивов: 48214, найдено вредоносных программ 0, подозрений - 0

Сканирование завершено в 19.10.2009 10:02:49

!!! Внимание !!! Восстановлено 25 функций KiST в ходе работы антируткита

Это может нарушить нормальную работу ряда программ, поэтому настоятельно рекомендуется перезагрузить компьютер

Сканирование длилось 00:22:09

Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,

то Вы можете обратиться в конференцию - http://virusinfo.info

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Кирилл Керценбаум

поэтому рекомендую по возможности мигрировать на него

давайте размышлять по-существу.

дело миграции сейчас пока на втором плане

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

давайте размышлять по-существу.

дело миграции сейчас пока на втором плане

Отключите ПК от сети, пройдитесь антивирами, мигрируйте -> настройте как нужно -> подключите в сеть...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
давайте размышлять по-существу.

Если по существу - открывайте запрос в тех. поддержке, они вышлют утилиту для сбора Точек загрузки, будут разбираться что такое не ловится и почему

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

короче просто хотелось бы сейчас локализовать проблему, хотя бы понять откуда зараза лезет, а потом уже думать о миграции и тп!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Wenderoy
      Обновляю: https://mega.nz/#!0FYBnRzT!Kh8GaRMVOzm99QJZX0NsDD51vDaFzPI-Vil02kw53rQ
    • Sergey22101979s
      Площадку надо свою делать и развивать её. А потом продавать места на ней. И не важно какую площадку - сайт, группу в соцсети, или что-то тому подобное.
    • homeobed
      На дому за копейки работать - дело нехитрое) Вот чтобы зарабатывать приличные деньги, на одних комментариях далеко не уедешь)
    • Mike
      Вышел McAfee VirusScan Enterprise 8.8.0 Patch 10  
    • Wenderoy
      Да, лучше удалить. Но это, разумеется, решает администрация... Я никакой не тролль, ANDYBOND прекрасно это понимает, просто именно с ним был разлад безо всякой причины, подробности приводить не буду, но теперь он старается как можно больше "навредить" мне. Собственно, вот отзывы про PS - https://www.mywot.com/ru/scorecard/provisionsecurity.ru Думаю, комментарии будут излишними. Есть очень много свидетелей, которых "примерная" администрация Provisionsecurity даже "поливала" нецензурной лексикой, у меня есть все скриншоты и т. д. И после всего этого надо подумать, а стоит ли верить таким людям? Это я в качестве отступления. Главное - то, что я устал здесь распинаться, тратя свое личное время, что идет только на руку уже упомянутым участниками форума. Все, что мне надо было доказать, я доказал, пользователи моего приложения знают и понимают мои цели и стремления, я ни от кого ничего не скрываю. Поэтому программу уже используют многие, а это значит, что дело поставлено на рельсы. Самое смешное, что на каждый мой аргумент, который я не поленился снабдить всей необходимой информацией в форме ссылок, скриншотов, записей, копий писем, сообщений лабораторий etc, в ответ мне летят одни и те же фразы: "мошенник", "вирусописатель", "тролль". Так кто же больше попадает под значение последнего слова? Просто упомяну еще пару вещей. Когда я объяснял, почему продукт детектит пустой файл, все равно меня никто не слышал. Каким же, интересно, образом мне следует растолковать это? Были приведены доказательства, что я часть баз собираю с ресурса VirusShare (благо, имеются очень хорошие источники самой разнообразной информации), где AVP в свое время почему-то пометил файл как Trojan... (где-то на предыдущих страницах все чрезвычайно подробно описано). Так вот, копируя MD5, в комплект попала и хеш-сумма пустого файла, вследствие чего как бы Вы его ни переименовывали, все рано будет сработка продукта (кстати, ее уже нет). Далее. Насчет "мошенник" и "вирусописатель". Если зимние переписки (не просто отчетов автоматического анализа лабораторий) с вирусным аналитиком McAfee ни о чем Вам не говорят, это, как говорится, не мои проблемы. Другие вендоры, да практически все (даже популярные Avast, Qihoo и др.) устанавливаются втихомолку вместе с другим ПО (DRP Solutions, различные дополнения для монетизации в пакеты дистрибутивов), но их Вы почему-то "вирусописателями"  не называете. И последнее. Насчет "мошенник". Я никого не принуждаю устанавливать KAR, каждый делает это добровольно. Лицензионное соглашение и Privacy Statment присутствуют на сайте, там все четко и ясно описано. На сервер высылаются исключительно анонимные отчеты, как и в любых других разработках аналогичного типа, не более того.  Kuranin Anti-Ransomware распространяется абсолютно бесплатно, никакой рекламы ни в продукте, ни даже на сайте, т. к. это мое хобби. Поэтому здесь не вижу ничего, связанного с мошенничеством. Это очень краткое обобщение, все мои подробные ночные отписки на однотипные бессмысленные сообщения можно посмотреть, листая предыдущие ни много ни мало двенадцать страниц. @VMS, радует, что еще есть адекватные люди, которые умеют слушать. Да, к сожалению, это не те времена, когда жизнь кипела в каждом уголке Anti-Malware и других подобных форумов. Обидно, что перевились разработчики-добровольцы, которые были очень активны в 2004-2014 годах. Сейчас в основном крупные компании все вытеснили, да есть те, кто просто сдался (Александр Калинин, его судьба мне не известна, но смею предположить, что он воплотил свое хобби в жизнь; Kerish, который, правда, стал чрезвычайно полезной утилитой Kerish Doctor, а ведь совсем немногие знают прошлое этого творения; ScreamAV, бесплатныq антивирус то ли из Индонезии, то ли с Филиппин; путем долгого анализа удалось выяснить, что создатели данного антивируса примкнули к проекту SmadAV;  SMK антивирус, когда-то известный в узких кругах; "Зоркий глаз" Петелина Александра;  AWS Core, приостановивший свое развитие и т. п.) Вообще обожаю древние сайты, особенно варианты на narod.ru и им подобные, пропахшие стариной и историей. Очень приятные ощущения, как будто бы открыл давно забытую, но вновь найденную на чердаке книгу с пожелтевшими от времени листами.  А еще очень много полезных ресурсов, которых уже нет, но они сохранились в "архиве". Все это "богатство" сложно отыскать, но зато там есть чрезвычайно много полезной информации... Вот, кстати, один из примеров: https://web.archive.org/web/20040905203536/http://www.winchanger.narod.ru:80/ Или https://web.archive.org/web/20070624081145/http://winchanger.whatis.ru:80/ Как бонус прилагаю собственную коллекцию малоизвестных продуктов любителей информационной безопасности, среди них, кстати, все вышеупомянутые образцы! https://mega.nz/#!tZBkkCKa!0WzfYt4A1zK4aCvVLtu3FLt7pfPIp7wWtyPIr9c-cbo Может, кому пригодится...