Перейти к содержанию

Recommended Posts

hnsk

народ помогайте!

сработала защита от изменений

через ssc естественно не могу подключится к первичному серверу.

все клиенты висят на нем же!

в журнале сервера никаких записей нет

за то в логах приложений вот что:

Тип события: Ошибка

Источник события: Symantec AntiVirus

Категория события: Отсутствует

Код события: 45

Дата: 17.10.2009

Время: 12:02:32

Пользователь: NT AUTHORITY\SYSTEM

Компьютер: SDC

Описание:

ПРЕДУПРЕЖДЕНИЕ О ЗАЩИТЕ ОТ ИЗМЕНЕНИЙ

Целевой объект: C:\Program Files\SAV\Rtvscan.exe

Сведения о событии: Приостановить Поток

Выполненное действие: Заблокирован

Процесс-инициатор: C:\WINDOWS\System32\svchost.exe (PID 1800)

Время: 17 октября 2009 г. 12:02:32

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
hnsk

отвечаю сам себе и для тех кто столкнется с такой же проблемой!

и так это действие руткита! берем avz или gmer и все удачно лучится!

тему можно закрыть! спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
STALK:ER
отвечаю сам себе и для тех кто столкнется с такой же проблемой!

и так это действие руткита! берем avz или gmer и все удачно лучится!

тему можно закрыть! спасибо!

а Симантику дать с описанием траблы, дабы спецы над ним поработали???

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
hnsk

хорошая идея :-) тока вот логи avz я по-моему не сохранил.

e-mail symantec'a я найду в документации?!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
STALK:ER
хорошая идея :-) тока вот логи avz я по-моему не сохранил.

e-mail symantec'a я найду в документации?!

вот здесь есть ответы...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
e-mail symantec'a я найду в документации?!

В таком случае всегда нужно обращаться в тех. поддержку. SAV 10 не очень эффективно борется с руткитами, это факт. В SEP 11 же есть специальный антируткит модуль на базе технологии Veritas, поэтому рекомендую по возможности мигрировать на него

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
hnsk

вообщем я обрадовался раньше времени

в воскресенье повторилось тоже самое:

вот логи avz:

Протокол антивирусной утилиты AVZ версии 4.32

Сканирование запущено в 19.10.2009 9:40:47

Загружена база: сигнатуры - 245017, нейропрофили - 2, микропрограммы лечения - 56, база от 16.10.2009 10:16

Загружены микропрограммы эвристики: 374

Загружены микропрограммы ИПУ: 9

Загружены цифровые подписи системных файлов: 148521

Режим эвристического анализатора: Средний уровень эвристики

Режим лечения: включено

Версия Windows: 5.2.3790, Service Pack 2 ; AVZ работает с правами администратора

Восстановление системы: включено

1. Поиск RootKit и программ, перехватывающих функции API

>> Опасно ! Обнаружена маскировка процессов

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Анализ user32.dll, таблица экспорта найдена в секции .text

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

>> Опасно ! Обнаружена маскировка процессов

1.2 Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

SDT найдена (RVA=0AEF20)

Ядро ntoskrnl.exe обнаружено в памяти по адресу 80800000

SDT = 808AEF20

KiST = 8083E5C8 (296)

Функция NtAlertResumeThread (0D) перехвачена (809A5D9E->81CB0B00), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtAlertThread (0E) перехвачена (8091D460->81CB0C78), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtAllocateVirtualMemory (12) перехвачена (808468D6->81CD6470), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtCreateMutant (2D) перехвачена (80917C28->81CB0430), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtCreateThread (37) перехвачена (8093BE07->81D630F8), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtDeleteValueKey (44) перехвачена (8090C66F->F0587350), перехватчик C:\Program Files\Symantec\SYMEVENT.SYS, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtFreeVirtualMemory (57) перехвачена (80851134->81CB1B00), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtImpersonateAnonymousToken (5D) перехвачена (809191F1->81CB05E0), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtImpersonateThread (5F) перехвачена (80925E2F->81CB0788), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtMapViewOfSection (71) перехвачена (809354FA->81C430A8), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtOpenEvent (78) перехвачена (809145C2->81CAF008), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtOpenProcessToken (81) перехвачена (8093A911->81CB1C78), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtOpenThreadToken (87) перехвачена (8093F568->81CB1698), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtQueryValueKey (B9) перехвачена (809316ED->81DB9008), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtResumeThread (D6) перехвачена (8093BBC0->81CCC498), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtSetContextThread (DD) перехвачена (808C039C->81CB1300), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtSetInformationProcess (ED) перехвачена (8093C86D->81CB1810), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtSetInformationThread (EE) перехвачена (8093EEB9->81CB1188), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtSetValueKey (100) перехвачена (8092F3A6->F0587580), перехватчик C:\Program Files\Symantec\SYMEVENT.SYS, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtSuspendProcess (106) перехвачена (809A5CE3->81CAFE70), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtSuspendThread (107) перехвачена (80904D2D->81CB0DF0), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtTerminateProcess (10A) перехвачена (8090E36C->81CB1DF0), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtTerminateThread (10B) перехвачена (8091F8F6->81CB10B0), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtUnmapViewOfSection (115) перехвачена (80935785->81CB1988), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtWriteVirtualMemory (11F) перехвачена (8093C7A3->81BF9430), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Проверено функций: 296, перехвачено: 25, восстановлено: 25

1.3 Проверка IDT и SYSENTER

Анализ для процессора 1

Анализ для процессора 2

CmpCallCallBacks = 00000000

Проверка IDT и SYSENTER завершена

1.4 Поиск маскировки процессов и драйверов

Проверка не производится, так как не установлен драйвер мониторинга AVZPM

Драйвер успешно загружен

1.5 Проверка обработчиков IRP

Проверка завершена

2. Проверка памяти

Количество найденных процессов: 49

Количество загруженных модулей: 374

Проверка памяти завершена

3. Сканирование дисков

4. Проверка Winsock Layered Service Provider (SPI/LSP)

Настройки LSP проверены. Ошибок не обнаружено

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

В базе 317 описаний портов

На данном ПК открыто 191 TCP портов и 25 UDP портов

Проверка завершена, подозрительные порты не обнаружены

7. Эвристичеcкая проверка системы

Проверка завершена

8. Поиск потенциальных уязвимостей

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)

>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)

>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!

>> Безопасность: разрешен автозапуск программ с CDROM

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>> Безопасность: к ПК разрешен доступ анонимного пользователя

Проверка завершена

9. Мастер поиска и устранения проблем

Проверка завершена

Просканировано файлов: 60755, извлечено из архивов: 48214, найдено вредоносных программ 0, подозрений - 0

Сканирование завершено в 19.10.2009 10:02:49

!!! Внимание !!! Восстановлено 25 функций KiST в ходе работы антируткита

Это может нарушить нормальную работу ряда программ, поэтому настоятельно рекомендуется перезагрузить компьютер

Сканирование длилось 00:22:09

Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,

то Вы можете обратиться в конференцию - http://virusinfo.info

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
hnsk

Кирилл Керценбаум

поэтому рекомендую по возможности мигрировать на него

давайте размышлять по-существу.

дело миграции сейчас пока на втором плане

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
STALK:ER
Кирилл Керценбаум

давайте размышлять по-существу.

дело миграции сейчас пока на втором плане

Отключите ПК от сети, пройдитесь антивирами, мигрируйте -> настройте как нужно -> подключите в сеть...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
давайте размышлять по-существу.

Если по существу - открывайте запрос в тех. поддержке, они вышлют утилиту для сбора Точек загрузки, будут разбираться что такое не ловится и почему

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
hnsk

короче просто хотелось бы сейчас локализовать проблему, хотя бы понять откуда зараза лезет, а потом уже думать о миграции и тп!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×