Перейти к содержанию

Recommended Posts

hnsk

народ помогайте!

сработала защита от изменений

через ssc естественно не могу подключится к первичному серверу.

все клиенты висят на нем же!

в журнале сервера никаких записей нет

за то в логах приложений вот что:

Тип события: Ошибка

Источник события: Symantec AntiVirus

Категория события: Отсутствует

Код события: 45

Дата: 17.10.2009

Время: 12:02:32

Пользователь: NT AUTHORITY\SYSTEM

Компьютер: SDC

Описание:

ПРЕДУПРЕЖДЕНИЕ О ЗАЩИТЕ ОТ ИЗМЕНЕНИЙ

Целевой объект: C:\Program Files\SAV\Rtvscan.exe

Сведения о событии: Приостановить Поток

Выполненное действие: Заблокирован

Процесс-инициатор: C:\WINDOWS\System32\svchost.exe (PID 1800)

Время: 17 октября 2009 г. 12:02:32

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
hnsk

отвечаю сам себе и для тех кто столкнется с такой же проблемой!

и так это действие руткита! берем avz или gmer и все удачно лучится!

тему можно закрыть! спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
STALK:ER
отвечаю сам себе и для тех кто столкнется с такой же проблемой!

и так это действие руткита! берем avz или gmer и все удачно лучится!

тему можно закрыть! спасибо!

а Симантику дать с описанием траблы, дабы спецы над ним поработали???

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
hnsk

хорошая идея :-) тока вот логи avz я по-моему не сохранил.

e-mail symantec'a я найду в документации?!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
STALK:ER
хорошая идея :-) тока вот логи avz я по-моему не сохранил.

e-mail symantec'a я найду в документации?!

вот здесь есть ответы...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
e-mail symantec'a я найду в документации?!

В таком случае всегда нужно обращаться в тех. поддержку. SAV 10 не очень эффективно борется с руткитами, это факт. В SEP 11 же есть специальный антируткит модуль на базе технологии Veritas, поэтому рекомендую по возможности мигрировать на него

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
hnsk

вообщем я обрадовался раньше времени

в воскресенье повторилось тоже самое:

вот логи avz:

Протокол антивирусной утилиты AVZ версии 4.32

Сканирование запущено в 19.10.2009 9:40:47

Загружена база: сигнатуры - 245017, нейропрофили - 2, микропрограммы лечения - 56, база от 16.10.2009 10:16

Загружены микропрограммы эвристики: 374

Загружены микропрограммы ИПУ: 9

Загружены цифровые подписи системных файлов: 148521

Режим эвристического анализатора: Средний уровень эвристики

Режим лечения: включено

Версия Windows: 5.2.3790, Service Pack 2 ; AVZ работает с правами администратора

Восстановление системы: включено

1. Поиск RootKit и программ, перехватывающих функции API

>> Опасно ! Обнаружена маскировка процессов

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Анализ user32.dll, таблица экспорта найдена в секции .text

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

>> Опасно ! Обнаружена маскировка процессов

1.2 Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

SDT найдена (RVA=0AEF20)

Ядро ntoskrnl.exe обнаружено в памяти по адресу 80800000

SDT = 808AEF20

KiST = 8083E5C8 (296)

Функция NtAlertResumeThread (0D) перехвачена (809A5D9E->81CB0B00), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtAlertThread (0E) перехвачена (8091D460->81CB0C78), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtAllocateVirtualMemory (12) перехвачена (808468D6->81CD6470), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtCreateMutant (2D) перехвачена (80917C28->81CB0430), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtCreateThread (37) перехвачена (8093BE07->81D630F8), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtDeleteValueKey (44) перехвачена (8090C66F->F0587350), перехватчик C:\Program Files\Symantec\SYMEVENT.SYS, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtFreeVirtualMemory (57) перехвачена (80851134->81CB1B00), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtImpersonateAnonymousToken (5D) перехвачена (809191F1->81CB05E0), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtImpersonateThread (5F) перехвачена (80925E2F->81CB0788), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtMapViewOfSection (71) перехвачена (809354FA->81C430A8), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtOpenEvent (78) перехвачена (809145C2->81CAF008), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtOpenProcessToken (81) перехвачена (8093A911->81CB1C78), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtOpenThreadToken (87) перехвачена (8093F568->81CB1698), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtQueryValueKey (B9) перехвачена (809316ED->81DB9008), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtResumeThread (D6) перехвачена (8093BBC0->81CCC498), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtSetContextThread (DD) перехвачена (808C039C->81CB1300), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtSetInformationProcess (ED) перехвачена (8093C86D->81CB1810), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtSetInformationThread (EE) перехвачена (8093EEB9->81CB1188), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtSetValueKey (100) перехвачена (8092F3A6->F0587580), перехватчик C:\Program Files\Symantec\SYMEVENT.SYS, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtSuspendProcess (106) перехвачена (809A5CE3->81CAFE70), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtSuspendThread (107) перехвачена (80904D2D->81CB0DF0), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtTerminateProcess (10A) перехвачена (8090E36C->81CB1DF0), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtTerminateThread (10B) перехвачена (8091F8F6->81CB10B0), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtUnmapViewOfSection (115) перехвачена (80935785->81CB1988), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtWriteVirtualMemory (11F) перехвачена (8093C7A3->81BF9430), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Проверено функций: 296, перехвачено: 25, восстановлено: 25

1.3 Проверка IDT и SYSENTER

Анализ для процессора 1

Анализ для процессора 2

CmpCallCallBacks = 00000000

Проверка IDT и SYSENTER завершена

1.4 Поиск маскировки процессов и драйверов

Проверка не производится, так как не установлен драйвер мониторинга AVZPM

Драйвер успешно загружен

1.5 Проверка обработчиков IRP

Проверка завершена

2. Проверка памяти

Количество найденных процессов: 49

Количество загруженных модулей: 374

Проверка памяти завершена

3. Сканирование дисков

4. Проверка Winsock Layered Service Provider (SPI/LSP)

Настройки LSP проверены. Ошибок не обнаружено

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

В базе 317 описаний портов

На данном ПК открыто 191 TCP портов и 25 UDP портов

Проверка завершена, подозрительные порты не обнаружены

7. Эвристичеcкая проверка системы

Проверка завершена

8. Поиск потенциальных уязвимостей

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)

>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)

>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!

>> Безопасность: разрешен автозапуск программ с CDROM

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>> Безопасность: к ПК разрешен доступ анонимного пользователя

Проверка завершена

9. Мастер поиска и устранения проблем

Проверка завершена

Просканировано файлов: 60755, извлечено из архивов: 48214, найдено вредоносных программ 0, подозрений - 0

Сканирование завершено в 19.10.2009 10:02:49

!!! Внимание !!! Восстановлено 25 функций KiST в ходе работы антируткита

Это может нарушить нормальную работу ряда программ, поэтому настоятельно рекомендуется перезагрузить компьютер

Сканирование длилось 00:22:09

Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,

то Вы можете обратиться в конференцию - http://virusinfo.info

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
hnsk

Кирилл Керценбаум

поэтому рекомендую по возможности мигрировать на него

давайте размышлять по-существу.

дело миграции сейчас пока на втором плане

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
STALK:ER
Кирилл Керценбаум

давайте размышлять по-существу.

дело миграции сейчас пока на втором плане

Отключите ПК от сети, пройдитесь антивирами, мигрируйте -> настройте как нужно -> подключите в сеть...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
давайте размышлять по-существу.

Если по существу - открывайте запрос в тех. поддержке, они вышлют утилиту для сбора Точек загрузки, будут разбираться что такое не ловится и почему

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
hnsk

короче просто хотелось бы сейчас локализовать проблему, хотя бы понять откуда зараза лезет, а потом уже думать о миграции и тп!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • CoreyBar
      Привет всем участникам форума! Класный у вас сайт!
      Что скажете по поводу этих новостей?: Ростислав Ищенко. Модель Коломойского в масштабах государства не работает | Раскол в партии "Слуга народа" | Ответы на вопросы http://energysmi.ru/news/42412-rostislav-ischenko-model-kolomoyskogo-v-masshtabah-gosudarstva-ne-rabotaet-raskol-v-partii-sluga-naroda-otvety-na-voprosy.html
      Саудовская Аравия раздувает пожар религиозной войны Саудовская Аравия раздувает пожар религиозной войны
      Ещё много всего по теме нашел тут: боевики днр и лнр донбасс метро
    • PR55.RP55
      cinquefoil2014 На anti-malware.ru нет раздела по лечению. Обратиться за помощью можно на любой из этих форумов: https://virusinfo.info/forumdisplay.php?f=46 https://forum.kasperskyclub.ru/index.php?showforum=26 http://www.cyberforum.ru/viruses/ https://safezone.cc/forums/viruses/
    • cinquefoil2014
      Подскажите а в каком разделе можно задать вопрос по поводу лечения вируса на сайте?
    • PR55.RP55
      1) По поводу команды: Сбросить атрибуты для все файлов/каталогов в... Это не работает, если не заданы: Группы или пользователи. т.е. нужно проверить не пуст ли список... Если пуст:  прописать пользователя. И только после этого можно сбросить атрибуты... 2) При проверке ЭЦП по F6 ... Если неполадки с сетевым оборудованием, или службами отвечающими за доступ к сети... uvS видит: Сеть есть... и начинает проверять файлы. А по сути сети нет. т.е. здесь нужен таймер.: Если в течении определённого времени нет результата - то проверять ЭЦП локально ( с соответствующей записью в Лог )   Не ждать, как сейчас 100 500 часов. 3)  Проверка занимает излишне много времени в ситуации: Ошибка  [Не удается построить цепочку сертификатов для доверенного корневого центра. ]
      Ошибка  [Цепочка сертификатов обработана, но обработка прервана на корневом сертификате, у которого отсутствует отношение доверия с поставщиком доверия. ] uVS натыкается на такой файл и думает... думает...
    • PR55.RP55
      1) Если оператор применил фильтр  [V]  Известные. То при применении команды: F6   проверять только оставшиеся в списке файлы. Это на порядок ускорит проверку.  Нужно проверить всё ? Сними чек-бокс.  
×