-
Junior Member
- Вес репутации
- 49
После лечения Win32.Expiro.22
После того как в безопасном режиме Dr.Web CureIt! вылечил систему от вируса Win32.Expiro.22, перезагрузил систему. При запуске Windows Media Player ругается Symantec Endpoint Protection (Network Threat Protection):
Windows Media Player has changed since the last time you used it. This could happen if you have updated it recently. Click Detail to see more information/ Do you want to allow it to access the network (y/n) ?
Detailed information about Windows Media Player and the connection it is trying to establish:
The executable has changed since the last time you used C:\Program Files\Windows Media Player\wmplayer.exe
File Version: 10.0.0.3997
File Description: Windows Media Player
File Path: C:\Program Files\Windows Media Player\wmplayer.exe
Digital Signature:
Process ID: 0xf60 (Hexadecimal) 3936 (Decimal)
Connection origin: local initiated
Protocol: TCP
Local Address: 192.168.1.186
Local Port: 1113
Remote Name: go.microsoft.com
Remote Address: 65.55.57.251
Remote Port: 80 (HTTP - World Wide Web)
Ethernet packet details:
Ethernet II (Packet Length: 62)
Destination: 00-22-15-2f-81-27
Source: 00-23-54-2f-41-dc
Type: IP (0x0800)
Internet Protocol
Version: 4
Header Length: 20 bytes
Flags:
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset:0
Time to live: 128
Protocol: 0x6 (TCP - Transmission Control Protocol)
Header checksum: 0xf86 (Correct)
Source: 192.168.1.186
Destination: 65.55.57.251
Transmission Control Protocol (TCP)
Source port: 2088917252
Destination port: 2089308160
Sequence number: 180645088
Acknowledgment number: 0
Header length: 28
Flags:
0... .... = Congestion Window Reduce (CWR): Not set
.0.. .... = ECN-Echo: Not set
..0. .... = Urgent: Not set
...0 .... = Acknowledgment: Not set
.... 0... = Push: Not set
.... .0.. = Reset: Not set
.... ..1. = Syn: Set
.... ...0 = Fin: Not set
Checksum: 0x31a1 (Correct)
Data (0 Bytes)
Binary dump of the packet:
0000: 00 22 15 2F 81 27 00 23 : 54 2F 41 DC 08 00 45 00 | ."./.'.#T/A...E.
0010: 00 30 37 24 40 00 80 06 : 86 0F C0 A8 01 BA 41 37 | [email protected]
0020: 39 FB 04 59 00 50 E0 6C : C4 0A 00 00 00 00 70 02 | 9..Y.P.l......p.
0030: FC 00 A1 31 00 00 02 04 : 04 EC 01 01 04 02 | ...1..........
Это нормально ???
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 49
Судя по всему вирус свеженький. А у меня базы Dr.Web CureIt! и avz от 16.11.2011. Может обновиться и снова пройтись ?
-
Вирус свеженький
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\cisvc.exe','');
QuarantineFile('c:\windows\system32\dllhost.exe','');
QuarantineFile('c:\windows\system32\wbem\wmiapsrv.exe','');
QuarantineFile('c:\windows\system32\spoolsv.exe','');
QuarantineFile('c:\windows\system32\ntfrs.exe','');
QuarantineFile('c:\windows\system32\msdtc.exe','');
QuarantineFile('c:\program files\common files\microsoft shared\vs7debug\mdm.exe','');
QuarantineFile('c:\program files\common files\lightscribe\lssrvc.exe','');
QuarantineFile('c:\windows\system32\inetsrv\inetinfo.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
Не думаю, что это нормальная ситуация. По крайней мере раньше этого не было. при запуске flashget и некоторых других приложений аналогичная ситуация. может дать приложениям возможность сделать что они хотят. Пусть вирус покажет свое звериное лицо, а потом будем разбираться с последствиями ?
-
Возможно просто лечение оказалось не совсем корректным
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
Это было и до лечения и продолжается сейчас (то есть некоторые приложения хотят идти куда-то что не нравится Network Threat Protection из состава SEP).
Вот куда лезет flashget:
The executable has changed since the last time you used C:\Program Files\FlashGet\flashget.exe
File Version: 1.9.6.1073
File Description: FlashGet
File Path: C:\Program Files\FlashGet\flashget.exe
Digital Signature:
Process ID: 0x914 (Hexadecimal) 2324 (Decimal)
Connection origin: local initiated
Protocol: UDP
Local Address: 192.168.1.186
Local Port: 1131
Remote Name:
Remote Address: 239.255.255.250
Remote Port: 1900 (SSDP - Simple Service Discovery Protocol)
Ethernet packet details:
Ethernet II (Packet Length: 175)
Destination: 01-00-5e-7f-ff-fa
Source: 00-23-54-2f-41-dc
Type: IP (0x0800)
Internet Protocol
Version: 4
Header Length: 20 bytes
Flags:
.0.. = Don't fragment: Not set
..0. = More fragments: Not set
Fragment offset:0
Time to live: 1
Protocol: 0x11 (UDP - User Datagram Protocol)
Header checksum: 0x601 (Correct)
Source: 192.168.1.186
Destination: 239.255.255.250
User Datagram Protocol
Source port: 25717508
Destination port: 27655
Length: 8
Checksum: 0xfe75 (Correct)
Data (141 Bytes)
Binary dump of the packet:
0000: 01 00 5E 7F FF FA 00 23 : 54 2F 41 DC 08 00 45 00 | ..^....#T/A...E.
0010: 00 A1 05 EA 00 00 01 11 : 01 06 C0 A8 01 BA EF FF | ................
0020: FF FA 04 6B 07 6C 00 8D : 75 FE 4D 2D 53 45 41 52 | ...k.l..u.M-SEAR
0030: 43 48 20 2A 20 48 54 54 : 50 2F 31 2E 31 0D 0A 48 | CH * HTTP/1.1..H
0040: 4F 53 54 3A 20 32 33 39 : 2E 32 35 35 2E 32 35 35 | OST: 239.255.255
0050: 2E 32 35 30 3A 31 39 30 : 30 0D 0A 4D 41 4E 3A 20 | .250:1900..MAN:
0060: 22 73 73 64 70 3A 64 69 : 73 63 6F 76 65 72 22 0D | "ssdp:discover".
0070: 0A 4D 58 3A 20 36 0D 0A : 53 54 3A 20 75 72 6E 3A | .MX: 6..ST: urn:
0080: 73 63 68 65 6D 61 73 2D : 75 70 6E 70 2D 6F 72 67 | schemas-upnp-org
0090: 3A 73 65 72 76 69 63 65 : 3A 57 41 4E 50 50 50 43 | :service:WANPPPC
00A0: 6F 6E 6E 65 63 74 69 6F : 6E 3A 31 0D 0A 0D 0A | onnection:1....
Пробовал лечить при помощи LiveCD, лечил больше 10 часов, потом сканер упал как приложение ...
Добавлено через 8 минут
Причем после запуска такого приложения и после того как я запрещаю ему подозрительную сетевую операцию, возникает всплывающее окошко Symantec Endpoint Protection из tray "Application has changed since the last time you opened it, process id: nnn"
Последний раз редактировалось q20080404; 21.04.2011 в 05:02.
Причина: Добавлено
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 28
- В ходе лечения вредоносные программы в карантинах не обнаружены
-