Показано с 1 по 20 из 20.

Функция NtConnectPort (1F) перехвачена (заявка № 12647)

  1. #1
    Junior Member Репутация
    Регистрация
    21.09.2007
    Сообщений
    11
    Вес репутации
    61

    Exclamation Функция NtConnectPort (1F) перехвачена

    Добрый день,

    Проверил свой комп (подключен в локальную сеть) последней версией 4.27 avz с базами обновленными 21 сентября и увидел следующую строку:
    "Функция NtConnectPort (1F) перехвачена (8058A800->E15D1690), перехватчик не определен"
    Причем сначала она была красная, а потом почернела.

    Опасно ли это?

    Заранее спасибо.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    давайте логи http://virusinfo.info/showthread.php?t=1235 ... тогда можно сказать что-то конкретное ..

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    gafan2, штатный антивирус Symantec/Norton?
    The worst foe lies within the self...

  5. #4
    Junior Member Репутация
    Регистрация
    21.09.2007
    Сообщений
    11
    Вес репутации
    61
    Цитата Сообщение от V_Bond Посмотреть сообщение
    давайте логи http://virusinfo.info/showthread.php?t=1235 ... тогда можно сказать что-то конкретное ..
    Штатный антивирус Symantec corporate edition ничего не показывает.
    cureit ругнулся на exe-шник созданный при помощи bat to exe (взят отсюда www.f2ko.de)
    Последний раз редактировалось gafan2; 22.09.2007 в 00:42.

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Логи выполнены не верно.
    Их должно быть 3 :
    2 делаются с помощью AVZ, а еще один - с помощью HijackThis.
    Мой Symantec CE тоже так себя проявляет (перехватом NtConnectPort).
    Все-же выполните пожалуйста правила полностью.
    The worst foe lies within the self...

  7. #6
    Junior Member Репутация
    Регистрация
    21.09.2007
    Сообщений
    11
    Вес репутации
    61
    Да, правила, действительно, не дочитал, прошу прощения, поторопился.
    Пока логи собираются, я вижу, что avz перемещает в карантин файлы, которые у меня были вне подозрений, в т.ч. от sysinternals. Есть ли способ восстановить их?
    Несколько дней назад я начал пользоваться програмкой Tiny Watcher (http://www.donationcoders.com/kubicle/watcher/) и вот она при очередном входе в систему отрапортавала о новом процессе: C:\DOCUME~1\MGAFAN~1\LOCALS~1\Temp\111B.tmp что очень не понравилось и пpишла мысль в голову запустить avz.
    Самого процесса 111B.tmp Task Managerом не увидел (не нашел и остатков 111B.tmp в указанной папке), но обратил внимание на процесс MDM.exe, который раньше, как я помню, в списке не присутствовал. Все это, конечно, настораживает.
    Спасибо за ваши оперативные ответы и желание помочь!

    Не дает сделать все 3 вложения. Попробую дослать 3-е отдельно.
    Вложения Вложения
    Последний раз редактировалось gafan2; 22.09.2007 в 04:14.

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    правила опять не дочитали ? где еще один лог ?

  9. #8
    Junior Member Репутация
    Регистрация
    21.09.2007
    Сообщений
    11
    Вес репутации
    61
    Цитата Сообщение от V_Bond Посмотреть сообщение
    правила опять не дочитали ? где еще один лог ?
    Так не принимает... Говорит предел превышен

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ...
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('c:\exact2\max\mfw2\sysman.exe','');
     QuarantineFile('\??\C:\DOCUME~1\MGAFAN~1\LOCALS~1\Temp\RarSFX0\Mon7QVxQ.sys','');
     QuarantineFile('C:\WINDOWS\system32\virport.dll','');
     QuarantineFile('C:\Program Files\Common Files\SafeNet Sentinel\Sentinel Protection Server\WinNT\MD5CHAP.dll','');
     QuarantineFile('C:\EXACT2\MAX\MFW2\MAXBTRV2.dll','');     
     BC_QrSvc('DUIOZQTU');      
     BC_QrSvc('QHYKHYNPV');
     BC_ImportQuarantineList;     
     BC_Activate;
     RebootWindows(true);
    end.
    пришлите крантин согласно приложения 3 правил ...
    и еще такой скрипт ...
    Код:
    begin
     ClearHostsFile;
     RebootWindows(true);
    end.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Видимо Вы пытаетесь прикрепить файл карантина: virusinfo_cure.zip
    Нам-же нужен virusinfo_syscure.zip

    Карантин присылать по этой ссылке: Прислать запрошенные файлы
    The worst foe lies within the self...

  12. #11
    Junior Member Репутация
    Регистрация
    21.09.2007
    Сообщений
    11
    Вес репутации
    61
    Цитата Сообщение от Kuzz Посмотреть сообщение
    Видимо Вы пытаетесь прикрепить файл карантина: virusinfo_cure.zip
    Нам-же нужен virusinfo_syscure.zip

    Карантин присылать по этой ссылке: Прислать запрошенные файлы
    Извините ребята, совсем запутался. Пытался прикрепить файл virusinfo_syscure.zip, но поскольку, насколько я понял, есть ограничения на размер прикреплений, то этот файл не проходит. Можно ли послать его по указаннаму линку "Карантин присылать по этой ссылке:"?
    Я сейчас дома, вопросы были по компу на работе. Файл virusinfo_syscure.zip я притащил домой, но он не запоролен. Если можно послать по линку, то ничего, что он без пароля?
    Или нужно перепаковать с паролем "virus" (без кавычек)?
    Не хочется больше ничего нарушать.

    Добавлено через 7 минут

    Цитата Сообщение от V_Bond Посмотреть сообщение
    выполните скрипт ...
    Как правильно выполнить скрипт? Сохранить предлагаемое в файл с расширением vbs и запустить?
    Последний раз редактировалось gafan2; 22.09.2007 в 03:13. Причина: Добавлено

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Не надо ничего перепаковывать. Удалите из темы огромный virusinfo_syscheck, его уже обработали. После этого получится прикрепить syscure.

    Скрипты выполняются через AVZ: Файл - Выполнить скрипт - текст скопировать и вставить в окно - Выполнить (или как там кнопка называется? короче, их там всего две, не заблудитесь).

  14. #13
    Junior Member Репутация
    Регистрация
    21.09.2007
    Сообщений
    11
    Вес репутации
    61
    Цитата Сообщение от V_Bond Посмотреть сообщение
    выполните скрипт ...
    Код:
    ...
    пришлите крантин согласно приложения 3 правил ...
    и еще такой скрипт ...
    Код:
    begin
     ClearHostsFile;
     RebootWindows(true);
    end.
    Уважаемый V_Bond,
    Выполнить скрипт я смогу лишь в понедельник. Есть некоторые вопросы и пояснения.
    1. "ClearQuarantine;" - не удалит ли это файлы в карантине окончательно?
    Как я уже писал, в карантин попали файлы из проверенных пакетов (TurboCAD, PADS from Mentorgraphic, и т.д) которые работали на машине годами. Не хочется терять работоспособные продукты.
    2. " QuarantineFile('C:\autorun.inf','');" этот файл я сам создал. Все что он делает - это подставляет иконку на хард драйв.
    3."QuarantineFile('c:\exact2\max\mfw2\sysman.exe', '');" и "QuarantineFile('C:\EXACT2\MAX\MFW2\MAXBTRV2.dll', '');" принадлежат MAX Extreme - ERP software установленное на всех PC в локалке. Не нарушит ли карантин работу?
    4. Ой-ой. Не бейте сильно...Опять перечитал правила и понял, что не выполнил того, что красным написано...
    Много приложений было открыто (в т.ч. и cureit крутился) пока AVZ логи собирал.
    Не судите строго, все от нервов.
    Дадите ли еще один шанс? Собрать логи как положено и прикрепить?
    Извините еще раз пожалуйста.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Цитата Сообщение от gafan2 Посмотреть сообщение
    1. "ClearQuarantine;" - не удалит ли это файлы в карантине окончательно?
    Это очистка карантина. Оригиналы файлов не затрагиваются.

    Цитата Сообщение от gafan2 Посмотреть сообщение
    Как я уже писал, в карантин попали файлы из проверенных пакетов (TurboCAD, PADS from Mentorgraphic, и т.д) которые работали на машине годами. Не хочется терять работоспособные продукты.
    Вы ничего не потеряли. Файлы не перемещен, а скопированы.

    Цитата Сообщение от gafan2 Посмотреть сообщение
    2. " QuarantineFile('C:\autorun.inf','');" этот файл я сам создал. Все что он делает - это подставляет иконку на хард драйв.
    Обычно этим балуются трояны. Если уверены, что файл не подменён, можете не карантинить.

    Цитата Сообщение от gafan2 Посмотреть сообщение
    3."QuarantineFile('c:\exact2\max\mfw2\sysman.exe', '');" и "QuarantineFile('C:\EXACT2\MAX\MFW2\MAXBTRV2.dll', '');" принадлежат MAX Extreme - ERP software установленное на всех PC в локалке. Не нарушит ли карантин работу?
    Не нарушит. Файлы копируются, оригиналы остаются где были. Если файлы большие, можете пока не карантинить. Потом для базы безопасных соберёте.

  16. #15
    Junior Member Репутация
    Регистрация
    21.09.2007
    Сообщений
    11
    Вес репутации
    61
    Цитата Сообщение от V_Bond Посмотреть сообщение
    выполните скрипт ...
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('c:\exact2\max\mfw2\sysman.exe','');
     QuarantineFile('\??\C:\DOCUME~1\MGAFAN~1\LOCALS~1\Temp\RarSFX0\Mon7QVxQ.sys','');
     QuarantineFile('C:\WINDOWS\system32\virport.dll','');
     QuarantineFile('C:\Program Files\Common Files\SafeNet Sentinel\Sentinel Protection Server\WinNT\MD5CHAP.dll','');
     QuarantineFile('C:\EXACT2\MAX\MFW2\MAXBTRV2.dll','');     
     BC_QrSvc('DUIOZQTU');      
     BC_QrSvc('QHYKHYNPV');
     BC_ImportQuarantineList;     
     BC_Activate;
     RebootWindows(true);
    end.
    пришлите крантин согласно приложения 3 правил ...
    и еще такой скрипт ...
    Код:
    begin
     ClearHostsFile;
     RebootWindows(true);
    end.
    Выполнил пержвый скрипт и отправил файл.
    После выполнения второго скрипта исчезли записи из host файла, который я беру отсюда: http://www.mvps.org/winhelp2002/hosts.htm
    Можно ли восстановить host файл, или ждать команды?
    Как и обещал, собрал логи из AVZ по правилам, но размер файлов больше мегабайта каждый! Такое впечатление, новые логи добавились к старым. Такие файлы прикрепить не удастся. Что теперь делать? Удалить файлы из папки LOG и снова запустить скрипты для сбора информации? Единственное, что пока могу - это новый hijack.log прикрепить.
    Вложения Вложения

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    C:\WINDOWS\system32\virport.dll (eSafe suspicious Trojan/Worm)
    подождем реакцию вирлаба ...
    насчет .. хост файла .. его огромные размеры делают ваши отчеты не читабельными ... (да и размер почти в пол мегабайта)
    восстановить можно - это текстовый файл находится system32\drivers\etc ... не думаю что в этом есть смысл ...

  18. #17
    Junior Member Репутация
    Регистрация
    21.09.2007
    Сообщений
    11
    Вес репутации
    61
    Спасибо, будем ждать.
    А что, хост файл действительно кроме вреда (отчеты удлиняет) никакой пользы не несет?

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    в вашем случае это была попытка заблокировать "вредные сайты" ... (но мне кажется что иметь нормальный антивирус и надежнее и быстрее) ...
    пришел ответ насчет вашего файла - чистый ...

  20. #19
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Цитата Сообщение от gafan2 Посмотреть сообщение
    Спасибо, будем ждать.
    А что, хост файл действительно кроме вреда (отчеты удлиняет) никакой пользы не несет?
    Заметно замедляет работу Инет. Просто адрес (урл) долго-долго проверяется по этому файлу.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 15
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) gafan2, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Функция user32.dll перехвачена
      От den901 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 07.09.2011, 14:51
    2. Функция kernel32.dll перехвачена. Вирус?
      От ramses77 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 28.03.2009, 01:00
    3. Ответов: 7
      Последнее сообщение: 22.02.2009, 04:06
    4. Функция NtUnloadKey (107) перехвачена
      От MCat в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 02:28
    5. Функция NtConnectPort (1F) перехвачена
      От vibor1 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 16.03.2008, 13:34

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00947 seconds with 20 queries