Показано с 1 по 7 из 7.

Заразился "конём"... (заявка № 44657)

  1. #1
    Junior Member Репутация
    Регистрация
    12.12.2008
    Сообщений
    4
    Вес репутации
    30

    Question Заразился "конём"...

    Добрый вечер.

    При очередной проверке выявилась следующая проблема.

    Поиск и нейтрализация руткитов посредством утилиты AVZ при включенном антивирусе Symantec Antivirus CE 10.1.5 выдаёт следующее сообщение : "Подозрение на RootKit utizmza0 C:\WINNT\system32\Drivers\utizmza0.sys" при этом Symantec пытается поместить в карантин файл utizmza0.sys, определяемый как "Trojan Horse" после чего Symantec настойчиво предлогает перезагрузить компьютер. После перезагрузки ситуация остаётся прежней. То есть выполнение вышеописанных действий приводит к тем же результатам.

    Так же в офисе имеются другие компьютеры с такой же проблемой.

    Прошу помочь! Логи сделанные в соотвествии с вашими требованиями прилогаются. Заранее спасибо.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от DimizZ Посмотреть сообщение
    Поиск и нейтрализация руткитов посредством утилиты AVZ при включенном антивирусе Symantec Antivirus CE 10.1.5 выдаёт следующее сообщение : "Подозрение на RootKit utizmza0 C:\WINNT\system32\Drivers\utizmza0.sys"
    1. Читайте правила
    6. ....выгрузите антивирусную программу,
    2. Этот файл - драйвер АВЗ.

    Сделайте логи в строгом соответствии с правилами.

    Цитата Сообщение от DimizZ Посмотреть сообщение
    Так же в офисе имеются другие компьютеры с такой же проблемой.
    3. Для каждого компьютера - отдельная тема.
    Последний раз редактировалось Rene-gad; 27.04.2009 в 21:14. Причина: Добавлено

  4. #3
    Junior Member Репутация
    Регистрация
    12.12.2008
    Сообщений
    4
    Вес репутации
    30
    Спасибо за быстрый ответ!

    То что писал в пояснении делалось отдельно, ранее генерации логов.

    Логи делались в соответствии с правилами. Службы антивируса и файрвола были остановлены кроме одной из служб Семантека (как называется не помню, комп остался на работе) которая не останавливается через диспетчер служб. Попробую завтра снести Семантек и повторно сделать логи.

    Добавлено через 20 минут

    Так же насторожили ошибки загрузки драйвера:

    1.2 Поиск перехватчиков API, работающих в KernelMode
    Ошибка загрузки драйвера - проверка прервана [C0000034]
    >>>> Подозрение на RootKit utizmza0 C:\WINNT\system32\Drivers\utizmza0.sys
    1.4 Поиск маскировки процессов и драйверов
    Проверка не производится, так как не установлен драйвер мониторинга AVZPM
    Ошибка загрузки драйвера - проверка прервана [C0000034]

    Добавлено через 11 часов 20 минут

    Доброе утро!

    Остановка всех пяти служб антивируса тоже не помогла.
    Снёс Symantec Antivirus и AVZ перестал находить проблемы! Так что в пункт шесть Правил стоит добавить требование о деинсталляции Symantec Antivirus Corporate Edition как минимум версии 10.1.5 и выше.

    Остался только один непрояснённый момент с которого я и начал искать вирусы в системе.

    При просмотре статистики офисного роутера заметил большой трафик по адресам сети 87.248.xxx.xxx (xxx.xxx.llnwd.net). Дальнейшее исследование показало что через эти узлы прокачивается трафик сервера обновлений WSUS.

    C:\Documents and Settings\xxxxxxxx>ping download.microsoft.com
    Обмен пакетами с mscom-dlc.vo.llnwd.net [87.248.197.52] по 32 байт
    Вложения Вложения
    Последний раз редактировалось DimizZ; 28.04.2009 в 09:27. Причина: Добавлено

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от DimizZ Посмотреть сообщение
    в пункт шесть Правил стоит добавить требование о деинсталляции Symantec Antivirus Corporate Edition как минимум версии 10.1.5 и выше.
    Это дополнение нужно было бы делать для еще дюжины защитных программ, которые не дают себя выгрузить полностью.
    Остался только один непрояснённый момент с которого я и начал искать вирусы в системе.
    Логи с этого ПК аномалий не содержат.
    Активируйте AVZPM, перегрузитесь, повторите логи, начиная от п.2 правил.
    Последний раз редактировалось Rene-gad; 28.04.2009 в 12:58. Причина: грОмматика

  6. #5
    Junior Member Репутация
    Регистрация
    12.12.2008
    Сообщений
    4
    Вес репутации
    30
    Проверил.
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Ничего плохого не видно.

  8. #7
    Junior Member Репутация
    Регистрация
    12.12.2008
    Сообщений
    4
    Вес репутации
    30
    Спасибо огромное.

    www.llnwd.net - компания обслуживает крупные интернет проекты. Видимо Microsoft задолбалась сама поддерживать собственные Веб-сервера...

  • Уважаемый(ая) DimizZ, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 7
      Последнее сообщение: 26.04.2012, 16:16
    2. Ответов: 0
      Последнее сообщение: 01.11.2009, 13:19
    3. Ответов: 3
      Последнее сообщение: 22.02.2009, 09:42
    4. Ответов: 4
      Последнее сообщение: 22.02.2009, 03:39
    5. Ответов: 1
      Последнее сообщение: 28.11.2008, 17:59

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00165 seconds with 20 queries