(прошу прощения, как-то я "растекся" с описанием %) )
Столкнулся пару дней назад с тем, что symantec antivirus считает драйвер AVZPM трояном. При этом AVZ не мог его закарантинить никакими мне известными способами (правда, я думаю, что BootCleaner не отрабатывал - лог ВС не создавался). Сервисы симантека при этом гасил (останавливал, но не оключал). AVZ также сообщала, что поиск руткитов уровня kernel и скрытых процессов производить также не будет, ибо ошибка загрузки драйвера.
Симантек тоже при ребуте его не мог удалить. На тот момент я просто снес симантек, выполнил стандартный скрипт 6, заново поставил AVZPM и симантек и, вроде, все нормально стало.
Сейчас, на другой машине похожая ситуация (>>>> Подозрение на RootKit utezmza0 C:\WINDOWS\system32\Drivers\utezmza0.sys
). Правда, драйвер загружается и ругается AVZ только когда симантек не остановлен. В предыдущей ситуации - в любом случае ругался и не грузился. Там, правда, симантек в качестве клиента у сервера. Но ведь он я отключал его локально через сервисы...
На этой машине еще дополняется tmp файлом в а-ля временной папке симантека, на который сам же симантек и ругается.
Также подозревается C:\WINDOWS\system32\vksaver.dll, но на virustotal все антивирусы сказали, что файл чистый. Понимаю, что это не 100%, но ...
Просьба подсказать, по-возможности, в какую сторону копать, а не написать за меня скрипт. Или это все к симантеку?
Сейчас загружаю только стандартные логи, свои "наработки" и карантин с vksaver.dll - по требованию.
Заранее спасибо.
ЗЫ логи делались, к сожалению, через радмин, а не локально.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
В предыдущей ситуации - в любом случае ругался и не грузился. Там, правда, симантек в качестве клиента у сервера. Но ведь я отключал его через сервисы (локально)
vksaver.dll, но на virustotal все антивирусы сказали, что файл чистый.
Дык, так и проверял же, вроде А драйвер у меня не карантинится никак %)
Сообщение от Bratez
3. В логах ничего плохого не видно.
При этом симантек постоянно ругается на utezmza0 и C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Antivirus Corporate Edition\7.5\APTemp\APQ2.tmp
Добавлено через 1 минуту
PS В данной ситуации драйвер AVZ по базе безопасных прошел, а в прошлый раз не проходил.
Последний раз редактировалось Greyhawk; 30.04.2009 в 09:51.
Причина: Добавлено
Если вы говорите, что Симантек назвал драйвер AVZ трояном, значит в этот момент Симантек не был отключен, так ведь? Но не это главное, просто возможные конфликты антивирусов и AVZ - дело естественное, ничего странного тут нет, нужно только об этом знать и иметь ввиду. То, что сам AVZ иногда на свой же драйвер пишет Подозрение на RootKit - тоже бывает, ничего страшного.
Извиняюсь, про вирустотал в первом посте не увидел.
vksaver.dll насколько я понимаю, безопасная штучка.
По поводу C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Antivirus Corporate Edition\7.5\APTemp\APQ2.tmp - это уже странности Симантека. Я полагаю, удалив этот файл, вы ничего не испортите.
I am not young enough to know everything...
Уважаемый(ая) Greyhawk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: