Показано с 1 по 16 из 16.

svchost.exe ИСХ БЛОКИРОВАНО UDP 212.12.0.3 DNS Заблокировано детектором Ethernet-ата (заявка № 5991)

  1. #1
    YAA
    Guest

    svchost.exe ИСХ БЛОКИРОВАНО UDP 212.12.0.3 DNS Заблокировано детектором Ethernet-ата

    1)
    что -то всполошился OutPost -- Ethernet attack
    (см.журнал)
    2)
    avz детектирует какие -то прехватчики, кроме OutPost
    3)
    при проверке avz на Скрипт лечения/карантина и сбора информации для раздела "Помогите!"
    1 раз завис.
    не полностью, но заторомозил мин. на 40,
    часы скакали сек. по 15-30, потом сдох мин на 10
    после reset скрипт прошел мин. за 7-10
    4)
    не могу заатчить Log
    Битая ссылка http://www.securinfo.ru/HowToAttachLog !!!
    Последний раз редактировалось YAA; 04.08.2006 в 01:23.

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    132
    вот же есть тема http://www.securinfo.ru/showthread.php?t=5959, чего темы плодить?

    Цитата Сообщение от YAA
    avz детектирует какие -то прехватчики, кроме OutPost
    обычное дело, ничего страшного

    Цитата Сообщение от YAA
    при проверке avz на Скрипт лечения/карантина и сбора информации для раздела "Помогите!"
    1 раз завис.
    не полностью, но заторомозил мин. на 40,
    часы скакали сек. по 15-30, потом сдох мин на 10
    после reset скрипт прошел мин. за 7-10
    бывает

    Цитата Сообщение от YAA
    не могу заатчить Log
    Битая ссылка http://www.securinfo.ru/HowToAttachLog !!!
    в правилах форума написано, что аттачить нужно к сообщению. кнопка "Управление вложениями", в открывшемся окне указать файл (или файлы) на своем диске, который нужно прикрепить к сообщению.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2265
    Цитата Сообщение от YAA
    1)
    4)
    не могу заатчить Log
    Битая ссылка http://www.securinfo.ru/HowToAttachLog !!!
    Смотрите здесь http://virusinfo.info/attachment.php...1&d=1154670425

  5. #4
    YAA
    Guest

    Приаттачить к http://virusinfo.info/showthread.php?t=5991

    Дополнительно проявляется подозрительная сетевая и лок. активность.
    Испорчена конфигурация Outpost --
    переустановил в чистую.
    При проверке, проводимой avz,
    Outpost сигнализирует что скрытый процесс
    пытается залезть в память avz! Запрещаю.
    При avzGuard попытка запуска Hijack привела
    к тому, что управляющие эл. avz (меню, кнопки)
    испортились и стали недоступны.
    Сделал Reset, avz почистил RootKit, пишу письмо

    Высылаю вчерашние и сегодняшние логи.
    Прошу по возможности срочно проверить!
    Вложения Вложения

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    132
    Цитата Сообщение от YAA
    Высылаю вчерашние и сегодняшние логи.
    Прошу по возможности срочно проверить!
    чтобы не играть в испорченный телефон - мы смотрим логи. в логах ничего криминального не видно.

    пофиксите в HijackThis строки:
    O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

    файл e:\tool\wclock32\wclock32.exe нам уже присылали?

  7. #6
    YAA
    Guest

    Мост: ничего криминального не видно

    1) A вот это чьи следы могут быть !?
    Функция kernel32.dll:CreateProcessA (99) перехвачена, метод APICodeHijack.JmpTo
    >>> Код руткита в функции CreateProcessA нейтрализован

    2) вчерашний лог
    Функция ZwCreateKey (29) перехвачена (80618BD2->F73F0B3A), перехватчик sptd.sys
    >>> Функция воcстановлена успешно !

    Сегодня sptd.sys в логе нет, потому что я заархивировал и удалил этот файл

    Может, все это и нормально, но СИЛЬНО нервирует

    Подозрительное загружено в virusForMost

  8. #7
    YAA
    Guest
    И вот сейчас -- ошибка активизации avzGuard.
    "Может, это ЖЖЖЖ -- неспроста !?" Винни

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    132
    Цитата Сообщение от YAA
    1) A вот это чьи следы могут быть !?
    Функция kernel32.dll:CreateProcessA (99) перехвачена, метод APICodeHijack.JmpTo
    >>> Код руткита в функции CreateProcessA нейтрализован
    да мало ли чьи. антивируса, фаервола, драйвера...

    Цитата Сообщение от YAA
    2) вчерашний лог
    Функция ZwCreateKey (29) перехвачена (80618BD2->F73F0B3A), перехватчик sptd.sys
    >>> Функция воcстановлена успешно !
    Сегодня sptd.sys в логе нет, потому что я заархивировал и удалил этот файл
    удалять было не нужно (об этом никто и не просил). это какой-то драйвер.

    Цитата Сообщение от YAA
    Может, все это и нормально, но СИЛЬНО нервирует
    Подозрительное загружено в virusForMost
    загружать нужно только те файлы, которые просят прислать.
    выкачивать мегабайтные файлы "прото так" ни у кого желания нет.
    если там sptd.sys, то он нам не нужен.

  10. #9
    YAA
    Guest

    Как сделать, чтобы меньше дергаться всем?

    Насколько я понимаю, avz сообщает о НЕНОРМАЛЬНОЙ активности. Поэтому если говорят, что Функция перехвачена, то надо ОБЯЗ. разобраться --кем. Если Outpost, напр. то сочтем это нормальным. А если sptd.sys, то говорить "какой -то драйвер" -- это разве не излишне беспечно!?
    Если это что-то известное, то может надо добавить его в список доверенных? Чтобы экспертов virusinfo.info попусту не отвлекали и сами пользователи не пили валерьянку.

    ???
    Так можно определить источник активности, отмеченный avz и ОПАСЕН ли он?

    Что касается часиков wclock32 (http://wova.al.ru http://wova.web.ur.ru)
    то они висят у меня уже лет 5 -- если только _кто-то_ на них довесок не прикрепил.

    wclock32 _ЗАГРУЖЕН_
    ===== От Моста

    Сообщение от YAA
    1) A вот это чьи следы могут быть !?
    Функция kernel32.dll:CreateProcessA (99) перехвачена, метод APICodeHijack.JmpTo
    >>> Код руткита в функции CreateProcessA нейтрализован

    да мало ли чьи. антивируса, фаервола, драйвера...

    Цитата:
    Сообщение от YAA
    2) вчерашний лог
    Функция ZwCreateKey (29) перехвачена (80618BD2->F73F0B3A), перехватчик sptd.sys
    >>> Функция воcстановлена успешно !
    Сегодня sptd.sys в логе нет, потому что я заархивировал и удалил этот файл


    удалять было не нужно (об этом никто и не просил). это какой-то драйвер.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    spdt.sys - это, насколько я помню по другим темам, драйвер от StarForce.
    А перехват CreateProcess - скорее всего, Outpost, он же контролирует запуски программ.

    P.S. AVZ сообщает о любых перехватах, раз велено отследить. А нормальные они или нет - это вам и нам решать.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    132
    Цитата Сообщение от YAA
    Насколько я понимаю, avz сообщает о НЕНОРМАЛЬНОЙ активности. Поэтому если говорят, что Функция перехвачена, то надо ОБЯЗ. разобраться --кем. Если Outpost, напр. то сочтем это нормальным. А если sptd.sys, то говорить "какой -то драйвер" -- это разве не излишне беспечно!?
    пользователям вообще не нужно вдаваться в детали того, как работает AVZ и почему все именно так. AVZ пишет все, что видит, а на форуме хелперы уже разбираются в написанном.

    "больной, не занимайтесь самолечением!" (с)

    Цитата Сообщение от YAA
    Так можно определить источник активности, отмеченный avz и ОПАСЕН ли он?
    на компьютере опасные источники активности не замечены

    Цитата Сообщение от YAA
    Что касается часиков wclock32 (http://wova.al.ru http://wova.web.ur.ru)
    то они висят у меня уже лет 5 -- если только _кто-то_ на них довесок не прикрепил.
    довесков не найдено. надеюсь, что они будут добавлены в ближайшее время в базу чистых объектов.

  13. #12
    YAA
    Guest

    Спасибо экспертам! Будем надеятся на лучшее.

    //pig spdt.sys - это, насколько я помню по другим
    //темам, драйвер от StarForce.

    н оя в посл. время НИЧЕГО не инсталлировал,
    а РАНЬШЕ avz ругался только на Outpost,
    хотя в Казаки играл около года назад !?

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Вот, нашёл: http://virusinfo.info/showpost.php?p=67153&postcount=10
    Не StarForce, а Daemon Tools. Конкретно - виртуальный CD-ROM. Возможно, не всегда заводится?

  15. #14
    YAA
    Guest
    при просмотре avz
    открытых портов по UDP
    файл explorer.exe был подсвечен
    красным и прокомментирован
    чем-то типа
    Remote All; Backdoor.RA
    После выхода через 3 сек.
    проверил снова
    -- уже никаких следов

    Это не ОНО !?

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    132
    Цитата Сообщение от YAA
    при просмотре avz
    открытых портов по UDP
    файл explorer.exe был подсвечен
    красным и прокомментирован
    чем-то типа
    Remote All; Backdoor.RA
    После выхода через 3 сек.
    проверил снова
    -- уже никаких следов

    Это не ОНО !?
    на описание вида "что-то типа" можно дать только ответ в стиле "вроде бы нет"

  17. #16
    YAA
    Guest

    на что AVZ может ругнуться Backdoor.RA (на explorer.exe) и как организовать отлов

    Честно говоря, это я к тому, что хотя мне и сказали ТОЧНО, что вроде опасной активности
    у меня на компе не видно, но осадок подозрений остался.
    Увидел подозрительную вещь и поинтересовался, может кто знает. Мне кажется подозрительным и то, что она выловилась только 1 раз. Но ведь это БЫЛО!

    Вопрос собственно о том, кто знает, на что AVZ
    может ругнуться Backdoor.RA (на explorer.exe) и как организовать отлов.

  • Уважаемый(ая) YAA, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 5
      Последнее сообщение: 06.06.2012, 05:28
    2. Ответов: 13
      Последнее сообщение: 19.02.2010, 00:20
    3. Как отрубить протокол Ethernet?
      От z_7 в разделе Общая сетевая безопасность
      Ответов: 6
      Последнее сообщение: 05.09.2009, 00:33
    4. Ответов: 4
      Последнее сообщение: 24.11.2008, 11:59
    5. Ethernet Attacks
      От Dark_Blaze в разделе Межсетевые экраны (firewall)
      Ответов: 13
      Последнее сообщение: 23.10.2005, 19:58

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01659 seconds with 21 queries