ладно, эта тема скользкая, так что...
на текущий момент проблема в другом. человек, который сейчас с этим возится, говорит, что проблема не ликвидирована на 100%. То есть, впечатление такое, что НЕЧТО закачало этот троян на машину. И касперский хоть и сам троян нашел, но что-то в системе осталось.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
с каждым часом все интереснее - подозрение на упомянутый троян оказалось ложным срабатыванием касперского. проверка подозрительных файлов тут же на avp.ru, на отдельной машине с только что установленными чистыми виндами (и с моей) показывает, что никаких вирусов нет.
тем временем, "подозрительная" машина совсем перестала выходить в инет - после дозвона в браузере ничего открыть нельзя.
жду отчет о трафике из commview.
А, т.е. там не Lineage.acn ?
А я его разыскиваю, чтобы посмотреть, может ли такое быть. Нашел только .ach
Странное ложное срабатывание. На http://virustotal.com попробуйте файлы проверить.
Насчет выхода в инет - проверьте цепочку LSP/SPI, AVZ это проверяет, может исправлять. Надо просто запустить проверку, можно без выбора дисков. А чтобы исправить - поставить разрешающую птицу на третьей вкладке.
Я правильно понимаю, что один и тот же файл одним и тем же антивирусом с одинаковыми базами на одной машине опознается как зараженный, а на другой - как чистый, притом что ни там, ни там он не запускался, а был просто скопирован на обе машины?
В таком случае могу предположить, что на одной из машин есть проблемы с памятью, из-за чего в момент проверки этого файла какой-то из байтов файла портится так, что происходит ложное срабатывание антивируса. Это очень маловероятно, но тем не менее возможно: у меня при разогнанной памяти AVP Инспектор стабильно ругался на изменение одного из нормальных файлов.
Рекомендую взять memtest86, и хорошенько проверить память на обоих машинах.
Продолжение, извиняюсь за долгое молчание. AVP 6 до сих пор ничего не находит. Но периодически ругается на то, что разные процессы пытаются внедриться в чужую память. Например:
17.08.2006 12:41:32 Процесс C:\WINDOWS\System32\svchost.exe, обнаружено: потенциально опасное ПО Invader (модификация)
17.08.2006 14:40:53 Процесс C:\Program Files\Internet Explorer\iexplore.exe (PID: 2364): попытка выполнения подозрительных действий заблокирована.
17.08.2006 17:21:28 Попытка процесса с PID 1976 получения доступа к процессу Антивирус Касперского 6.0 с PID 1172 была заблокирована. Это результат срабатывания механизма самозащиты.
Еще я в tcpview (sysinternals) углядел какой-то странный процесс, который невозможно обнаружить ничем (в т.ч. processexplorer), невозможно убить, и его соединения невозможно отрубить: [System Process]:0 TCP SVETA-IBASE:1110 localhost:3809 TIME_WAIT
[System Process]:0 TCP sveta-ibase:1630 cds4.lon.llnw.net:http TIME_WAIT
[System Process]:0 TCP sveta-ibase:1081 host37.rax.ru:http TIME_WAIT
[System Process]:0 TCP sveta-ibase:1083 217.73.199.91:http TIME_WAIT
процесс лезет например на 84.53.146.8.
еще интересно, что даже сам avp лезет на странные адреса типа avp.exe:1316 TCP sveta-ibase:3783 64.236.46.5:http ESTABLISHED
AVZ проверил еще раз - ничего не находит.
p.s. вчера наблюдал как кусок от winamp 5 - gen_ff.dll, по сообщениям avp6 якобы пытался внедриться в память к другим процессам. winamp5 ставил со свежего диска к журналу Навигатор Игрового Мира за сентябрь.
Последний раз редактировалось kdv; 18.09.2006 в 11:52.
интересно. почему тогда этот файл прописан в сервисах и работал.
rootkit revealer с sysinternals запускали, не спорю, но что-ж он, сам так устанавливается, да еще лежа в temp?
я тоже его запускал, но ни в сервисах ни в temp ничего такого не наблюдаю.
кроме того - обратите внимание на размер файла. в rootkit revealer ничего такого нет. Проверили еще раз - никаких подобных файлов на машине не возникает.
Уважаемый(ая) kdv, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: