Junior Member
Вес репутации
52
ntoskrnl ломится в интернет
Пока стоял корпоративный симантек 9, проблем не замечал, но как установил 11-й симантек сразу стало видно, что процесс ntoskrnl.exe постоянно ломится в сеть. Систему просканил доктор вэб, KAV, симантеком- результат ноль. Помогите пожалуйста. Заранее спасибо.
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1. Пожалуйста, выполните скрипт AVZ:
Код:
begin
SearchRootkit(true, true);
QuarantineFile('P1001Vfw.drv', 'CHQ=N');
QuarantineFile('C:\WINDOWS\system32\CTsvcCDA.EXE', 'CHQ=N');
QuarantineFile('C:\WINDOWS\system32\P1001Dex.ax', 'CHQ=N');
QuarantineFile('C:\WINDOWS\system32\P1001Sti.dll', 'CHQ=N');
QuarantineFile('C:\WINDOWS\system32\servises.exe', 'CHQ=N');
QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys', 'CHQ=N');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\EP_CAMD.SYS', 'CHQ=N');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\P1001Vid.sys', 'CHQ=N');
QuarantineFile('C:\WINDOWS\system32\drivers\pctplsg.sys', 'CHQ=N');
QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys', 'CHQ=N');
QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys', 'CHQ=N');
QuarantineFile('C:\WINDOWS\system32\drivers\TfNetMon.sys', 'CHQ=N');
QuarantineFile('C:\DOCUME~1\8AD5~1\LOCALS~1\Temp\Rar$EX00.312\win\Multi Password Recovery\mpr_freader.sys', 'CHQ=N');
QuarantineFile('C:\Program Files\FreshDevices\FreshDiagnose\FreshIO.sys', 'CHQ=N');
BC_QrFile('C:\WINDOWS\system32\CTsvcCDA.EXE');
BC_QrFile('C:\WINDOWS\system32\servises.exe');
BC_QrFile('C:\WINDOWS\system32\drivers\ati64si.sys');
BC_QrFile('C:\WINDOWS\system32\drivers\pctplsg.sys');
BC_QrFile('C:\WINDOWS\system32\drivers\port135sik.sys');
BC_QrFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
BC_QrFile('C:\WINDOWS\system32\drivers\TfNetMon.sys');
BC_QrFile('C:\DOCUME~1\8AD5~1\LOCALS~1\Temp\Rar$EX00.312\win\Multi Password Recovery\mpr_freader.sys');
BC_QrFile('C:\Program Files\FreshDevices\FreshDiagnose\FreshIO.sys');
BC_Activate;
RebootWindows(true);
end.
В ходе выполнения скрипта компьютер перезагрузится.
2. Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Последний раз редактировалось Зайцев Олег; 23.02.2010 в 21:46 .
Junior Member
Вес репутации
52
Сообщение от
Змей
Карантин выслал.
Визуально ничего опасного (кроме остатков от убитого ранее зверя и следов ранее установленного и не до конца удаленного ПО не видно). Сделайте для профилактики логи Gmer
Junior Member
Вес репутации
52
Gmer катастрофически подвешивает систему, сегодня весь день пытался, но так ничего и не получилось.
Junior Member
Вес репутации
52
Скрипт, указанный выше, выполнил, но изменений, по моему, не произошло, видимо зверь убит не до конца. Выкладываю новые логи.
1. Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
O4 - HKLM\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKCU\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\servises.exe','');
DeleteFile('C:\WINDOWS\system32\servises.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','servises');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','servises');
StopService('systemntmi');
QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
BC_ImportAll;
ExecuteSysClean;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
Junior Member
Вес репутации
52
Всё выполнил, как описано выше, прикладываю новые логи, карантин выслан.
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
BC_DeleteSvc('ati64si');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
BC_DeleteSvc('port135sik');
BC_DeleteSvc('systemntmi');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log .
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Проблема решена?
Junior Member
Вес репутации
52
Снёс 11-й симантек, выполнил скрипты.
Junior Member
Вес репутации
52
Поставил 11-й симантек обратно, похоже всё дело было именно в нём , самое обидное, что источник проверенный...
Вложения
А в чём проблема то? Он что трояны скачиват, спам рассылает? Может, это у корпоративной версии такая особенность. Например для удаленного управления.
Junior Member
Вес репутации
52
Пробил айпишники, там Самара, Архангельск, Китай, ещё куча всего, вот и возникло сомнение. Ну что ядру системы надо по этим адресам?
Добавлено через 42 минуты
За последние 40 минут посторонней активности не замечено, думаю проблема снята.
Последний раз редактировалось Змей; 01.03.2010 в 00:53 .
Причина: Добавлено
Junior Member
Вес репутации
52
Спасибо за помощь, посторонних телодвижений на компе не замечено.
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 18 В ходе лечения вредоносные программы в карантинах не обнаружены