Показано с 1 по 18 из 18.

Что значит несколько десятков строк в логе AVZ типа: "обнаружена подмена PID"? (заявка № 9176)

  1. #1
    Junior Member Репутация
    Регистрация
    21.04.2007
    Сообщений
    11
    Вес репутации
    36

    Thumbs up Что значит несколько десятков строк в логе AVZ типа: "обнаружена подмена PID"?

    При сканировании системы AVZ даёт несколько десятков строчек типа:

    Маскировка процесса с PID=3128, имя = ""
    >> обнаружена подмена PID (текущий PID=0, реальный = 312

    Что это значит?

    Заранее спасибо,
    Андрей.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WIN2003\SYSTEM32\dimsntfy.dll','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пришлите карантин по правилам.

  4. #3
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    После скрипта Bratez выполните мой скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\sysint\pskill.exe','');
     QuarantineFile('\SystemRoot\System32\Drivers\axp3n7na.SYS','');
     QuarantineFile('C:\Program Files\Merak\regex.dll','');
     QuarantineFile('C:\Program Files\Merak\libssl32.dll','');
     QuarantineFile('C:\Program Files\Merak\libeay32.dll','');
     QuarantineFile('c:\program files\merak\smtp.exe','');
     QuarantineFile('c:\program files\avant browser\avant.exe','');
     QuarantineFile('c:\program files\merak\pop3.exe','');
    RebootWindows(false);
    end.
    После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".

  5. #4
    Junior Member Репутация
    Регистрация
    21.04.2007
    Сообщений
    11
    Вес репутации
    36
    Оба архива послал.

    Файл сохранён как 070421_152033_virus_4629f381c244d.zip
    Размер файла 11637
    MD5 ca96090e16a7a2ae3338392f04a073e4

    Файл сохранён как 070421_153045_virus_4629f5e53677f.zip
    Размер файла 3605881
    MD5 e5f7d005321ec173bc5c21cf2b811837

    pskill.exe в таск шедулере поставлен мной.
    merak - почтовый сервер
    avant - браузер которым я пользуюсь вместо IE

    Спасибо,
    Андрей

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    dimsntfy.dll на Вирустотал никто не детектит...
    Не вижу, к чему бы еще придраться .
    А может, это всё проделки Sysinternals Process Explorer?
    Что если его временно деинсталлировать и сделать новые логи?

  7. #6
    Junior Member Репутация
    Регистрация
    21.04.2007
    Сообщений
    11
    Вес репутации
    36
    Цитата Сообщение от Bratez Посмотреть сообщение
    А может, это всё проделки Sysinternals Process Explorer?
    Что если его временно деинсталлировать и сделать новые логи?
    Спасибо.

    Это врядли Process Explorer. Я его деинсталлировал, но всё равно получаю похожие результаты. Я заметил так же ещё одну вещь. Когда процесс умирает (любой) он появляется новой строчкой в логе AVZ.

    Скажем я запустил Notepad. Открыл таск менеджер и посмотрел его PID. Он, скажем 3156. Запустил скан AVZ. AVZ выдал несколько строчек с Маскировка процесса с PID. Процесса с PID 3156 среди них нет. Закрываю Notepad, запускаю AVZ скан опять. На этот раз вижу

    Маскировка процесса с PID=3156, имя = ""
    >> обнаружена подмена PID (текущий PID=0, реальный = 3156)


    И так каждый раз, когда умирает какой нибудь процесс. Есть идеи почему так происходит?

    Андрей.

  8. #7
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    "пофиксите" в HijackThis
    Код:
    F2 - REG:system.ini: Shell=Explorer.exe

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    @zespri
    O1 - Hosts: 202.175.128.95 widevsql01
    Этот хост Вам известен? Если нет - пофиксить.
    ПС: Не распаковывайте Hijackthis в темп-папку. Если чего-то неправильно фиксанёте, то уже не сможете восстановить.
    Цитата Сообщение от zespri Посмотреть сообщение
    avant - браузер которым я пользуюсь вместо IE
    Avant - это надстройка на базисе ИЕ. Вместо ИЕ можно пользоваться напр. Оперой или Огнелисом
    ЭДИТ: А ещё у меня дурацкий вопрос: Ставить антиврус на сервер не надо?
    Последний раз редактировалось Rene-gad; 21.04.2007 в 16:51.

  10. #9
    Junior Member Репутация
    Регистрация
    21.04.2007
    Сообщений
    11
    Вес репутации
    36
    Цитата Сообщение от MaXim Посмотреть сообщение
    "пофиксите" в HijackThis
    Код:
    F2 - REG:system.ini: Shell=Explorer.exe
    Сделал, ничего не изменилось (кроме исчезновения этой строчки в HijackThis). Насколько я понимаю, HijackThis хочет что бы Explorer.exe в реестре в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell был написан с маленькой буквы, а меня был с большой. Впрочем это только моя теория, могу ошибаться.

    К сожалению, это не отвечает на вопрос в сабжекте темы. Буду рад любым мнениям.

  11. #10
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Сделайте логи в безопасном режиме. Может что-нибудь всплывет.

  12. #11
    Junior Member Репутация
    Регистрация
    21.04.2007
    Сообщений
    11
    Вес репутации
    36
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    @zespri
    Этот хост Вам известен? Если нет - пофиксить.
    Спасибо, этот хост прописал я сам, так что известен.
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    ПС: Не распаковывайте Hijackthis в темп-папку. Если чего-то неправильно фиксанёте, то уже не сможете восстановить.
    Хех, так выглядит путь когда запускаешь екзешник изнутри архива =) Да, я знаю, про бэкап, когда я запускал, я запускал для сканирования, что бы получить лог и приаттачить сюда. Что я и с делал. Когда же фиксал то, что посоветевал MaXim, я распаковал его в отдельную папку. Всё равно спасибо, что Вы указали мне на это.
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Avant - это надстройка на базисе ИЕ. Вместо ИЕ можно пользоваться напр. Оперой или Огнелисом
    Томато, томэйто. Называйте как хотите. Авант это отдельный програмный продукт, выполненый в виде отдельного (от IE) exe модуля. Точно так же как опера или файрфокс. То что внутри он пользуется тем же контролом что и IE неоспоримо. Говоря что вместо IE я пользуюсь Avant я имел в виду, то что я использую програмный продукт Avant Browser, вместо IE. Прошу заметить, что этот спор чисто теоретический, так как IE это часть операционной системы, его даже нельзя снести. Avant использует сервисы предроставляемые ОС точно так же как и любая другая программа. Вообще то конечно это всё оффтопик. Я перестал.
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    ЭДИТ: А ещё у меня дурацкий вопрос: Ставить антиврус на сервер не надо?
    По желанию. Если Вы спрашиваете, почему у меня его нет, то я отвечу, что у меня две основные причины. Во-первых, серверные антивирусы очень не дёшевы, в отличии от клиентских (домашних) версий, во-вторых последние лет десять мне удавалось бороться с вирусами просто с помощью здравого смысла и нескольких утилит. Тем не менее, я сейчас рассматриваю вариант покупки серверного антивируса. Norton Antivirus для сервера в самой дешовой комплектации стоит 250USD, буду рад, если подскажете, что нибудь подешевле. И последнее, к этому вопросу. Я до сих пор не убеждён, что симптом который я описываю, это результат присутствия в системе вируса. Мне хотелось услышать мнение знатоков программы AVZ какие именно условия в системе вызывают сообщение, которое я получаю. Что именно проверяет AVZ перед тем как выдать такое сообщение? К сожалению мне этого пока так установить и не удалось, но я не теряю надежды .

    Ещё раз большое спасибо за отклик. Если есть какие нибудь мысли, почему я вижу эти сообщения в своём логе, пожалуйста обязательно дайте знать.

    Андрей.

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Андрей, IMHO есть вероятность, что это просто глюк AVZ, который проявляется только на Win2k3. Думаю, Вам стоит обратиться непосредственно к Олегу Зайцеву.

  14. #13
    Junior Member Репутация
    Регистрация
    21.04.2007
    Сообщений
    11
    Вес репутации
    36
    Цитата Сообщение от MaXim Посмотреть сообщение
    Сделайте логи в безопасном режиме. Может что-нибудь всплывет.
    Вот логи из Safe Mode виндов.
    Вложения Вложения

  15. #14
    Junior Member Репутация
    Регистрация
    21.04.2007
    Сообщений
    11
    Вес репутации
    36
    Цитата Сообщение от Bratez Посмотреть сообщение
    Андрей, IMHO есть вероятность, что это просто глюк AVZ, который проявляется только на Win2k3. Думаю, Вам стоит обратиться непосредственно к Олегу Зайцеву.
    Спасибо, написал ему на mail данный в about box AVZ, объяснил проблему и дал ссылку на эту тему. Буду ждать ответа.

    Ещё раз всем спасибо.

    Андрей.

  16. #15
    Junior Member Репутация
    Регистрация
    21.04.2007
    Сообщений
    11
    Вес репутации
    36
    Среди несольких вариантов развитий событий Олег указал на драйвер

    \SystemRoot\System32\Drivers\axp3n7na.SYS

    В четырёз сканах приаттаченых к этому топику этот драйвер появляется под тремя разными именами.
    \SystemRoot\System32\Drivers\ahbxto91.SYS
    \SystemRoot\System32\Drivers\ao0o6f6n.SYS

    Надо ли говорить, что таких файлов на диске нет?

    Есть идеи как выяснить, что это за драйвер?

    Андрей.

  17. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Это драйвер от программы Alcohol 120% (создается динамически),
    не опасен

  18. #17
    Junior Member Репутация
    Регистрация
    21.04.2007
    Сообщений
    11
    Вес репутации
    36
    Цитата Сообщение от Bratez Посмотреть сообщение
    Это драйвер от программы Alcohol 120% (создается динамически),
    не опасен
    Спасибо.

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,537
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 10
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\sysint\\pskill.exe - not-a-virus:RiskTool.Win32.PsKill.k (DrWEB: Tool.ProcessKill.7)


  • Уважаемый(ая) zespri, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 7
      Последнее сообщение: 22.02.2009, 06:27
    2. Ответов: 7
      Последнее сообщение: 22.02.2009, 05:58
    3. Ответов: 8
      Последнее сообщение: 22.02.2009, 03:11
    4. Ответов: 3
      Последнее сообщение: 19.02.2009, 17:45
    5. Много красных строк в логе
      От noveagle в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 09.05.2008, 13:48

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00645 seconds with 23 queries