Outpost жрал процессор

Printable View

08.06.2007, 14:58
M@xWell

Outpost жрал процессор

Привет всем! Ситуация: пришла дочь босса, говорит, что ноут выдал ошибку и повесился.. Ошибка: Аутпост не находит какуюто базу данных. Ноут на все дейсвия 0 реакции. Пришлось применить силу). Выкл-Вкл-начал обновления Аутпоста (думал ему вирусная база нужна была). После этого он начал постоянно загружать проц на все 100%. Убив его (аутпост, а не проц;)) в безопасном режиме, вроде заработало. Но решил таки перестраховаться. CureIt ничего не нашел. AVZ чето нашел и кинул в карантин. Пожалуйста, гляньте ее логи, а то там все слишком запущено...
08.06.2007, 15:25
PavelA

Есть подозрение на конфликт Нода и Аутпоста. В логах ничего плохого не видно.
Диск D - это что?
08.06.2007, 15:48
M@xWell

Диск Д - локальный диск.С ним что-то не так?
08.06.2007, 16:53
M@xWell

HELP

Помогите! Установил другой файрвол (с систем механиком), он тоже начал процессор кушать (вместе с C:\WINDOWS\system32\servises.exe) Решил потом на руткит проверить АВЗ. Обьясните плиз, не удалилось ли там че-нить лишнее? Вот отчет:

Выполняется стандартный скрипт: 1. Поиск и нейтрализации RootKit UserMode и KernelMode
>> Опасно ! Обнаружена маскировка процессов
>>>> Обнаружена маскировка процесса 420 ioloDMVSvc.exe
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции LoadLibraryExW нейтрализован
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateProcess (134) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции NtCreateProcess нейтрализован
Функция ntdll.dll:NtCreateProcessEx (135) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции NtCreateProcessEx нейтрализован
Функция ntdll.dll:NtQuerySystemInformation (263) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции NtQuerySystemInformation нейтрализован
Функция ntdll.dll:NtResumeThread (297) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции NtResumeThread нейтрализован
Функция ntdll.dll:NtSuspendProcess (344) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции NtSuspendProcess нейтрализован
Функция ntdll.dll:NtTerminateProcess (348) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции NtTerminateProcess нейтрализован
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
>> Опасно ! Обнаружена маскировка процессов
>>>> Подозрение на маскировку процесса 420 c:\program files\iolo\common\lib\iolodmvsvc.exe
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=07B580)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 80552580
KiST = 80501354 (284)
Функция NtCreateKey (29) перехвачена (806191EC->F73AD0D0), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateKey (47) перехвачена (80619A2C->F73B2E2C), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateValueKey (49) перехвачена (80619C96->F73B31BA), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenKey (77) перехвачена (8061A582->F73AD0B0), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryKey (A0) перехвачена (8061A8A6->F73B3292), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryValueKey (B1) перехвачена (806172A6->F73B3112), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetValueKey (F7) перехвачена (806178AC->F73B3324), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Проверено функций: 284, перехвачено: 7, восстановлено: 7
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
08.06.2007, 16:56
M@xWell

Файрвол не могу остановить\убить. Пишет нет доступа. Попробую опять в Безопасном режиме. А то продолжают на пару с C:\WINDOWS\system32\servises перегружать проц. Примерно 25% - файр, 75% - сервисы
С нетерпением жду советов!
08.06.2007, 17:12
PavelA

[QUOTE=M@xWell;114696]Диск Д - локальный диск.С ним что-то не так?[/QUOTE]

на нем autorun.inf в корне сидит. Не должно быть этого на нормальном диске. На всякий пожарный пришлите карантин, что получился после логов.

перехватчик sptd.sys - Alcohol. Так что это не страшно.

Когда логи делали НОД отключали? Или он вообще не живой. в логе HJ его сервис виден, а в AVZ нет.
08.06.2007, 17:23
M@xWell

Блин.. Забыл отключить НОД... Сейчас сделаю проверку заново и пришлю логи. Пока только карантин.
ЗЫ. А Алкоголь несколько раньше удалял... (т.е. еще до первой проверки)
08.06.2007, 17:37
PavelA

Карантин можно удалить. Там ничего страшного. На будущее, он прикрепляется по ссылке вверху темы. Первое китайское предупреждение.
08.06.2007, 17:47
M@xWell

Вот новые логи.
08.06.2007, 18:03
PavelA

[QUOTE=M@xWell;114726] А Алкоголь несколько раньше удалял... (т.е. еще до первой проверки)[/QUOTE]

Не до конца он удалился. в AVZ выполнить скрипт:
[CODE]begin
BC_DeleteFile('\SystemRoot\System32\Drivers\sptd.sys');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки посмотреть на состояние.
08.06.2007, 18:35
M@xWell

[QUOTE]После перезагрузки посмотреть на состояние.[/QUOTE] состояние чего? работоспособности? ноут начал стабильно работать сразу после того как я удалил аутпост. правда, когда установил другой файр - опять начал тормозюкать... я точно не знаю, но по-моему аутпост и раньше стоял, и не брыкался (по словам хозяйки начал пару дней назад. вот я и поднял тревогу) еще что-нибуть можно сделать? интересно, если 3й файр поставить - будет тормозить?
08.06.2007, 18:37
PavelA

[QUOTE=M@xWell;114748]состояние чего? работоспособности? ноут начал стабильно работать сразу после того как я удалил аутпост. [/QUOTE]
Именно ее родной.
08.06.2007, 18:41
Rene-gad

[QUOTE=M@xWell;114748]интересно, если 3й файр поставить - будет тормозить?[/QUOTE]
А родной Виндосовский файр у Вас выключен?
11.06.2007, 10:17
M@xWell

[B]Rene-gad
[/B]Бранмауер выключен. Все остальные фаеры поудалял - система стабилизировалась. А что, могло просто быть место кофликту Аутпоста с Брандмауером?

PS. Придет девушка, спрошу как ноут на выходных себя вел)