Помогите, есть подозрение на зловред, пытался сам анализировать логи, но видимо еще мало навыков
Printable View
Помогите, есть подозрение на зловред, пытался сам анализировать логи, но видимо еще мало навыков
Ничего подозрительного не нашел...
зловред есть 100%, так как Cisco security которая установлена на компьютере, не дает загрузить учётку без прав админа. Ругаясь при этом на invoke со стороны explorer.exe
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
вот кусок лога CSA
[QUOTE][2009-03-26 14:04:18.000] [PID=932] [Csamanager]: Event: The process 'C:\WINDOWS\explorer.exe' attempted to call the function LoadLibraryA("urlmon") from a buffer (the return address was 0x71d32860). The code at this address is '00000068 6f6e0000 6875726c 6d54ff16 85c0745e 93baeaf2 301ee857 00000089' This either happens when a process uses self-modifying code or when a process has been subverted by a buffer overflow attack. The operation was denied and process terminated.[/QUOTE]
собственно после этого блочится explorer.exe
[QUOTE]...This either happens when a process uses self-modifying code or when a [B]process has been subverted by a buffer overflow attack[/B]...[/QUOTE]
Выделенная версия представляется более вероятной, ибо:
[QUOTE]Platform: Windows XP SP2 (WinNT 5.01.2600)[/QUOTE]
Ставьте SP3 и последующие обновления.
Если проблема останется, будем дальше думать.