Заразился "конём"...

Добрый вечер.

При очередной проверке выявилась следующая проблема.

Поиск и нейтрализация руткитов посредством утилиты AVZ при включенном антивирусе Symantec Antivirus CE 10.1.5 выдаёт следующее сообщение : "[SIZE=2][COLOR=#ff0000]Подозрение на RootKit utizmza0 C:\WINNT\system32\Drivers\utizmza0.sys[/COLOR][/SIZE]" при этом Symantec пытается поместить в карантин файл utizmza0.sys, определяемый как "Trojan Horse" после чего Symantec настойчиво предлогает перезагрузить компьютер. После перезагрузки ситуация остаётся прежней. То есть выполнение вышеописанных действий приводит к тем же результатам.

Так же в офисе имеются другие компьютеры с такой же проблемой.

Прошу помочь! Логи сделанные в соотвествии с вашими требованиями прилогаются. Заранее спасибо.

[QUOTE=DimizZ;393767]
Поиск и нейтрализация руткитов посредством утилиты AVZ при включенном антивирусе Symantec Antivirus CE 10.1.5 выдаёт следующее сообщение : "[SIZE=2][COLOR=#ff0000]Подозрение на RootKit utizmza0 C:\WINNT\system32\Drivers\utizmza0.sys[/COLOR][/SIZE]" [/QUOTE]
1. Читайте правила
[QUOTE]6. ....выгрузите[B] антивирусную программу[/B], [/QUOTE]
2. Этот файл - драйвер АВЗ.

Сделайте логи в строгом соответствии с правилами.

[QUOTE=DimizZ;393767]
Так же в офисе имеются другие компьютеры с такой же проблемой.[/QUOTE]3. Для каждого компьютера - отдельная тема.

Спасибо за быстрый ответ!

То что писал в пояснении делалось отдельно, ранее генерации логов.

Логи делались в соответствии с правилами. Службы антивируса и файрвола были остановлены кроме одной из служб Семантека (как называется не помню, комп остался на работе) которая не останавливается через диспетчер служб. Попробую завтра снести Семантек и повторно сделать логи.

[size="1"][color="#666686"][B][I]Добавлено через 20 минут[/I][/B][/color][/size]

Так же насторожили ошибки загрузки драйвера:

1.2 Поиск перехватчиков API, работающих в KernelMode
[COLOR=red][B]Ошибка загрузки драйвера - проверка прервана [C0000034][/B][/COLOR]
>>>> Подозрение на RootKit utizmza0 C:\WINNT\system32\Drivers\utizmza0.sys
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
[COLOR=red][B]Ошибка загрузки драйвера - проверка прервана [C0000034][/B][/COLOR]

[size="1"][color="#666686"][B][I]Добавлено через 11 часов 20 минут[/I][/B][/color][/size]

Доброе утро!

Остановка всех пяти служб антивируса тоже не помогла.
Снёс Symantec Antivirus и AVZ перестал находить проблемы! Так что в пункт шесть Правил стоит добавить требование о деинсталляции Symantec Antivirus Corporate Edition как минимум версии 10.1.5 и выше.

Остался только один непрояснённый момент с которого я и начал искать вирусы в системе.

При просмотре статистики офисного роутера заметил большой трафик по адресам сети 87.248.xxx.xxx (xxx.xxx.llnwd.net). Дальнейшее исследование показало что через эти узлы прокачивается трафик сервера обновлений WSUS.

C:\Documents and Settings\xxxxxxxx>ping download.microsoft.com
Обмен пакетами с mscom-dlc.vo.llnwd.net [87.248.197.52] по 32 байт

[QUOTE=DimizZ;393829]
в пункт шесть Правил стоит добавить требование о деинсталляции Symantec Antivirus Corporate Edition как минимум версии 10.1.5 и выше.[/QUOTE]Это дополнение нужно было бы делать для еще дюжины защитных программ, которые не дают себя выгрузить полностью.
[QUOTE]Остался только один непрояснённый момент с которого я и начал искать вирусы в системе.[/QUOTE]Логи с этого ПК аномалий не содержат.
Активируйте AVZPM, перегрузитесь, повторите логи, начиная от п.2 правил.

Проверил.

Ничего плохого не видно.

Спасибо огромное.

[url]www.llnwd.net[/url] - компания обслуживает крупные интернет проекты. Видимо Microsoft задолбалась сама поддерживать собственные Веб-сервера...