[QUOTE='Surfer;133447']В этом плане CCleaner лучше всех[/QUOTE]+1
Printable View
[QUOTE='Surfer;133447']В этом плане CCleaner лучше всех[/QUOTE]+1
После проверки AVZ выдала следуюущее :
Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 2 TCP портов и 5 UDP портов
(файрвол - MCAfee)
Проверка завершена, подозрительные порты не обнаружены
насколко опасно?и как блокировать?(стоит ли блоктровать?)
А что блокировать, если опасности не видно?
Приветствую всех.
Тут у меня проблемка случилась. Завелся "зверек" на компе. Обнаружился при помощи утилиты AVZ, выличить систему не удалось, пришлось переставить.
Так вот какой факт обнаружился.
После установки системы проверяю её AVZ все чисто, никаких перехватов ни в user mode ни в kernеl mode.
Устанавливаю OutPost.
Он просит перезагрузить комп. Ок. Комп перезагружается и ...
система не стартует. После заставки Windows получаем просто черный экран вместо синего экрана приветствия и возможности залогиниться.
А лампочка активности харда мигает, то очень активно, то переодически.
Ждал, ждал ... довольно долго. Потом резет.
Со второго раза система запустилась.
Закончилась донастройка Outposta. Обновились, проверились.
И тут самое интересное.
Ожидаю после проверки AVZ увидеть что, Outpost перехватил некоторые функции в кернел моде, а вижу совсем другое.
Перехват непонятно кем более 30-ти функций в user mode!
Что бы это значило?
[QUOTE=Thomas]Что бы это значило?[/QUOTE]
Полный лог проверки можно увидеть?
В KernelMode перехватов что ли нет?
[B]Thomas [/B], [url]http://helpme.virusinfo.info[/url]
Аутпост их и перехватывает
[code][size=1]
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:CreateProcessA (99) перехвачена, метод APICodeHijack.JmpTo[1004D532]
Функция kernel32.dll:CreateProcessW (103) перехвачена, метод APICodeHijack.JmpTo[1004D50A]
Функция kernel32.dll:CreateRemoteThread (104) перехвачена, метод APICodeHijack.JmpTo[1004D82E]
Функция kernel32.dll:DebugActiveProcess (117) перехвачена, метод APICodeHijack.JmpTo[1004D806]
Функция kernel32.dll:WinExec (897) перехвачена, метод APICodeHijack.JmpTo[1004D4E2]
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:LdrLoadDll (70) перехвачена, метод APICodeHijack.JmpTo[1004D7DE]
Функция ntdll.dll:LdrUnloadDll (80) перехвачена, метод APICodeHijack.JmpTo[1004D7B6]
Функция ntdll.dll:NtCreateThread (140) перехвачена, метод APICodeHijack.JmpTo[1004D5D2]
Функция ntdll.dll:NtProtectVirtualMemory (226) перехвачена, метод APICodeHijack.JmpTo[1004D622]
Функция ntdll.dll:NtSetContextThread (304) перехвачена, метод APICodeHijack.JmpTo[1004D5FA]
Функция ntdll.dll:NtSetValueKey (338) перехвачена, метод APICodeHijack.JmpTo[1004D78E]
Функция ntdll.dll:NtSuspendProcess (344) перехвачена, метод APICodeHijack.JmpTo[1004D6EA]
Функция ntdll.dll:NtSuspendThread (345) перехвачена, метод APICodeHijack.JmpTo[1004D6C2]
Функция ntdll.dll:NtTerminateProcess (348) перехвачена, метод APICodeHijack.JmpTo[1004D73A]
Функция ntdll.dll:NtWriteVirtualMemory (369) перехвачена, метод APICodeHijack.JmpTo[1004D766]
Функция ntdll.dll:ZwCreateThread (950) перехвачена, метод APICodeHijack.JmpTo[1004D5D2]
Функция ntdll.dll:ZwProtectVirtualMemory (1035) перехвачена, метод APICodeHijack.JmpTo[1004D622]
Функция ntdll.dll:ZwSetContextThread (1113) перехвачена, метод APICodeHijack.JmpTo[1004D5FA]
Функция ntdll.dll:ZwSetValueKey (1147) перехвачена, метод APICodeHijack.JmpTo[1004D78E]
Функция ntdll.dll:ZwSuspendProcess (1153) перехвачена, метод APICodeHijack.JmpTo[1004D6EA]
Функция ntdll.dll:ZwSuspendThread (1154) перехвачена, метод APICodeHijack.JmpTo[1004D6C2]
Функция ntdll.dll:ZwTerminateProcess (1157) перехвачена, метод APICodeHijack.JmpTo[1004D73A]
Функция ntdll.dll:ZwWriteVirtualMemory (1178) перехвачена, метод APICodeHijack.JmpTo[1004D766]
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (27) перехвачена, метод APICodeHijack.JmpTo[1004DBEE]
Функция user32.dll:ChangeDisplaySettingsExA (34) перехвачена, метод APICodeHijack.JmpTo[1004D3F2]
Функция user32.dll:ChangeDisplaySettingsExW (35) перехвачена, метод APICodeHijack.JmpTo[1004D3CA]
Функция user32.dll:DdeConnect (108) перехвачена, метод APICodeHijack.JmpTo[1004DBC6]
Функция user32.dll:DdeConnectList (109) перехвачена, метод APICodeHijack.JmpTo[1004DB9E]
Функция user32.dll:DdeInitializeA (122) перехвачена, метод APICodeHijack.JmpTo[1004DB76]
Функция user32.dll:DdeInitializeW (123) перехвачена, метод APICodeHijack.JmpTo[1004DB4E]
Функция user32.dll:EndTask (202) перехвачена, метод APICodeHijack.JmpTo[1004D87E]
Функция user32.dll:ExitWindowsEx (226) перехвачена, метод APICodeHijack.JmpTo[1004D91E]
Функция user32.dll:FindWindowExA (229) перехвачена, метод APICodeHijack.JmpTo[1004D996]
Функция user32.dll:FindWindowExW (230) перехвачена, метод APICodeHijack.JmpTo[1004D96E]
Функция user32.dll:PostMessageA (512) перехвачена, метод APICodeHijack.JmpTo[1004DA86]
Функция user32.dll:PostMessageW (513) перехвачена, метод APICodeHijack.JmpTo[1004DA5E]
Функция user32.dll:SendInput (571) перехвачена, метод APICodeHijack.JmpTo[1004D946]
Функция user32.dll:SendMessageA (572) перехвачена, метод APICodeHijack.JmpTo[1004DB26]
Функция user32.dll:SendMessageCallbackA (573) перехвачена, метод APICodeHijack.JmpTo[1004D9E6]
Функция user32.dll:SendMessageCallbackW (574) перехвачена, метод APICodeHijack.JmpTo[1004D9BE]
Функция user32.dll:SendMessageTimeoutA (575) перехвачена, метод APICodeHijack.JmpTo[1004DA36]
Функция user32.dll:SendMessageTimeoutW (576) перехвачена, метод APICodeHijack.JmpTo[1004DA0E]
Функция user32.dll:SendMessageW (577) перехвачена, метод APICodeHijack.JmpTo[1004DAFE]
Функция user32.dll:SendNotifyMessageA (578) перехвачена, метод APICodeHijack.JmpTo[1004DAD6]
Функция user32.dll:SendNotifyMessageW (579) перехвачена, метод APICodeHijack.JmpTo[1004DAAE]
Функция user32.dll:SetForegroundWindow (600) перехвачена, метод APICodeHijack.JmpTo[1004D8F6]
Функция user32.dll:SetWinEventHook (639) перехвачена, метод APICodeHijack.JmpTo[1004D856]
Функция user32.dll:SetWindowPos (644) перехвачена, метод APICodeHijack.JmpTo[1004D8A6]
Функция user32.dll:SetWindowsHookExA (651) перехвачена, метод APICodeHijack.JmpTo[1004DC3E]
Функция user32.dll:SetWindowsHookExW (652) перехвачена, метод APICodeHijack.JmpTo[1004DC16]
[/size][/code]
[QUOTE=';134976']Ожидаю после проверки AVZ увидеть что, Outpost перехватил некоторые функции в кернел моде, а вижу совсем другое.[/QUOTE]
А при отрытии окна Аутопост слов Service mode нет. Так? Это означает, что у тебя не запустился сервис аутпост, а только оболочка. Поэтому оболочка взяла на себя функции сервиса. Такой режим менее надёжен. И не работает, когда ты вышел из логина или ещё не зашёл под логин. Перестаустанови атупост или попробуй пересутановить службу руками.
[QUOTE=AndreyKa;134980]Полный лог проверки можно увидеть?
В KernelMode перехватов что ли нет?[/QUOTE]
AndreyKa
Приветствую.
Сейчас перехваты и в кернел моде.
Тут четко видно что, перехватчик Outpost.
[QUOTE='Rene-gad;133310']ребята, давайте не будем давить на Олега с созданием eierlegende Wollmilchsau [/QUOTE]
А я и не давлю, просто напомнил. Олег сам решает какие предложения реализавывать. А моё вполне актуально:
[url]http://virusinfo.info/showpost.php?p=134988&postcount=6[/url]
В генерации текста ответа пользователю надо исправить ошибку в слове.
[CODE]1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- [B][COLOR="Red"]Надать[/COLOR][/B] кнопку "Запустить".[/url]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=[/url]
2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[/CODE]
Я уже писал об этом в закрытом разделе
[QUOTE=SuperBrat;135148]В генерации текста ответа пользователю надо исправить ошибку в слове.
[CODE]1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- [B][COLOR="Red"]Надать[/COLOR][/B] кнопку "Запустить".[/url]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=[/url]
2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[/CODE][/QUOTE]
Хотя это оффтопик, но в приведенном отрывке я вижу одну описку (упомянутую выше) и две ошибки... =)
Олег, опять какая то неразбериха со службами. [url]http://virusinfo.info/showthread.php?t=12493[/url]
В логах AVZ все службы опознаны как безопасные, а логе HijackThis:
[quote]
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\vfujclog.exe (file missing)
[/quote]
Вроде в логе отображаются только активные службы.
[quote=NickGolovko;135324]Вроде в логе отображаются только активные службы.[/quote]
Да, именно так ... если служба полуубитая (т.е. у нее к примеру прибит тип запуска, или отна отключена), то она в логе не отобразится
Сабж. Выскажусь с позиций юзера.
Сидишь себе, работешь. Год за годом. Вирус или троян появляется раз в год-два. В результате внимания проверкам невольно уделяется всё меньше и меньше. И совсем не сложно пропустить новую строчку в куче предупреждений о перехватах функций симантековским корпоративным антивирусом, "подозрительных" утилитах видеокарты висящих в трее, "подозрительном" фаерволе, Лингве, и т.д. и т.п.
Я бы только предлагал делать локальную базу с включением размеров, дат и CRC файлов. Чтобы обновленный или испорченый софт опять вызывал предупреждения. Ну и конечно параметр в настройках позволяющий отключать использование этой базы. Чтоб админ при желании мог целиком видеть всё, без учета мнения юзера.
ЗЫ: Вопрос по портам. AVZ ругается на 135-139 порты. Создал в фаерволе правело запрещающая принимать на них TCP и UDP. AVZ по-прежнему ругается. Так и должно быть, или я что-то не так сделал. Фаервол COMODO. Последний.
[QUOTE='толстопуз;135656']Я бы только предлагал делать локальную базу с включением размеров, дат и CRC файлов. Чтобы обновленный или испорченый софт опять вызывал предупреждения.[/QUOTE]
Олег, это вот как раз в духе того, что я просил. То есть меня такая локальная база устроит.
И ещё по поводу локальной базы чистых.
ИМХО она должна защищать файлы от выдачи предупреждений о подозрениях, но не как не от проверок на известные вирусы и прочую адварь.
[QUOTE='толстопуз;135656']Я бы только предлагал делать локальную базу с включением размеров, дат и CRC файлов. Чтобы обновленный или испорченый софт опять вызывал предупреждения. Ну и конечно параметр в настройках позволяющий отключать использование этой базы. Чтоб админ при желании мог целиком видеть всё, без учета мнения юзера.[/QUOTE]
Ага, именно это я и имел в виду, собственно.
[B]Rene-gad[/B], это пишется Vollmilchsau. ;)