-
Внимание !! Хрень ... Нашел, а удалить не может ???
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINNT\system32\mfaphook.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINNT\system32\mfaphook.dll>>> Нейросеть: файл с вероятностью 0.86% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINNT\system32\tzhook.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINNT\system32\tzhook.dll>>> Нейросеть: файл с вероятностью 0.56% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINNT\system32\cdmprov.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINNT\system32\cdmprov.dll>>> Нейросеть: файл с вероятностью 0.61% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINNT\system32\CTXRPC.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINNT\system32\CTXRPC.dll>>> Нейросеть: файл с вероятностью 0.78% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINNT\system32\msze32.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINNT\system32\msze32.dll>>> Нейросеть: файл с вероятностью 0.56% похож на типовой перехватчик событий клавиатуры/мыши
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 319 описаний портов
На данном ПК открыто 471 TCP портов и 142 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
>>> C:\WINNT\system32\iexplore.exe ЭПС: подозрение на Файл с подозрительным именем (высокая степень вероятности)
Проверка завершена
Просканировано файлов: 92954, извлечено из архивов: 78684, найдено вредоносных программ 0
Сканирование завершено в 21.03.2006 12:56:55
Сканирование длилось 00:58:43
Отложенное удаление файла C:\WINNT\system32\msze32.dll
Файл C:\WINNT\system32\msze32.dll не найден
-
[QUOTE=Ламер_Большой]Файла msze32.dll нигде нет !!!
[/QUOTE]
Лога AVZ тоже не видно...
Похоже руткит, придется всех гнать с терминалов и воевать с консоли.
Качаете обновление к AVZ вот из этого сообщения [url]http://virusinfo.info/showpost.php?p=67342&postcount=51[/url] и распаковываете в каталог с AVZ.
запускаете avz.exe ag=y (через пуск -> выполнить, выбираете avz.exe в конце строки через пробел дописываете ag=y ) идёте в Сервис->Диспечер автозагрузки и снимаете галку напротив "d:\windows\system32\msze32.dll ... " если сработает "удалить", вообще удаляете эту запись.Закрываете AVZ оставляя включенным Guard
[color=red]Перезагружаетесь.[/color]
Стираете D:\WINDOWS\System32\msze32.dll
Перед этим пришлите нам копию msze32.dll, как написано в правилах.
и C:\WINNT\system32\iexplore.exe пришлите тоже, скорее всего троян.
-
Вложений: 1
-
2 RiC
C:\WINNT\system32\iexplore.exe пришлите тоже, скорее всего троян.
Согласен что в нем тоже фигня, так как окна сами закрываются и "пляшут"
-
2 RiC
Попробую сегодня вечером , чтоб не сгонять всех во время работы , выполнить Ваши инструкции. Завтра напишу результат
-
[QUOTE=Ламер_Большой]2 RiC
Вот полный лог[/QUOTE]
Это лог скана, я исследование системы из AVZ хотел-бы увидеть
[QUOTE=Ламер_Большой]2 RiC
Попробую сегодня вечером , чтоб не сгонять всех во время работы , выполнить Ваши инструкции. Завтра напишу результат[/QUOTE]
PS: Будте осторожны с ключём avz ag=y (это включение AVZ Guard), режим предназначается для борьбы с особо вредной гадостью.
-
Удаляю , смотрю нет строчки в автозапуске !!! Перезагружаю ... опять есть !!!! Кстати ... минуты через 2 срабатывает уже блок на открытие программы AVZ... пишет отказанно в доступе , хотя в окне как процесс указан explorer.exe !! ужас !!
-
Ошибка активации AVZ Guard !!!
Не грузится диспетчер задач на серваке WIN2000 !!!
-
2 RiC
после того как запусил:
запускаете avz.exe ag=y
Проблема !!! Никто не может войти теперь из под Цитрикса !! срочно !
-
Разборки с руткитом лучше отложить на вечернее время, когда никого на сервере уже не будет.
-
2 Xen
Ты прав !!! блин . как отключить теперь запускаете avz.exe ag=y
а то никто не может конектится цитриком ((
-
-
перезагрузка не спасает (((
-
все ок. Цитрикс работает ... msze32.dll до сих пор не удалось удалить ! оставлю на вечерние время. завтра напишу результат
-
Хочу спросить у маститых модеров, что такое этот руткит ? Его побочные действия ощутил на собственной шкуре :(
-
[QUOTE=Ламер_Большой]Хочу спросить у маститых модеров, что такое этот руткит ? Его побочные действия ощутил на собственной шкуре :([/QUOTE]
Руткит - это зловред, модифицирующий работу операционной системы для решения своих целей. Подробности - см. [url]http://z-oleg.com/secur/rootkit.htm[/url]
Судя по имени DLL мы имеет дело с червяком Feebs (он узнает AVZ и убивает его, маскируется по руткит-технологии). Полный алгоритм лечения:
1. Перезагрузиться (естественно, в вечернее время, когда юзеров на сервере не будет)
2. Запустить AVZ с параметром ag=Y (avz.exe ag=y)
3. Пролечить систему с включенным антируткитом (это важно, в логе должна быть информация о нейтрализации кучи перехватов UserMode)
4. Стереть через отложенное удаление AVZ
D:\WINDOWS\System32\msze32.dll
C:\WINNT\system32\iexplore.exe (перед удаление сделать его копию и прислать нам)
5. Из AVZ выполнить поиск на системном диске файлов, созданных за последние 2 дня, размером от 40 до 70 кб, исключая опознанные как безопасные и системные. Что найдется - прислать нам на анализ
6. Не выходя из AVZ и не выключая AVZGuard перезагрузиться
все эти шаги естественно делать с консоли, а не через терминалку
-
2 Олег ЗайТцев
Кстати, это из за этого - пока я не переименовал папку и файлс c AVZ на ZVA прога даже запускатся не хотела ?
-
[QUOTE=Ламер_Большой]2 Олег ЗайТцев
Кстати, это из за этого - пока я не переименовал папку и файлс c AVZ на ZVA прога даже запускатся не хотела ?[/QUOTE]
Да из-за этого, троян детектит в списке процессов avz.exe и убивает его. Кстати не только его список прикрываемых у этого трояна очень длинный.
Да собственно описание зверя есть в соседнем топике - [url]http://virusinfo.info/showthread.php?t=4479[/url]
-
Парни !!! Спасибо Вам всем за хелпы !!! Особенно RiC !!! Теперь я подкован и сегодня вечером задушу "зверя" !! А завтра скажу результат ...
но веть еще прога выдала подозрения помимо msze32.dll
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINNT\system32\mfaphook.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINNT\system32\mfaphook.dll>>> Нейросеть: файл с вероятностью 0.86% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINNT\system32\tzhook.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINNT\system32\tzhook.dll>>> Нейросеть: файл с вероятностью 0.56% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINNT\system32\cdmprov.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINNT\system32\cdmprov.dll>>> Нейросеть: файл с вероятностью 0.61% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINNT\system32\CTXRPC.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINNT\system32\CTXRPC.dll>>> Нейросеть: файл с вероятностью 0.78% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINNT\system32\msze32.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINNT\system32\msze32.dll>>> Нейросеть: файл с вероятностью 0.56% похож на типовой перехватчик событий клавиатуры/мыши
-
другие заподозренные файлы тоже присылайте. в крайнем случае, эти файлы будут добавлены в базу чистых.
Page generated in 0.01564 seconds with 10 queries