Printable View
ладно, эта тема скользкая, так что...
на текущий момент проблема в другом. человек, который сейчас с этим возится, говорит, что проблема не ликвидирована на 100%. То есть, впечатление такое, что НЕЧТО закачало этот троян на машину. И касперский хоть и сам троян нашел, но что-то в системе осталось.
с каждым часом все интереснее - подозрение на упомянутый троян оказалось ложным срабатыванием касперского. проверка подозрительных файлов тут же на avp.ru, на отдельной машине с только что установленными чистыми виндами (и с моей) показывает, что никаких вирусов нет.
тем временем, "подозрительная" машина совсем перестала выходить в инет - после дозвона в браузере ничего открыть нельзя.
жду отчет о трафике из commview.
А, т.е. там не Lineage.acn ?
А я его разыскиваю, чтобы посмотреть, может ли такое быть. Нашел только .ach
Странное ложное срабатывание. На [url]http://virustotal.com[/url] попробуйте файлы проверить.
Насчет выхода в инет - проверьте цепочку LSP/SPI, AVZ это проверяет, может исправлять. Надо просто запустить проверку, можно без выбора дисков. А чтобы исправить - поставить разрешающую птицу на третьей вкладке.
Я правильно понимаю, что один и тот же файл одним и тем же антивирусом с одинаковыми базами на одной машине опознается как зараженный, а на другой - как чистый, притом что ни там, ни там он не запускался, а был просто скопирован на обе машины?
В таком случае могу предположить, что на одной из машин есть проблемы с памятью, из-за чего в момент проверки этого файла какой-то из байтов файла портится так, что происходит ложное срабатывание антивируса. Это очень маловероятно, но тем не менее возможно: у меня при разогнанной памяти AVP Инспектор стабильно ругался на изменение одного из нормальных файлов.
Рекомендую взять [url=http://www.memtest86.com/]memtest86[/url], и хорошенько проверить память на обоих машинах.
Продолжение, извиняюсь за долгое молчание. AVP 6 до сих пор ничего не находит. Но периодически ругается на то, что разные процессы пытаются внедриться в чужую память. Например:
17.08.2006 12:41:32 Процесс C:\WINDOWS\System32\svchost.exe, обнаружено: потенциально опасное ПО Invader (модификация)
17.08.2006 14:40:53 Процесс C:\Program Files\Internet Explorer\iexplore.exe (PID: 2364): попытка выполнения подозрительных действий заблокирована.
17.08.2006 17:21:28 Попытка процесса с PID 1976 получения доступа к процессу Антивирус Касперского 6.0 с PID 1172 была заблокирована. Это результат срабатывания механизма самозащиты.
Еще я в tcpview (sysinternals) углядел какой-то странный процесс, который невозможно обнаружить ничем (в т.ч. processexplorer), невозможно убить, и его соединения невозможно отрубить:
[FONT=Fixedsys][System Process]:0 TCP SVETA-IBASE:1110 localhost:3809 TIME_WAIT
[System Process]:0 TCP sveta-ibase:1630 cds4.lon.llnw.net:http TIME_WAIT
[System Process]:0 TCP sveta-ibase:1081 host37.rax.ru:http TIME_WAIT
[System Process]:0 TCP sveta-ibase:1083 217.73.199.91:http TIME_WAIT [/FONT]
процесс лезет например на 84.53.146.8.
еще интересно, что даже сам avp лезет на странные адреса типа
[FONT=Fixedsys]avp.exe:1316 TCP sveta-ibase:3783 64.236.46.5:http ESTABLISHED [/FONT]
AVZ проверил еще раз - ничего не находит.
p.s. вчера наблюдал как кусок от winamp 5 - gen_ff.dll, по сообщениям avp6 якобы пытался внедриться в память к другим процессам. winamp5 ставил со свежего диска к журналу Навигатор Игрового Мира за сентябрь.
Повторите все логи, благо новая версия AVZ вышла.
Итак, второй заход, файлы прицеплены. Есть еще логи открытых портов и адресов/ip в момент сеанса в интернете на модеме.
Вы эти файлы присылали?
[code]C:\WINDOWS\system32\drivers\cmaudio.sys
C:\WINDOWS\system32\ckldrv.sys
C:\WINDOWS\System32\drivers\sfdrv01.sys
C:\WINDOWS\System32\drivers\sfhlp02.sys
C:\WINDOWS\System32\drivers\sfsync04.sys
C:\WINDOWS\system32\DRIVERS\slabbus.sys
C:\WINDOWS\system32\DRIVERS\slabser.sys
C:\WINDOWS\system32\drivers\ts_lb.sys
C:\WINDOWS\system32\DRIVERS\tscomm.sys
C:\WINDOWS\system32\DRIVERS\slabcm.sys
C:\WINDOWS\system32\DRIVERS\slabwh.sys[/code]
Кроме них, в логах ничего необычного.
Файл сохранён как 060920_114507_vrs_451162038ebfb.zip
Размер файла 331937
MD5 502e3fb1aab38fa3bfec7e182efdc5ef
На компе нашли странный файл CBEZEXYDAQXM.exe, лежащий в temp и прописанный как сервис. Антивирусами не опознается.
отправил как
[FONT="Courier New"]Файл сохранён как 060926_045632_file_4518eb400de68.zip
Размер файла 118534
MD5 f1af28a0f898f581710fcab3fd8d9179[/FONT]
пароль virus
в общем, если не сможете понять, что это, придется на компе все убить и переустановить ОС. и мы так и не узнаем, что это была за гадость...
[quote=kdv]На компе нашли странный файл CBEZEXYDAQXM.exe, лежащий в temp и прописанный как сервис. Антивирусами не опознается.
[/quote]
кусок Rootkit Revealer
[quote=MOCT]кусок Rootkit Revealer[/quote]
интересно. почему тогда этот файл прописан в сервисах и работал.
rootkit revealer с sysinternals запускали, не спорю, но что-ж он, сам так устанавливается, да еще лежа в temp?
я тоже его запускал, но ни в сервисах ни в temp ничего такого не наблюдаю.
кроме того - обратите внимание на размер файла. в rootkit revealer ничего такого нет. Проверили еще раз - никаких подобных файлов на машине не возникает.