+1Сообщение от Surfer
+1
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
После проверки AVZ выдала следуюущее :
Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 2 TCP портов и 5 UDP портов
(файрвол - MCAfee)
Проверка завершена, подозрительные порты не обнаружены
насколко опасно?и как блокировать?(стоит ли блоктровать?)
А что блокировать, если опасности не видно?
Приветствую всех.
Тут у меня проблемка случилась. Завелся "зверек" на компе. Обнаружился при помощи утилиты AVZ, выличить систему не удалось, пришлось переставить.
Так вот какой факт обнаружился.
После установки системы проверяю её AVZ все чисто, никаких перехватов ни в user mode ни в kernеl mode.
Устанавливаю OutPost.
Он просит перезагрузить комп. Ок. Комп перезагружается и ...
система не стартует. После заставки Windows получаем просто черный экран вместо синего экрана приветствия и возможности залогиниться.
А лампочка активности харда мигает, то очень активно, то переодически.
Ждал, ждал ... довольно долго. Потом резет.
Со второго раза система запустилась.
Закончилась донастройка Outposta. Обновились, проверились.
И тут самое интересное.
Ожидаю после проверки AVZ увидеть что, Outpost перехватил некоторые функции в кернел моде, а вижу совсем другое.
Перехват непонятно кем более 30-ти функций в user mode!
Что бы это значило?
Полный лог проверки можно увидеть?
В KernelMode перехватов что ли нет?
Thomas , http://helpme.virusinfo.info
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Аутпост их и перехватывает
Код:1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Функция kernel32.dll:CreateProcessA (99) перехвачена, метод APICodeHijack.JmpTo[1004D532] Функция kernel32.dll:CreateProcessW (103) перехвачена, метод APICodeHijack.JmpTo[1004D50A] Функция kernel32.dll:CreateRemoteThread (104) перехвачена, метод APICodeHijack.JmpTo[1004D82E] Функция kernel32.dll:DebugActiveProcess (117) перехвачена, метод APICodeHijack.JmpTo[1004D806] Функция kernel32.dll:WinExec (897) перехвачена, метод APICodeHijack.JmpTo[1004D4E2] Анализ ntdll.dll, таблица экспорта найдена в секции .text Функция ntdll.dll:LdrLoadDll (70) перехвачена, метод APICodeHijack.JmpTo[1004D7DE] Функция ntdll.dll:LdrUnloadDll (80) перехвачена, метод APICodeHijack.JmpTo[1004D7B6] Функция ntdll.dll:NtCreateThread (140) перехвачена, метод APICodeHijack.JmpTo[1004D5D2] Функция ntdll.dll:NtProtectVirtualMemory (226) перехвачена, метод APICodeHijack.JmpTo[1004D622] Функция ntdll.dll:NtSetContextThread (304) перехвачена, метод APICodeHijack.JmpTo[1004D5FA] Функция ntdll.dll:NtSetValueKey (338) перехвачена, метод APICodeHijack.JmpTo[1004D78E] Функция ntdll.dll:NtSuspendProcess (344) перехвачена, метод APICodeHijack.JmpTo[1004D6EA] Функция ntdll.dll:NtSuspendThread (345) перехвачена, метод APICodeHijack.JmpTo[1004D6C2] Функция ntdll.dll:NtTerminateProcess (348) перехвачена, метод APICodeHijack.JmpTo[1004D73A] Функция ntdll.dll:NtWriteVirtualMemory (369) перехвачена, метод APICodeHijack.JmpTo[1004D766] Функция ntdll.dll:ZwCreateThread (950) перехвачена, метод APICodeHijack.JmpTo[1004D5D2] Функция ntdll.dll:ZwProtectVirtualMemory (1035) перехвачена, метод APICodeHijack.JmpTo[1004D622] Функция ntdll.dll:ZwSetContextThread (1113) перехвачена, метод APICodeHijack.JmpTo[1004D5FA] Функция ntdll.dll:ZwSetValueKey (1147) перехвачена, метод APICodeHijack.JmpTo[1004D78E] Функция ntdll.dll:ZwSuspendProcess (1153) перехвачена, метод APICodeHijack.JmpTo[1004D6EA] Функция ntdll.dll:ZwSuspendThread (1154) перехвачена, метод APICodeHijack.JmpTo[1004D6C2] Функция ntdll.dll:ZwTerminateProcess (1157) перехвачена, метод APICodeHijack.JmpTo[1004D73A] Функция ntdll.dll:ZwWriteVirtualMemory (1178) перехвачена, метод APICodeHijack.JmpTo[1004D766] Анализ user32.dll, таблица экспорта найдена в секции .text Функция user32.dll:CallNextHookEx (27) перехвачена, метод APICodeHijack.JmpTo[1004DBEE] Функция user32.dll:ChangeDisplaySettingsExA (34) перехвачена, метод APICodeHijack.JmpTo[1004D3F2] Функция user32.dll:ChangeDisplaySettingsExW (35) перехвачена, метод APICodeHijack.JmpTo[1004D3CA] Функция user32.dll:DdeConnect (108) перехвачена, метод APICodeHijack.JmpTo[1004DBC6] Функция user32.dll:DdeConnectList (109) перехвачена, метод APICodeHijack.JmpTo[1004DB9E] Функция user32.dll:DdeInitializeA (122) перехвачена, метод APICodeHijack.JmpTo[1004DB76] Функция user32.dll:DdeInitializeW (123) перехвачена, метод APICodeHijack.JmpTo[1004DB4E] Функция user32.dll:EndTask (202) перехвачена, метод APICodeHijack.JmpTo[1004D87E] Функция user32.dll:ExitWindowsEx (226) перехвачена, метод APICodeHijack.JmpTo[1004D91E] Функция user32.dll:FindWindowExA (229) перехвачена, метод APICodeHijack.JmpTo[1004D996] Функция user32.dll:FindWindowExW (230) перехвачена, метод APICodeHijack.JmpTo[1004D96E] Функция user32.dll:PostMessageA (512) перехвачена, метод APICodeHijack.JmpTo[1004DA86] Функция user32.dll:PostMessageW (513) перехвачена, метод APICodeHijack.JmpTo[1004DA5E] Функция user32.dll:SendInput (571) перехвачена, метод APICodeHijack.JmpTo[1004D946] Функция user32.dll:SendMessageA (572) перехвачена, метод APICodeHijack.JmpTo[1004DB26] Функция user32.dll:SendMessageCallbackA (573) перехвачена, метод APICodeHijack.JmpTo[1004D9E6] Функция user32.dll:SendMessageCallbackW (574) перехвачена, метод APICodeHijack.JmpTo[1004D9BE] Функция user32.dll:SendMessageTimeoutA (575) перехвачена, метод APICodeHijack.JmpTo[1004DA36] Функция user32.dll:SendMessageTimeoutW (576) перехвачена, метод APICodeHijack.JmpTo[1004DA0E] Функция user32.dll:SendMessageW (577) перехвачена, метод APICodeHijack.JmpTo[1004DAFE] Функция user32.dll:SendNotifyMessageA (578) перехвачена, метод APICodeHijack.JmpTo[1004DAD6] Функция user32.dll:SendNotifyMessageW (579) перехвачена, метод APICodeHijack.JmpTo[1004DAAE] Функция user32.dll:SetForegroundWindow (600) перехвачена, метод APICodeHijack.JmpTo[1004D8F6] Функция user32.dll:SetWinEventHook (639) перехвачена, метод APICodeHijack.JmpTo[1004D856] Функция user32.dll:SetWindowPos (644) перехвачена, метод APICodeHijack.JmpTo[1004D8A6] Функция user32.dll:SetWindowsHookExA (651) перехвачена, метод APICodeHijack.JmpTo[1004DC3E] Функция user32.dll:SetWindowsHookExW (652) перехвачена, метод APICodeHijack.JmpTo[1004DC16]
А при отрытии окна Аутопост слов Service mode нет. Так? Это означает, что у тебя не запустился сервис аутпост, а только оболочка. Поэтому оболочка взяла на себя функции сервиса. Такой режим менее надёжен. И не работает, когда ты вышел из логина или ещё не зашёл под логин. Перестаустанови атупост или попробуй пересутановить службу руками.
AndreyKa
Приветствую.
Сейчас перехваты и в кернел моде.
Тут четко видно что, перехватчик Outpost.
А я и не давлю, просто напомнил. Олег сам решает какие предложения реализавывать. А моё вполне актуально:
http://virusinfo.info/showpost.php?p=134988&postcount=6
В генерации текста ответа пользователю надо исправить ошибку в слове.
Код:1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить". После выполнения скрипта компьютер перезагрузится. Прислать карантин согласно приложения 3 правил . Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid= 2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Опыт — это слово, которым люди называют свои ошибки.
Я уже писал об этом в закрытом разделе
Хотя это оффтопик, но в приведенном отрывке я вижу одну описку (упомянутую выше) и две ошибки... =)
Олег, опять какая то неразбериха со службами. http://virusinfo.info/showthread.php?t=12493
В логах AVZ все службы опознаны как безопасные, а логе HijackThis:
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\vfujclog.exe (file missing)
Вроде в логе отображаются только активные службы.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
Да, именно так ... если служба полуубитая (т.е. у нее к примеру прибит тип запуска, или отна отключена), то она в логе не отобразится
Сабж. Выскажусь с позиций юзера.
Сидишь себе, работешь. Год за годом. Вирус или троян появляется раз в год-два. В результате внимания проверкам невольно уделяется всё меньше и меньше. И совсем не сложно пропустить новую строчку в куче предупреждений о перехватах функций симантековским корпоративным антивирусом, "подозрительных" утилитах видеокарты висящих в трее, "подозрительном" фаерволе, Лингве, и т.д. и т.п.
Я бы только предлагал делать локальную базу с включением размеров, дат и CRC файлов. Чтобы обновленный или испорченый софт опять вызывал предупреждения. Ну и конечно параметр в настройках позволяющий отключать использование этой базы. Чтоб админ при желании мог целиком видеть всё, без учета мнения юзера.
ЗЫ: Вопрос по портам. AVZ ругается на 135-139 порты. Создал в фаерволе правело запрещающая принимать на них TCP и UDP. AVZ по-прежнему ругается. Так и должно быть, или я что-то не так сделал. Фаервол COMODO. Последний.
Олег, это вот как раз в духе того, что я просил. То есть меня такая локальная база устроит.
И ещё по поводу локальной базы чистых.
ИМХО она должна защищать файлы от выдачи предупреждений о подозрениях, но не как не от проверок на известные вирусы и прочую адварь.
Ага, именно это я и имел в виду, собственно.
Rene-gad, это пишется Vollmilchsau.
[I]Deus daemonus inversus est.[/I]
Ваши права в разделе
