В общем эпопея продолжается. Вчера компьютер самопроизвольно перезагрузился. Miscrosoft Security Analyzer сказал, что патч KB832483 опять не стоИт (хотя еще день назад стоял). Ни вручную, ни через WindowsUpdate установить этот патч не удалось, даже после перезагрузки. При установке система ругается, что он уже установлен и прерывает установку, хотя в списке установленных патчей его нет, деинсталировать его никак нельзя и SecurityAnalyzer продолжает на него ругаться.
Опять отключил комп от сети. Запутил сканирование Касперским, выявил уже как минимум 2 вида RootKit троянов и еще какой-то Conycspa.
У меня ADSL-модем со встроенным NAT, входящие TCP/UDP соединения возможны только по одному единственному порту (открытому для eMule), любые другие входящие соединения по определению невозможны. Во внутренней сети есть еще один компьютер, но его проверяли Касперским и он вроде чист.
Сейчас сканирование продолжается. Вечером сообщу точные имена троянов. Откуда это может проникать? Где может быть дыра???
Может поставить локальный файрвол на машину? Подскажите плиз простенький бесплатный файрвол под Windows 2000 sp4 ?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Лечение зашло в тупик. Исчез драйвер AVZPM. Я его переустанавливаю, и он вроде устанавливается, но после перезагрузки опять изчезает. Пробовал сканировать в защищенном режиме - всё чисто.
Подозрение также вызывает непонятный процесс System, не связанный с какими-либо файлами.
Единственная хорошая новость - кажется удалось разобраться с бесконечной установкой (точнее неустановкой ) патча KB832483. Вероятно это глюк WindowsUpdate. Нашел на одном сайте (может кому-то пригодится) что для патча KB832483 нужно предварительно установить Microsoft MDAC 2.8 SP1 (скачивается отсюда: http://www.microsoft.com/downloads/d...DisplayLang=en ) и после этого установить еще один патч, который скажет WindowsUpdate.
Теперь вопрос. Что делать, если не устанавливается драйвер АVZPM?
Последний раз редактировалось Katalizator; 07.04.2007 в 12:35.
Лечение зашло в тупик. Исчез драйвер AVZPM. Я его переустанавливаю, и он вроде устанавливается, но после перезагрузки опять изчезает. Пробовал сканировать в защищенном режиме - всё чисто.
Теперь вопрос. Что делать, если не устанавливается драйвер АVZPM?
Зайдите, пожалуйста, в безопасный режим, запустите AVZ; далее Сервис - Диспетчер служб и драйверов.
Задайте фильтр Все - Все и откройте вкладку Сервисы (по анализу реестра). Сохраните протокол и выложите его здесь.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
В AVZ посмотрите в меню Справка - О программе, должна быть версия 4.24 r4 от 3.04.2007. Если нет, скачайте новую версию.
Действительно стояла версия 4.24 r2
Переустановил, драйвер встал нормально (вернее даже не пришлось его ставить, он просто появился).
После первого сканирования с лечением (как сказано в правилах) в момент перезагрузки (завершения работы Windows) выпал синий экран смерти, но загрузился потом нормально.
Зайдите, пожалуйста, в безопасный режим, запустите AVZ; далее Сервис - Диспетчер служб и драйверов.
Задайте фильтр Все - Все и откройте вкладку Сервисы (по анализу реестра). Сохраните протокол и выложите его здесь.
Получилось.
Да, виден какой-то непонятный драйвер, которого раньше видно не было (см. вложение):
Uodroust (имя файла d347prt.sys). Чего теперь с ним делать?
По идее, d347prt.sys - драйвер от Daemon Tools, но в любом случае пришлите нам в архиве с паролем этот файл, а также D:\Distrib\Antiviruses\MicrosoftPatches\RUS_Q83248 3_MDAC_x86.EXE и D:\Distrib\VirusesRemovalKits\rus_q832483_mdac_x86 _0ff50a066e8476da8c18065d79921ea.exe.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
По идее, d347prt.sys - драйвер от Daemon Tools, но в любом случае пришлите нам в архиве с паролем этот файл, а также D:\Distrib\Antiviruses\MicrosoftPatches\RUS_Q83248 3_MDAC_x86.EXE и D:\Distrib\VirusesRemovalKits\rus_q832483_mdac_x86 _0ff50a066e8476da8c18065d79921ea.exe.
Попытался положить в карантин несколько неизвестных файлов (из числа служб и драйверов, прописанных в реестре). Пять файлов положились, а на остальные три AVZ мне написал - "Карантин с испольованием прямого чтения - ошибка". Не совсем понимаю смысл этого сообщения.
Я пока еще нахожусь в защищенном режиме, пишу с другого компа.
Не положились три файла - InCDFatRec.sys, InCDPass.sys и как раз d347prt.sys. Чего теперь делать?
Последний раз редактировалось Katalizator; 07.04.2007 в 18:26.
Кстати, поиск файлов по диску через AVZ не может найти на компьютере d347prt.sys ! Может он как-то прячется?
И еще заметил один симптом - при двойном щелчке мышью на .htm-файле отчета выдается ошибка:
"Приложение, выполняющее эту операцию, указанному файлу не сопоставлено. Произведите сопоставление с помощью панели управления "Свойства папки"".
Приходится нажимать правой кнопкой, далее - открыть с помощью - Internet Explorer.
Тогда сделаем так: через тот же диспетчер удалите запись в реестре, соответствующую этому драйверу. В случае ошибки можно будет переустановить Daemon Tools (хотя вряд ли это от него). После перезагрузки файл должен проявиться.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
Тогда сделаем так: через тот же диспетчер удалите запись в реестре, соответствующую этому драйверу. В случае ошибки можно будет переустановить Daemon Tools (хотя вряд ли это от него). После перезагрузки файл должен проявиться.
Не проявился
DaemonTools я снес (деинсталировал) уже где-то неделю незад, поэтому это точно не от него.
Предлагаю удалить из реестра еще и два драйвера от InCD, которые не удалось поместить в карантин.
Значит, осталась только запись в реестре от этого файла, а его самого уже нет. Печально.
В протоколах вроде бы ничего больше не видно.
Какая у вас версия Касперского?
Версия Касперского 4.5.0.58
А я почему-то уверен, то файл где-то есть, только он прячется.
По крайней мере я такой файл точно не удалял, и ссылка на него в реестре видна почему-то только в безопасном режиме.
Кроме того, при обновлении вирусных баз Касперский говорил, что обновление завершено успешно, не скачав при этом ни одного файла!
И еще, объясните пожалуйста физический смысл сообщения AVZ "Карантин с испольованием прямого чтения - ошибка". Когда оно возникает, что означает и какие могут быть его последствия?
Так все-таки ссылка до сих пор существует? Вы ее удаляли? Версию Касперского обновить есть возможность?
Я вчера поступил следующим образом. Деинсталировал все программы, которые так или иначе могли быть связаны с указанными ссылками на неизвестные службы/драйвера.
Потом удалил через AVZ диспетчер служб и драйверов все эти неизвестные службы и драйвера (остались только зеленые). На всякий случай перезегрузился, проверил - по прежнему ничего неизвестного в реестре нет.
После этого перезагрузился в нормальном (многопользовательском) режиме и поставил файрвол outpost, после чего еще раз перезагрузился и только тогда подключил комп к сети.
Процесс svchost.exe сразу стал ломиться по 80-му порту на какой-то неразрешаемый по имени айпишник. traceroute сказал, что последний резолвищайся хоп на пути к этому хосту именуется как
что-то-непонятное.akamai.net
Я ему запретил туда ломиться, тогда он стал ломиться на соседние хосты в той же сетке. Тогда я запретил ему всю эту сетку. После этого постоянно вижу в логах заблокированные icmp-пакеты, направленные на разные хосты в этой сетке.
Что это может быть? Windows update? Тогда почему по такому секретному адресу (явно не Microsoft)?
P.S. А чем новый Касперский лучше моего, если базы у них те же самые?
Последний раз редактировалось Katalizator; 09.04.2007 в 11:06.
Там функционал лучше - он может помочь в выявлении неизвестных вирусов. Сервера akamai.net могут действительно использоваться для нужд Windows Update. Проверьте: остановите службу Автоматическое обновление. Запросы должны прекратиться.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
А чем новый Касперский лучше моего, если базы у них те же самые?
...а движок забыли!? Или Вы действительно считете, что Касперыч 4 года дурака валял?
Между прочим базы Касперского используят уже многие вендоры (GData=AntivirusKit, F-Secure, MicroWorld=eScan) но программу Касперского удалось перещеголять не многим.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
) патча KB832483. Вероятно это глюк WindowsUpdate. Нашел на одном сайте (может кому-то пригодится) что для патча KB832483 нужно предварительно установить Microsoft MDAC 2.8 SP1 (скачивается отсюда: 
Сообщение от Katalizator
