При сканировании системы AVZ даёт несколько десятков строчек типа:
Маскировка процесса с PID=3128, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 312
Что это значит?
Заранее спасибо,
Андрей.
При сканировании системы AVZ даёт несколько десятков строчек типа:
Маскировка процесса с PID=3128, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 312
Что это значит?
Заранее спасибо,
Андрей.
Выполните скрипт в AVZ:
После перезагрузки пришлите карантин по правилам.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WIN2003\SYSTEM32\dimsntfy.dll',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
После скрипта Bratez выполните мой скрипт в AVZ
После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\sysint\pskill.exe',''); QuarantineFile('\SystemRoot\System32\Drivers\axp3n7na.SYS',''); QuarantineFile('C:\Program Files\Merak\regex.dll',''); QuarantineFile('C:\Program Files\Merak\libssl32.dll',''); QuarantineFile('C:\Program Files\Merak\libeay32.dll',''); QuarantineFile('c:\program files\merak\smtp.exe',''); QuarantineFile('c:\program files\avant browser\avant.exe',''); QuarantineFile('c:\program files\merak\pop3.exe',''); RebootWindows(false); end.
Оба архива послал.
Файл сохранён как 070421_152033_virus_4629f381c244d.zip
Размер файла 11637
MD5 ca96090e16a7a2ae3338392f04a073e4
Файл сохранён как 070421_153045_virus_4629f5e53677f.zip
Размер файла 3605881
MD5 e5f7d005321ec173bc5c21cf2b811837
pskill.exe в таск шедулере поставлен мной.
merak - почтовый сервер
avant - браузер которым я пользуюсь вместо IE
Спасибо,
Андрей
dimsntfy.dll на Вирустотал никто не детектит...
Не вижу, к чему бы еще придраться .
А может, это всё проделки Sysinternals Process Explorer?
Что если его временно деинсталлировать и сделать новые логи?
Спасибо.
Это врядли Process Explorer. Я его деинсталлировал, но всё равно получаю похожие результаты. Я заметил так же ещё одну вещь. Когда процесс умирает (любой) он появляется новой строчкой в логе AVZ.
Скажем я запустил Notepad. Открыл таск менеджер и посмотрел его PID. Он, скажем 3156. Запустил скан AVZ. AVZ выдал несколько строчек с Маскировка процесса с PID. Процесса с PID 3156 среди них нет. Закрываю Notepad, запускаю AVZ скан опять. На этот раз вижу
Маскировка процесса с PID=3156, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3156)
И так каждый раз, когда умирает какой нибудь процесс. Есть идеи почему так происходит?
Андрей.
"пофиксите" в HijackThisКод:F2 - REG:system.ini: Shell=Explorer.exe
@zespriЭтот хост Вам известен? Если нет - пофиксить.O1 - Hosts: 202.175.128.95 widevsql01
ПС: Не распаковывайте Hijackthis в темп-папку. Если чего-то неправильно фиксанёте, то уже не сможете восстановить.
Avant - это надстройка на базисе ИЕ. Вместо ИЕ можно пользоваться напр. Оперой или Огнелисом
ЭДИТ: А ещё у меня дурацкий вопрос: Ставить антиврус на сервер не надо?
Последний раз редактировалось Rene-gad; 21.04.2007 в 16:51.
Сделал, ничего не изменилось (кроме исчезновения этой строчки в HijackThis). Насколько я понимаю, HijackThis хочет что бы Explorer.exe в реестре в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell был написан с маленькой буквы, а меня был с большой. Впрочем это только моя теория, могу ошибаться.
К сожалению, это не отвечает на вопрос в сабжекте темы. Буду рад любым мнениям.
Сделайте логи в безопасном режиме. Может что-нибудь всплывет.
Спасибо, этот хост прописал я сам, так что известен.
Хех, так выглядит путь когда запускаешь екзешник изнутри архива =) Да, я знаю, про бэкап, когда я запускал, я запускал для сканирования, что бы получить лог и приаттачить сюда. Что я и с делал. Когда же фиксал то, что посоветевал MaXim, я распаковал его в отдельную папку. Всё равно спасибо, что Вы указали мне на это.
Томато, томэйто. Называйте как хотите. Авант это отдельный програмный продукт, выполненый в виде отдельного (от IE) exe модуля. Точно так же как опера или файрфокс. То что внутри он пользуется тем же контролом что и IE неоспоримо. Говоря что вместо IE я пользуюсь Avant я имел в виду, то что я использую програмный продукт Avant Browser, вместо IE. Прошу заметить, что этот спор чисто теоретический, так как IE это часть операционной системы, его даже нельзя снести. Avant использует сервисы предроставляемые ОС точно так же как и любая другая программа. Вообще то конечно это всё оффтопик. Я перестал.
По желанию. Если Вы спрашиваете, почему у меня его нет, то я отвечу, что у меня две основные причины. Во-первых, серверные антивирусы очень не дёшевы, в отличии от клиентских (домашних) версий, во-вторых последние лет десять мне удавалось бороться с вирусами просто с помощью здравого смысла и нескольких утилит. Тем не менее, я сейчас рассматриваю вариант покупки серверного антивируса. Norton Antivirus для сервера в самой дешовой комплектации стоит 250USD, буду рад, если подскажете, что нибудь подешевле. И последнее, к этому вопросу. Я до сих пор не убеждён, что симптом который я описываю, это результат присутствия в системе вируса. Мне хотелось услышать мнение знатоков программы AVZ какие именно условия в системе вызывают сообщение, которое я получаю. Что именно проверяет AVZ перед тем как выдать такое сообщение? К сожалению мне этого пока так установить и не удалось, но я не теряю надежды .
Ещё раз большое спасибо за отклик. Если есть какие нибудь мысли, почему я вижу эти сообщения в своём логе, пожалуйста обязательно дайте знать.
Андрей.
Андрей, IMHO есть вероятность, что это просто глюк AVZ, который проявляется только на Win2k3. Думаю, Вам стоит обратиться непосредственно к Олегу Зайцеву.
Среди несольких вариантов развитий событий Олег указал на драйвер
\SystemRoot\System32\Drivers\axp3n7na.SYS
В четырёз сканах приаттаченых к этому топику этот драйвер появляется под тремя разными именами.
\SystemRoot\System32\Drivers\ahbxto91.SYS
\SystemRoot\System32\Drivers\ao0o6f6n.SYS
Надо ли говорить, что таких файлов на диске нет?
Есть идеи как выяснить, что это за драйвер?
Андрей.
Это драйвер от программы Alcohol 120% (создается динамически),
не опасен
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\\sysint\\pskill.exe - not-a-virus:RiskTool.Win32.PsKill.k (DrWEB: Tool.ProcessKill.7)
Уважаемый(ая) zespri, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.