Показано с 1 по 18 из 18.

Что значит несколько десятков строк в логе AVZ типа: "обнаружена подмена PID"? (заявка № 9176)

  1. #1
    Junior Member Репутация
    Регистрация
    21.04.2007
    Сообщений
    11
    Вес репутации
    62

    Thumbs up Что значит несколько десятков строк в логе AVZ типа: "обнаружена подмена PID"?

    При сканировании системы AVZ даёт несколько десятков строчек типа:

    Маскировка процесса с PID=3128, имя = ""
    >> обнаружена подмена PID (текущий PID=0, реальный = 312

    Что это значит?

    Заранее спасибо,
    Андрей.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WIN2003\SYSTEM32\dimsntfy.dll','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пришлите карантин по правилам.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    После скрипта Bratez выполните мой скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\sysint\pskill.exe','');
     QuarantineFile('\SystemRoot\System32\Drivers\axp3n7na.SYS','');
     QuarantineFile('C:\Program Files\Merak\regex.dll','');
     QuarantineFile('C:\Program Files\Merak\libssl32.dll','');
     QuarantineFile('C:\Program Files\Merak\libeay32.dll','');
     QuarantineFile('c:\program files\merak\smtp.exe','');
     QuarantineFile('c:\program files\avant browser\avant.exe','');
     QuarantineFile('c:\program files\merak\pop3.exe','');
    RebootWindows(false);
    end.
    После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".

  5. #4
    Junior Member Репутация
    Регистрация
    21.04.2007
    Сообщений
    11
    Вес репутации
    62
    Оба архива послал.

    Файл сохранён как 070421_152033_virus_4629f381c244d.zip
    Размер файла 11637
    MD5 ca96090e16a7a2ae3338392f04a073e4

    Файл сохранён как 070421_153045_virus_4629f5e53677f.zip
    Размер файла 3605881
    MD5 e5f7d005321ec173bc5c21cf2b811837

    pskill.exe в таск шедулере поставлен мной.
    merak - почтовый сервер
    avant - браузер которым я пользуюсь вместо IE

    Спасибо,
    Андрей

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    dimsntfy.dll на Вирустотал никто не детектит...
    Не вижу, к чему бы еще придраться .
    А может, это всё проделки Sysinternals Process Explorer?
    Что если его временно деинсталлировать и сделать новые логи?

  7. #6
    Junior Member Репутация
    Регистрация
    21.04.2007
    Сообщений
    11
    Вес репутации
    62
    Цитата Сообщение от Bratez Посмотреть сообщение
    А может, это всё проделки Sysinternals Process Explorer?
    Что если его временно деинсталлировать и сделать новые логи?
    Спасибо.

    Это врядли Process Explorer. Я его деинсталлировал, но всё равно получаю похожие результаты. Я заметил так же ещё одну вещь. Когда процесс умирает (любой) он появляется новой строчкой в логе AVZ.

    Скажем я запустил Notepad. Открыл таск менеджер и посмотрел его PID. Он, скажем 3156. Запустил скан AVZ. AVZ выдал несколько строчек с Маскировка процесса с PID. Процесса с PID 3156 среди них нет. Закрываю Notepad, запускаю AVZ скан опять. На этот раз вижу

    Маскировка процесса с PID=3156, имя = ""
    >> обнаружена подмена PID (текущий PID=0, реальный = 3156)


    И так каждый раз, когда умирает какой нибудь процесс. Есть идеи почему так происходит?

    Андрей.

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    "пофиксите" в HijackThis
    Код:
    F2 - REG:system.ini: Shell=Explorer.exe

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    @zespri
    O1 - Hosts: 202.175.128.95 widevsql01
    Этот хост Вам известен? Если нет - пофиксить.
    ПС: Не распаковывайте Hijackthis в темп-папку. Если чего-то неправильно фиксанёте, то уже не сможете восстановить.
    Цитата Сообщение от zespri Посмотреть сообщение
    avant - браузер которым я пользуюсь вместо IE
    Avant - это надстройка на базисе ИЕ. Вместо ИЕ можно пользоваться напр. Оперой или Огнелисом
    ЭДИТ: А ещё у меня дурацкий вопрос: Ставить антиврус на сервер не надо?
    Последний раз редактировалось Rene-gad; 21.04.2007 в 16:51.

  10. #9
    Junior Member Репутация
    Регистрация
    21.04.2007
    Сообщений
    11
    Вес репутации
    62
    Цитата Сообщение от MaXim Посмотреть сообщение
    "пофиксите" в HijackThis
    Код:
    F2 - REG:system.ini: Shell=Explorer.exe
    Сделал, ничего не изменилось (кроме исчезновения этой строчки в HijackThis). Насколько я понимаю, HijackThis хочет что бы Explorer.exe в реестре в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell был написан с маленькой буквы, а меня был с большой. Впрочем это только моя теория, могу ошибаться.

    К сожалению, это не отвечает на вопрос в сабжекте темы. Буду рад любым мнениям.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Сделайте логи в безопасном режиме. Может что-нибудь всплывет.

  12. #11
    Junior Member Репутация
    Регистрация
    21.04.2007
    Сообщений
    11
    Вес репутации
    62
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    @zespri
    Этот хост Вам известен? Если нет - пофиксить.
    Спасибо, этот хост прописал я сам, так что известен.
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    ПС: Не распаковывайте Hijackthis в темп-папку. Если чего-то неправильно фиксанёте, то уже не сможете восстановить.
    Хех, так выглядит путь когда запускаешь екзешник изнутри архива =) Да, я знаю, про бэкап, когда я запускал, я запускал для сканирования, что бы получить лог и приаттачить сюда. Что я и с делал. Когда же фиксал то, что посоветевал MaXim, я распаковал его в отдельную папку. Всё равно спасибо, что Вы указали мне на это.
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Avant - это надстройка на базисе ИЕ. Вместо ИЕ можно пользоваться напр. Оперой или Огнелисом
    Томато, томэйто. Называйте как хотите. Авант это отдельный програмный продукт, выполненый в виде отдельного (от IE) exe модуля. Точно так же как опера или файрфокс. То что внутри он пользуется тем же контролом что и IE неоспоримо. Говоря что вместо IE я пользуюсь Avant я имел в виду, то что я использую програмный продукт Avant Browser, вместо IE. Прошу заметить, что этот спор чисто теоретический, так как IE это часть операционной системы, его даже нельзя снести. Avant использует сервисы предроставляемые ОС точно так же как и любая другая программа. Вообще то конечно это всё оффтопик. Я перестал.
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    ЭДИТ: А ещё у меня дурацкий вопрос: Ставить антиврус на сервер не надо?
    По желанию. Если Вы спрашиваете, почему у меня его нет, то я отвечу, что у меня две основные причины. Во-первых, серверные антивирусы очень не дёшевы, в отличии от клиентских (домашних) версий, во-вторых последние лет десять мне удавалось бороться с вирусами просто с помощью здравого смысла и нескольких утилит. Тем не менее, я сейчас рассматриваю вариант покупки серверного антивируса. Norton Antivirus для сервера в самой дешовой комплектации стоит 250USD, буду рад, если подскажете, что нибудь подешевле. И последнее, к этому вопросу. Я до сих пор не убеждён, что симптом который я описываю, это результат присутствия в системе вируса. Мне хотелось услышать мнение знатоков программы AVZ какие именно условия в системе вызывают сообщение, которое я получаю. Что именно проверяет AVZ перед тем как выдать такое сообщение? К сожалению мне этого пока так установить и не удалось, но я не теряю надежды .

    Ещё раз большое спасибо за отклик. Если есть какие нибудь мысли, почему я вижу эти сообщения в своём логе, пожалуйста обязательно дайте знать.

    Андрей.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Андрей, IMHO есть вероятность, что это просто глюк AVZ, который проявляется только на Win2k3. Думаю, Вам стоит обратиться непосредственно к Олегу Зайцеву.

  14. #13
    Junior Member Репутация
    Регистрация
    21.04.2007
    Сообщений
    11
    Вес репутации
    62
    Цитата Сообщение от MaXim Посмотреть сообщение
    Сделайте логи в безопасном режиме. Может что-нибудь всплывет.
    Вот логи из Safe Mode виндов.
    Вложения Вложения

  15. #14
    Junior Member Репутация
    Регистрация
    21.04.2007
    Сообщений
    11
    Вес репутации
    62
    Цитата Сообщение от Bratez Посмотреть сообщение
    Андрей, IMHO есть вероятность, что это просто глюк AVZ, который проявляется только на Win2k3. Думаю, Вам стоит обратиться непосредственно к Олегу Зайцеву.
    Спасибо, написал ему на mail данный в about box AVZ, объяснил проблему и дал ссылку на эту тему. Буду ждать ответа.

    Ещё раз всем спасибо.

    Андрей.

  16. #15
    Junior Member Репутация
    Регистрация
    21.04.2007
    Сообщений
    11
    Вес репутации
    62
    Среди несольких вариантов развитий событий Олег указал на драйвер

    \SystemRoot\System32\Drivers\axp3n7na.SYS

    В четырёз сканах приаттаченых к этому топику этот драйвер появляется под тремя разными именами.
    \SystemRoot\System32\Drivers\ahbxto91.SYS
    \SystemRoot\System32\Drivers\ao0o6f6n.SYS

    Надо ли говорить, что таких файлов на диске нет?

    Есть идеи как выяснить, что это за драйвер?

    Андрей.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Это драйвер от программы Alcohol 120% (создается динамически),
    не опасен

  18. #17
    Junior Member Репутация
    Регистрация
    21.04.2007
    Сообщений
    11
    Вес репутации
    62
    Цитата Сообщение от Bratez Посмотреть сообщение
    Это драйвер от программы Alcohol 120% (создается динамически),
    не опасен
    Спасибо.

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 10
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\sysint\\pskill.exe - not-a-virus:RiskTool.Win32.PsKill.k (DrWEB: Tool.ProcessKill.7)


  • Уважаемый(ая) zespri, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 7
      Последнее сообщение: 22.02.2009, 06:27
    2. Ответов: 7
      Последнее сообщение: 22.02.2009, 05:58
    3. Ответов: 8
      Последнее сообщение: 22.02.2009, 03:11
    4. Ответов: 3
      Последнее сообщение: 19.02.2009, 17:45
    5. Много красных строк в логе
      От noveagle в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 09.05.2008, 13:48

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01193 seconds with 20 queries