-
Outpost жрал процессор
Привет всем! Ситуация: пришла дочь босса, говорит, что ноут выдал ошибку и повесился.. Ошибка: Аутпост не находит какуюто базу данных. Ноут на все дейсвия 0 реакции. Пришлось применить силу). Выкл-Вкл-начал обновления Аутпоста (думал ему вирусная база нужна была). После этого он начал постоянно загружать проц на все 100%. Убив его (аутпост, а не проц) в безопасном режиме, вроде заработало. Но решил таки перестраховаться. CureIt ничего не нашел. AVZ чето нашел и кинул в карантин. Пожалуйста, гляньте ее логи, а то там все слишком запущено...
Последний раз редактировалось M@xWell; 25.06.2007 в 14:32.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Есть подозрение на конфликт Нода и Аутпоста. В логах ничего плохого не видно.
Диск D - это что?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Диск Д - локальный диск.С ним что-то не так?
-
HELP
Помогите! Установил другой файрвол (с систем механиком), он тоже начал процессор кушать (вместе с C:\WINDOWS\system32\servises.exe) Решил потом на руткит проверить АВЗ. Обьясните плиз, не удалилось ли там че-нить лишнее? Вот отчет:
Выполняется стандартный скрипт: 1. Поиск и нейтрализации RootKit UserMode и KernelMode
>> Опасно ! Обнаружена маскировка процессов
>>>> Обнаружена маскировка процесса 420 ioloDMVSvc.exe
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dlloadLibraryExW (580) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции LoadLibraryExW нейтрализован
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateProcess (134) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции NtCreateProcess нейтрализован
Функция ntdll.dll:NtCreateProcessEx (135) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции NtCreateProcessEx нейтрализован
Функция ntdll.dll:NtQuerySystemInformation (263) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции NtQuerySystemInformation нейтрализован
Функция ntdll.dll:NtResumeThread (297) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции NtResumeThread нейтрализован
Функция ntdll.dll:NtSuspendProcess (344) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции NtSuspendProcess нейтрализован
Функция ntdll.dll:NtTerminateProcess (34 перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции NtTerminateProcess нейтрализован
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
>> Опасно ! Обнаружена маскировка процессов
>>>> Подозрение на маскировку процесса 420 c:\program files\iolo\common\lib\iolodmvsvc.exe
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=07B580)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 80552580
KiST = 80501354 (284)
Функция NtCreateKey (29) перехвачена (806191EC->F73AD0D0), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateKey (47) перехвачена (80619A2C->F73B2E2C), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateValueKey (49) перехвачена (80619C96->F73B31BA), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenKey (77) перехвачена (8061A582->F73AD0B0), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryKey (A0) перехвачена (8061A8A6->F73B3292), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryValueKey (B1) перехвачена (806172A6->F73B3112), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetValueKey (F7) перехвачена (806178AC->F73B3324), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Проверено функций: 284, перехвачено: 7, восстановлено: 7
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
-
Файрвол не могу остановить\убить. Пишет нет доступа. Попробую опять в Безопасном режиме. А то продолжают на пару с C:\WINDOWS\system32\servises перегружать проц. Примерно 25% - файр, 75% - сервисы
С нетерпением жду советов!
Последний раз редактировалось M@xWell; 08.06.2007 в 17:03.
-
Сообщение от
M@xWell
Диск Д - локальный диск.С ним что-то не так?
на нем autorun.inf в корне сидит. Не должно быть этого на нормальном диске. На всякий пожарный пришлите карантин, что получился после логов.
перехватчик sptd.sys - Alcohol. Так что это не страшно.
Когда логи делали НОД отключали? Или он вообще не живой. в логе HJ его сервис виден, а в AVZ нет.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Блин.. Забыл отключить НОД... Сейчас сделаю проверку заново и пришлю логи. Пока только карантин.
ЗЫ. А Алкоголь несколько раньше удалял... (т.е. еще до первой проверки)
Последний раз редактировалось M@xWell; 25.06.2007 в 14:32.
-
Карантин можно удалить. Там ничего страшного. На будущее, он прикрепляется по ссылке вверху темы. Первое китайское предупреждение.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Последний раз редактировалось M@xWell; 12.06.2007 в 16:52.
-
Сообщение от
M@xWell
А Алкоголь несколько раньше удалял... (т.е. еще до первой проверки)
Не до конца он удалился. в AVZ выполнить скрипт:
Код:
begin
BC_DeleteFile('\SystemRoot\System32\Drivers\sptd.sys');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки посмотреть на состояние.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
После перезагрузки посмотреть на состояние.
состояние чего? работоспособности? ноут начал стабильно работать сразу после того как я удалил аутпост. правда, когда установил другой файр - опять начал тормозюкать... я точно не знаю, но по-моему аутпост и раньше стоял, и не брыкался (по словам хозяйки начал пару дней назад. вот я и поднял тревогу) еще что-нибуть можно сделать? интересно, если 3й файр поставить - будет тормозить?
-
Сообщение от
M@xWell
состояние чего? работоспособности? ноут начал стабильно работать сразу после того как я удалил аутпост.
Именно ее родной.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Сообщение от
M@xWell
интересно, если 3й файр поставить - будет тормозить?
А родной Виндосовский файр у Вас выключен?
-
-
Rene-gad
Бранмауер выключен. Все остальные фаеры поудалял - система стабилизировалась. А что, могло просто быть место кофликту Аутпоста с Брандмауером?
PS. Придет девушка, спрошу как ноут на выходных себя вел)