При очередной проверке выявилась следующая проблема.
Поиск и нейтрализация руткитов посредством утилиты AVZ при включенном антивирусе Symantec Antivirus CE 10.1.5 выдаёт следующее сообщение : "Подозрение на RootKit utizmza0 C:\WINNT\system32\Drivers\utizmza0.sys" при этом Symantec пытается поместить в карантин файл utizmza0.sys, определяемый как "Trojan Horse" после чего Symantec настойчиво предлогает перезагрузить компьютер. После перезагрузки ситуация остаётся прежней. То есть выполнение вышеописанных действий приводит к тем же результатам.
Так же в офисе имеются другие компьютеры с такой же проблемой.
Прошу помочь! Логи сделанные в соотвествии с вашими требованиями прилогаются. Заранее спасибо.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Поиск и нейтрализация руткитов посредством утилиты AVZ при включенном антивирусе Symantec Antivirus CE 10.1.5 выдаёт следующее сообщение : "Подозрение на RootKit utizmza0 C:\WINNT\system32\Drivers\utizmza0.sys"
1. Читайте правила
6. ....выгрузите антивирусную программу,
2. Этот файл - драйвер АВЗ.
Сделайте логи в строгом соответствии с правилами.
Сообщение от DimizZ
Так же в офисе имеются другие компьютеры с такой же проблемой.
3. Для каждого компьютера - отдельная тема.
Последний раз редактировалось Rene-gad; 27.04.2009 в 21:14.
Причина: Добавлено
То что писал в пояснении делалось отдельно, ранее генерации логов.
Логи делались в соответствии с правилами. Службы антивируса и файрвола были остановлены кроме одной из служб Семантека (как называется не помню, комп остался на работе) которая не останавливается через диспетчер служб. Попробую завтра снести Семантек и повторно сделать логи.
Добавлено через 20 минут
Так же насторожили ошибки загрузки драйвера:
1.2 Поиск перехватчиков API, работающих в KernelMode Ошибка загрузки драйвера - проверка прервана [C0000034]
>>>> Подозрение на RootKit utizmza0 C:\WINNT\system32\Drivers\utizmza0.sys
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM Ошибка загрузки драйвера - проверка прервана [C0000034]
Добавлено через 11 часов 20 минут
Доброе утро!
Остановка всех пяти служб антивируса тоже не помогла.
Снёс Symantec Antivirus и AVZ перестал находить проблемы! Так что в пункт шесть Правил стоит добавить требование о деинсталляции Symantec Antivirus Corporate Edition как минимум версии 10.1.5 и выше.
Остался только один непрояснённый момент с которого я и начал искать вирусы в системе.
При просмотре статистики офисного роутера заметил большой трафик по адресам сети 87.248.xxx.xxx (xxx.xxx.llnwd.net). Дальнейшее исследование показало что через эти узлы прокачивается трафик сервера обновлений WSUS.
C:\Documents and Settings\xxxxxxxx>ping download.microsoft.com
Обмен пакетами с mscom-dlc.vo.llnwd.net [87.248.197.52] по 32 байт
Последний раз редактировалось DimizZ; 28.04.2009 в 09:27.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: