Показано с 1 по 9 из 9.

После лечения Win32.Expiro.22 (заявка № 101052)

  1. #1
    Junior Member Репутация
    Регистрация
    13.02.2011
    Сообщений
    11
    Вес репутации
    26

    После лечения Win32.Expiro.22

    После того как в безопасном режиме Dr.Web CureIt! вылечил систему от вируса Win32.Expiro.22, перезагрузил систему. При запуске Windows Media Player ругается Symantec Endpoint Protection (Network Threat Protection):

    Windows Media Player has changed since the last time you used it. This could happen if you have updated it recently. Click Detail to see more information/ Do you want to allow it to access the network (y/n) ?

    Detailed information about Windows Media Player and the connection it is trying to establish:

    The executable has changed since the last time you used C:\Program Files\Windows Media Player\wmplayer.exe
    File Version: 10.0.0.3997
    File Description: Windows Media Player
    File Path: C:\Program Files\Windows Media Player\wmplayer.exe
    Digital Signature:
    Process ID: 0xf60 (Hexadecimal) 3936 (Decimal)
    Connection origin: local initiated
    Protocol: TCP
    Local Address: 192.168.1.186
    Local Port: 1113
    Remote Name: go.microsoft.com
    Remote Address: 65.55.57.251
    Remote Port: 80 (HTTP - World Wide Web)
    Ethernet packet details:
    Ethernet II (Packet Length: 62)
    Destination: 00-22-15-2f-81-27
    Source: 00-23-54-2f-41-dc
    Type: IP (0x0800)
    Internet Protocol
    Version: 4
    Header Length: 20 bytes
    Flags:
    .1.. = Don't fragment: Set
    ..0. = More fragments: Not set
    Fragment offset:0
    Time to live: 128
    Protocol: 0x6 (TCP - Transmission Control Protocol)
    Header checksum: 0xf86 (Correct)
    Source: 192.168.1.186
    Destination: 65.55.57.251
    Transmission Control Protocol (TCP)
    Source port: 2088917252
    Destination port: 2089308160
    Sequence number: 180645088
    Acknowledgment number: 0
    Header length: 28
    Flags:
    0... .... = Congestion Window Reduce (CWR): Not set
    .0.. .... = ECN-Echo: Not set
    ..0. .... = Urgent: Not set
    ...0 .... = Acknowledgment: Not set
    .... 0... = Push: Not set
    .... .0.. = Reset: Not set
    .... ..1. = Syn: Set
    .... ...0 = Fin: Not set
    Checksum: 0x31a1 (Correct)
    Data (0 Bytes)
    Binary dump of the packet:
    0000: 00 22 15 2F 81 27 00 23 : 54 2F 41 DC 08 00 45 00 | ."./.'.#T/A...E.
    0010: 00 30 37 24 40 00 80 06 : 86 0F C0 A8 01 BA 41 37 | .07$@.........A7
    0020: 39 FB 04 59 00 50 E0 6C : C4 0A 00 00 00 00 70 02 | 9..Y.P.l......p.
    0030: FC 00 A1 31 00 00 02 04 : 04 EC 01 01 04 02 | ...1..........



    Это нормально ???

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    13.02.2011
    Сообщений
    11
    Вес репутации
    26
    Судя по всему вирус свеженький. А у меня базы Dr.Web CureIt! и avz от 16.11.2011. Может обновиться и снова пройтись ?

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,566
    Вес репутации
    3022
    Вирус свеженький

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('c:\windows\system32\cisvc.exe','');
     QuarantineFile('c:\windows\system32\dllhost.exe','');
     QuarantineFile('c:\windows\system32\wbem\wmiapsrv.exe','');
     QuarantineFile('c:\windows\system32\spoolsv.exe','');
     QuarantineFile('c:\windows\system32\ntfrs.exe','');
     QuarantineFile('c:\windows\system32\msdtc.exe','');
     QuarantineFile('c:\program files\common files\microsoft shared\vs7debug\mdm.exe','');
     QuarantineFile('c:\program files\common files\lightscribe\lssrvc.exe','');
     QuarantineFile('c:\windows\system32\inetsrv\inetinfo.exe','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    13.02.2011
    Сообщений
    11
    Вес репутации
    26
    Прислал карантин

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,566
    Вес репутации
    3022
    Файлы в карантине чистые
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    13.02.2011
    Сообщений
    11
    Вес репутации
    26
    Не думаю, что это нормальная ситуация. По крайней мере раньше этого не было. при запуске flashget и некоторых других приложений аналогичная ситуация. может дать приложениям возможность сделать что они хотят. Пусть вирус покажет свое звериное лицо, а потом будем разбираться с последствиями ?

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,566
    Вес репутации
    3022
    Возможно просто лечение оказалось не совсем корректным
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    13.02.2011
    Сообщений
    11
    Вес репутации
    26
    Это было и до лечения и продолжается сейчас (то есть некоторые приложения хотят идти куда-то что не нравится Network Threat Protection из состава SEP).
    Вот куда лезет flashget:

    The executable has changed since the last time you used C:\Program Files\FlashGet\flashget.exe
    File Version: 1.9.6.1073
    File Description: FlashGet
    File Path: C:\Program Files\FlashGet\flashget.exe
    Digital Signature:
    Process ID: 0x914 (Hexadecimal) 2324 (Decimal)

    Connection origin: local initiated
    Protocol: UDP
    Local Address: 192.168.1.186
    Local Port: 1131
    Remote Name:
    Remote Address: 239.255.255.250
    Remote Port: 1900 (SSDP - Simple Service Discovery Protocol)

    Ethernet packet details:
    Ethernet II (Packet Length: 175)
    Destination: 01-00-5e-7f-ff-fa
    Source: 00-23-54-2f-41-dc
    Type: IP (0x0800)
    Internet Protocol
    Version: 4
    Header Length: 20 bytes
    Flags:
    .0.. = Don't fragment: Not set
    ..0. = More fragments: Not set
    Fragment offset:0
    Time to live: 1
    Protocol: 0x11 (UDP - User Datagram Protocol)
    Header checksum: 0x601 (Correct)
    Source: 192.168.1.186
    Destination: 239.255.255.250
    User Datagram Protocol
    Source port: 25717508
    Destination port: 27655
    Length: 8
    Checksum: 0xfe75 (Correct)
    Data (141 Bytes)

    Binary dump of the packet:
    0000: 01 00 5E 7F FF FA 00 23 : 54 2F 41 DC 08 00 45 00 | ..^....#T/A...E.
    0010: 00 A1 05 EA 00 00 01 11 : 01 06 C0 A8 01 BA EF FF | ................
    0020: FF FA 04 6B 07 6C 00 8D : 75 FE 4D 2D 53 45 41 52 | ...k.l..u.M-SEAR
    0030: 43 48 20 2A 20 48 54 54 : 50 2F 31 2E 31 0D 0A 48 | CH * HTTP/1.1..H
    0040: 4F 53 54 3A 20 32 33 39 : 2E 32 35 35 2E 32 35 35 | OST: 239.255.255
    0050: 2E 32 35 30 3A 31 39 30 : 30 0D 0A 4D 41 4E 3A 20 | .250:1900..MAN:
    0060: 22 73 73 64 70 3A 64 69 : 73 63 6F 76 65 72 22 0D | "ssdp:discover".
    0070: 0A 4D 58 3A 20 36 0D 0A : 53 54 3A 20 75 72 6E 3A | .MX: 6..ST: urn:
    0080: 73 63 68 65 6D 61 73 2D : 75 70 6E 70 2D 6F 72 67 | schemas-upnp-org
    0090: 3A 73 65 72 76 69 63 65 : 3A 57 41 4E 50 50 50 43 | :service:WANPPPC
    00A0: 6F 6E 6E 65 63 74 69 6F : 6E 3A 31 0D 0A 0D 0A | onnection:1....

    Пробовал лечить при помощи LiveCD, лечил больше 10 часов, потом сканер упал как приложение ...

    Добавлено через 8 минут

    Причем после запуска такого приложения и после того как я запрещаю ему подозрительную сетевую операцию, возникает всплывающее окошко Symantec Endpoint Protection из tray "Application has changed since the last time you opened it, process id: nnn"
    Последний раз редактировалось q20080404; 21.04.2011 в 04:02. Причина: Добавлено

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 28
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) q20080404, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 2
      Последнее сообщение: 12.12.2011, 16:41
    2. после win32.expiro.22
      От aev в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 10.05.2011, 23:21
    3. Непонятки после лечения win32.sector.16
      От Shkololo в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 03.10.2010, 20:50
    4. Ответов: 3
      Последнее сообщение: 07.11.2008, 15:50
    5. После лечения Backdoor.Win32.Bifrose.aav
      От Kroko.Dil в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 08.10.2008, 11:43

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00833 seconds with 16 queries