Показано с 1 по 14 из 14.

Outpost жрал процессор (заявка № 10254)

  1. #1
    Full Member Репутация Репутация Репутация Аватар для M@xWell
    Регистрация
    04.06.2007
    Сообщений
    127
    Вес репутации
    41

    Thumbs up Outpost жрал процессор

    Привет всем! Ситуация: пришла дочь босса, говорит, что ноут выдал ошибку и повесился.. Ошибка: Аутпост не находит какуюто базу данных. Ноут на все дейсвия 0 реакции. Пришлось применить силу). Выкл-Вкл-начал обновления Аутпоста (думал ему вирусная база нужна была). После этого он начал постоянно загружать проц на все 100%. Убив его (аутпост, а не проц) в безопасном режиме, вроде заработало. Но решил таки перестраховаться. CureIt ничего не нашел. AVZ чето нашел и кинул в карантин. Пожалуйста, гляньте ее логи, а то там все слишком запущено...
    Последний раз редактировалось M@xWell; 25.06.2007 в 13:32.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Есть подозрение на конфликт Нода и Аутпоста. В логах ничего плохого не видно.
    Диск D - это что?
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Full Member Репутация Репутация Репутация Аватар для M@xWell
    Регистрация
    04.06.2007
    Сообщений
    127
    Вес репутации
    41
    Диск Д - локальный диск.С ним что-то не так?

  5. #4
    Full Member Репутация Репутация Репутация Аватар для M@xWell
    Регистрация
    04.06.2007
    Сообщений
    127
    Вес репутации
    41

    HELP

    Помогите! Установил другой файрвол (с систем механиком), он тоже начал процессор кушать (вместе с C:\WINDOWS\system32\servises.exe) Решил потом на руткит проверить АВЗ. Обьясните плиз, не удалилось ли там че-нить лишнее? Вот отчет:

    Выполняется стандартный скрипт: 1. Поиск и нейтрализации RootKit UserMode и KernelMode
    >> Опасно ! Обнаружена маскировка процессов
    >>>> Обнаружена маскировка процесса 420 ioloDMVSvc.exe
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Функция kernel32.dlloadLibraryExW (580) перехвачена, метод CodeHijack (метод не определен)
    >>> Код руткита в функции LoadLibraryExW нейтрализован
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Функция ntdll.dll:NtCreateProcess (134) перехвачена, метод CodeHijack (метод не определен)
    >>> Код руткита в функции NtCreateProcess нейтрализован
    Функция ntdll.dll:NtCreateProcessEx (135) перехвачена, метод CodeHijack (метод не определен)
    >>> Код руткита в функции NtCreateProcessEx нейтрализован
    Функция ntdll.dll:NtQuerySystemInformation (263) перехвачена, метод CodeHijack (метод не определен)
    >>> Код руткита в функции NtQuerySystemInformation нейтрализован
    Функция ntdll.dll:NtResumeThread (297) перехвачена, метод CodeHijack (метод не определен)
    >>> Код руткита в функции NtResumeThread нейтрализован
    Функция ntdll.dll:NtSuspendProcess (344) перехвачена, метод CodeHijack (метод не определен)
    >>> Код руткита в функции NtSuspendProcess нейтрализован
    Функция ntdll.dll:NtTerminateProcess (34 перехвачена, метод CodeHijack (метод не определен)
    >>> Код руткита в функции NtTerminateProcess нейтрализован
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    >> Опасно ! Обнаружена маскировка процессов
    >>>> Подозрение на маскировку процесса 420 c:\program files\iolo\common\lib\iolodmvsvc.exe
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    SDT найдена (RVA=07B580)
    Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
    SDT = 80552580
    KiST = 80501354 (284)
    Функция NtCreateKey (29) перехвачена (806191EC->F73AD0D0), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtEnumerateKey (47) перехвачена (80619A2C->F73B2E2C), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtEnumerateValueKey (49) перехвачена (80619C96->F73B31BA), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtOpenKey (77) перехвачена (8061A582->F73AD0B0), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtQueryKey (A0) перехвачена (8061A8A6->F73B3292), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtQueryValueKey (B1) перехвачена (806172A6->F73B3112), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtSetValueKey (F7) перехвачена (806178AC->F73B3324), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Проверено функций: 284, перехвачено: 7, восстановлено: 7
    1.3 Проверка IDT и SYSENTER
    Анализ для процессора 1
    Проверка IDT и SYSENTER завершена
    1.4 Поиск маскировки процессов и драйверов
    Проверка не производится, так как не установлен драйвер мониторинга AVZPM

  6. #5
    Full Member Репутация Репутация Репутация Аватар для M@xWell
    Регистрация
    04.06.2007
    Сообщений
    127
    Вес репутации
    41
    Файрвол не могу остановить\убить. Пишет нет доступа. Попробую опять в Безопасном режиме. А то продолжают на пару с C:\WINDOWS\system32\servises перегружать проц. Примерно 25% - файр, 75% - сервисы
    С нетерпением жду советов!
    Последний раз редактировалось M@xWell; 08.06.2007 в 16:03.

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Цитата Сообщение от M@xWell Посмотреть сообщение
    Диск Д - локальный диск.С ним что-то не так?
    на нем autorun.inf в корне сидит. Не должно быть этого на нормальном диске. На всякий пожарный пришлите карантин, что получился после логов.

    перехватчик sptd.sys - Alcohol. Так что это не страшно.

    Когда логи делали НОД отключали? Или он вообще не живой. в логе HJ его сервис виден, а в AVZ нет.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Full Member Репутация Репутация Репутация Аватар для M@xWell
    Регистрация
    04.06.2007
    Сообщений
    127
    Вес репутации
    41
    Блин.. Забыл отключить НОД... Сейчас сделаю проверку заново и пришлю логи. Пока только карантин.
    ЗЫ. А Алкоголь несколько раньше удалял... (т.е. еще до первой проверки)
    Последний раз редактировалось M@xWell; 25.06.2007 в 13:32.

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Карантин можно удалить. Там ничего страшного. На будущее, он прикрепляется по ссылке вверху темы. Первое китайское предупреждение.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Full Member Репутация Репутация Репутация Аватар для M@xWell
    Регистрация
    04.06.2007
    Сообщений
    127
    Вес репутации
    41
    Вот новые логи.
    Последний раз редактировалось M@xWell; 12.06.2007 в 15:52.

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Цитата Сообщение от M@xWell Посмотреть сообщение
    А Алкоголь несколько раньше удалял... (т.е. еще до первой проверки)
    Не до конца он удалился. в AVZ выполнить скрипт:
    Код:
    begin
     BC_DeleteFile('\SystemRoot\System32\Drivers\sptd.sys');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки посмотреть на состояние.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Full Member Репутация Репутация Репутация Аватар для M@xWell
    Регистрация
    04.06.2007
    Сообщений
    127
    Вес репутации
    41
    После перезагрузки посмотреть на состояние.
    состояние чего? работоспособности? ноут начал стабильно работать сразу после того как я удалил аутпост. правда, когда установил другой файр - опять начал тормозюкать... я точно не знаю, но по-моему аутпост и раньше стоял, и не брыкался (по словам хозяйки начал пару дней назад. вот я и поднял тревогу) еще что-нибуть можно сделать? интересно, если 3й файр поставить - будет тормозить?

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Цитата Сообщение от M@xWell Посмотреть сообщение
    состояние чего? работоспособности? ноут начал стабильно работать сразу после того как я удалил аутпост.
    Именно ее родной.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от M@xWell Посмотреть сообщение
    интересно, если 3й файр поставить - будет тормозить?
    А родной Виндосовский файр у Вас выключен?

  15. #14
    Full Member Репутация Репутация Репутация Аватар для M@xWell
    Регистрация
    04.06.2007
    Сообщений
    127
    Вес репутации
    41
    Rene-gad
    Бранмауер выключен. Все остальные фаеры поудалял - система стабилизировалась. А что, могло просто быть место кофликту Аутпоста с Брандмауером?

    PS. Придет девушка, спрошу как ноут на выходных себя вел)

  • Уважаемый(ая) M@xWell, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. KIS или Outpost
      От Марта в разделе Межсетевые экраны (firewall)
      Ответов: 17
      Последнее сообщение: 24.09.2013, 00:47
    2. Agnitum Outpost & .dll
      От Cloud в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 01.06.2008, 01:06
    3. KIS 7 VS Outpost 4
      От Helgin в разделе Межсетевые экраны (firewall)
      Ответов: 14
      Последнее сообщение: 23.07.2007, 14:19
    4. Shareaza + Outpost
      От Terus в разделе Межсетевые экраны (firewall)
      Ответов: 1
      Последнее сообщение: 05.02.2006, 17:24
    5. Outpost v.2.5 и The Bat! v.3.0.1
      От Casper в разделе Межсетевые экраны (firewall)
      Ответов: 4
      Последнее сообщение: 22.12.2004, 22:18

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00023 seconds with 16 queries