Проверил свой комп (подключен в локальную сеть) последней версией 4.27 avz с базами обновленными 21 сентября и увидел следующую строку:
"Функция NtConnectPort (1F) перехвачена (8058A800->E15D1690), перехватчик не определен"
Причем сначала она была красная, а потом почернела.
Опасно ли это?
Заранее спасибо.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Штатный антивирус Symantec corporate edition ничего не показывает.
cureit ругнулся на exe-шник созданный при помощи bat to exe (взят отсюда www.f2ko.de)
Последний раз редактировалось gafan2; 22.09.2007 в 00:42.
Логи выполнены не верно.
Их должно быть 3 :
2 делаются с помощью AVZ, а еще один - с помощью HijackThis.
Мой Symantec CE тоже так себя проявляет (перехватом NtConnectPort).
Все-же выполните пожалуйста правила полностью.
Да, правила, действительно, не дочитал, прошу прощения, поторопился.
Пока логи собираются, я вижу, что avz перемещает в карантин файлы, которые у меня были вне подозрений, в т.ч. от sysinternals. Есть ли способ восстановить их?
Несколько дней назад я начал пользоваться програмкой Tiny Watcher (http://www.donationcoders.com/kubicle/watcher/) и вот она при очередном входе в систему отрапортавала о новом процессе: C:\DOCUME~1\MGAFAN~1\LOCALS~1\Temp\111B.tmp что очень не понравилось и пpишла мысль в голову запустить avz.
Самого процесса 111B.tmp Task Managerом не увидел (не нашел и остатков 111B.tmp в указанной папке), но обратил внимание на процесс MDM.exe, который раньше, как я помню, в списке не присутствовал. Все это, конечно, настораживает.
Спасибо за ваши оперативные ответы и желание помочь!
Не дает сделать все 3 вложения. Попробую дослать 3-е отдельно.
Последний раз редактировалось gafan2; 22.09.2007 в 04:14.
Извините ребята, совсем запутался. Пытался прикрепить файл virusinfo_syscure.zip, но поскольку, насколько я понял, есть ограничения на размер прикреплений, то этот файл не проходит. Можно ли послать его по указаннаму линку "Карантин присылать по этой ссылке:"?
Я сейчас дома, вопросы были по компу на работе. Файл virusinfo_syscure.zip я притащил домой, но он не запоролен. Если можно послать по линку, то ничего, что он без пароля?
Или нужно перепаковать с паролем "virus" (без кавычек)?
Не хочется больше ничего нарушать.
Добавлено через 7 минут
Сообщение от V_Bond
выполните скрипт ...
Как правильно выполнить скрипт? Сохранить предлагаемое в файл с расширением vbs и запустить?
Последний раз редактировалось gafan2; 22.09.2007 в 03:13.
Причина: Добавлено
Не надо ничего перепаковывать. Удалите из темы огромный virusinfo_syscheck, его уже обработали. После этого получится прикрепить syscure.
Скрипты выполняются через AVZ: Файл - Выполнить скрипт - текст скопировать и вставить в окно - Выполнить (или как там кнопка называется? короче, их там всего две, не заблудитесь).
пришлите крантин согласно приложения 3 правил ...
и еще такой скрипт ...
Код:
begin
ClearHostsFile;
RebootWindows(true);
end.
Уважаемый V_Bond,
Выполнить скрипт я смогу лишь в понедельник. Есть некоторые вопросы и пояснения.
1. "ClearQuarantine;" - не удалит ли это файлы в карантине окончательно?
Как я уже писал, в карантин попали файлы из проверенных пакетов (TurboCAD, PADS from Mentorgraphic, и т.д) которые работали на машине годами. Не хочется терять работоспособные продукты.
2. " QuarantineFile('C:\autorun.inf','');" этот файл я сам создал. Все что он делает - это подставляет иконку на хард драйв.
3."QuarantineFile('c:\exact2\max\mfw2\sysman.exe', '');" и "QuarantineFile('C:\EXACT2\MAX\MFW2\MAXBTRV2.dll', '');" принадлежат MAX Extreme - ERP software установленное на всех PC в локалке. Не нарушит ли карантин работу?
4. Ой-ой. Не бейте сильно...Опять перечитал правила и понял, что не выполнил того, что красным написано...
Много приложений было открыто (в т.ч. и cureit крутился) пока AVZ логи собирал.
Не судите строго, все от нервов.
Дадите ли еще один шанс? Собрать логи как положено и прикрепить?
Извините еще раз пожалуйста.
1. "ClearQuarantine;" - не удалит ли это файлы в карантине окончательно?
Это очистка карантина. Оригиналы файлов не затрагиваются.
Сообщение от gafan2
Как я уже писал, в карантин попали файлы из проверенных пакетов (TurboCAD, PADS from Mentorgraphic, и т.д) которые работали на машине годами. Не хочется терять работоспособные продукты.
Вы ничего не потеряли. Файлы не перемещен, а скопированы.
Сообщение от gafan2
2. " QuarantineFile('C:\autorun.inf','');" этот файл я сам создал. Все что он делает - это подставляет иконку на хард драйв.
Обычно этим балуются трояны. Если уверены, что файл не подменён, можете не карантинить.
Сообщение от gafan2
3."QuarantineFile('c:\exact2\max\mfw2\sysman.exe', '');" и "QuarantineFile('C:\EXACT2\MAX\MFW2\MAXBTRV2.dll', '');" принадлежат MAX Extreme - ERP software установленное на всех PC в локалке. Не нарушит ли карантин работу?
Не нарушит. Файлы копируются, оригиналы остаются где были. Если файлы большие, можете пока не карантинить. Потом для базы безопасных соберёте.
пришлите крантин согласно приложения 3 правил ...
и еще такой скрипт ...
Код:
begin
ClearHostsFile;
RebootWindows(true);
end.
Выполнил пержвый скрипт и отправил файл.
После выполнения второго скрипта исчезли записи из host файла, который я беру отсюда: http://www.mvps.org/winhelp2002/hosts.htm
Можно ли восстановить host файл, или ждать команды?
Как и обещал, собрал логи из AVZ по правилам, но размер файлов больше мегабайта каждый! Такое впечатление, новые логи добавились к старым. Такие файлы прикрепить не удастся. Что теперь делать? Удалить файлы из папки LOG и снова запустить скрипты для сбора информации? Единственное, что пока могу - это новый hijack.log прикрепить.
C:\WINDOWS\system32\virport.dll (eSafe suspicious Trojan/Worm)
подождем реакцию вирлаба ...
насчет .. хост файла .. его огромные размеры делают ваши отчеты не читабельными ... (да и размер почти в пол мегабайта)
восстановить можно - это текстовый файл находится system32\drivers\etc ... не думаю что в этом есть смысл ...
в вашем случае это была попытка заблокировать "вредные сайты" ... (но мне кажется что иметь нормальный антивирус и надежнее и быстрее) ...
пришел ответ насчет вашего файла - чистый ...
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: