Показано с 1 по 7 из 7.

подозрение на RootKit, кто-то перехватывает NtConnectPort (заявка № 20863)

  1. #1
    Junior Member Репутация
    Регистрация
    02.04.2008
    Сообщений
    3
    Вес репутации
    36

    Thumbs up подозрение на RootKit, кто-то перехватывает NtConnectPort

    помогите разобраться плз
    логи во вложении
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Это от симантека, в логах виден всегда последний перехват. Убедиться можно только если деинсталировать полностью, в любом случае советую это сделать, но перед этим скачайте последнию версию- или замените на другой продукт. То что у вас-морально устарело.
    вам нужны эти блокировки? а то можем помочь снять Да вы и сами сможете в avz
    Код:
     >>  Блокировка редактора реестра
     >>  Мой компьютер - заблокирован пункт меню Управление
     >>  Задано сообщение, выводимое в ходе загрузки
     >>  Internet Explorer - заблокирована настройка домашней страницы
     >>  Заблокированы настройки системы Windows Update
     >>  Internet Explorer - заблокированы настройки
     >>  Разрешен автозапуск с HDD
     >>  Разрешен автозапуск с сетевых дисков
     >>  Разрешен автозапуск со сменных носителей
    Добавлено через 7 минут

    Слишком много неизвестных avz- давайте на всякий случай выполните скрипт :
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINNT\system32\faxmail.exe','');
     QuarantineFile('C:\WINNT\system32\RegCloner.exe','');
     QuarantineFile('C:\WINNT\system32\dla\tfswctrl.exe','');
     QuarantineFile('C:\WINNT\stsystra.exe','');
     QuarantineFile('C:\WINNT\loadqm.exe','');
     QuarantineFile('C:\Program Files\windows media player\shortcut.vbs','');
     QuarantineFile('C:\Program Files\special\RURSY.bat','');
     QuarantineFile('C:\Documents and Settings\RUGajdakDm\Start Menu\Programs\Startup\NRU_del_sapportal_103.vbs','');
     QuarantineFile('C:\Documents and Settings\RUGajdakDm\Application Data\Microsoft\Installer\{1EA2A49E-7C02-4B75-B512-5C632889F6EA}\IconF3D47DE55.exe','');
     QuarantineFile('C:\Documents and Settings\RUGajdakDm\Start Menu\Programs\Startup\IE_RU_en.vbs','');
     QuarantineFile('C:\WINNT\System32\drivers\CITMDRV.SYS','');
     QuarantineFile('c:\program files\tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ... http://virusinfo.info/upload_virus.php?tid=20863

    Trusted Zone & Trusted IP - сами добавляли ? слишком много, похоже на действия зверей
    P.S. Пункт 2 правил делали? ( cureit )
    Последний раз редактировалось drongo; 02.04.2008 в 13:28. Причина: Добавлено

  4. #3
    Junior Member Репутация
    Регистрация
    02.04.2008
    Сообщений
    3
    Вес репутации
    36
    блокировки поотшибать могу и сам при помощи авз , но при первой же синхронизации с ad они опять восcтановятся. корпоративщина. (
    спасибо вам за консультацию!

    Добавлено через 16 минут

    карантин залил.
    пункт 2 не сделал, слить пока не могу.
    трастед айпи и зоны - действия наших админов, с этим ничего не подеалешь.
    Последний раз редактировалось agi; 02.04.2008 в 13:40. Причина: Добавлено

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Ну если корпоративщина, пусть лучше админы занимаются- вы их направьте на пусть истинный- антивирус надо обновлять.
    Последний раз редактировалось drongo; 02.04.2008 в 13:48.

  6. #5
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    CITMDRV.SYS, faxmail.exe_, IconF3D47DE55.exe_, lcfd.exe_, RegCloner.exe_, stsystra.exe_

    Вредоносный код в файлах не обнаружен.

  7. #6
    Junior Member Репутация
    Регистрация
    02.04.2008
    Сообщений
    3
    Вес репутации
    36
    спасибо!

  8. #7
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 12
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) agi, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 5
      Последнее сообщение: 28.06.2010, 21:16
    2. Ответов: 7
      Последнее сообщение: 22.02.2009, 04:06
    3. Функция NtConnectPort (1F) перехвачена
      От gafan2 в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 22.02.2009, 02:28
    4. Функция NtConnectPort (1F) перехвачена
      От vibor1 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 16.03.2008, 13:34
    5. Подозрение на Rootkit
      От Owner в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 28.12.2006, 01:55

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01502 seconds with 17 queries