Показано с 1 по 7 из 7.

rootkit или avz борется с symantec? (заявка № 44596)

  1. #1
    Junior Member Репутация
    Регистрация
    26.04.2009
    Сообщений
    7
    Вес репутации
    32

    Question rootkit или avz борется с symantec?

    все компы win xp prof sp3 + symantec corporate 10.
    на файловом сервере для 1с было замечено (netstat -b) постоянное подключение к vilknew.com при этом использовались библиотеки ws2_32.dll wininet.dll. пока день искал заразу, срубился рабочий стол (не запускался explorer). запуск шел только ручками, причем не разрешался переход между пользователями - пароль у второго принимал, но тут же срубал. скачал avz. прогнал на полной эвристике. он обнаружил две трудности: подозрение на rootkit и p2p заразу. p2p снес из под avz с эвристическим восстановлением + применил из под него же восстановление настроек explorer . хотя в реестре все было в норме... во всех ветках. а вот с руткитом пытаюсь бороться четвертый день. причем после подозрения avz через 5 секунд срабатывает автоматическая защита symantec с воплем: нашел трояна в c:\windows\system32\drivers\utg4njgy.sys 3 штуки, требует перезагрузки и 2 штуки пихает в свой карантин. решил отослать все к Вам, и только при выполнении инструкций, понял что при выключенной защите symantec никаких руткитов avz не видит....
    так что у меня?
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от oldgod Посмотреть сообщение
    нашел трояна в c:\windows\system32\drivers\utg4njgy.sys 3 штуки
    Это драйвер АВЗ.

    Добавлено через 2 минуты

    - Очистите темп-папки, кэш проводников и корзину.
    Последний раз редактировалось Rene-gad; 26.04.2009 в 19:42. Причина: Добавлено

  4. #3
    Junior Member Репутация
    Регистрация
    26.04.2009
    Сообщений
    7
    Вес репутации
    32
    очистку сделал, а вот на это (virusinfo_syscure.htm) не обращать внимания?
    Файл Описание Тип
    C:\WINDOWS\system32\drivers\Haspnt.sys
    Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit >>> Перехватчик KernelMode - ЦП[1].IDT[06]
    C:\Documents and Settings\Admin\Application Data\rambler.ru\toolbar\mail.mp3
    Скрипт: Kарантин, Удалить, Удалить через BC Подозрение эвристического анализа PE файл с нестандартным расширением(степень опасности 5%)
    C:\WINDOWS\system32\Attansic\L1\atcInst.exe
    Скрипт: Kарантин, Удалить, Удалить через BC Подозрение файлового сканера Подозрение на P2P-Worm.Win32.Nugg.an ( 00574032 08CD5FC5 001B19C0 0020414D 188416)

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от oldgod Посмотреть сообщение
    на это (virusinfo_syscure.htm) не обращать внимания?
    http://www.greatis.com/appdata/a/h/haspnt.sys.htm
    http://www.download3k.com/Antivirus-...e-Control.html

  6. #5
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    295
    C:\WINDOWS\system32\Attansic\L1\atcInst.exe - это не инсталлятор программы Advanced Time Control, а, вероятнее всего, какая-то компонента, связанная с сетевой картой или к.-л. оборудованием производства компании Atheros, смотрите тут: http://www.attansic.com.

  7. #6
    Junior Member Репутация
    Регистрация
    26.04.2009
    Сообщений
    7
    Вес репутации
    32
    пасибо всем. сегодня хоть посплю спокойно... если возможно, ответь еще на один вопрос ( я начал лечиться сам, поэтому понимаю что нарушил неумышленно правила форума, и только позже нашел вас): avz удалил из с\windows\system 32 twex.exe
    , лечил с эвристическим восстановлением, но сейчас в реестре вижу:
    hklm\ software\ microsoft\ windows nt\ current version\ winlogon
    userinit значение c:\windows\system 32\userinit.exe, c:\windows\system32\twex.exe
    насколько я понимаю , то что после запятой надо удалить...
    и еще twex.exe находится в c\windows\prefetch с именем: twex.exe-154B356D.pf
    какие мои действия?

    еще раз прошу извинений за неумышленное нарушение правил...
    если нет возможности ответить про twex, то скажите об этом.
    заранее спасибо
    Последний раз редактировалось Rene-gad; 28.04.2009 в 08:57.

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,216
    Вес репутации
    3387
    Цитата Сообщение от oldgod Посмотреть сообщение
    еще раз прошу извинений за неумышленное нарушение правил...
    если нет возможности ответить про twex, то скажите об этом.
    заранее спасибо
    \windows\prefetch - Это базы данных, ничего исполняемого там нет. Ключ реестра должен иметь вид "c:\windows\system32\userinit.exe,"
    В остальном если есть подозрения по файлам, то лучше "скормить" карантин "киберу" - http://virusinfo.info/showthread.php?t=3519 - все это классифицируется и обработается

  • Уважаемый(ая) oldgod, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Symantec борется с трояном-вымогателем
      От SDA в разделе Вредоносные программы
      Ответов: 9
      Последнее сообщение: 16.08.2009, 11:21
    2. symantec не лечит hacktool.rootkit
      От DeadMachine в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 07.04.2009, 16:55
    3. Hacktool.Rootkit (Symantec)
      От terminator2 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 04:14
    4. symantec видит hacktool.rootkit, но не лечит
      От tory в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 11.01.2008, 09:41
    5. Hacktool.Rootkit и Symantec
      От Max_Damage в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 06.11.2007, 17:10

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01091 seconds with 17 queries