Здравствуйте.
У меня следующие проблемы:
поставил на Windows 2003 SP1 файерволл Outpost Firewall Pro ver. 3.51.759.6511 (462), после этого он перестал Bat'у разрешать отправлять почту. В логах вот что пишет: Сетевой доступ для процесса блокирован. CSRSS.EXE изменил область памяти THEBAT.EXE
На форуме Outpost'а посоветовали обратиться к Вам. Заранее спасибо.
Последний раз редактировалось anton_dr; 23.06.2006 в 14:12.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
присланный файл - чистый.
Пофиксите в HijackThis
O20 - Winlogon Notify: dimsntfy - dimsntfy.dll (file missing)
O20 - Winlogon Notify: MetaFrame - ctxnotif.dll (file missing)
интересно посмотреть на
c:\winsows\System32\win32k.sys
C:\WINDOWS\system32\mfaphook.dll
МОжно прислать этот файл на проверку
C:\WINDOWS\system32\mfaphook.dll
Но я думаю что проблема в том, что Outpost не рассчитан на работу на сервере, и даёт ложные срабатывания.
Нет, этих лучше не фиксить. Не знаю, от чего первый, а второй, раз от MetaFrame, должен быть. Просто из-за фокусов терминального сервера HJT его ищет не там.Сообщение от MOCT
Вот этот файл: правда win32k.sys не смог загрузить сюда. Вот что пишет: win32k.sys превысил(а) предел на форумеинтересно посмотреть на
c:\winsows\System32\win32k.sys
C:\WINDOWS\system32\mfaphook.dll
Файлы не нужно прикреплять к сообщениям, а необходимо присылать через форму отправки
Файл сохранён как mfaphook_449bbcff3a9c1.rar
Размер файла 6550
MD5 fba2fe8196bd412c6882a60fd11f41e9
Последний раз редактировалось anton_dr; 23.06.2006 в 14:06.
Загляните, пожалуйста в правила. Там написано как правильно прислать файл.
Согласно информационному листу Outpost может быть установлен на сервере Windows 2003. Так что причина тут в чём-то другом.
А кто знает что это C:\Documents and Settings\Administrator\WINDOWS\system.ini, boot, shell ?
это...
;-)
Да забыл сказать Bat работает через Citrix. Локально на сервере почта отправляется, а через Citrix Outpost её блокирует, пишет заблокированно Контролем памяти процессов.
В общем ничего подозрительного не видно. Похоже какой-то глюк
Связанный с особенностями терминального сервера Citrix, IMHO.
В данном случае о ложном срабатывании не может быть и речи - 100% - принцип работы такой - или/или, третьего не дано.Но я думаю что проблема в том, что Outpost не рассчитан на работу на сервере, и даёт ложные срабатывания.
Далее. Согласитесь - когда процесс подменяет другой должно вызывать подозрение. А тут мы имеем критичный системный CSRSS.EXE. ДалееДа, с другой стороны - загвоздка может быть именно в этом. Не работает ОР с терминалами.Связанный с особенностями терминального сервера Citrix, IMHO.
А вообще, вот что подозрительное:
C:\Documents and Settings\Administrator\WINDOWS\System32\smss.exe
Идем далее. А ошибки в SPI/LSP? И куча ненйденных файлов (судя по логам). Не кажется ли, что слишком много странностей для одного случая?
Далее. В реальности Outpost может конфликтовать со следующими программами:
C:\Program Files\nnCron\nncron.exe
C:\Program Files\nnCron\nnguard.exe
c:\windows\system32\lserver.exe
C:\Program Files\Citrix\System32\Citrix\Ima\ImaSrv.exe - и все остальное, что касается Citrix.
А любопытно вот что: C:\Program Files\UserGate\UserGate.exe
Вы выберите - или ОР или гейт.
А вообще, повторяю:Ну не должно такого быть. Не должно. Ищите ребята, ищите. Возможно, что это связано с самой работой Bat!, не знаю... Могу, конечно, ошибаться, но или код умный или дело в терминале. Третьего не дано.CSRSS.EXE изменил область памяти THEBAT.EXE
Неофициальный форум Outpost Firewall http://forum.five.mhost.ru
Это известный глюк АВЗ который иногда вылазит на 2003. Пока Олег его не выловит сложно сказать что на самом деле происходит.
А по поводу CSRSS.EXE http://wasm.ru/article.php?article=fwb
Так вот, похоже Outpost в данном случае так же путается как и АВЗ.Если вы читали мою статью "Современные технологии дампинга и защиты от него", то несомненно знаете, что в процессе работы системы, процесс csrss.exe (сервер подсистемы win32) производит запись в память GUI процессов.
В любом случае, пока не будет исправлен баг в АВЗ сложно что-то сказать.
Да, поскольку в логах АВЗ нет CSRSS.EXE, значит он и все подгруженные им библиотеки опознаны как безопасные. Либо АВЗ вообще его не видит. Тогда там какой-то суперруткит сидит, и справится с ним вряд ли реально.
Уважаемый(ая) idw, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
