Здравствуйте.
У меня следующие проблемы:
поставил на Windows 2003 SP1 файерволл Outpost Firewall Pro ver. 3.51.759.6511 (462), после этого он перестал Bat'у разрешать отправлять почту. В логах вот что пишет: Сетевой доступ для процесса блокирован. CSRSS.EXE изменил область памяти THEBAT.EXE
На форуме Outpost'а посоветовали обратиться к Вам. Заранее спасибо.
Последний раз редактировалось anton_dr; 23.06.2006 в 14:12.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
МОжно прислать этот файл на проверку
C:\WINDOWS\system32\mfaphook.dll
Но я думаю что проблема в том, что Outpost не рассчитан на работу на сервере, и даёт ложные срабатывания.
Нет, этих лучше не фиксить. Не знаю, от чего первый, а второй, раз от MetaFrame, должен быть. Просто из-за фокусов терминального сервера HJT его ищет не там.
Да забыл сказать Bat работает через Citrix. Локально на сервере почта отправляется, а через Citrix Outpost её блокирует, пишет заблокированно Контролем памяти процессов.
Но я думаю что проблема в том, что Outpost не рассчитан на работу на сервере, и даёт ложные срабатывания.
В данном случае о ложном срабатывании не может быть и речи - 100% - принцип работы такой - или/или, третьего не дано.
Далее. Согласитесь - когда процесс подменяет другой должно вызывать подозрение. А тут мы имеем критичный системный CSRSS.EXE. Далее
Связанный с особенностями терминального сервера Citrix, IMHO.
Да, с другой стороны - загвоздка может быть именно в этом. Не работает ОР с терминалами.
А вообще, вот что подозрительное:
C:\Documents and Settings\Administrator\WINDOWS\System32\smss.exe
Идем далее. А ошибки в SPI/LSP? И куча ненйденных файлов (судя по логам). Не кажется ли, что слишком много странностей для одного случая?
Далее. В реальности Outpost может конфликтовать со следующими программами:
C:\Program Files\nnCron\nncron.exe
C:\Program Files\nnCron\nnguard.exe
c:\windows\system32\lserver.exe
C:\Program Files\Citrix\System32\Citrix\Ima\ImaSrv.exe - и все остальное, что касается Citrix.
А любопытно вот что: C:\Program Files\UserGate\UserGate.exe
Вы выберите - или ОР или гейт.
А вообще, повторяю:
CSRSS.EXE изменил область памяти THEBAT.EXE
Ну не должно такого быть. Не должно. Ищите ребята, ищите. Возможно, что это связано с самой работой Bat!, не знаю... Могу, конечно, ошибаться, но или код умный или дело в терминале. Третьего не дано.
C:\Documents and Settings\Administrator\WINDOWS\System32\smss.exe
Идем далее. А ошибки в SPI/LSP? И куча ненйденных файлов (судя по логам). Не кажется ли, что слишком много странностей для одного случая?
Это известный глюк АВЗ который иногда вылазит на 2003. Пока Олег его не выловит сложно сказать что на самом деле происходит.
А по поводу CSRSS.EXE http://wasm.ru/article.php?article=fwb
Если вы читали мою статью "Современные технологии дампинга и защиты от него", то несомненно знаете, что в процессе работы системы, процесс csrss.exe (сервер подсистемы win32) производит запись в память GUI процессов.
Так вот, похоже Outpost в данном случае так же путается как и АВЗ.
В любом случае, пока не будет исправлен баг в АВЗ сложно что-то сказать.
Да, поскольку в логах АВЗ нет CSRSS.EXE, значит он и все подгруженные им библиотеки опознаны как безопасные. Либо АВЗ вообще его не видит. Тогда там какой-то суперруткит сидит, и справится с ним вряд ли реально.
Уважаемый(ая) idw, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: