svchost.exe ИСХ БЛОКИРОВАНО UDP 212.12.0.3 DNS Заблокировано детектором Ethernet-ата
1)
что -то всполошился OutPost -- Ethernet attack
(см.журнал)
2)
avz детектирует какие -то прехватчики, кроме OutPost
3)
при проверке avz на Скрипт лечения/карантина и сбора информации для раздела "Помогите!"
1 раз завис.
не полностью, но заторомозил мин. на 40,
часы скакали сек. по 15-30, потом сдох мин на 10
после reset скрипт прошел мин. за 7-10
4)
не могу заатчить Log
Битая ссылка http://www.securinfo.ru/HowToAttachLog !!!
Последний раз редактировалось YAA; 04.08.2006 в 01:23.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
avz детектирует какие -то прехватчики, кроме OutPost
обычное дело, ничего страшного
Сообщение от YAA
при проверке avz на Скрипт лечения/карантина и сбора информации для раздела "Помогите!"
1 раз завис.
не полностью, но заторомозил мин. на 40,
часы скакали сек. по 15-30, потом сдох мин на 10
после reset скрипт прошел мин. за 7-10
в правилах форума написано, что аттачить нужно к сообщению. кнопка "Управление вложениями", в открывшемся окне указать файл (или файлы) на своем диске, который нужно прикрепить к сообщению.
Приаттачить к http://virusinfo.info/showthread.php?t=5991
Дополнительно проявляется подозрительная сетевая и лок. активность.
Испорчена конфигурация Outpost --
переустановил в чистую.
При проверке, проводимой avz,
Outpost сигнализирует что скрытый процесс
пытается залезть в память avz! Запрещаю.
При avzGuard попытка запуска Hijack привела
к тому, что управляющие эл. avz (меню, кнопки)
испортились и стали недоступны.
Сделал Reset, avz почистил RootKit, пишу письмо
Высылаю вчерашние и сегодняшние логи.
Прошу по возможности срочно проверить!
Высылаю вчерашние и сегодняшние логи.
Прошу по возможности срочно проверить!
чтобы не играть в испорченный телефон - мы смотрим логи. в логах ничего криминального не видно.
пофиксите в HijackThis строки:
O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
файл e:\tool\wclock32\wclock32.exe нам уже присылали?
1) A вот это чьи следы могут быть !?
Функция kernel32.dll:CreateProcessA (99) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции CreateProcessA нейтрализован
2) вчерашний лог
Функция ZwCreateKey (29) перехвачена (80618BD2->F73F0B3A), перехватчик sptd.sys
>>> Функция воcстановлена успешно !
Сегодня sptd.sys в логе нет, потому что я заархивировал и удалил этот файл
1) A вот это чьи следы могут быть !?
Функция kernel32.dll:CreateProcessA (99) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции CreateProcessA нейтрализован
да мало ли чьи. антивируса, фаервола, драйвера...
Сообщение от YAA
2) вчерашний лог
Функция ZwCreateKey (29) перехвачена (80618BD2->F73F0B3A), перехватчик sptd.sys
>>> Функция воcстановлена успешно !
Сегодня sptd.sys в логе нет, потому что я заархивировал и удалил этот файл
удалять было не нужно (об этом никто и не просил). это какой-то драйвер.
Сообщение от YAA
Может, все это и нормально, но СИЛЬНО нервирует
Подозрительное загружено в virusForMost
загружать нужно только те файлы, которые просят прислать.
выкачивать мегабайтные файлы "прото так" ни у кого желания нет.
если там sptd.sys, то он нам не нужен.
Насколько я понимаю, avz сообщает о НЕНОРМАЛЬНОЙ активности. Поэтому если говорят, что Функция перехвачена, то надо ОБЯЗ. разобраться --кем. Если Outpost, напр. то сочтем это нормальным. А если sptd.sys, то говорить "какой -то драйвер" -- это разве не излишне беспечно!?
Если это что-то известное, то может надо добавить его в список доверенных? Чтобы экспертов virusinfo.info попусту не отвлекали и сами пользователи не пили валерьянку.
???
Так можно определить источник активности, отмеченный avz и ОПАСЕН ли он?
Что касается часиков wclock32 (http://wova.al.ruhttp://wova.web.ur.ru)
то они висят у меня уже лет 5 -- если только _кто-то_ на них довесок не прикрепил.
wclock32 _ЗАГРУЖЕН_
===== От Моста
Сообщение от YAA 1) A вот это чьи следы могут быть !? Функция kernel32.dll:CreateProcessA (99) перехвачена, метод APICodeHijack.JmpTo >>> Код руткита в функции CreateProcessA нейтрализован
да мало ли чьи. антивируса, фаервола, драйвера...
Цитата:
Сообщение от YAA 2) вчерашний лог Функция ZwCreateKey (29) перехвачена (80618BD2->F73F0B3A), перехватчик sptd.sys >>> Функция воcстановлена успешно ! Сегодня sptd.sys в логе нет, потому что я заархивировал и удалил этот файл
удалять было не нужно (об этом никто и не просил). это какой-то драйвер.
spdt.sys - это, насколько я помню по другим темам, драйвер от StarForce.
А перехват CreateProcess - скорее всего, Outpost, он же контролирует запуски программ.
P.S. AVZ сообщает о любых перехватах, раз велено отследить. А нормальные они или нет - это вам и нам решать.
Насколько я понимаю, avz сообщает о НЕНОРМАЛЬНОЙ активности. Поэтому если говорят, что Функция перехвачена, то надо ОБЯЗ. разобраться --кем. Если Outpost, напр. то сочтем это нормальным. А если sptd.sys, то говорить "какой -то драйвер" -- это разве не излишне беспечно!?
пользователям вообще не нужно вдаваться в детали того, как работает AVZ и почему все именно так. AVZ пишет все, что видит, а на форуме хелперы уже разбираются в написанном.
"больной, не занимайтесь самолечением!" (с)
Сообщение от YAA
Так можно определить источник активности, отмеченный avz и ОПАСЕН ли он?
на компьютере опасные источники активности не замечены
Сообщение от YAA
Что касается часиков wclock32 (http://wova.al.ruhttp://wova.web.ur.ru)
то они висят у меня уже лет 5 -- если только _кто-то_ на них довесок не прикрепил.
довесков не найдено. надеюсь, что они будут добавлены в ближайшее время в базу чистых объектов.
при просмотре avz
открытых портов по UDP
файл explorer.exe был подсвечен
красным и прокомментирован
чем-то типа
Remote All; Backdoor.RA
После выхода через 3 сек.
проверил снова
-- уже никаких следов
при просмотре avz
открытых портов по UDP
файл explorer.exe был подсвечен
красным и прокомментирован
чем-то типа
Remote All; Backdoor.RA
После выхода через 3 сек.
проверил снова
-- уже никаких следов
Это не ОНО !?
на описание вида "что-то типа" можно дать только ответ в стиле "вроде бы нет"
на что AVZ может ругнуться Backdoor.RA (на explorer.exe) и как организовать отлов
Честно говоря, это я к тому, что хотя мне и сказали ТОЧНО, что вроде опасной активности
у меня на компе не видно, но осадок подозрений остался.
Увидел подозрительную вещь и поинтересовался, может кто знает. Мне кажется подозрительным и то, что она выловилась только 1 раз. Но ведь это БЫЛО!
Вопрос собственно о том, кто знает, на что AVZ
может ругнуться Backdoor.RA (на explorer.exe) и как организовать отлов.
Уважаемый(ая) YAA, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: