Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

9 Страницы<12345>»
Опции
К последнему сообщению К первому непрочитанному
Offline dedov  
#21 Оставлено : 29 мая 2008 г. 23:14:00(UTC)
dedov

Статус: Эксперт

Группы: Участники
Зарегистрирован: 03.04.2008(UTC)
Сообщений: 380
Мужчина
Откуда: Россия, г. Белгород

Сказал «Спасибо»: 11 раз
Поблагодарили: 9 раз в 9 постах
что-то все утихли, молчат
проблем ни у кого нет
погудели и успокоилисьBrick wall
Offline Just  
#22 Оставлено : 30 мая 2008 г. 2:17:16(UTC)
Just

Статус: Новичок

Группы: Участники
Зарегистрирован: 27.05.2008(UTC)
Сообщений: 7

Отправляю образ машины на 10 ГБайт... Boo hoo!
Offline KoL  
#23 Оставлено : 30 мая 2008 г. 12:06:54(UTC)
KoL

Статус: Новичок

Группы: Участники
Зарегистрирован: 30.05.2008(UTC)
Сообщений: 2
Откуда: Омск

Доброе время суток!
Помогите, на компьютере при открытии любого ярлыка или файла Крипто-про требует дискету. Пробовал переустановить Крипто-про. При возникновении окна от Крипто-про создается процесс notepad.exe UserName. 5796. На вирусы проверил машину, кое что нашел – удалил но Крипто-про так и продолжает при каждом обращении пользователя к какому нить файлу выдавать окно о просьбе вставить носитель в дисковод (дискетку).
Offline dedov  
#24 Оставлено : 30 мая 2008 г. 13:53:16(UTC)
dedov

Статус: Эксперт

Группы: Участники
Зарегистрирован: 03.04.2008(UTC)
Сообщений: 380
Мужчина
Откуда: Россия, г. Белгород

Сказал «Спасибо»: 11 раз
Поблагодарили: 9 раз в 9 постах
проверьте полностью всю машину в безопасном режиме утилитой CUREIT от DRWEB

или публикуйте логи(см выше)

Отредактировано пользователем 30 мая 2008 г. 13:57:21(UTC)  | Причина: Не указана

Offline Just  
#25 Оставлено : 31 мая 2008 г. 19:19:17(UTC)
Just

Статус: Новичок

Группы: Участники
Зарегистрирован: 27.05.2008(UTC)
Сообщений: 7

Установить VMWare Importer под этой ОС не удалось. Сделал лог с помощью HIJackThis, могу выложить...
Offline Татьяна  
#26 Оставлено : 2 июня 2008 г. 14:29:54(UTC)
Татьяна

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про

Поблагодарили: 40 раз в 37 постах
Just: Если у Вас есть образ и Вы находитесь в Москве, можно встретиться для его передачи.
Татьяна
ООО Крипто-Про
Offline dedov  
#27 Оставлено : 2 июня 2008 г. 14:51:09(UTC)
dedov

Статус: Эксперт

Группы: Участники
Зарегистрирован: 03.04.2008(UTC)
Сообщений: 380
Мужчина
Откуда: Россия, г. Белгород

Сказал «Спасибо»: 11 раз
Поблагодарили: 9 раз в 9 постах
Just написал:
Установить VMWare Importer под этой ОС не удалось. Сделал лог с помощью HIJackThis, могу выложить...


выкладывай, хоть над чем-нибудь поработаем
Offline Just  
#28 Оставлено : 3 июня 2008 г. 2:31:04(UTC)
Just

Статус: Новичок

Группы: Участники
Зарегистрирован: 27.05.2008(UTC)
Сообщений: 7

Татьяна написал:
Just: Если у Вас есть образ и Вы находитесь в Москве, можно встретиться для его передачи.


Дык написал же - не получилось VMWare Importer установить... Ругается, говорит, агент не установлен, поэтому образ сделать невозможно... Ну и машинка в Челябинске находится...

Выкладываю лог работы HIJackThis http://webfile.ru/1993092

Я еще как-то глядел такую штуку как avz4 - там, на мой, не особо внимательный, взгляд, еще более информативные логи для данной ситуации, тоже можно попробовать сделать... Надо?

Отредактировано пользователем 3 июня 2008 г. 2:35:38(UTC)  | Причина: Не указана

Offline dedov  
#29 Оставлено : 3 июня 2008 г. 15:32:40(UTC)
dedov

Статус: Эксперт

Группы: Участники
Зарегистрирован: 03.04.2008(UTC)
Сообщений: 380
Мужчина
Откуда: Россия, г. Белгород

Сказал «Спасибо»: 11 раз
Поблагодарили: 9 раз в 9 постах
Just

1. по процессам сразу настораживают net.exe и net1.exe. это консольные утилиты и они не должны висеть постоянно в процессах
проверь в списке учетных записей наличие лишних или не понятных учеток
2. cmd.exe. если была запущена при создании лога нормально, если нет, то настораживает


F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe
похоже что вирус или следы от него
проверь наличие этого файла C:\WINDOWS\system32\ntos.exe

информация по этому вирусу
http://www.securitylab.ru/processinfo/300021.php

советую более полно и глубоко проверить комп на наличие зловредов!!!
проверку необходимо делать обязательно в безопасном режиме!!!
проверять необходимо бесплатной утилитой CUREIT(свежескачанная)!!!
после того как утилита проведет быструю проверку, рекомендую сделать полную!!!
и обязательно проверить System Volume Information на всех дисках!!!

З.Ы. как совет, поробуйте пользовать другой антивирь!!!

в случае обнаружения в системе зловредов, не поленитесь отписать название сей пакости+где находился


вообще строчка CMD.exe /"Имя пользователя компьютера"/число /число, очень напоминает строчку типа "C:\windows\system32\net.exe user 2345 5423 /add", в результате которой в системе создается пользователь 2345 с паролем 5423(в случае если длина пароля и его сложность удовлетворяют требованиям политики)
а к примеру такой строчкой "C:\windows\system32\net1.exe localgroup Администраторы 2345 /add" мы созданного пользователя из первой строчки, делаем администратором
это размышления на счет висящих процессов net.exe и net1.exe

Отредактировано пользователем 3 июня 2008 г. 22:19:46(UTC)  | Причина: Не указана

Offline Kuca  
#30 Оставлено : 16 июня 2008 г. 18:02:35(UTC)
Kuca

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.05.2008(UTC)
Сообщений: 2
Откуда: Сургут

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:50:02, on 16.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Garant-Server\apps\winNT\F1ServerMng.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Crypto Pro\CSP\cprmcsp.exe
C:\Program Files\Crypto Pro\CSP\cpinit.exe
C:\Program Files\Garant-Server\apps\winNT\F1Server.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://yandex.ru/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [{BBDFB70C-9DFF-475B-9AE2-BF1B192A324A}] C:\Program Files\Garant-Server\apps\winNT\F1ServerMng.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Ускоренный запуск Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://*.kontur-extern.ru
O16 - DPF: {1663ed61-23eb-11d2-b92f-008048fdd814} (MeadCo ScriptX Basic) - file://F:\client side components\ScriptX.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{529C50FF-E391-4DD3-84E2-8DE0EED774F7}: NameServer = 217.8.80.1 217.8.82.24
O17 - HKLM\System\CCS\Services\Tcpip\..\{537EBB0A-05AF-45BB-872E-FFC6E92CA767}: NameServer = 217.8.80.1 217.8.82.24
O20 - Winlogon Notify: sysfldr - sysfldr.dll (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Служба инициализации Крипто-Про CSP (cpinit) - Компания Крипто-Про - C:\Program Files\Crypto Pro\CSP\cpinit.exe
O23 - Service: Служба хранения и использования ключей Крипто-Про CSP (cprmcsp) - Компания Крипто-Про - C:\Program Files\Crypto Pro\CSP\cprmcsp.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: GARANT. Platform F1 Application Server (GARANT.Application.Server) - ООО НПП "Гарант-Сервис" - C:\Program Files\Garant-Server\apps\winNT\F1Server.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: ServerSigner Service (ServerSignerService) - Unknown owner - F:\Utilities\Signlib\ServerSigner.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

вирус был, бэкдоор (cureit обнаружил), но после перезагруза лога (с точным названием) не нашел... помню в конце имени было .703 и .706 (инфицировано было два файла windows\system32\winnt32.dll и левый файл). Странное еще то, что касперский вырубился - не помогает даже его переустановка, хотя в процессах работает... =)

но ничего не помогло... ковыряю дальше... файла с таким путем: WINDOWS\system32\ntos.exe нету.

Два O17 - это подключение к интернет...
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
9 Страницы<12345>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.