Пустые процессы в AVZ, 2k3sp2 - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - Пустые процессы в AVZ, 2k3sp2 (http://forum.oszone.net/showthread.php?t=100496)

Пустые процессы в AVZ, 2k3sp2

Windows 2003 Server SE SP2

Вообщем - началось с полгода назад, значения не предавал - думал что глюк AVZ после установки 2 сервис пака, т.к. никакого неадеквата со стороны системы не наблюдалось (левых процессов, драйверов, сетевой активности)

Единтсвенное - в диспетчере процессов AVZ - куча процессов (avz_process.zip) которые вроде как скрытые, но такие процессы появляются так -
запускаю notepad, PID например 1234, закрываю, и тут появляется такой скрытый, пустой процесс, как раз с PID 1234, естественно думал глюк AVZ.

И недавно поставил новый Outpost, правила решил с нуля определить, и тут проявились неясные вещи:
например, закрываю firefox - всё, процесса нет, однако Outpost говорит что Firefox.exe пытается соединиться с сервером bla.bla:8022 и тп, т.е на нестандартный порт или вообще на ftp. Так же несколько других процессов, не помню к сожалению какие, пытались чтото выкачать аналогично.

Теперь сомневаюсь что это глюк AVZ, есть какие-нибудь идеи?

Не хватает ещё одного лога...
При таком кол-ве установленного софта, в т.ч. защитного (McAfee, outpost, TrueCrypt, vmware и пр.) наличие пустых красных процессов для win2k3 нормально. Такое не раз встречалось на virusinfo, я замечал у себя такое при установленном драйвер монитора AVZPM + system safety monitor + антивирус касперского. Попробуйте удалить и выгрузить драйвер расширенного монитора AVZPM (скорее всего он не корректно работает в среде win2k3), перезагрузить комп и провести анализ ещё раз. По выложенным логам в принципе можно проверить некоторые файлы.
выполните скрипт

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('I:\WINDOWS\system32\WService.EXE','');

 QuarantineFile('I:\WINDOWS\system32\DRIVERS\ipinip.sys','');

 QuarantineFile('I:\WINDOWS\System32\Drivers\aev11jhc.SYS','');

 QuarantineFile('I:\Program.exe','');

BC_ImportAll;

BC_Activate;

RebootWindows(true);

end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

Файл quarantine.zip выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ, с указанием ссылки на тему в сообщении.

WService.EXE и тот, что отдельно прислали - чистые, остальных файлов нет, остались только следы в рестре
У вас обнаружился в I:\Documents and Settings\Administrator\Desktop\help\hook_full.chm
Trojan.Win32.Agent.adn, Trojan.Win32.Inject.ak, Backdoor.Win32.GrayBird.ma по Касперскому

Цитата:

AhnLab-V3 2008.2.13.11 2008.02.13 -
AntiVir 7.6.0.65 2008.02.12 HEUR/Malware
Authentium 4.93.8 2008.02.13 -
Avast 4.7.1098.0 2008.02.12 Win32:Downloader-LL
AVG 7.5.0.516 2008.02.12 -
BitDefender 7.2 2008.02.13 Win32.Worm.Tusem.A
CAT-QuickHeal None 2008.02.12 -
ClamAV 0.92 2008.02.12 -
DrWeb 4.44.0.09170 2008.02.12 -
eSafe 7.0.15.0 2008.02.11 suspicious Trojan/Worm
eTrust-Vet 31.3.5532 2008.02.12 -
Ewido 4.0 2008.02.12 -
FileAdvisor 1 2008.02.13 -
Fortinet 3.14.0.0 2008.02.13 -
F-Prot 4.4.2.54 2008.02.12 -
F-Secure 6.70.13260.0 2008.02.13 Backdoor.Win32.GrayBird.ma
Ikarus T3.1.1.20 2008.02.13 -
Kaspersky 7.0.0.125 2008.02.13 Trojan.Win32.Agent.adn
McAfee 5228 2008.02.12 -
Microsoft 1.3204 2008.02.12 Trojan:Win32/Agent
NOD32v2 2870 2008.02.12 probably a variant of Win32/Agent
Norman 5.80.02 2008.02.12 -
Panda 9.0.0.4 2008.02.13 Generic Worm
Prevx1 V2 2008.02.13 -
Rising 20.29.22.00 2008.01.30 Trojan.Win32.Agent.adn
Sophos 4.26.0 2008.02.13 Mal/Behav-136
Sunbelt 2.2.907.0 2008.02.13 -
Symantec 10 2008.02.13 -
TheHacker 6.2.9.218 2008.02.12 -
VBA32 3.12.6.0 2008.02.11 Trojan.Win32.Agent.adn
VirusBuster 4.3.26:9 2008.02.12 -
Webwasher-Gateway 6.6.2 2008.02.13 -

выполните скрипт

Код:

begin

 DeleteFile('I:\Documents and Settings\Administrator\Desktop\help\hook_full.chm');

ExecuteSysClean;

end.

Скачайте свежую версию утилиты Kaspersky Virus Removal Tool (AVPTool), установите и, после перезагрузки, запустите автоматическое сканирование всех дисков.
Сделайте заново логи virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip