174 ответов в этой теме

[Ko6Ra]

дневной инфо был с запущенной виртуалкой, вечерний с выключенной

Ага, но без запущенных браузеров.

Каким образом интернет работает? Все через 192.168.1.2?
Если в качестве DNS указать руками гугловский 8.8.8.8 или 8.8.4.4?
В виртуалках нет такого "эффекта"?

Что логи procmon показали?

[lawpin]

Кто у вас живет по IP 192.168.1.2 ?

win2k8: контроллер домена, dns, dhcp, drweb ent suite
шлюз ubuntu server: squid, iptables, zimbra mail

Прикрепленные файлы:

•  Logfile_procmon.zip   2,23Мб   6 Скачано раз

[lawpin]

эффект проявился только на одной машине, следовательно днс сервер не пострадал.
виртуалка одна, сейчас проверю.

лог procmon сейчас привяжу делал в следующей обстановке:
- шлюз, днс убраны - баннера нет
- включаю монитор
- возвращаю шлюз и днс
- вижу баннер
- выключаю монитор

[Borka]

эффект проявился только на одной машине,

Абсолютно точно в этом уверены? Вы админ этого хозяйства, как я понял?

[Ko6Ra]

Я могу подключиться к этой машине с использованием TeamViewer?

Вот тут можно клиента скачать - https://support.drweb.com/virtual_engineer/?lng=ru
Мне в личку сообщить ID и пароль.

[lawpin]

в виртуалке сеть отключена, посему проводить в неё интернет не стал, дабы не подхватить.
по логам процмона мне не очень понравилось поведение guardmailru.exe, но его удаление ничего не изменило.

к слову сказать до начала моих боевых действий, drweb SpIDer Guard несколько дней блокировал Trojan.Siggen2.39879 по адресу C:\windows\system32\pcoaobf.dll

[lawpin]

Абсолютно точно в этом уверены? Вы админ этого хозяйства, как я понял?

да/да

[Ko6Ra]

по логам процмона мне не очень понравилось поведение guardmailru.exe, но его удаление ничего не изменило.

аналогично

к слову сказать до начала моих боевых действий, drweb SpIDer Guard несколько дней блокировал Trojan.Siggen2.39879 по адресу C:\windows\system32\pcoaobf.dll

Хм. А вот это уже похоже на то что мы ищем.
После этого машину перезагружали?

[lawpin]

это было 2 дня назад

ps тим в личке

Сообщение было изменено lawpin: 23 Июнь 2011 - 23:23

[Ko6Ra]

Как насчет TeamViewer?

[Aleksandra]

к слову сказать до начала моих боевых действий, drweb SpIDer Guard несколько дней блокировал Trojan.Siggen2.39879 по адресу C:\windows\system32\pcoaobf.dll

Хм. А вот это уже похоже на то что мы ищем.
После этого машину перезагружали?

Его тоже нет уже.

[Borka]

к слову сказать до начала моих боевых действий, drweb SpIDer Guard несколько дней блокировал Trojan.Siggen2.39879 по адресу C:\windows\system32\pcoaobf.dll

Хм. А вот это уже похоже на то что мы ищем.
После этого машину перезагружали?

Его тоже нет уже.

Это ясно. Если комп не перегружался, суслик мог остаться в адресном пространстве любого процесса.

[Aleksandra]

Это ясно. Если комп не перегружался, суслик мог остаться в адресном пространстве любого процесса.

Ну раз всем все ясно, то можно идти спать.

p. s. Если представитель суппорта не справится, могу я зайти удаленно? Или это запрещено правилами?

[Borka]

Это ясно. Если комп не перегружался, суслик мог остаться в адресном пространстве любого процесса.

Ну раз всем все ясно, то можно идти спать.

Ну не всем... И не всё...

p. s. Если представитель суппорта не справится, могу я зайти удаленно? Или это запрещено правилами?

С чего это вдруг не справится? Вот дождемся представителя Суппорта и посмотрим.

ЗЫЖ Никто не мешает обратиться с топикстартеру в личку. Эо правилами не запрещено.

[lawpin]

я предупреждал что всё не так просто
завтра битва на лазерных сабелях продолжится, всем спасибо за внимание!

[Ko6Ra]

Сдается мне что тут дело поглубже чем просто appinit_dll. В общем сегодня уже спать а завтра продолжим

[Vindows]

Аж целый консилиум собрался. Вам нужен System Analyzer Tool !

using a series of heuristic rules that examine the characteristics of each object and then weight the potential for malicious activity. + в нём же Cloud и anti-rootkit.

Сообщение было изменено Vindows: 24 Июнь 2011 - 00:46

[Borka]

/me рука потянулась к плюсомёту.

[Aleksandra]

Суппорт решил проблему?

[Ko6Ra]

Суппорт решил проблему?

Суппорт передал проблему вирлабу. Все будет в лучшем виде