Показано с 1 по 7 из 7.

Множественные пустые "красные" процессы в AVZ (заявка № 11036)

  1. #1
    Junior Member Репутация
    Регистрация
    13.07.2007
    Сообщений
    6
    Вес репутации
    35

    Thumbs down Множественные пустые "красные" процессы в AVZ

    Убил сегодня три файла вируса Trojan-PSW.Win32.Agent.ep. Это были *tmp*.exe, shellapi.dll и reginf.exe . Однако, даже при загрузке в безопасном режиме при просмотре в диспетчере процессов AVZ у 3-4 системных процессов висят красные строки с пустыми значениями всех полей кроме PID. При удалении этих процессов они создаются заново, иногда в большем количестве. Режим AVZGuard на них не действует. Никаких файлов эти процессы не используют. Проверял винт на другой машине - кроме удалённых файлов "агента" ничего не нашёл ни AVZ, ни KIS6.0. В автозапуске AVZ чисто. Система Win2003 SP2 ENG.
    Есть мысли по убийству этой гадости?

    ps: завтра попробую другими утилитами
    Вложения Вложения
    Последний раз редактировалось PLAstic; 13.07.2007 в 11:42.

  2. Реклама
     

  3. #2

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от PLAstic Посмотреть сообщение
    Есть мысли по убийству этой [BLOCKED]?
    При выполнении логов уточните - есть ли на ПК драйвера принтера HP в полном развороте ?? В частности, WEB интерфейс
    Последний раз редактировалось NickGolovko; 13.07.2007 в 11:19.

  5. #4
    Junior Member Репутация
    Регистрация
    13.07.2007
    Сообщений
    6
    Вес репутации
    35
    Пытался прикрепить файлы к первому сообщению, но получилось только с hijackthis.log . Драйверов HP нет ни в каком виде. В AVZ в kernel mode обнаружил драйвер с бредовым именем (типа am43ty8.sys), которого не было на диске по указанному пути. Ну, думаю, перехватывает перебор файлов в каталоге и скрывает себя. Дёрнул ресет, загрузился с InfraCD - этого файла не было на диске. Вероятно, файл создаётся, процесс загружается в память и файл стирается с диска. Завтра попробую снять права на создание файлов в %systemroot%\system32\drivers. Посмотрим, как тогда он активируется.

    Все указанные на сайте z-oleg.com и тут средства пробовал - никто ничего не нашёл и даже не видит процессов. Процессы видит только AVZ и Process Monitor от sysinternals. Autoruns ничего подозрительного не показал. Я заметил, что со временем "красные" процессы множатся. При попытке удаления также размножаются - один удалил, появилось два.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    С Win2003 надо быть поосторожнее. Сделайте backup. AVZ еще не совсем отработана для этой версии.
    Временные файлы типа am43ty8.sys создает Alcohol 120% и Deamon tools. Есть такие?
    А логи попробуйте с другого компьютера/браузера выложить.

  7. #6
    Junior Member Репутация
    Регистрация
    13.07.2007
    Сообщений
    6
    Вес репутации
    35
    Я бы выложил, да при помещении их на форум выдаётся какая-то ошибка. Файл hijack'а прикрепился. Может от вас какой запрос на эти файлы нужен?
    Заметил, что после запуска в безоп.режиме "красные" процессы - всгда три штуки - сидят под smss.exe и все остальные процессы "зелёные" (в AVZ). Со временем процессы чернеют и под некоторыми начинают появляться "красные". Плодятся, гады. smss.exe лежит где положено и совпадает по длине с SP'шным файлом.

    Дописано позже:
    Наврал! "Красные" процессы видит только AVZ. Procexp.exe ничего подозрительного не видит ни в процессах, ни в их деталях. Кстати, такая ситуация наблюдается ещё на одном сервере в другой сети. Не знаю, что и делать теперь...
    И логи удалось прикрепить.
    По логам:
    aze0r6ua.SYS - это от daemon tools.
    sptd - тоже.
    \??\C:\WINDOWS\TEMP\Sddrv.tmp - эти три модуля от SecretDisk'а.
    Вложения Вложения
    Последний раз редактировалось PLAstic; 14.07.2007 в 20:27.

  8. #7
    Junior Member Репутация
    Регистрация
    13.07.2007
    Сообщений
    6
    Вес репутации
    35
    В общем, ничего так и не было обнаружено ни одним средством. Одна AVZ видела множащиеся процессы, определяя их как FU Rootkit Kernel mode. Но автор сослался на то, что это глюк утилиты. После загрузки памяти было занято около 800 метров и этот показатель рос. Сегодня плюнул на это дело, поставил всё с нуля заново. Система жрёт 260 метров памяти. Никаких красных процессов AVZ уже не видит.
    Спасибо за попытку помочь.

  • Уважаемый(ая) PLAstic, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 7
      Последнее сообщение: 26.04.2012, 16:16
    2. Ответов: 1
      Последнее сообщение: 11.12.2010, 18:10
    3. Странные процессы "=).exe" и "*KISSING*.exe"
      От Dimitr в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 16.10.2010, 00:34
    4. "Подвисания" компьютера, красные логи
      От ALP в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 17.02.2010, 17:20
    5. Ответов: 3
      Последнее сообщение: 22.02.2009, 09:42

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01420 seconds with 22 queries