Показано с 1 по 14 из 14.

Help! Маскировка процесса "svchost.exe" \HarddiskVolume1\~\svchost.exe (заявка № 14982)

  1. #1
    Junior Member Репутация
    Регистрация
    31.08.2007
    Сообщений
    35
    Вес репутации
    61

    Exclamation Help! Маскировка процесса "svchost.exe" \HarddiskVolume1\~\svchost.exe

    зверек завелся, не могу поймать за хвост.
    интивирь не ловит.
    svchost.exe ломится на адрес: 212.193.224.104 на все возможные порты.
    в процессах AVZ на него ругается:
    Обнаружена маскировка процесса 1288 c:\windows\system32\svchost.exe
    1.4 Поиск маскировки процессов и драйверов
    Маскировка процесса с PID=1288, имя = "svchost.exe", полное имя = "\Device\HarddiskVolume1\WINDOWS\system32\svchost. exe"

    найти, где зверь запускается, не могу. в автозапуске всё просмотрел, глаза сломал
    Последний раз редактировалось Кабанчик; 17.12.2010 в 18:10.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Нужны логи AVZ по правилам.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    31.08.2007
    Сообщений
    35
    Вес репутации
    61
    логи... кроме процитированного ничего подозрительного нет.
    лог Hijack я приложил по правилам.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Цитата Сообщение от Кабанчик Посмотреть сообщение
    логи... кроме процитированного ничего подозрительного нет.
    лог Hijack
    интересно .... почему вы так решили ?
    выкладывайте ... будем смотреть есть там что-то подозрительное или нет ...

  6. #5
    Junior Member Репутация
    Регистрация
    31.08.2007
    Сообщений
    35
    Вес репутации
    61
    вот он, лог
    C:\WINDOWS\system32\drivers\Haspnt.sys - ставил когда-то эмулятор хаспа
    ccSetMgr.exe - антивирь
    SPBBCSvc.exe - тоже он
    ccEvtMgr.exe - тоже
    DefWatch.exe - и он тоже
    C:\Program Files\NETGEAR\SC101 Manager Utility\ZeteraService.exe - менеджер сетевого диска
    Опасно - отладчик процесса "taskmgr.exe" = ""C:\PROGRAM FILES\надости\MS\PROCEXP.EXE"" - это программка проверенная для мониторинга процессов, synterial

    вот эта зверушка мне покоя не дает:
    >>>> Обнаружена маскировка процесса 544 c:\windows\system32\svchost.exe
    1.4 Поиск маскировки процессов и драйверов
    Маскировка процесса с PID=544, имя = "svchost.exe", полное имя = "\Device\HarddiskVolume1\WINDOWS\system32\svchost. exe"

    не могу вычистить. в реестре такого пути нет. И это не системная переменнная. где искать?
    Последний раз редактировалось Кабанчик; 17.12.2010 в 18:10.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Сэр, будьте любезны, прочитайте правила:
    http://virusinfo.info/showthread.php?t=1235
    и сделайте так, как написано, иначе ничего не выйдет.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    31.08.2007
    Сообщений
    35
    Вес репутации
    61
    вот.
    действительно, невнимательно прочитал.
    Последний раз редактировалось Кабанчик; 17.12.2010 в 18:10.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\undongle.SYS','');
    DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил.
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    31.08.2007
    Сообщений
    35
    Вес репутации
    61
    получилось!
    спасибо огромное!
    я вот никак понять не могу, откуда ниточку нашли?
    что указывало именно на эти два файла? (третий файл в карантине, имхо, лишний, это мышиный драйвер А4, AVZ его за кейлоггер принимает)
    Последний раз редактировалось drongo; 10.12.2007 в 21:16.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    вот по этой ссылке нужно загружать запрошенный карантин:
    http://virusinfo.info/upload_virus.php?tid=14982

    не уж то нужно закончить университет чтоб это понять ?

  12. #11
    Junior Member Репутация
    Регистрация
    31.08.2007
    Сообщений
    35
    Вес репутации
    61
    mssrv32.exe - я ещё могу проследить, прямое чтение и тд
    а вот как нашлась undongle.sys и зависимая служба hardlock ?
    у меня никакого подозрения не вызвала.

    Добавлено через 1 минуту

    прошу прощения. закрутился, опять невнимательно прочитал.
    виноват.
    исправляюсь.
    Последний раз редактировалось Кабанчик; 10.12.2007 в 21:20. Причина: Добавлено

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    mssrv32.exe - Backdoor.Win32.Kbot.ac
    undongle.SYS - в карантине отсутствует, хотя написано, что добавлен.

    Отключите сеть и антивирус, выполните такой скрипт:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Windows\System32\Drivers\undongle.SYS','');
    QuarantineFile('F:\autorun.inf','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки сформируйте архив карантина согласно приложению 3 правил.
    Только после этого включайте антивирус и сеть.
    Загрузите новый карантин здесь: http://virusinfo.info/upload_virus.php?tid=14982
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    31.08.2007
    Сообщений
    35
    Вес репутации
    61
    понял, спасибо.
    всё сделаю в понедельник, как доберусь до компьютера.

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\mssrv32.exe - Backdoor.Win32.Kbot.ac (DrWEB: Trojan.MulDrop.8347)


  • Уважаемый(ая) Кабанчик, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 17
      Последнее сообщение: 31.07.2009, 15:43
    2. Ответов: 1
      Последнее сообщение: 13.04.2009, 10:13
    3. Обнаружена маскировка процесса svchost.exe
      От sancher в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 04:07
    4. маскировка процесса svchost
      От Fireflyer в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 02:15
    5. Ответов: 3
      Последнее сообщение: 10.01.2009, 21:29

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00248 seconds with 17 queries