Показано с 1 по 9 из 9.

Новая угроза или паранойя? (заявка № 41049)

  1. #1
    Junior Member Репутация
    Регистрация
    05.03.2009
    Сообщений
    5
    Вес репутации
    56

    Question Новая угроза или паранойя?

    Здравствуйте коллеги.
    Взываю к помощи по двум причинам: искреннему уважению к проекту AVZ и собственной проверки на параноидальность. Суть.
    Три дня назад практически одновременно упали три компа в обычной MS-локалке - Symantek молча слетел из трея, а потом обычно деинсталлировался; McAfee 8.7i пал смертью храбрых, но на последнем издыхании чото крикнул и впоследствии снести его из системы было невозможно; Каспер заржал, получил на всё "Да" и после ресета получен BSOD...Здесь и далее - были всегда новые базы, обновление минимум ежедневно.
    Сейчас один комп с наиважнейшей инфой (бывший Symantek) до:сих:пор стоит выключенным, на двух других была переставлена винда - комп с бывшим McAfee вычищен и работает с Trend-Micro, и в его карантине сидят шесть чертей, их трендмикровские имена не могу написать, забыл и не видно их, корявых...На компе, где стоял Каспер, проводяца эксперименты, напишу ниже, а мне запомнились черти Win32.HLLW.Autoraner.771 и Win32.Sector.17 (так, кажеца, шептали отечественные суперсофты). Далее эксперименты.
    Ставились нижеперичисленные легально-триальные анвири, конечно, с последними базами. Вот результат:
    Dr.Web - CureIt и его LiveCd - ничо не видит;
    Каспер - аналогично;
    Avira Premium -...- тоже;
    BitDefender - тоже...а я так надеялся;
    McAfee 8.5i (именно 8.5i, а не тот 8.7i, хотя движки везде одинаковые - 5300) - ругнулся на корневой авторанер.инф и немедленно убил его;
    Trend-Micro - не ставил, оставил на закуску... но мой друг, сидящий на БитДефендере и получивший от меня мыло с машины с нонешним Trend-Micro, сейчас поднимает винду после плясок с чортиком "Mozillla-system.exe". Может, cовпадение?
    AVZ - логи прилагаюца.
    Интересный факт. После установки всех вышеперисленных бандерлогов процессы в диспетчере задач написаны капсом, а при McAfee только два: CSRSS и SMSS (см. скриншот).
    Собственно вопрос - что это и почему так? Спасибо.

    Добавлено через 12 минут

    Что-то не вижу вложений, хотя отсылал точно. Модераторы, помогите...Или как повторить?
    Изображения Изображения
    Вложения Вложения
    Последний раз редактировалось More; 05.03.2009 в 11:18. Причина: Добавлено

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Модераторы, помогите...Или как повторить?
    Внизу сообщения кнопка "Правка" - Расширеный режим - Управление вложениями...
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    05.03.2009
    Сообщений
    5
    Вес репутации
    56
    Bratez
    Senior Helper

    Коллега, обращаюсь к Вам, ибо остальным эскулапам данная проблема неинтересна.
    Почему при одном юзвере, да на чистой винде, практически все процессы (включая ATI-шные дрова) сидят капсом?
    AVAST тоже ничо не обнаружил.
    См. скриншот.
    Изображения Изображения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    В логах ничего подозрительного.

    Caps или не caps - разницы никакой.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    05.03.2009
    Сообщений
    5
    Вес репутации
    56
    Caps или не caps - разницы никакой. (с)

    Вы можете ткнуть меня на первоисточник, дабы развеять никогда не подводившие меня заблуждения?

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Регистр не имеет значения

    http://www.windowsfaq.ru/content/view/123/57/

    Регистр букв при вводе параметров командной строки установщика Windows не учитывается.
    Тоже самое с файлами и путями...

  8. #7
    Junior Member Репутация
    Регистрация
    05.03.2009
    Сообщений
    5
    Вес репутации
    56
    Гриша

    Огромное спасибо, Гриша. Буду знать, ыы.
    Кстати, Вам знакомы слова "ядро системы", "сервисы" и "родительские процессы"?

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Слышал что-то

  10. #9
    Junior Member Репутация
    Регистрация
    05.03.2009
    Сообщений
    5
    Вес репутации
    56
    Небольшой отчот.
    После выключения службы "Запуска серверных процессов DCOM+" (служба одного из svhost) половина процессов в диспетчере задач становица нормальной, low-case. Та-ак, думаю, будем пасматреть ширше...
    Т.к. последовательность процессов от "дочерних" к "родителям" на 100% незаражонном компе:
    svhost-->services-->winlogon-->smss-->system, а
    explorer поднимаеца непосредственно ядром и уже ctfmon --> explorer-ом;
    то на заражонной (или вогнавшей меня в паранойю) машине:
    EXPLORER --> WINLOGON;
    SMSS --> WINLOGON;
    CTFMON -->system.
    Причом пристреливание SMSS не ребутит машину, то...
    Неужели winlogon? Успел посмотреть, что размеры одинаковы, завтра буду разбираца дальше...

  • Уважаемый(ая) More, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Новая угроза Hidden.Object (модификация)
      От ametist15z в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 10.07.2009, 14:20
    2. INF/Autoran.gen и новая угроза?
      От efimov.sergey в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 09.07.2009, 15:07
    3. Новая угроза. Хакерский руткит.
      От Колян в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.10.2007, 17:31
    4. P2P-ботнеты - новая угроза безопасности
      От ALEX(XX) в разделе Новости компьютерной безопасности
      Ответов: 1
      Последнее сообщение: 23.04.2007, 20:21

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00743 seconds with 20 queries