-
Junior Member
- Вес репутации
- 54
Неожиданно обнаружились маскировки процессов.
Проверяя сервер avz неожиданно повились следующие записи.
Ни один из Антивирусов вирусов не обранаруживают.
Использовал Nod32,dr.web,avz.
Подскажите опасно ли это, и что мне можно сделать.
1. Поиск RootKit и программ, перехватывающих функции API
>> Опасно ! Обнаружена маскировка процессов
>>>> Обнаружена маскировка процесса 4 System.exe
>>>> Обнаружена маскировка процесса 256 C:\WINDOWS\system32\smss.exe
>>>> Обнаружена маскировка процесса 308 csrss.exe
>>>> Обнаружена маскировка процесса 336 winlogon.exe
>>>> Обнаружена маскировка процесса 384 services.exe
>>>> Обнаружена маскировка процесса 396 lsass.exe
>>>> Обнаружена маскировка процесса 572 C:\WINDOWS\system32\svchost.exe
>>>> Обнаружена маскировка процесса 720 C:\WINDOWS\system32\svchost.exe
>>>> Обнаружена маскировка процесса 784 C:\WINDOWS\system32\svchost.exe
>>>> Обнаружена маскировка процесса 820 C:\WINDOWS\system32\svchost.exe
>>>> Обнаружена маскировка процесса 836 C:\WINDOWS\system32\svchost.exe
>>>> Обнаружена маскировка процесса 1228 C:\WINDOWS\system32\netdde.exe
>>>> Обнаружена маскировка процесса 1272 msdtc.exe
>>>> Обнаружена маскировка процесса 1380 C:\WINDOWS\system32\clipsrv.exe
>>>> Обнаружена маскировка процесса 1396 C:\WINDOWS\system32\dfssvc.exe
>>>> Обнаружена маскировка процесса 1424 dns.exe
>>>> Обнаружена маскировка процесса 1476 C:\WINDOWS\system32\svchost.exe
>>>> Обнаружена маскировка процесса 1548 inetinfo.exe
>>>> Обнаружена маскировка процесса 1568 C:\WINDOWS\system32\ismserv.exe
>>>> Обнаружена маскировка процесса 1596 C:\Program Files\Microsoft\Exchange Server\bin\Microsoft.Exchange.Monitoring.exe
>>>> Обнаружена маскировка процесса 1772 C:\Program Files\Microsoft\Exchange Server\bin\msftesql.exe
>>>> Обнаружена маскировка процесса 1788 C:\WINDOWS\system32\ntfrs.exe
>>>> Обнаружена маскировка процесса 1832 C:\WINDOWS\system32\svchost.exe
>>>> Обнаружена маскировка процесса 1900 C:\WINDOWS\system32\tcpsvcs.exe
>>>> Обнаружена маскировка процесса 1928 C:\Program Files\Microsoft\Exchange Server\bin\mad.exe
>>>> Обнаружена маскировка процесса 2000 C:\WINDOWS\system32\svchost.exe
>>>> Обнаружена маскировка процесса 2364 C:\WINDOWS\System32\Wbem\wmiprvse.exe
>>>> Обнаружена маскировка процесса 2760 C:\Program Files\Microsoft\Exchange Server\bin\MSExchangeADTopologyService.exe
>>>> Обнаружена маскировка процесса 1652 C:\Program Files\Microsoft\Exchange Server\bin\store.exe
>>>> Обнаружена маскировка процесса 2804 C:\Program Files\Microsoft\Exchange Server\bin\MSExchangeMailboxAssistants.exe
>>>> Обнаружена маскировка процесса 2660 C:\Program Files\Microsoft\Exchange Server\bin\MSExchangeMailSubmission.exe
>>>> Обнаружена маскировка процесса 2784 Microsoft.Exchange.Pop3Service.exe
>>>> Обнаружена маскировка процесса 3092 C:\Program Files\Microsoft\Exchange Server\bin\Microsoft.Exchange.Cluster.ReplayServic e.exe
>>>> Обнаружена маскировка процесса 3160 Microsoft.Exchange.Pop3.exe
>>>> Обнаружена маскировка процесса 3284 C:\Program Files\Microsoft\Exchange Server\bin\Microsoft.Exchange.Search.ExSearch.exe
>>>> Обнаружена маскировка процесса 3340 C:\Program Files\Microsoft\Exchange Server\bin\Microsoft.Exchange.ServiceHost.exe
>>>> Обнаружена маскировка процесса 3436 C:\Program Files\Microsoft\Exchange Server\bin\MSExchangeTransport.exe
>>>> Обнаружена маскировка процесса 3568 C:\Program Files\Microsoft\Exchange Server\bin\MSExchangeTransportLogSearch.exe
>>>> Обнаружена маскировка процесса 3672 C:\Program Files\Microsoft\Exchange Server\bin\Microsoft.Exchange.AntispamUpdateSvc.ex e
>>>> Обнаружена маскировка процесса 3688 C:\Program Files\Microsoft\Exchange Server\bin\EdgeTransport.exe
>>>> Обнаружена маскировка процесса 3848 C:\Program Files\Microsoft\Exchange Server\bin\Microsoft.Exchange.EdgeSyncSvc.exe
>>>> Обнаружена маскировка процесса 4056 C:\Program Files\Microsoft\Exchange Server\bin\MsExchangeFDS.exe
>>>> Обнаружена маскировка процесса 2520 Microsoft.Exchange.Imap4Service.exe
>>>> Обнаружена маскировка процесса 2244 Microsoft.Exchange.Imap4.exe
>>>> Обнаружена маскировка процесса 4172 Microsoft.Exchange.ContentFilter.Wrapper.exe
>>>> Обнаружена маскировка процесса 4612 C:\WINDOWS\system32\svchost.exe
>>>> Обнаружена маскировка процесса 4628 C:\WINDOWS\system32\svchost.exe
>>>> Обнаружена маскировка процесса 5480 logon.scr
>>>> Обнаружена маскировка процесса 2472 C:\WINDOWS\system32\spoolsv.exe
>>>> Обнаружена маскировка процесса 3960 csrss.exe
>>>> Обнаружена маскировка процесса 6292 winlogon.exe
>>>> Обнаружена маскировка процесса 6780 rdpclip.exe
>>>> Обнаружена маскировка процесса 2580 C:\WINDOWS\system32\explorer.exe
>>>> Обнаружена маскировка процесса 5788 C:\WINDOWS\system32\ctfmon.exe
>>>> Обнаружена маскировка процесса 2604 C:\WINDOWS\system32\ctfmon.exe
>>>> Обнаружена маскировка процесса 3532 C:\Program Files\Microsoft\Exchange Server\bin\msftefd.exe
>>>> Обнаружена маскировка процесса 4940 C:\WINDOWS\System32\Wbem\wmiprvse.exe
>>>> Обнаружена маскировка процесса 6876 27082009.exe
>>>> Обнаружена маскировка процесса 6724 w96g4j.exe
>>>> Обнаружена маскировка процесса 6120 pdfka.exe
>>>> Обнаружена маскировка процесса 632 avz.exe
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка - не найден файл (C:\WINDOWS\system32\ntoskrnl.exe)
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Ошибка загрузки драйвера - проверка прервана [C000036B]
2. Проверка памяти
Количество найденных процессов: 5
Количество загруженных модулей: 81
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Documents and Settings\LocalService\Cookies\index.dat
Прямое чтение C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
Прямое чтение C:\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat
Прямое чтение C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat
Прямое чтение C:\Documents and Settings\LocalService\NTUSER.DAT
Прямое чтение C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
Прямое чтение C:\Documents and Settings\NetworkService\NTUSER.DAT
Прямое чтение C:\Documents and Settings\Администратор\Cookies\index.dat
Прямое чтение C:\Documents and Settings\Администратор\DoctorWeb\CureIt.log
Прямое чтение C:\Documents and Settings\Администратор\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
Прямое чтение C:\Documents and Settings\Администратор\Local Settings\History\History.IE5\index.dat
Прямое чтение C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\index.dat
Прямое чтение C:\Documents and Settings\Администратор\NTUSER.DAT
C:\Program Files\Microsoft\Exchange Server\Bin\Setup.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
Прямое чтение C:\Program Files\Microsoft\Exchange Server\Logging\store.FCL
Прямое чтение C:\Program Files\Microsoft\Exchange Server\Mailbox\First Storage Group\CatalogData-b9285c9d-c524-4a8d-b25f-b9bfbb22af8c-cc64dd2d-2428-4f12-bba2-79d6d34c4d27\00010001.wid
Прямое чтение C:\Program Files\Microsoft\Exchange Server\Mailbox\First Storage Group\CatalogData-b9285c9d-c524-4a8d-b25f-b9bfbb22af8c-cc64dd2d-2428-4f12-bba2-79d6d34c4d27\00010002.wid
Прямое чтение C:\Program Files\Microsoft\Exchange Server\Mailbox\First Storage Group\CatalogData-b9285c9d-c524-4a8d-b25f-b9bfbb22af8c-cc64dd2d-2428-4f12-bba2-79d6d34c4d27\00010003.wid
Прямое чтение C:\Program Files\Microsoft\Exchange Server\Mailbox\First Storage Group\CatalogData-b9285c9d-c524-4a8d-b25f-b9bfbb22af8c-cc64dd2d-2428-4f12-bba2-79d6d34c4d27\00010004.wid
Прямое чтение C:\Program Files\Microsoft\Exchange Server\Mailbox\First Storage Group\CatalogData-b9285c9d-c524-4a8d-b25f-b9bfbb22af8c-cc64dd2d-2428-4f12-bba2-79d6d34c4d27\00010005.wid
Прямое чтение C:\Program Files\Microsoft\Exchange Server\Mailbox\First Storage Group\CatalogData-b9285c9d-c524-4a8d-b25f-b9bfbb22af8c-cc64dd2d-2428-4f12-bba2-79d6d34c4d27\00010006.wid
Прямое чтение C:\Program Files\Microsoft\Exchange Server\Mailbox\First Storage Group\CatalogData-b9285c9d-c524-4a8d-b25f-b9bfbb22af8c-cc64dd2d-2428-4f12-bba2-79d6d34c4d27\00010007.wid
Прямое чтение C:\Program Files\Microsoft\Exchange Server\Mailbox\First Storage Group\CatalogData-b9285c9d-c524-4a8d-b25f-b9bfbb22af8c-cc64dd2d-2428-4f12-bba2-79d6d34c4d27\00010008.wid
Прямое чтение C:\Program Files\Microsoft\Exchange Server\Mailbox\First Storage Group\CatalogData-b9285c9d-c524-4a8d-b25f-b9bfbb22af8c-cc64dd2d-2428-4f12-bba2-79d6d34c4d27\00010009.wid
Прямое чтение C:\Program Files\Microsoft\Exchange Server\Mailbox\First Storage Group\CatalogData-b9285c9d-c524-4a8d-b25f-b9bfbb22af8c-cc64dd2d-2428-4f12-bba2-79d6d34c4d27\00010009.wsb
Прямое чтение C:\Program Files\Microsoft\Exchange Server\Mailbox\First Storage Group\CatalogData-b9285c9d-c524-4a8d-b25f-b9bfbb22af8c-cc64dd2d-2428-4f12-bba2-79d6d34c4d27\0001000A.wid
Прямое чтение C:\Program Files\Microsoft\Exchange Server\Mailbox\First Storage Group\CatalogData-b9285c9d-c524-4a8d-b25f-b9bfbb22af8c-cc64dd2d-2428-4f12-bba2-79d6d34c4d27\0001000F.wid
Прямое чтение C:\Program Files\Microsoft\Exchange Server\Mailbox\First Storage Group\CatalogData-b9285c9d-c524-4a8d-b25f-b9bfbb22af8c-cc64dd2d-2428-4f12-bba2-79d6d34c4d27\00010011.wid
Прямое чтение C:\Program Files\Microsoft\Exchange Server\Mailbox\First Storage Group\CatalogData-b9285c9d-c524-4a8d-b25f-b9bfbb22af8c-cc64dd2d-2428-4f12-bba2-79d6d34c4d27\00010012.wid
Прямое чтение C:\Program Files\Microsoft\Exchange Server\Mailbox\First Storage Group\CatalogData-b9285c9d-c524-4a8d-b25f-b9bfbb22af8c-cc64dd2d-2428-4f12-bba2-79d6d34c4d27\00010014.wid
Прямое чтение C:\Program Files\Microsoft\Exchange Server\Mailbox\First Storage Group\CatalogData-b9285c9d-c524-4a8d-b25f-b9bfbb22af8c-cc64dd2d-2428-4f12-bba2-79d6d34c4d27\00010015.wid
Прямое чтение C:\Program Files\Microsoft\Exchange Server\Mailbox\First Storage Group\CatalogData-b9285c9d-c524-4a8d-b25f-b9bfbb22af8c-cc64dd2d-2428-4f12-bba2-79d6d34c4d27\00010016.wid
Прямое чтение C:\Program Files\Microsoft\Exchange Server\Mailbox\First Storage Group\CatalogData-b9285c9d-c524-4a8d-b25f-b9bfbb22af8c-cc64dd2d-2428-4f12-bba2-79d6d34c4d27\00010017.wid
Прямое чтение C:\Program Files\Microsoft\Exchange Server\Mailbox\First Storage Group\CatalogData-b9285c9d-c524-4a8d-b25f-b9bfbb22af8c-cc64dd2d-2428-4f12-bba2-79d6d34c4d27\00010019.wid
Прямое чтение C:\Program Files\Microsoft\Exchange Server\Mailbox\First Storage Group\CatalogData-b9285c9d-c524-4a8d-b25f-b9bfbb22af8c-cc64dd2d-2428-4f12-bba2-79d6d34c4d27\00010020.wid
Прямое чтение C:\Program Files\Microsoft\Exchange Server\Mailbox\First Storage Group\E00.log
Прямое чтение C:\Program Files\Microsoft\Exchange Server\Mailbox\First Storage Group\E00tmp.log
Прямое чтение C:\Program Files\Microsoft\Exchange Server\Mailbox\First Storage Group\tmp.edb
Прямое чтение C:\Program Files\Microsoft\Exchange Server\Mailbox\LocalCopies\Second Storage Group\Public Folder Database.edb
Прямое чтение C:\Program Files\Microsoft\Exchange Server\Mailbox\Second Storage Group\E01.log
Прямое чтение C:\Program Files\Microsoft\Exchange Server\Mailbox\Second Storage Group\E01tmp.log
Прямое чтение C:\Program Files\Microsoft\Exchange Server\Mailbox\Second Storage Group\Public Folder Database.edb
Прямое чтение C:\Program Files\Microsoft\Exchange Server\Mailbox\Second Storage Group\tmp.edb
Прямое чтение C:\Program Files\Microsoft\Exchange Server\TransportRoles\data\IpFilter\IpFiltering.ed b
Прямое чтение C:\Program Files\Microsoft\Exchange Server\TransportRoles\data\IpFilter\tmp.edb
Прямое чтение C:\Program Files\Microsoft\Exchange Server\TransportRoles\data\IpFilter\trn.log
Прямое чтение C:\Program Files\Microsoft\Exchange Server\TransportRoles\data\Queue\tmp.edb
Прямое чтение C:\Program Files\Microsoft\Exchange Server\TransportRoles\data\Queue\trn.log
Прямое чтение C:\Program Files\Microsoft\Exchange Server\TransportRoles\data\Queue\trntmp.log
Прямое чтение C:\Program Files\Microsoft\Exchange Server\TransportRoles\data\SenderReputation\tmp.ed b
Прямое чтение C:\Program Files\Microsoft\Exchange Server\TransportRoles\data\SenderReputation\trn.lo g
Прямое чтение C:\Program Files\Microsoft\Exchange Server\TransportRoles\Logs\AgentLog\AgentLog200909 16-1.LOG
Прямое чтение C:\Program Files\Microsoft\Exchange Server\TransportRoles\Logs\MessageTracking\MSGTRKM 20090915-1.LOG
Прямое чтение C:\WINDOWS\Debug\NtFrs_0005.log
C:\WINDOWS\Installer\$PatchCache$\Managed\461C2B42 66EDEF444B864AD6D9E5B613\8.1.240\Setup.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
Прямое чтение C:\WINDOWS\NETLOGON.CHG
Прямое чтение C:\WINDOWS\ntds\edb.log
Прямое чтение C:\WINDOWS\ntds\edbtmp.log
Прямое чтение C:\WINDOWS\ntds\temp.edb
Прямое чтение C:\WINDOWS\ntfrs\jet\log\edb.log
Прямое чтение C:\WINDOWS\ntfrs\jet\log\edbtmp.log
Прямое чтение C:\WINDOWS\ntfrs\jet\ntfrs.jdb
Прямое чтение C:\WINDOWS\ntfrs\jet\temp\tmp.edb
Прямое чтение C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g
Прямое чтение C:\WINDOWS\Tasks\SchedLgU.Txt
Прямое чтение C:\WINDOWS\WindowsUpdate.log
D:\DISTRIB\exchange_2007_SP1_x64\setup\serverroles \common\setup.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\DISTRIB\exchange_2007_SP1_x64\setup.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
Добавлено через 2 минуты
Даже уже касперским пробовал
Касперский ремувал тулс
Последний раз редактировалось ex-glide; 16.09.2009 в 10:09.
Причина: Добавлено
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Cделайте, пожалуйста, логи по правилам раздела "Помогите!"
-
-
-