Показано с 1 по 17 из 17.

Проверка Касперский обнаружил скрытый процесс (заявка № 86334)

  1. #1
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    77
    Вес репутации
    58

    Exclamation Проверка Касперский обнаружил скрытый процесс

    При проверке машины касперкий сказал что обнаружил скрытый процесс smss.exe.
    Потытка отключить восстановление системы привела к зависанию машины.
    Посмотрите логи пожалуйста.
    Последний раз редактировалось als-a; 25.08.2010 в 16:30.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    virusinfo_cure.zip - это карантин, его нужно убрать отсюда. И приложить лог virusinfo_syscheck.zip

  4. #3
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    77
    Вес репутации
    58
    сорри ..

  5. #4
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    77
    Вес репутации
    58
    убил virusinfo_cure.zip

  6. #5
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Пофиксите в hijackthis -

    Код:
    O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Документы\Settings\arm32.dll (file missing)
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     TerminateProcessByName('c:\program files\disco\disco commander\dc32.exe');
     QuarantineFile('c:\program files\disco\disco commander\dc32.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll','');
     QuarantineFile('C:\Documents and Settings\1\admin.exe','');
     DeleteFile('C:\Documents and Settings\1\admin.exe');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');      
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Повторите логи

  7. #6
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    77
    Вес репутации
    58
    Сделал, есть что-нибудь интересное в карантине ?
    Вложения Вложения

  8. #7
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    В карантин звери отказались идти.

    - Сделайте лог МВАМ

  9. #8
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    77
    Вес репутации
    58
    Сделал только лог сам не создался, в указанной в инструкции папке и сохранился туда куда я сказал по кнопочке сохранить. То прислал то я в результате ?

  10. #9
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    77
    Вес репутации
    58
    Внимание привлекают файлы лежащие в с:\ ... и file.exe который лежал рядом с admin.exe

    Добавлено через 2 минуты

    Remote Admin это нормально.

    Добавлено через 3 минуты

    C:\sysovcp.exe
    C:\sysrted.exe
    C:\sysxrip.exe

    Видны не вооруженным глазом, размер 535 байт показывает
    Последний раз редактировалось als-a; 25.08.2010 в 18:10. Причина: Добавлено

  11. #10
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Удалите в МВАМ -

    Код:
    Зараженные ключи в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\fieryads (Adware.FieryAds) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Adware (Malware.Trace) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\MRSoft (Trojan.Agent) -> No action taken.
    
    Зараженные параметры в реестре:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02ffac45-0b10-5633-4296-1801f1a36678} (Trojan.Agent) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{f710fa10-2031-3106-8872-93a2b5c5c620} (Trojan.Agent) -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{f710fa10-2031-3106-8872-93a2b5c5c620} (Trojan.Agent) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{f710fa10-2031-3106-8872-93a2b5c5c620} (Trojan.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> No action taken.
    
    Зараженные папки:
    C:\Program Files\FieryAds (Adware.Adware.FearAds) -> No action taken.
    C:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> No action taken.
    
    Зараженные файлы:
    C:\Program Files\FieryAds\FieryAdsUninstall.exe (Adware.FieryAds) -> No action taken.
    C:\WINDOWS\system32\wsnpoem\audio.dll (Trojan.Agent) -> No action taken.
    C:\WINDOWS\system32\wsnpoem\audio.dll.cla (Trojan.Agent) -> No action taken.
    C:\WINDOWS\system32\wsnpoem\video.dll (Trojan.Agent) -> No action taken.
    C:\sysovcp.exe (Trojan.Downloader) -> No action taken.
    C:\sysrted.exe (Trojan.Downloader) -> No action taken.
    - Повторите лог МВАМ

    Цитата Сообщение от als-a Посмотреть сообщение
    Remote Admin это нормально.
    Если только Вы им пользуетесь

    Цитата Сообщение от als-a Посмотреть сообщение
    C:\sysovcp.exe
    C:\sysrted.exe
    C:\sysxrip.exe
    Должны умереть.

  12. #11
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    77
    Вес репутации
    58
    Сканирование, отстрел указанного, новый лог.
    Не понял только одного почему касперский arm32.dll не убил? Вроде он описан в базе. Модификация ?

  13. #12
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Удалите в МВАМ -

    Код:
    Зараженные файлы:
    C:\WINDOWS\system32\_id.dat (Malware.Trace) -> No action taken.
    C:\WINDOWS\system32\cmds.txt (Malware.Trace) -> No action taken.
    C:\WINDOWS\system32\conf.dat (Malware.Trace) -> No action taken.
    C:\WINDOWS\system32\ps1.dat (Trojan.Agent) -> No action taken.
    C:\WINDOWS\system32\rc.dat (Trojan.Agent) -> No action taken.
    C:\Documents and Settings\1\file.exe (Trojan.Dropper) -> No action taken.
    - Повторите лог МВАМ

  14. #13
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    77
    Вес репутации
    58
    Новый лог.

  15. #14
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    С Радмином тогда сами разберётесь, если не нужен - убьёте. А так - по логам всё нормально. Что с проблемой?

  16. #15
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    77
    Вес репутации
    58
    RAdmin - используется нами. Проблему еще буду смотреть, изначально траффик ненормальный был. Щас не понять, нет работы. Пока все. Большое спасибо за помощь. Закрывайте тему.

  17. #16
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Настоятельно рекомендуется обновить - Windows XP SP2 до SP3 + все вышедшие заплатки + обновить Internet Explorer v6.00 до восьмой версии(даже если Вы его не используете), для этого можно воспользоваться автоматическим обновлением системы.

    - Обновить C:\Program Files\Adobe\Acrobat 7.0 с официального сайта

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 8
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) als-a, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Скрытый процесс
      От AxelGoot в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 14.03.2012, 19:45
    2. Скрытый процесс 2
      От AxelGoot в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 14.03.2012, 18:24
    3. Скрытый процесс
      От TormoZ в разделе Вредоносные программы
      Ответов: 3
      Последнее сообщение: 17.02.2010, 17:54
    4. скрытый процесс
      От Desperado в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 29.01.2010, 00:27
    5. Скрытый процесс
      От Morwane в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 04.12.2009, 14:02

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00640 seconds with 20 queries