Показано с 1 по 13 из 13.

Маскировка процессов, перехват... похоже зверинец (заявка № 11108)

  1. #1
    Junior Member Репутация
    Регистрация
    02.08.2005
    Адрес
    Воронеж
    Сообщений
    97
    Вес репутации
    69

    Exclamation Маскировка процессов, перехват... похоже зверинец

    Файл маскирующий процесс D:\Documents and Settings\Администратор.SERVEROLD\WINDOWS\System32\ smss.exe на диске не находится, ни avz, ни чем другим. Но папка такая есть.
    Файлов smss.exe всего три в D:\Windows\System32\smss.exe
    D:\Windows\System32\dllcache\smss.exe
    и C:\Distrib\I386\System32\smss.exe - в этой папке лежал дистриб W2k3,
    но в папке System32 лежат всего 2 файла, вышеназванный и ntdll.dll
    причем размер smss.exe по размеру отличается от тех что лежат в системных папках, хотя на virustotal ни один из них не детектится...
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Не пытайтесь исправлять Настройки SPI/LSP - останетесь без сети!

  4. #3
    Junior Member Репутация
    Регистрация
    02.08.2005
    Адрес
    Воронеж
    Сообщений
    97
    Вес репутации
    69
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Не пытайтесь исправлять Настройки SPI/LSP - останетесь без сети!
    Это я знаю, хотя это не смертельно, я консольно за компом.
    команды
    netsh int ip reset
    netsh winsock reset
    восстановят сеть?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    По-моему никакого зверинца нет, есть известные глюки AVZ с определением системных путей под серверной ОС.
    Советую проверится улилитой CureIT (если еще не делали), но только ради профилактики.

    Добавлено через 46 секунд
    Цитата Сообщение от Arhimed Посмотреть сообщение
    команды
    netsh int ip reset
    netsh winsock reset
    восстановят сеть?
    Скорее всего нет.
    Последний раз редактировалось AndreyKa; 17.07.2007 в 15:09. Причина: Добавлено сообщение

  6. #5
    Junior Member Репутация
    Регистрация
    02.08.2005
    Адрес
    Воронеж
    Сообщений
    97
    Вес репутации
    69
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    По-моему никакого зверинца нет, есть известные глюки AVZ с определением системных путей под серверной ОС.
    Советую проверится улилитой CureIT (если еще не делали), но только ради профилактики.
    А куча перехватов системных функций?
    И каталог D:\Documents and Settings\Администратор.SERVEROLD\WINDOWS\
    которого быть не должно... Причем я его удалял, но он пересоздался, возможно что после перезагрузки.

    Добавлено через 3 минуты
    А HijackThis тоже глючит с серверными ОС?
    У енго тоже куча строк со ссылками на D:\Documents and Settings\Администратор.SERVEROLD\WINDOWS\
    в том числе и на smss.exe ...

    Добавлено через 6 минут
    Удалил папку D:\Documents and Settings\Администратор.SERVEROLD\WINDOWS\ через несколько минут она опять создалась...
    CureIt ниче не нашел...
    Последний раз редактировалось Arhimed; 17.07.2007 в 15:25. Причина: Добавлено сообщение

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    Цитата Сообщение от Arhimed Посмотреть сообщение
    А HijackThis тоже глючит с серверными ОС?
    У енго тоже куча строк со ссылками на D:\Documents and Settings\Администратор.SERVEROLD\WINDOWS\
    в том числе и на smss.exe ...
    Да, он тоже может некорректно показывать пути

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Написал Олегу Зайцеву, попросил его коментарий по этому поводу.

  9. #8
    Junior Member Репутация
    Регистрация
    02.08.2005
    Адрес
    Воронеж
    Сообщений
    97
    Вес репутации
    69
    Ну чтож, будем ждать комментария...
    Где его можно будет увидеть? (комментарий)

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    Цитата Сообщение от Arhimed Посмотреть сообщение
    А куча перехватов системных функций?
    И каталог D:\Documents and Settings\Администратор.SERVEROLD\WINDOWS\
    которого быть не должно... Причем я его удалял, но он пересоздался, возможно что после перезагрузки.

    Добавлено через 6 минут
    Удалил папку D:\Documents and Settings\Администратор.SERVEROLD\WINDOWS\ через несколько минут она опять создалась...
    CureIt ниче не нашел...
    Папка %userprofile%\windows\ должна быть, если сервер используется, как терминальный сервер. Пока темно и неясно, но это корректная папка, создающаяся для каждого пользователя. Похоже, что связано это именно с ролью терминального сервера, более подробной информации, увы, не нашел. Присоединяюсь к AndreyKa - похоже на проблемы при работе AVZ с серверными OC, а не на реальное заражение.

  11. #10
    Junior Member Репутация
    Регистрация
    02.08.2005
    Адрес
    Воронеж
    Сообщений
    97
    Вес репутации
    69
    Запустил FileMon с фильтром на эту папку, идет постоянное обращение к этой папке со стороны процесса explorer.exe:3540 обращение идет к файлу netshellicon

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Arhimed, AVZ запускался локально или через терминал?
    Можно было бы посоветовать сделать лог со включенным AVZPM, но я на серверных ОС такое не проделывал, советовать опасаюсь.
    Вообще, компьютер используется как сервер или как рабочая станция?

  13. #12
    Junior Member Репутация
    Регистрация
    02.08.2005
    Адрес
    Воронеж
    Сообщений
    97
    Вес репутации
    69
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Arhimed, AVZ запускался локально или через терминал?
    Можно было бы посоветовать сделать лог со включенным AVZPM, но я на серверных ОС такое не проделывал, советовать опасаюсь.
    Вообще, компьютер используется как сервер или как рабочая станция?
    Локально, но через терминал... был выполнен локальный вход под пользователем, а я из под него запустил терминал на адрес 127.0.0.1 под администратором
    avz запускался с всключенным AVZPM...
    Компьютер используется как роутер для выхода в инет из локалки по ADSL. На компе две сетевухи и стоит Kerio WinRout 6. Ну и еще как раб. станция.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Цитата Сообщение от Arhimed Посмотреть сообщение
    Локально, но через терминал
    А вот это зря. Если запустить AVZ с консоли, то глюков с путями было бы гораздо меньше.
    Давайте подождем релиза новой версии AVZ (4.26), cделаете логи заново, может чтото и прояснится.

  • Уважаемый(ая) Arhimed, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Маскировка процессов
      От ВасилийПупкин в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 07.01.2012, 14:37
    2. Ответов: 10
      Последнее сообщение: 30.08.2011, 21:34
    3. маскировка процессов
      От Crow54 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 12.04.2011, 19:06
    4. Ответов: 10
      Последнее сообщение: 31.08.2009, 01:56
    5. Маскировка процессов
      От SinklerFist в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 22.12.2008, 22:15

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01446 seconds with 20 queries