-
Junior Member
- Вес репутации
- 61
Help! Маскировка процесса "svchost.exe" \HarddiskVolume1\~\svchost.exe
зверек завелся, не могу поймать за хвост.
интивирь не ловит.
svchost.exe ломится на адрес: 212.193.224.104 на все возможные порты.
в процессах AVZ на него ругается:
Обнаружена маскировка процесса 1288 c:\windows\system32\svchost.exe
1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=1288, имя = "svchost.exe", полное имя = "\Device\HarddiskVolume1\WINDOWS\system32\svchost. exe"
найти, где зверь запускается, не могу. в автозапуске всё просмотрел, глаза сломал
Последний раз редактировалось Кабанчик; 17.12.2010 в 18:10.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Нужны логи AVZ по правилам.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
логи... кроме процитированного ничего подозрительного нет.
лог Hijack я приложил по правилам.
-
Сообщение от
Кабанчик
логи... кроме процитированного ничего подозрительного нет.
лог Hijack
интересно .... почему вы так решили ?
выкладывайте ... будем смотреть есть там что-то подозрительное или нет ...
-
-
Junior Member
- Вес репутации
- 61
вот он, лог
C:\WINDOWS\system32\drivers\Haspnt.sys - ставил когда-то эмулятор хаспа
ccSetMgr.exe - антивирь
SPBBCSvc.exe - тоже он
ccEvtMgr.exe - тоже
DefWatch.exe - и он тоже
C:\Program Files\NETGEAR\SC101 Manager Utility\ZeteraService.exe - менеджер сетевого диска
Опасно - отладчик процесса "taskmgr.exe" = ""C:\PROGRAM FILES\надости\MS\PROCEXP.EXE"" - это программка проверенная для мониторинга процессов, synterial
вот эта зверушка мне покоя не дает:
>>>> Обнаружена маскировка процесса 544 c:\windows\system32\svchost.exe
1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=544, имя = "svchost.exe", полное имя = "\Device\HarddiskVolume1\WINDOWS\system32\svchost. exe"
не могу вычистить. в реестре такого пути нет. И это не системная переменнная. где искать?
Последний раз редактировалось Кабанчик; 17.12.2010 в 18:10.
-
Сэр, будьте любезны, прочитайте правила:
http://virusinfo.info/showthread.php?t=1235
и сделайте так, как написано, иначе ничего не выйдет.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
вот.
действительно, невнимательно прочитал.
Последний раз редактировалось Кабанчик; 17.12.2010 в 18:10.
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\undongle.SYS','');
DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
получилось!
спасибо огромное!
я вот никак понять не могу, откуда ниточку нашли?
что указывало именно на эти два файла? (третий файл в карантине, имхо, лишний, это мышиный драйвер А4, AVZ его за кейлоггер принимает)
Последний раз редактировалось drongo; 10.12.2007 в 21:16.
-
вот по этой ссылке нужно загружать запрошенный карантин:
http://virusinfo.info/upload_virus.php?tid=14982
не уж то нужно закончить университет чтоб это понять ?
-
-
Junior Member
- Вес репутации
- 61
mssrv32.exe - я ещё могу проследить, прямое чтение и тд
а вот как нашлась undongle.sys и зависимая служба hardlock ?
у меня никакого подозрения не вызвала.
Добавлено через 1 минуту
прошу прощения. закрутился, опять невнимательно прочитал.
виноват.
исправляюсь.
Последний раз редактировалось Кабанчик; 10.12.2007 в 21:20.
Причина: Добавлено
-
mssrv32.exe - Backdoor.Win32.Kbot.ac
undongle.SYS - в карантине отсутствует, хотя написано, что добавлен.
Отключите сеть и антивирус, выполните такой скрипт:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\System32\Drivers\undongle.SYS','');
QuarantineFile('F:\autorun.inf','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки сформируйте архив карантина согласно приложению 3 правил.
Только после этого включайте антивирус и сеть.
Загрузите новый карантин здесь: http://virusinfo.info/upload_virus.php?tid=14982
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
понял, спасибо.
всё сделаю в понедельник, как доберусь до компьютера.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\mssrv32.exe - Backdoor.Win32.Kbot.ac (DrWEB: Trojan.MulDrop.8347)
-