Показано с 1 по 18 из 18.

Маскировка процесса с PID=1972, имя = "dllcache.exe" (заявка № 50341)

  1. #1
    Junior Member Репутация
    Регистрация
    20.07.2009
    Сообщений
    49
    Вес репутации
    54

    Question Маскировка процесса с PID=1972, имя = "dllcache.exe"

    Прогнал несколько раз авз4...он вылечил основную массу вирусов, но остались две красные записи:
    >>>> Обнаружена маскировка процесса 1972 c:\windows\system\dllcache.exe
    Маскировка процесса с PID=1972, имя = "dllcache.exe", полное имя = "\Device\HarddiskVolume2\WINDOWS\system\dllcache.e xe"

    Стоит ли об этом беспокоится?!


    Последний раз редактировалось Seuge; 05.03.2010 в 16:01.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
     QuarantineFile('C:\Documents and Settings\Мага\ms18_word.exe','');
     QuarantineFile('C:\Documents and Settings\LocalService\ms18_word.exe','');
     QuarantineFile('C:\Documents and Settings\LocalService\LocalService.exe','');
     DeleteService('ws2_32sik');
     QuarantineFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys','');
     DeleteService('systemntmi');
     QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
     DeleteService('securentm');
     QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\protect.sys','');
     DeleteService('protect');
     DeleteService('port135sik');
     QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
     DeleteService('nicsk32');
     DeleteService('netsik');
     DeleteService('ksi32sk');
     QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
     DeleteService('i386si');
     QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
     DeleteService('fips32cup');
     QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
     DeleteService('ati64si');
     QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
     DeleteService('amd64si');
     QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
     DeleteService('acpi32');
     DeleteService('sysdrv32');
     QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
     QuarantineFile('c:\windows\system\msdct.exe','');
     QuarantineFile('c:\windows\system32\ms18_word.exe','');
     QuarantineFile('c:\windows\system\dllcache.exe','');
     DeleteFile('c:\windows\system\dllcache.exe');
     DeleteFile('c:\windows\system32\ms18_word.exe');
     DeleteFile('c:\windows\system\msdct.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\protect.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');
     DeleteFile('C:\Documents and Settings\LocalService\LocalService.exe');
     DeleteFile('C:\Documents and Settings\LocalService\ms18_word.exe');
     DeleteFile('C:\Documents and Settings\Мага\ms18_word.exe');
     DeleteFile('C:\WINDOWS\system32\ms18_word.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    20.07.2009
    Сообщений
    49
    Вес репутации
    54
    Прогнал скрипт, карантин и логи прилагаю.
    Появилось:
    >>>> Возможно маскировка имени исполняемого файла 1848 btstac~1.exe, реальное имя - BTStackServer.exe

    Видимый процесс с PID=1848, имя = "\Device\HarddiskVolume2\Program Files\WIDCOMM\Bluetooth Software\BTStackServer.exe"
    >> обнаружена подмена имени, новое имя = "c:\progra~1\widcomm\blueto~1\btstac~1.exe"


    Что-то с драйвером Блутуфа?

    З.Ы. Не загружается во вложения файл с карантином.
    Разобрался как и куда отправить карантин!
    Последний раз редактировалось Seuge; 05.03.2010 в 16:01.

  5. #4
    Junior Member Репутация
    Регистрация
    20.07.2009
    Сообщений
    49
    Вес репутации
    54
    Поработал немного. Установил НОД32. Он начал находить какието вирусы. Сделал повторный прогон авз: выяснилось, что все вернулось на круги своя. Запустил скрипт на сбор информации в Безопасном режиме. Лог прилагаю.
    Последний раз редактировалось Seuge; 05.03.2010 в 16:01.

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    На время выполнения скрипта антивирус отключить.

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system\dllcache.exe','');
     QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
     QuarantineFile('C:\WINDOWS\system32\ms18_word.exe','');
     QuarantineFile('C:\Documents and Settings\Мага\ms18_word.exe','');
     QuarantineFile('C:\Documents and Settings\LocalService\ms18_word.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
     DeleteService('ati64si');
     SetServiceStart('WM System Decode Application', 4);
     DeleteService('WM System Decode Application');
     TerminateProcessByName('c:\windows\system\msdct.exe');
     QuarantineFile('c:\windows\system\msdct.exe','');
     DeleteFile('c:\windows\system\msdct.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
     DeleteFile('C:\Documents and Settings\LocalService\ms18_word.exe');
     DeleteFile('C:\Documents and Settings\Мага\ms18_word.exe');
     DeleteFile('C:\WINDOWS\system32\ms18_word.exe');
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
     DeleteFile('C:\WINDOWS\system\dllcache.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    20.07.2009
    Сообщений
    49
    Вес репутации
    54
    Скрипт выполнил. Карантин отправил. Логи прилагаю.
    Последний раз редактировалось Seuge; 05.03.2010 в 16:01.

  8. #7
    Junior Member Репутация
    Регистрация
    20.07.2009
    Сообщений
    49
    Вес репутации
    54
    Перезагрузился пару раз. Посмотрел Хайджэк, ms18 вроде больше не появился...
    Еще раз прогоняю АВЗ. Стоит ли беспокоится о:

    >>>> Возможно маскировка имени исполняемого файла 1848 btstac~1.exe, реальное имя - BTStackServer.exe

    Видимый процесс с PID=1848, имя = "\Device\HarddiskVolume2\Program Files\WIDCOMM\Bluetooth Software\BTStackServer.exe"
    >> обнаружена подмена имени, новое имя = "c:\progra~1\widcomm\blueto~1\btstac~1.exe"


    Откуда это вирус берется?

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Seuge Посмотреть сообщение
    Откуда это вирус берется?
    это не вирус, а драйвер от Bluetooth.

  10. #9
    Junior Member Репутация
    Регистрация
    20.07.2009
    Сообщений
    49
    Вес репутации
    54
    Ноут пришлось сегодня вернуть хозяину, но при проверке на его территории, без подключения интернета, АВЗ снова отловил маскировку процесса от dllcache.exe...правда ms18 в процессах Хайджек не выявил. Так же стали выскакивать ошибки в стиле некорректная работа приложения, не запомнил к сожалению какого, с последующим завершением его и предложением отправить отчет Майкрософт. Требуются ли дополнительные логи или возможно найти решение по уже имеющейся информации?

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Требуются логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    20.07.2009
    Сообщений
    49
    Вес репутации
    54
    снова взял ноут...вот свежие логи....
    проблемы такие...перебои в работе интернета....ошибки
    Последний раз редактировалось Seuge; 05.03.2010 в 16:01.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Базы АВЗ обновите.

    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\msmacro64.exe');
     TerminateProcessByName('c:\windows\system\msdct.exe');
     StopService('sysdrv32');
     StopService('securentm');
     StopService('WM System Decode Application');
     QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
     QuarantineFile('C:\WINDOWS\msmacro64.exe','');
     QuarantineFile('c:\windows\system\msdct.exe','');
     DeleteFile('c:\windows\system\msdct.exe');
     DeleteFile('C:\WINDOWS\msmacro64.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','msmacro32');
     DeleteService('sysdrv32');
     DeleteService('WM System Decode Application');
     DeleteService('securentm');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('sysdrv32');
    BC_DeleteSvc('WM System Decode Application');
    BC_DeleteSvc('securentm');
    BC_Activate;
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  14. #13
    Junior Member Репутация
    Регистрация
    20.07.2009
    Сообщений
    49
    Вес репутации
    54
    обновленные логи....карантин отправлен
    Последний раз редактировалось Seuge; 05.03.2010 в 16:01.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    В логах ничего подозрительного. Жалобы есть?
    - Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
    Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    - Установите IE 8

  16. #15
    Junior Member Репутация
    Регистрация
    20.07.2009
    Сообщений
    49
    Вес репутации
    54
    Прямое чтение C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\61TY3B5W\womsp[1].exe
    Прямое чтение C:\Documents and Settings\Мага\Local Settings\Temporary Internet Files\Content.IE5\UBY6MA29\vbulletin_quick_edit[1].js
    Прямое чтение C:\WINDOWS\system32\01.scr
    Прямое чтение C:\WINDOWS\system32\07.scr
    Прямое чтение C:\WINDOWS\system32\13.scr
    Прямое чтение C:\WINDOWS\system32\35.scr
    Прямое чтение C:\WINDOWS\system32\36.scr
    Прямое чтение C:\WINDOWS\system32\61.scr
    Прямое чтение C:\WINDOWS\system32\75.scr
    Прямое чтение C:\WINDOWS\system32\76.scr
    Прямое чтение C:\WINDOWS\system32\77.scr
    Прямое чтение C:\WINDOWS\system32\85.scr
    Прямое чтение C:\WINDOWS\system32\86.scr

    нашел АВЗ, а нод удалил как троян Win32\IRCBot.AMC
    за это надо беспокоится? или это остаточное?

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Seuge Посмотреть сообщение
    Прямое чтение C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\61TY3B5W\womsp[1].exe
    Прямое чтение C:\Documents and Settings\Мага\Local Settings\Temporary Internet Files\Content.IE5\UBY6MA29\vbulletin_quick_edit[1].js
    Очистку кэша делали?
    Прямое чтение C:\WINDOWS\system32\01.scr
    Удалите файлы вручную или скриптом:
    Код:
    begin
    SetAVZGuardStatus(True);
    DeleteFileMask('c:\windows\system32','??.scr',false);
    RebootWindows(true);
    end.
    нод удалил как троян Win32\IRCBot.AMC
    Кого он удалил?

  18. #17
    Junior Member Репутация
    Регистрация
    20.07.2009
    Сообщений
    49
    Вес репутации
    54
    очистку делал, но через очистку системы...видимо глупо поступил...удалил вручную....щас еще прогоню

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 36
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\localservice\localservice.exe - Trojan-Downloader.Win32.Agent.cgox ( DrWEB: Trojan.DownLoad.38937, BitDefender: Trojan.Generic.2135735 )
      2. c:\documents and settings\localservice\ms18_word.exe - Backdoor.Win32.HareBot.gb ( DrWEB: Trojan.DownLoad.40429, BitDefender: Trojan.Downloader.Kobcka.K )
      3. c:\windows\msmacro64.exe - Trojan.Win32.Agent.cqen ( DrWEB: BackDoor.IRC.Sdbot.4632 )
      4. c:\windows\system\dllcache.exe - Trojan.Win32.Buzus.bpcc ( DrWEB: BackDoor.IRC.Sdbot.4632 )
      5. c:\windows\system\msdct.exe - Backdoor.Win32.Nepoe.jf ( DrWEB: BackDoor.IRC.Sdbot.4910, BitDefender: Trojan.Generic.2197859 )
      6. c:\windows\system32\drivers\amd64si.sys - Rootkit.Win32.Agent.maf ( DrWEB: Trojan.DownLoad.38180, BitDefender: Rootkit.Agent.AJAO )
      7. c:\windows\system32\drivers\netsik.sys - Rootkit.Win32.Agent.maf ( DrWEB: Trojan.DownLoad.38180, BitDefender: Rootkit.Agent.AJAO )
      8. c:\windows\system32\drivers\sysdrv32.sys - Worm.Win32.AutoRun.ftp ( DrWEB: Tool.TcpZ, BitDefender: Trojan.Agent.ALRI )
      9. c:\windows\system32\ms18_word.exe - Backdoor.Win32.HareBot.gb ( DrWEB: Trojan.DownLoad.40429, BitDefender: Trojan.Downloader.Kobcka.K )


  • Уважаемый(ая) Seuge, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Маскировка процесса с PID=304, имя = ""
      От DeniSaRus в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 24.02.2012, 22:21
    2. Опасно - отладчик процесса "ctfmon.exe" = "stacsv.exe"
      От AndreySh в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 12.02.2010, 09:46
    3. Ответов: 1
      Последнее сообщение: 13.04.2009, 10:13
    4. Help! Маскировка процесса "svchost.exe" \HarddiskVolume1\~\svchost.exe
      От Кабанчик в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 03:03
    5. Маскировка процесса с PID=384, имя = ""
      От Casp_er в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 10.04.2008, 16:08

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00881 seconds with 19 queries