Показано с 1 по 13 из 13.

AVZ нашел маскировкуц процесса (заявка № 7856)

  1. #1
    Junior Member Репутация
    Регистрация
    03.01.2007
    Сообщений
    8
    Вес репутации
    63

    Question AVZ нашел маскировкуц процесса

    1.3 Проверка IDT и SYSENTER
    Анализ для процессора 1
    Проверка IDT и SYSENTER завершена
    >>>> Обнаружена маскировка процесса 3904 ?
    >>>> Обнаружена маскировка процесса 24060 ?
    >>>> Обнаружена маскировка процесса 24264 ?
    >>>> Обнаружена маскировка процесса 2008 ?
    >>>> Обнаружена маскировка процесса 3712 ?
    1.4 Поиск маскировки процессов и драйверов

    Пытался удалить процессы через дипетчер процессов в AVZ но они не убивались. Что делать?

    P.S.
    TaskList & ProcessExplorer их невидят.
    Вложения Вложения
    Последний раз редактировалось Cpuuuh; 09.02.2007 в 00:33.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    850
    Что делать?
    Читать ПРАВИЛА!

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522

    Question

    в AVZ выполнить скрипт, после перезагрузки, поискать файлы,указанные ниже и прислать карантин, согласно Приложения 2 (см. картинку)
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\012Net\012Net-Cable dialer\fts.exe','');
     QuarantineFile('C:\Program Files\012Net\012Net-Cable dialer\FWPortal.exe -no_dialog','');
     QuarantineFile('C:\WINDOWS\system32\apihook.dll','');
     QuarantineFile('C:\PROGRA~1\PSPADE~1\PSPADS~1.DLL','');
     QuarantineFile('C:\WINDOWS\system32\dllhost.exe','');
     DeleteFile('C:\WINDOWS\system32\dllhost.exe');
     ExecuteSysClean;
    RebootWindows(true);
    end.
    Искать в AVZ

    Код:
    C:\Documents and Settings\Borison\Desktop\Net tools\Magic Nettrace 2.8.1 Crracked.zip
    C:\Program Files\Hackman\Patch.exe 
    C:\Program Files\Multi Password Recovery\HookLib.dll
    C:\Program Files\jv16 PowerTools 2006\patch.exe
    C:\Documents and Settings\Borison\Desktop\Net tools\Magic.NetTrace.2.9.1.WinALL.Keygen.Only.READ.NFO-ViRiLiTY.rar
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  5. #4
    Junior Member Репутация
    Регистрация
    03.01.2007
    Сообщений
    8
    Вес репутации
    63
    Выслал то что нашел. Некоторые файлы пришлось аривировать вручную.

  6. #5
    Geser
    Guest
    potentially unwanted program Spyware-Buddy Эту программу сами ставили?

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Очень странная дата стоит на компе 19 дек. 2006г
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    В AVZ надо включить AVZPM. Сделать "Исследование системы".
    Лог прислать.
    Затем отключить AVZPM.

    Те файлы, что пришли чистые. Надо искать дальше. Плюс не дошли файлы, указанные в нижнем списке.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    03.01.2007
    Сообщений
    8
    Вес репутации
    63
    Добавил нижний список. Думаю что ложняк. Файлы стоят 3 мес.

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от Cpuuuh Посмотреть сообщение
    Добавил нижний список. Думаю что ложняк. Файлы стоят 3 мес.
    Это прояснит сканирования с активным AVZPM. Алгоритм:
    1. Включить AVZPM
    2. Перезагрузиться
    3. Выполнить сканирование и записстить сюда логи
    4. Отключить AVZPM
    Ложняк исключен, но возможно вот что - на компьютере быстро создаются и уничтожаются какие-то процессы. Виноват в этом может быть Apache (я видел его в логах) или еще что-то.

  11. #10
    Junior Member Репутация
    Регистрация
    03.01.2007
    Сообщений
    8
    Вес репутации
    63
    Все результаты сканирования шли с AVZMP. Он у меня всегда включен.

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от Cpuuuh Посмотреть сообщение
    Все результаты сканирования шли с AVZMP. Он у меня всегда включен.
    Тогда видимо правильна вторая моя гипотеза - какое-то приложение создает и завершает процессы, которые работают сравнительно небольшое время. Стоит понаблюдать список процессов в динамике при помощи ProcessExplorer.

  13. #12
    Junior Member Репутация
    Регистрация
    03.01.2007
    Сообщений
    8
    Вес репутации
    63
    Вот вопрос несколько раз замечал что дочерним процессом service (если не забыл) идет WMI. Что это может значить учитывая что ПК дома. Я тушил его в "службах" и ставил disable но он включался (переодичность непомню). Сейчас вроде бы тихо может cureit вылечил.

    2. Сканил 127,0,0,1 xspider пишет что открыт 1025 порт "Сервис разрывает соединение при попытке подключения к нему.
    Вероятно закрыт доступ к этому сервису для IP адреса с которого проводилась проверка". Фаер у меня встроенный в SP2. netsh firewall show state 1025 ненаходит т.е. порт не используют для удаленного контроля?
    Спасибо.

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 4
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. e:\\windows\\syswms32.dll - not-a-virus:Monitor.Win32.SpyBuddy.b (DrWEB: Program.SpyBuddy)


  • Уважаемый(ая) Cpuuuh, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 5
      Последнее сообщение: 07.10.2011, 21:41
    2. AVZ нашел странную маскировку процесса
      От Еля в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 19.03.2010, 03:20
    3. Ответов: 7
      Последнее сообщение: 21.04.2009, 20:07
    4. отладчик процесса
      От paular в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 16.04.2009, 11:42
    5. Маскировка процесса
      От Светлана Русина в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 31.10.2007, 15:38

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01565 seconds with 20 queries