Показано с 1 по 12 из 12.

Скрытые процессы (заявка № 79520)

  1. #1
    Junior Member Репутация
    Регистрация
    27.05.2010
    Сообщений
    7
    Вес репутации
    51

    Thumbs up Скрытые процессы

    Добрый день! Похоже на вирус, хотя он никак себя не проявил пока. Предыстория: скачал один keygen, проверил его drweb, вроде ничего не нашел, запустил его, а он взял и удалил сам себя - сто пудов кудато прописался и следы замел.

    файлы прилагаю, гляньте что не так, плиз.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Цитата Сообщение от glory15 Посмотреть сообщение
    сто пудов кудато прописался и следы замел.
    Не обязательно. Мог просто собрать все сохраненные пароли и отправить хозяину.
    Откуда скачали keygen? Напишите, лучше в личном сообщении.

    Проведите процедуру, описанную в первом сообщении тут: http://virusinfo.info/showthread.php?t=3519

  4. #3
    Junior Member Репутация
    Регистрация
    27.05.2010
    Сообщений
    7
    Вес репутации
    51
    Ну проблема почти решена: drweb наконец-то стал его обнаруживать как Trojan.DownLoad1.60983 - помогли последние апдэйты. Правда на него по опыту надежды мало. Обычно раньше AVZ только и спасало. Правда на этот раз даже AVZ меня в тупик поставил - чтото никак не могу понять, под каким именем он гад скрывается. Так что буду признателен любой помощи.

    Ссылку на вирус в чистом виде скину в личку.

    Добавлено через 18 минут

    Народ! Будьте внимательны, похоже это новый вирус и его пока что еще распознают немногие антивири (сужу по данным проверки на www.virustotal.com). Мне он попался, как уже говорил выше, в виде проги-keygen. Так что не забывайте проверять левое ПО.

    Кстати, drweb как и ожидалось, пока что не справляется с задачей: в чистом виде файл он конечно обнаружил, но вот найти заразу в недрах винды пока не смог

    Добавлено через 2 часа 2 минуты

    Проведите процедуру, описанную в первом сообщении тут: http://virusinfo.info/showthread.php?t=3519
    сделал!

    Новости: в списке системных dll обнаруживаются призраки типа Procexp141.sys и dump_iaStor.sys и судя по гуглу эти файлы так или иначе встречаются в проблемных постах.
    Последний раз редактировалось glory15; 28.05.2010 в 13:11. Причина: Добавлено

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    ПО ссылке скачать не могу. Загрузите файл в zip архиве с паролем virus по ссылке Прислать запрошенный карантин вверху темы.

  6. #5
    Junior Member Репутация
    Регистрация
    27.05.2010
    Сообщений
    7
    Вес репутации
    51
    Готово!

    Файл сохранён как 100528_153740_Keygen_TweakXP.com.Tweaking.Utility. v2.0.45059_4bffab044e248.zip
    Размер файла 64962
    MD5 e3affc0df661206f848bfc25de2b00fb

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Файл после запуска обращается к трем IP адресам: 216.240.146.119, 66.96.219.38, 66.199.229.230
    Поменяйте все пароли, на всякий случай.

  8. #7
    Junior Member Репутация
    Регистрация
    27.05.2010
    Сообщений
    7
    Вес репутации
    51
    Насколько я понял, вирус пытался прописаться в системе как драйвер какого-то устройства. Для этого он создал пару файлов в папке C:\Users\user_name\AppData\Local\Temp вроде с расширением sys. Имена были в виде случайных наборов букв. После первой перезагрузки винда предложила установить драйвера для нового оборудования. Я естественно отказался. Затем вообще сделал Uninstall этому оборудованию через Device Manager. Но видать это не сильно помогло.

    В реестре встречаются строки с названием Procexp141 типа HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_PROCEXP141. Удалить этот ключ не дает. Похожие ключи есть и в других CurrentControlSetХХХ.

    Пока что это все что удалось накопать.

    А под имена Procexp141.sys и dump_iaStor.sys вирус "сто пудов" маскируется т.к. загружался в режиме Windows Recovery и не нашел ни одного из файлов на диске.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Очень сложно искать чёрную кошку в темной комнате, особенно если её там нет.

  10. #9
    Junior Member Репутация
    Регистрация
    27.05.2010
    Сообщений
    7
    Вес репутации
    51
    Хотите сказать, что вируса у меня нету? А чем тогда объяснить наличие процессов, которые подменяют свой PID (их наличие выдает AVZ)? Или это нормальное поведение?

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Для Windows Vista Service Pack 1 это нормально. Кстати, не помешало бы установить SP 2 для Vista: http://www.microsoft.com/downloads/d...3-99ff6f22448d

  12. #11
    Junior Member Репутация
    Регистрация
    27.05.2010
    Сообщений
    7
    Вес репутации
    51
    ОК. В любом случае спасибо, что уделили внимание!

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. \keygen_tweakxp.com.tweaking.utility.v2.0.45059.ex e - Packed.Win32.Katusha.n ( DrWEB: Trojan.DownLoad1.60983, NOD32: Win32/TrojanDownloader.FakeAlert.AYQ trojan )


  • Уважаемый(ая) glory15, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Скрытые процессы в ХР
      От Viktorij в разделе Microsoft Windows
      Ответов: 3
      Последнее сообщение: 13.11.2011, 12:37
    2. Скрытые процессы
      От @Aleksei@ в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 20.01.2010, 17:43
    3. Скрытые процессы
      От ilyuha3 в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 16.10.2009, 15:14
    4. Скрытые процессы
      От Tist в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 16.10.2009, 12:27
    5. Скрытые процессы
      От Tist в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 15.10.2009, 16:41

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00424 seconds with 17 queries