Вход на сайт
svchost
NEW 06.09.12 01:22
Последний раз изменено 06.09.12 01:23 (voxel3d)
Win7.
Чем определить, вирус ли это, что за вирус, как лечить?
Периодически запускается сабж, путь указан к C:\Windows\System32\svchost.exe, а командная строка: C:\$Recycle.Bin\S-1-5-21-1278966055-3978468128-563704884-1000\$07253ac83559049e67e2e3701be6b60c\U, запускается процесс дочерний либо для explorer.exe (от которого запускаются все программы юзера), либо дочерний для постоянно запущенного тотал командера, при убиении последнего родитель у сабжа меняется на explorer.exe, процесс создаёт соединение с какими-то хостами, иногда при его работе слышно, как разговаривают люди (пытаюсь понять, что это и зачем оно, IP телефония что ли?). Оно создаёт потоки, в которых запускается что-то из DX, а так же флэш, подозреваю, что если снести флэш, то оно не сможет работать, но хочется без сноса флэша обойтись.
Бесплатный Dr Web ничего не находит. А в корзину зайти, чтобы скопировать эту хрень, которая указана в командной строке, не знаю как, система не пускает даже с правами администратора.
Чем определить, вирус ли это, что за вирус, как лечить?
Периодически запускается сабж, путь указан к C:\Windows\System32\svchost.exe, а командная строка: C:\$Recycle.Bin\S-1-5-21-1278966055-3978468128-563704884-1000\$07253ac83559049e67e2e3701be6b60c\U, запускается процесс дочерний либо для explorer.exe (от которого запускаются все программы юзера), либо дочерний для постоянно запущенного тотал командера, при убиении последнего родитель у сабжа меняется на explorer.exe, процесс создаёт соединение с какими-то хостами, иногда при его работе слышно, как разговаривают люди (пытаюсь понять, что это и зачем оно, IP телефония что ли?). Оно создаёт потоки, в которых запускается что-то из DX, а так же флэш, подозреваю, что если снести флэш, то оно не сможет работать, но хочется без сноса флэша обойтись.
Бесплатный Dr Web ничего не находит. А в корзину зайти, чтобы скопировать эту хрень, которая указана в командной строке, не знаю как, система не пускает даже с правами администратора.
Dropbox - средство синхронизации и бэкапа файлов.
NEW 06.09.12 08:20
в ответ voxel3d 06.09.12 01:22
svchost как следует из названия только для утилита для запуска различных ДЛЛ.
а эти длл могут находиться где угодно и называться как угодно,
т.е. как я понимаю где -то в системе сидит троян который тольок и делает, что запускает строку
svchost C:\$Recycle.Bin\S-1-5-21-1278966055-3978468128-563704884-1000\$07253ac83559049e67e2e3701be6b60c\U
чтобы заглянуть в корзину нужно добавить актуального пользователя , или просто пользователя Jeder на вкладке
Sicherheit в свойствах папки.
ну и следует искать зловреда который всё это запускает
а эти длл могут находиться где угодно и называться как угодно,
т.е. как я понимаю где -то в системе сидит троян который тольок и делает, что запускает строку
svchost C:\$Recycle.Bin\S-1-5-21-1278966055-3978468128-563704884-1000\$07253ac83559049e67e2e3701be6b60c\U
чтобы заглянуть в корзину нужно добавить актуального пользователя , или просто пользователя Jeder на вкладке
Sicherheit в свойствах папки.
ну и следует искать зловреда который всё это запускает
Фашизм будет разбит
Человека карают только те боги, в которых он верит
NEW 06.09.12 09:05
В защищённом режиме и под другим пользователем этого нет.
Gmer ничего не показывает, RootRepeal не запускается на 64 битной ОС.
В ответ на:
А если в защищенном режиме загрузиться? Поменять owner-а?
А если в защищенном режиме загрузиться? Поменять owner-а?
В защищённом режиме и под другим пользователем этого нет.
В ответ на:
Что говорят Gmer и RootRepeal?
Что говорят Gmer и RootRepeal?
Gmer ничего не показывает, RootRepeal не запускается на 64 битной ОС.
Dropbox - средство синхронизации и бэкапа файлов.
NEW 06.09.12 09:19
Эксплорер показывает вот что:
Внутри корзины чисто, в её свойствах нет настройки доступа, а в TC:
у указанной директории, если вызвать свойства, то тоже нет настроек доступа. У директории уровнем выше тоже нет настроек общего доступа. На самом верхнем уровне у папки $Recycle.Bin добавил себе полный доступ, но это не помогает.
в ответ gendy 06.09.12 08:20
В ответ на:
чтобы заглянуть в корзину нужно добавить актуального пользователя , или просто пользователя Jeder на вкладке
Sicherheit в свойствах папки.
чтобы заглянуть в корзину нужно добавить актуального пользователя , или просто пользователя Jeder на вкладке
Sicherheit в свойствах папки.
Эксплорер показывает вот что:
Внутри корзины чисто, в её свойствах нет настройки доступа, а в TC:
у указанной директории, если вызвать свойства, то тоже нет настроек доступа. У директории уровнем выше тоже нет настроек общего доступа. На самом верхнем уровне у папки $Recycle.Bin добавил себе полный доступ, но это не помогает.
Dropbox - средство синхронизации и бэкапа файлов.
NEW 06.09.12 11:15
Скачал TDSS KIller касперского, оно нашло изменённый system32\DRIVERS\e1q60x64.sys, удалил, перегрузился в сейф-мод, смог из корзины убрать ту директорию. Больше svchost тот не вижу, вероятно, всё.
Оно оказалось Backdoor.Win64.ZAccess.bt.
Оно оказалось Backdoor.Win64.ZAccess.bt.
Dropbox - средство синхронизации и бэкапа файлов.
06.09.12 11:45
Однозначно, руткит. Надо в защищенном режиме проверить все, что загружается в обычном режиме - регистри, автостарт и т.д. Я пользуюсь по привычке autoruns, хотя, наверное, есть варианты. Странно, что Gmer ничего не показал - обычно он выдает какой-нибудь hidden service, если наличствует руткит, при запуске в обычном режиме.
в ответ voxel3d 06.09.12 09:05
В ответ на:
В защищённом режиме ...этого нет.
В защищённом режиме ...этого нет.
Однозначно, руткит. Надо в защищенном режиме проверить все, что загружается в обычном режиме - регистри, автостарт и т.д. Я пользуюсь по привычке autoruns, хотя, наверное, есть варианты. Странно, что Gmer ничего не показал - обычно он выдает какой-нибудь hidden service, если наличствует руткит, при запуске в обычном режиме.
Oh gravity, thou art a heartless bitch! (c) Dr.Cooper
NEW 06.09.12 11:53
btw, очень показательный случай. Я знаю, когда оно проинсталировалось в систему, всего лишь в гугле поискал "CSS text emboss", зашёл на какой-то блог прочитать статью и вуаля: какое-то говно у меня "ищет и находит вирусы". Файрфокс, в виндовсе свежие апдейты, никакие дефолтные защиты не отключены. Решето. 
Без антивируса постоянно запущенного, пользоваться вредно для здоровья. 
Без антивируса постоянно запущенного, пользоваться вредно для здоровья. Dropbox - средство синхронизации и бэкапа файлов.
NEW 06.09.12 14:56
в ответ voxel3d 06.09.12 11:53
Не знаю, насчет показательности. У меня, например, NoScript всегда включен. Антивирус - вещь довольно бесполезная, на мой взгляд.
Нужно знать детали - что и как в твоем случае произошло. А то у меня есть тут один коллега, который раз в месяц прибегает по аналогичной проблеме со словами "я же ничего не делал, только в инете посурфил". А потом выясняется, что он как минимум дважды нажимал бездумно на "ок". Чтобы вот так без предупреждения что-то проинсталлировалось - хммм... сам не сталкивался пока.
Какая винда, к слову?
Нужно знать детали - что и как в твоем случае произошло. А то у меня есть тут один коллега, который раз в месяц прибегает по аналогичной проблеме со словами "я же ничего не делал, только в инете посурфил". А потом выясняется, что он как минимум дважды нажимал бездумно на "ок". Чтобы вот так без предупреждения что-то проинсталлировалось - хммм... сам не сталкивался пока.
Какая винда, к слову?
Oh gravity, thou art a heartless bitch! (c) Dr.Cooper
NEW 06.09.12 15:33
win7 ultimate. Ничего не устанавливал, после захода на страницу сама запустилась программа, которая якобы находит кучу вирусов. Никаких "ок" нажимать не нужно было. Когда и как произошло я хорошо запомнил.
В данном случае сканер, после того как вытащил из корзины файлы нашёл знакомую сигнатуру, плюс антируткит нашёл модифицированный файл, антивирус как раз сработал бы.
В ответ на:
Антивирус - вещь довольно бесполезная, на мой взгляд.
Антивирус - вещь довольно бесполезная, на мой взгляд.
В данном случае сканер, после того как вытащил из корзины файлы нашёл знакомую сигнатуру, плюс антируткит нашёл модифицированный файл, антивирус как раз сработал бы.
Dropbox - средство синхронизации и бэкапа файлов.
NEW 06.09.12 20:15
в ответ voxel3d 06.09.12 15:33
эксплоиты рулят, а лучше всего рулят ява-эксплоиты. не обратил внимание, ява в трее не появилась, как при загрузке апплетов? было дело с одним клиентом когда-то, tdss так проскочил, при активном майкрософт секьюрити притом
Продвижение сайтов, реклама: https://www.pro33.net
NEW 06.09.12 22:42
неделю назад у нас на работе все сотрудники получили е-мейл от админа, чтобы в firefox'e и в chrome отключили java plugin. Типа, дырко и мировая опасносте :-)
в ответ voxel3d 06.09.12 22:06
В ответ на:
В описании этого руткита стоит, что лезет через дыры явы или адоб пдф ридера.
В описании этого руткита стоит, что лезет через дыры явы или адоб пдф ридера.
неделю назад у нас на работе все сотрудники получили е-мейл от админа, чтобы в firefox'e и в chrome отключили java plugin. Типа, дырко и мировая опасносте :-)