Регистрация
Регистрация Поиск Сообщество  
Важные объявления
Старый 21.10.2007, 17:06     TS Старый   #1 (permalink)
Энтузиаст
 
Регистрация: 06.10.2005
Адрес: Одесса
Сообщений: 347
В свете последних новостей о краже денег с WM, у меня малость беспокойство.

Вчера или позавчера обнаружил у себя в процессах iexplore.exe. Всё бы ничего, но ехплорером не пользуюсь. Окна браузера нет. В свойствах видно, что запущен он с правильного места. Появляется сей процесс каждый раз при загрузке системы, причём в автозагрузке его нет.

Обнаружил его так. Программка cimeter.exe стала показывать маленький исходящий траффик, при отсутствии инициализации такового мной. Клацнул Process Explorer (это анлог диспечера задач, но более удобный) и увидел там iexplore.exe. Аутпост показал сетевую активность его. Это видно в первой картинке.

Как баловавшийся когда-то на любительском уровне системным программизьмом, знаю, что в свойствах процесса можно указать что угодно, в том числе и обмануть диспечер задач. Памяти эта бяка занимает в два раза меньше по сравнению с правильным IE, может за счёт отсуствия окна, но пустое окно не сожрёть аж два метра оперативы. Так же оная что-то на выход пуляла, хоть никто её и не просил. Атнивирем(тот самый зонтик), что у меня есть ничего не находится. И хотя могу рубить этот процесс каждый раз после загрузки компа, это мне не понравилось. Удалить папку Internet Explorer не получалось.

На компе у мене стоит две винды. Зашёл под чистой, удалил всю папку Internet Explorer в "грязной" винде. Загрузил "грязную" винду и всё, она стала "чистой". Вроде избавился от хз чего, но копию папки сохранил на всяк випадок. Да, затем скопировал "грязной" винде "чистую" папку Internet Explorer и история повторилась. Вопчем теперь нет у меня вышеупомянутой папки в рабочей системе, но это полумера.

А теперь самое интересное: в ети дни, нигде кроме форума и проверенных временем сайтов(почта, прогноз погоды и т.п.) не лазю, но клацал некоторые сцылки в юморе и других темах в разделе Поговорим за жизнь.

Какие будут мыли на евтот счёт?

Да, прошу не ругать за размер картинок, они чавой-то меньше не делаются. И за глупости ети, если это так.
Миниатюры
Нажмите на изображение для увеличения
Название: 1.JPG
Просмотров: 139
Размер:	156.6 Кб
ID:	52936   Нажмите на изображение для увеличения
Название: 2.JPG
Просмотров: 145
Размер:	216.8 Кб
ID:	52937  
тёркин вне форума      
Старый 21.10.2007, 17:32   #2 (permalink)
n8
Старожил
 
Аватар для n8
 
Регистрация: 08.12.2006
Адрес: Санкт-петербург
Сообщений: 1,016
в автозагрузке и службах есть что-нибудь подозрительное?

и поищи файлы в папке system32 и windows на предмет поздней даты создания и маленького размера.

как временное решение проблемы могу ппредложить удалить iexpolorer.exe из безопасного режима или через какой-нибудь загрузочный диск до старта винды
n8 вне форума      
Старый 21.10.2007, 18:08   #3 (permalink)
Бессмертный
 
Аватар для Профи
 
Регистрация: 01.03.2004
Адрес: RU
Сообщений: 5,045
Правильное предположение - чтобы обойти файервол злоумышленник будет цепляться к какому-то процессу, которому ты разрешаешь выход в интернет. Правда их ожидала неожиданность, что это не IE

Есть хорошая программа AutoRuns
[Зарегистрироваться?] runs.mspx
чтобы посмотреть все точки, где может быть прописана автозагрузка чего-либо. Как оказалось их ОЧЕНЬ много, просто часть веток реестра обычно отсутствует. Прямо из этой проги их можно отключить или перейти в реестр на соотв. ветку, чтобы поредактировать. Но можно предполагать, что троян будет мониторить свою точку автозапуска, поэтому отключить может не получиться.

Правда это для так сказать "белых" троянов, которые неглубоко встраиваются в систему. Более низкоуровневые вещи, которые встраиваются в исполнимые файлы или запускаются вместе с системой, как сервисы rootkit или вирусы, этим способом не увидеть.
__________________
На трудном пути к легким деньгам...
Профи вне форума      
Старый 21.10.2007, 18:12     TS Старый   #4 (permalink)
Энтузиаст
 
Регистрация: 06.10.2005
Адрес: Одесса
Сообщений: 347
Может невнятно выразился, но всю папку удалил загрузившись с другой винды. Как бы теперь в моей системе нет IE ващще. Но это действительно временное решение, потому что вернув папку на своё родное место всё повторяется.

По времени создания в системных папках ничего не обнаружено.

Здесь важно как это лечить. Хотя бы узнать что ЭТО? Может это и не вирь никакой, но что тогда?
тёркин вне форума      
Старый 21.10.2007, 18:15   #5 (permalink)
Бессмертный
 
Аватар для Профи
 
Регистрация: 01.03.2004
Адрес: RU
Сообщений: 5,045
Запости скрин-шот списка, который покажет AutoRuns — может что-то удастся увидеть с ходу постороннее.

Или еще лучше, в AutoRuns есть команда File > Save As, чтобы сохранить список в текстовый файл — потом можешь его вставить прямо в текст форумного сообщения. Лучше вставлять между тегами "code" (чтобы строки получились без переносов):

[notag]
Код:
...текст...
[/notag]

P.S. Галка Options > Include Empty Locations должна быть выключена.
__________________
На трудном пути к легким деньгам...
Профи вне форума      
Старый 21.10.2007, 18:51     TS Старый   #6 (permalink)
Энтузиаст
 
Регистрация: 06.10.2005
Адрес: Одесса
Сообщений: 347
Вот снимок с Autoruns.
Изображения
 
тёркин вне форума      
Старый 21.10.2007, 18:55     TS Старый   #7 (permalink)
Энтузиаст
 
Регистрация: 06.10.2005
Адрес: Одесса
Сообщений: 347
А это снимок Process Explorera соответствующий снимку Autorans'a.

Текст файла не привожу, потому, что при включении любой закладки он занимает >67К. Он включает в себя отчёт про все процессы, службы и длльки.

А по этим снимкам ничего не видно.
Миниатюры
Нажмите на изображение для увеличения
Название: PE.JPG
Просмотров: 105
Размер:	184.5 Кб
ID:	52940  
тёркин вне форума      
Старый 21.10.2007, 19:13   #8 (permalink)
Бессмертный
 
Аватар для Профи
 
Регистрация: 01.03.2004
Адрес: RU
Сообщений: 5,045
Цитата:
Сообщение от тёркин писал вс, 21 октября 2007 18:51
Вот снимок с Autoruns.
Да, нчего лишнего тут не видно. Выбери закладку Logon и сделай File > Save As. Полученный текстовый файл в сообщение не вставляй, а приложи, как сделал с картинками — тогда ничего, что 67К. Троян, если он там есть, будет скорее всего близко к верху.
__________________
На трудном пути к легким деньгам...
Профи вне форума      
Старый 21.10.2007, 22:20   #9 (permalink)
Бессмертный
 
Аватар для Grey
 
Регистрация: 30.04.2004
Сообщений: 3,612
В антивирусе Зайцева есть "менеджер автозапуска". Там можно посмотреть, что откуда запускается, и при необходимости отключить. Там же есть возможность проверки подлинности файла по каталогу Microsoft.
__________________
Arthur Grey
Grey вне форума      
Старый 21.10.2007, 23:27     TS Старый   #10 (permalink)
Энтузиаст
 
Регистрация: 06.10.2005
Адрес: Одесса
Сообщений: 347
Прикрепляю.

Опять же. Что мы здесь увидим... Всё вроде бы хорошо. Как уже писал, подменял в папку Program Files живым IE из другоы системы, а происходило тоже самое: после перезакгрузки запускался процесс без окна для юзера, занимал физической паляти ~2M и пытался )слать наружу что-то. Что так делает? Где оно? Думаю, если это не какой-то непонятный глюк системы, то оно хорошо запрятано. Значит мы не там ищем.

Ешо. Опять скопировал в папку Internet Explorer файл iexplore.exe. Перезагрузил комп. Смотрю в Autoruns, а там всё без изменений. А в процессах эта зараза висит. Даже оба файла отчёта сохранил, а они тютелька-в-тютельку, как близнецы.
Вложения
Тип файла: txt Autoruns.txt (66.3 Кб, 242 просмотров)
тёркин вне форума      
Старый 21.10.2007, 23:30     TS Старый   #11 (permalink)
Энтузиаст
 
Регистрация: 06.10.2005
Адрес: Одесса
Сообщений: 347
Чтобы не искал напрасно, антивирус Зайцева - это бесплатно? Сейчас не буду это покупать.
тёркин вне форума      
Старый 21.10.2007, 23:33   #12 (permalink)
Бессмертный
 
Аватар для Grey
 
Регистрация: 30.04.2004
Сообщений: 3,612
Цитата:
Сообщение от тёркин писал
Чтобы не искал напрасно, антивирус Зайцева - это бесплатно? Сейчас не буду это покупать.
да, бесплатно: [Зарегистрироваться?]
__________________
Arthur Grey
Grey вне форума      
Старый 22.10.2007, 00:01   #13 (permalink)
Бессмертный
 
Аватар для Профи
 
Регистрация: 01.03.2004
Адрес: RU
Сообщений: 5,045
Цитата:
Сообщение от тёркин писал вс, 21 октября 2007 23:27
Опять же. Что мы здесь увидим... Всё вроде бы хорошо. Как уже писал, подменял в папку Program Files живым IE из другоы системы, а происходило тоже самое: после перезакгрузки запускался процесс без окна для юзера, занимал физической паляти ~2M и пытался )слать наружу что-то. Что так делает? Где оно? Думаю, если это не какой-то непонятный глюк системы, то оно хорошо запрятано. Значит мы не там ищем.
Вирус(троян), если он есть, скорее всего не в файле IEXPLORE.EXE, просто, когда такого файла нет в системе, то вероятно он обламывается или решает, что в этом случае не стоит запускаться.

Невооруженным взглядом ничего подозрительного в верхних секциях автозапусков не видно. В принципе не исключен вариант, что вирусом заменен или изменен кто-то из системных файлов (вроде userinit.exe) и потом чужая часть просто передает управление стандартной, после выполнения своих темных дел, чтобы Windows все же работал. Либо, другой вариант, как это функционирует — я не стал внимательно смотреть список Сервисов, т.к. он все же ощутимо завязан на железе и я например привык к своему списку сервисов, а тут много незнакомых, поэтому трудно точно сказать. Но любой из сервисов тоже мог быть подменен, или там может быть совсем посторонний.

В-общем, ничего, что можно подправить руками для лечения тут не видно. Вероятность, что это глюк системы конечно тоже есть, но я бы дал на него не больше 30%. Так-что ищи способ лечить. Я на такие случаи имею образ установленной и настроенной системы на DVD, чтобы быстро восстанавливать.
__________________
На трудном пути к легким деньгам...
Профи вне форума      
Старый 22.10.2007, 01:14     TS Старый   #14 (permalink)
Энтузиаст
 
Регистрация: 06.10.2005
Адрес: Одесса
Сообщений: 347
Уррррра!
Поймал.

Докладываю.

С помощью AVZ (спасибо Grey) в папке WINDOWS был обнаружен подозрительный файл с названием svchost.exe. Но этот ехешник живёт в WINDOWS/sistem32. Более того, дата создания 10.19.2007. Неужто у меня последняя версия этого файла, да в новом месте?

Сразу как-то на него внимания не обратил, он ведь всегда есть и запущен всегда в нескольких екземплярах.

Вопчем переместил его в сторонку, вернул iexplore.exe на место, перезагрузил компутер и... нит больше подозрительного експлорера.

Где его подцепил, не знаю. Но выхожу в основном на форум или через форум. В брайзере у меня загрузка файлов отключена, так что пролез он как-то иначе. Говорят может с помощью Java пройти, а она у меня всегда запущена. Теперь не будет )

Будьте бдительны!
тёркин вне форума      
Старый 22.10.2007, 01:37   #15 (permalink)
Бессмертный
 
Аватар для Профи
 
Регистрация: 01.03.2004
Адрес: RU
Сообщений: 5,045
Это хорошо Теперь о том, как он пролез: если он смог себя записать в Windows\System, то ты работаешь из под пользователя с админскими правами — есть ли в этом необходимость?
__________________
На трудном пути к легким деньгам...
Профи вне форума      
Старый 22.10.2007, 10:07     TS Старый   #16 (permalink)
Энтузиаст
 
Регистрация: 06.10.2005
Адрес: Одесса
Сообщений: 347
Да, вопрос резонный.
Исправлюсь.
Спасибо за помощь и участие, Профи.

Теперь вот думаю, отпавить ли мне евтот файлик куда-нить? Хотя если его AVZ нашёл, то антивирусному миру он уже известен...
тёркин вне форума      
Старый 22.10.2007, 10:49   #17 (permalink)
Бессмертный
 
Аватар для lappa
 
Регистрация: 14.09.2005
Адрес: Москва
Сообщений: 2,658
Однозначно проверь файлик, хотя бы здесь
[Зарегистрироваться?]
Дело в том, что некоторые симптомы похоже на вирус из серии Желатин. Один из способов запуска как у тебя, второй способ при старте машины выполняется скрипт, который создает текстовой файлик. А родной Svchost запускается с параметрами из текстовика. То, что ты удалил файло, ни о чем не говорит. При создании контрольной точки системы он у тебя должен был остаться. И легко может быть запущен.
__________________
Патипокер-воры. Не играю на пати и bwin! В срачах не участвую, на провокации посылаю в жопу.
lappa вне форума      

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Троян у хайроллеров CGM.RU Новости, статьи, репортажи.. 0 13.12.2013 09:40
Троян блокирован _Ali_ Техническая поддержка форума 9 29.11.2012 22:21
WM. Троян. san_piter Ввод-вывод денег 854 21.12.2010 19:43
Троян в SharkScope!!! Evgesha Программное обеспечение 15 05.11.2009 21:08
троян ежык Поговорим за жизнь 12 18.11.2006 15:21



Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Выкл.
Pingbacks are Выкл.
Refbacks are Выкл.

Быстрый переход
Правила форумов CGM Контакты Справка Обратная связь CGM.ru Архив Вверх Главная
 
Использование материалов сайта разрешено только при наличии активной ссылки на источник.
Все права на картинки и тексты принадлежат Информационному агентству CGM и их ПАРТНЕРАМ. Политика конфидециальности
CGM.ru на Youtube CGM.ru на Google+ CGM.ru в Twitter CGM.ru на Facebook CGM.ru в vKontakte CGM.ru в Instagram

В сотрудничестве с Pokeroff.ru
Текущее время: 10:30. Часовой пояс GMT +3.
Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2024, vBulletin Solutions, Inc. Перевод: zCarot