[тёркин]

В свете последних новостей о краже денег с WM, у меня малость беспокойство.

Вчера или позавчера обнаружил у себя в процессах iexplore.exe. Всё бы ничего, но ехплорером не пользуюсь. Окна браузера нет. В свойствах видно, что запущен он с правильного места. Появляется сей процесс каждый раз при загрузке системы, причём в автозагрузке его нет.

Обнаружил его так. Программка cimeter.exe стала показывать маленький исходящий траффик, при отсутствии инициализации такового мной. Клацнул Process Explorer (это анлог диспечера задач, но более удобный) и увидел там iexplore.exe. Аутпост показал сетевую активность его. Это видно в первой картинке.

Как баловавшийся когда-то на любительском уровне системным программизьмом, знаю, что в свойствах процесса можно указать что угодно, в том числе и обмануть диспечер задач. Памяти эта бяка занимает в два раза меньше по сравнению с правильным IE, может за счёт отсуствия окна, но пустое окно не сожрёть аж два метра оперативы. Так же оная что-то на выход пуляла, хоть никто её и не просил. Атнивирем(тот самый зонтик), что у меня есть ничего не находится. И хотя могу рубить этот процесс каждый раз после загрузки компа, это мне не понравилось. Удалить папку Internet Explorer не получалось.

На компе у мене стоит две винды. Зашёл под чистой, удалил всю папку Internet Explorer в "грязной" винде. Загрузил "грязную" винду и всё, она стала "чистой". Вроде избавился от хз чего, но копию папки сохранил на всяк випадок. Да, затем скопировал "грязной" винде "чистую" папку Internet Explorer и история повторилась. Вопчем теперь нет у меня вышеупомянутой папки в рабочей системе, но это полумера.

А теперь самое интересное: в ети дни, нигде кроме форума и проверенных временем сайтов(почта, прогноз погоды и т.п.) не лазю, но клацал некоторые сцылки в юморе и других темах в разделе Поговорим за жизнь.

Какие будут мыли на евтот счёт?

Да, прошу не ругать за размер картинок, они чавой-то меньше не делаются. И за глупости ети, если это так.

[n8]

в автозагрузке и службах есть что-нибудь подозрительное?

и поищи файлы в папке system32 и windows на предмет поздней даты создания и маленького размера.

как временное решение проблемы могу ппредложить удалить iexpolorer.exe из безопасного режима или через какой-нибудь загрузочный диск до старта винды

[Профи]

Правильное предположение - чтобы обойти файервол злоумышленник будет цепляться к какому-то процессу, которому ты разрешаешь выход в интернет. Правда их ожидала неожиданность, что это не IE

Есть хорошая программа AutoRuns
[Зарегистрироваться?] runs.mspx
чтобы посмотреть все точки, где может быть прописана автозагрузка чего-либо. Как оказалось их ОЧЕНЬ много, просто часть веток реестра обычно отсутствует. Прямо из этой проги их можно отключить или перейти в реестр на соотв. ветку, чтобы поредактировать. Но можно предполагать, что троян будет мониторить свою точку автозапуска, поэтому отключить может не получиться.

Правда это для так сказать "белых" троянов, которые неглубоко встраиваются в систему. Более низкоуровневые вещи, которые встраиваются в исполнимые файлы или запускаются вместе с системой, как сервисы rootkit или вирусы, этим способом не увидеть.

[тёркин]

Может невнятно выразился, но всю папку удалил загрузившись с другой винды. Как бы теперь в моей системе нет IE ващще. Но это действительно временное решение, потому что вернув папку на своё родное место всё повторяется.

По времени создания в системных папках ничего не обнаружено.

Здесь важно как это лечить. Хотя бы узнать что ЭТО? Может это и не вирь никакой, но что тогда?

[Профи]

Запости скрин-шот списка, который покажет AutoRuns — может что-то удастся увидеть с ходу постороннее.

Или еще лучше, в AutoRuns есть команда File > Save As, чтобы сохранить список в текстовый файл — потом можешь его вставить прямо в текст форумного сообщения. Лучше вставлять между тегами "code" (чтобы строки получились без переносов):

[notag]

Код:

...текст...

[/notag]

P.S. Галка Options > Include Empty Locations должна быть выключена.

[тёркин]

Вот снимок с Autoruns.

[тёркин]

А это снимок Process Explorera соответствующий снимку Autorans'a.

Текст файла не привожу, потому, что при включении любой закладки он занимает >67К. Он включает в себя отчёт про все процессы, службы и длльки.

А по этим снимкам ничего не видно.

[Профи]

Цитата:

Сообщение от тёркин писал вс, 21 октября 2007 18:51

Вот снимок с Autoruns.

Да, нчего лишнего тут не видно. Выбери закладку Logon и сделай File > Save As. Полученный текстовый файл в сообщение не вставляй, а приложи, как сделал с картинками — тогда ничего, что 67К. Троян, если он там есть, будет скорее всего близко к верху.

[Grey]

В антивирусе Зайцева есть "менеджер автозапуска". Там можно посмотреть, что откуда запускается, и при необходимости отключить. Там же есть возможность проверки подлинности файла по каталогу Microsoft.

[тёркин]

Прикрепляю.

Опять же. Что мы здесь увидим... Всё вроде бы хорошо. Как уже писал, подменял в папку Program Files живым IE из другоы системы, а происходило тоже самое: после перезакгрузки запускался процесс без окна для юзера, занимал физической паляти ~2M и пытался )слать наружу что-то. Что так делает? Где оно? Думаю, если это не какой-то непонятный глюк системы, то оно хорошо запрятано. Значит мы не там ищем.

Ешо. Опять скопировал в папку Internet Explorer файл iexplore.exe. Перезагрузил комп. Смотрю в Autoruns, а там всё без изменений. А в процессах эта зараза висит. Даже оба файла отчёта сохранил, а они тютелька-в-тютельку, как близнецы.

[тёркин]

Чтобы не искал напрасно, антивирус Зайцева - это бесплатно? Сейчас не буду это покупать.

[Grey]

Цитата:

Сообщение от тёркин писал

Чтобы не искал напрасно, антивирус Зайцева - это бесплатно? Сейчас не буду это покупать.

да, бесплатно: [Зарегистрироваться?]

[Профи]

Цитата:

Сообщение от тёркин писал вс, 21 октября 2007 23:27

Опять же. Что мы здесь увидим... Всё вроде бы хорошо. Как уже писал, подменял в папку Program Files живым IE из другоы системы, а происходило тоже самое: после перезакгрузки запускался процесс без окна для юзера, занимал физической паляти ~2M и пытался )слать наружу что-то. Что так делает? Где оно? Думаю, если это не какой-то непонятный глюк системы, то оно хорошо запрятано. Значит мы не там ищем.

Вирус(троян), если он есть, скорее всего не в файле IEXPLORE.EXE, просто, когда такого файла нет в системе, то вероятно он обламывается или решает, что в этом случае не стоит запускаться.

Невооруженным взглядом ничего подозрительного в верхних секциях автозапусков не видно. В принципе не исключен вариант, что вирусом заменен или изменен кто-то из системных файлов (вроде userinit.exe) и потом чужая часть просто передает управление стандартной, после выполнения своих темных дел, чтобы Windows все же работал. Либо, другой вариант, как это функционирует — я не стал внимательно смотреть список Сервисов, т.к. он все же ощутимо завязан на железе и я например привык к своему списку сервисов, а тут много незнакомых, поэтому трудно точно сказать. Но любой из сервисов тоже мог быть подменен, или там может быть совсем посторонний.

В-общем, ничего, что можно подправить руками для лечения тут не видно. Вероятность, что это глюк системы конечно тоже есть, но я бы дал на него не больше 30%. Так-что ищи способ лечить. Я на такие случаи имею образ установленной и настроенной системы на DVD, чтобы быстро восстанавливать.

[тёркин]

Уррррра!
Поймал.

Докладываю.

С помощью AVZ (спасибо Grey) в папке WINDOWS был обнаружен подозрительный файл с названием svchost.exe. Но этот ехешник живёт в WINDOWS/sistem32. Более того, дата создания 10.19.2007. Неужто у меня последняя версия этого файла, да в новом месте?

Сразу как-то на него внимания не обратил, он ведь всегда есть и запущен всегда в нескольких екземплярах.

Вопчем переместил его в сторонку, вернул iexplore.exe на место, перезагрузил компутер и... нит больше подозрительного експлорера.

Где его подцепил, не знаю. Но выхожу в основном на форум или через форум. В брайзере у меня загрузка файлов отключена, так что пролез он как-то иначе. Говорят может с помощью Java пройти, а она у меня всегда запущена. Теперь не будет )

Будьте бдительны!

[Профи]

Это хорошо Теперь о том, как он пролез: если он смог себя записать в Windows\System, то ты работаешь из под пользователя с админскими правами — есть ли в этом необходимость?

[тёркин]

Да, вопрос резонный.
Исправлюсь.
Спасибо за помощь и участие, Профи.

Теперь вот думаю, отпавить ли мне евтот файлик куда-нить? Хотя если его AVZ нашёл, то антивирусному миру он уже известен...

[lappa]

Однозначно проверь файлик, хотя бы здесь
[Зарегистрироваться?]
Дело в том, что некоторые симптомы похоже на вирус из серии Желатин. Один из способов запуска как у тебя, второй способ при старте машины выполняется скрипт, который создает текстовой файлик. А родной Svchost запускается с параметрами из текстовика. То, что ты удалил файло, ни о чем не говорит. При создании контрольной точки системы он у тебя должен был остаться. И легко может быть запущен.