Регистрация

Здравствуй, друг!
Еще не зарегистрировался?
Регистрация.
Не пришло письмо
с активацией?
Запросить активацию.
 
Маскировка процессов - Компьютерный форум NoWa.cc
Компьютерный форум NoWa.cc
Правила Форума
редакция от 29.01.2013
Портал .::2Baksa.Net::. Free ePub Books Трекер BRODIM.COM
Вернуться   Компьютерный форум NoWa.cc > Компьютеры и Интернет > Скорая помощь

Скорая помощь Не стыдимся задать любой вопрос и получаем ответ!

Загрузка...
Ответ
 
Опции темы Language
Старый 05.01.2009, 23:25   #1
Постоялец
 
Аватар для ribakaba
 
Пол:Мужской
Регистрация: 16.02.2008
Сообщений: 239
Репутация: 20
По умолчанию Маскировка процессов

При сканировании компа утилита AVZ 4.30 при включенном лечении выдает красным цветом::
1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=2400, имя = "setup.exe", полное имя = "\Device\HarddiskVolume1\DOCUME~1\Abraham\LOCA LS~1 \Temp\RarSFX0\setup.exe"
>> обнаружена подмена PID (текущий PID=9038, реальный = 2400)
>> обнаружена подмена имени, новое имя = ""
>> Маскировка драйвера: Base=ED4C9000, размер=81920, имя = "\SystemRoot\System32\Drivers\Parport.SYS"

А также красным цветом:
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll)
Файл, как был в папке, так и остался, а резюме: найдено вредоносных программ 0, подозрений - 0.
Повторил сканирование, а результат тот же.
Уважаемые форумчане, кто подскажет, что это обозначает и насколько это серьезно.
ribakaba вне форума
 
Ответить с цитированием Вверх


Реклама: шкаф медицинский металлический однодверныйкупить столовые приборы интернет магазинтелевизоры для домашнего кинотеатрашколы по визажу в москвеуниверсальное крепление для проектора


Старый 06.01.2009, 05:22   #2
CosmiC
Постоялец
 
Аватар для CosmiC
 
Пол:Мужской
Регистрация: 28.03.2005
Сообщений: 780
Репутация: 421
По умолчанию Re: Маскировка процессов

"\Device\HarddiskVolume1\DOCUME~1\Abraham\LOCA LS~1 \Temp\RarSFX0\setup.exe"
похоже на мусор... CCleaner в помощь, или руками прибить.

а второе, это кусок оффиса, идентифицируется как Browser Helper Object (BHO) каковым и является, но опасности не представляет
__________________
War... War never changes...
CosmiC вне форума
 
Ответить с цитированием Вверх
Старый 06.01.2009, 12:10   #3
Zhlobny Hmur
Модератор
 
Аватар для Zhlobny Hmur
 
Пол:Мужской
Регистрация: 28.06.2005
Адрес: Siberia
Сообщений: 5,567
По умолчанию Re: Маскировка процессов

Цитата:
Сообщение от CosmiC Посмотреть сообщение
похоже на мусор

Скажем, на заразу больше похоже... Ну не должно из темпов процессы запускаться и тем более маскироваться.
__________________
Беда пришла откуда ее не ждали - наступило утро!
i7 4770, 16Gb, 1.5Gb GTX 580, Xi-Fi Fidelity, APC SUA1000, iiYama 514, TH-50PF11, Behringer MS20
Zhlobny Hmur вне форума
 
Ответить с цитированием Вверх
Старый 06.01.2009, 22:53   #4
ribakaba
Постоялец
 
Аватар для ribakaba
 
Пол:Мужской
Регистрация: 16.02.2008
Сообщений: 239
Репутация: 20
По умолчанию Re: Маскировка процессов

Цитата:
Сообщение от Zhlobny Hmur Посмотреть сообщение
Скажем, на заразу больше похоже... Ну не должно из темпов процессы запускаться и тем более маскироваться.

Попутно вопрос: если все-таки вирус, вторая система с диска D остается чистой или тоже может быть заражена? И ещё: файлы на диске D заражаются или нет? Если переустановить систему на диске С, а диск D оставить не тронутым?
ribakaba вне форума
 
Ответить с цитированием Вверх
Старый 06.01.2009, 23:02   #5
Zhlobny Hmur
Модератор
 
Аватар для Zhlobny Hmur
 
Пол:Мужской
Регистрация: 28.06.2005
Адрес: Siberia
Сообщений: 5,567
По умолчанию Re: Маскировка процессов

ribakaba, все зависит от стратегии вируса. Если он тотально загаживает файлы (типа сектор7), то по фигу где они находятся. Но обычно поражается основная система... И при аккуратном запуске можно спокойно отлечиваться под другой системой.
__________________
Беда пришла откуда ее не ждали - наступило утро!
i7 4770, 16Gb, 1.5Gb GTX 580, Xi-Fi Fidelity, APC SUA1000, iiYama 514, TH-50PF11, Behringer MS20
Zhlobny Hmur вне форума
 
Ответить с цитированием Вверх
Старый 07.01.2009, 01:10   #6
Vose
Ветеран
 
Пол:Мужской
Регистрация: 09.12.2007
Сообщений: 2,361
Репутация: 848
По умолчанию Re: Маскировка процессов

Цитата:
Сообщение от Zhlobny Hmur Посмотреть сообщение
И при аккуратном запуске можно спокойно отлечиваться под другой системой.

Только иногда под другой системой гадик не обнаруживается, т.к. ведёт себя "прилежно", т.е ни как - просто "отлёживается и не светится".
ribakaba похоже просто распаковали вы какую-то бяку из раровского архива. Сканьте ещё раз, включив AVZPM и AVZGuard и лечение, с последующей перезагрузкой. Ну и просто "ручками" гадика прибить можно.
Vose вне форума
 
Ответить с цитированием Вверх
Старый 07.01.2009, 03:42   #7
Lelick
Пользователь
 
Пол:Женский
Регистрация: 06.01.2009
Сообщений: 44
Репутация: 21
По умолчанию Re: Маскировка процессов

Цитата:
Сообщение от Vose Посмотреть сообщение
Ну и просто "ручками" гадика прибить можно

Этого делать не желательно, т.к. при восстановлении системы или файлов, любой программой восстановления, соответственно можно оживить и вредоносный код. Поэтому, это надо делать с помощью антивируса.
Lelick вне форума
 
Ответить с цитированием Вверх
Старый 07.01.2009, 21:58   #8
ribakaba
Постоялец
 
Аватар для ribakaba
 
Пол:Мужской
Регистрация: 16.02.2008
Сообщений: 239
Репутация: 20
По умолчанию Re: Маскировка процессов

Цитата:
Сообщение от ribakaba Посмотреть сообщение
Маскировка процесса с PID=2400, имя = "setup.exe", полное имя = "\Device\HarddiskVolume1\DOCUME~1\Abraham\LOCA LS~1 \Temp\RarSFX0\setup.exe"
>> обнаружена подмена PID (текущий PID=9038, реальный = 2400)
>> обнаружена подмена имени, новое имя = ""

избавился сканированием.

Цитата:
Сообщение от CosmiC Посмотреть сообщение
C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll -->

Деинсталировал Office.

Цитата:
Сообщение от ribakaba Посмотреть сообщение
>> Маскировка драйвера: Base=ED4C9000, размер=81920, имя = "\SystemRoot\System32\Drivers\Parport.SYS"

Пробовал сканировать DrWeb и Eset NOD32. Никакой заразы не находят.
Пробовал удалить вручную. Удалил даже из корзины, а он выныривает откуда-то опять. Что делать и откуда эта зараза выскакивает?
ribakaba вне форума
 
Ответить с цитированием Вверх
Старый 07.01.2009, 22:11   #9
Dimonsh
Старожил
 
Пол:Мужской
Регистрация: 17.08.2006
Сообщений: 1,386
Репутация: 1055
По умолчанию Re: Маскировка процессов

Цитата:
Сообщение от ribakaba Посмотреть сообщение
Цитата:
Сообщение от ribakaba




>> Маскировка драйвера: Base=ED4C9000, размер=81920, имя = "\SystemRoot\System32\Drivers\Parport.SYS"



Пробовал сканировать DrWeb и Eset NOD32. Никакой заразы не находят.
Пробовал удалить вручную. Удалил даже из корзины, а он выныривает откуда-то опять. Что делать и откуда эта зараза выскакивает?

Отключи восстановление системы, загрузись в безопасном режиме и попробуй еще раз.
Dimonsh вне форума
 
Ответить с цитированием Вверх
Старый 08.01.2009, 01:57   #10
Vose
Ветеран
 
Пол:Мужской
Регистрация: 09.12.2007
Сообщений: 2,361
Репутация: 848
По умолчанию Re: Маскировка процессов

Цитата:
Сообщение от Lelick Посмотреть сообщение
Этого делать не желательно, т.к. при восстановлении системы или файлов, любой программой восстановления, соответственно можно оживить и вредоносный код.

Lelick, вообще то восстановление системы первым делом отключают, когда вирями борются (особенно с серьёзными) - вон Dimonsh выше тоже про это пишет и на Касперском сайте, например, тоже такая рекомендация висит.
ribakaba Сделай, как Dimonsh выше написал и ещё в реестре по имени файла-гадика поищи и все упоминания удали. Справку по AVZ почитай - там есть тонкости, как правильно активных гадов прибивать и в каком порядке и что включать, ну и галку "лечить" не забывать ставить Удачи!
Vose вне форума
 
Ответить с цитированием Вверх
Ответ
 Уважаемые пользователи портала 2BakSa.NeT и форума NoWa.cc !

  Рады Вам сообщить, что у нас открылся Torrent трекер >> BRODIM.COM

  Приглашаем вас принять участие в обмене полезной информацией,

  и ждем от вас поддержки в создании новых раздач.

Опции темы

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Маскировка процессов ribakaba Антихакинг 3 14.02.2010 11:52
Обнаружение скрытых процессов Deementor Статьи 9 04.02.2010 20:44
VK Task Killer менеджер процессов alex_ki Системные утилиты 0 11.10.2008 13:40
Зависание процессов в WindowsXP KEQ Microsoft Windows 6 17.02.2008 13:00

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 13:21. Часовой пояс GMT +4.


Rambler's Top100
Copyright © 2004 - 2014 2BakSa.Net

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2014, vBulletin Solutions, Inc. Перевод: zCarot
Время генерации страницы 0.16671 секунды с 9 запросами