Невиданная Служба "mnmsdtlcn" в XP SP2

[pendulum7777]

Нашел службу "mnmsdtlcn" - ну службу-не службу, а непонятно что - Клубится вместе со службами, а что это такое, не знает ни Гугл ни уюгл - никто не знает.... Это ее ключи реестра- трогать боюсь, та вдруг слетит чтото - потихоньку занялся уборкой с С на D. Кто знает, что это и с чем его смешать, пожалуйста, дайте знать...

З.Ы. Вероятнее всего куски дров каких то...

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\M nmsdtlcn\ =
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\M nmsdtlcn\Security\ =
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\M nmsdtlcn\Enum\ =
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\M nmsdtlcn\Enum\0 = Root\LEGACY_MNMSDTLCN\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Mnmsdtlcn\ =
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Mnmsdtlcn\Security\ =
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Mnmsdtlcn\Enum\ =
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Mnmsdtlcn\Enum\0 = Root\LEGACY_MNMSDTLCN\0000

[PLAstic]

Сначала отсюда пункт #3 в студию. Сам посмотри на результат. Имхо,вирус.
Затем сюда и мочишь всё, что найдёшь.

[pendulum7777]

http://rapidshare.com/files/12076615...known.rar.html

Сделал ОТСЮДА - А щас пойду СЮДА

Ну тут много всего, но я это уж делал... АВЗ юзаю года полтора и доволен неимоверно... Тут все чисто)) Грязно только там...

[salam]

Блин вы прям как алекс юстасу общаетесь =)) Может кто-нить разжует для аудитории что вы там нашли?

[PLAstic]

Цитата: Сообщение от pendulum7777 Сделал ОТСЮДА - А щас пойду СЮДА

Цитата: Сообщение от pendulum7777 Блин вы прям как алекс юстасу общаетесь

"ОТСЮДА" и "СЮДА" - это названия ссылок из моего поста.

pendulum7777, а логах AVZ ничего подозрительного нет. Каков путь, откуда запускается этот файл? И кидани его на всякий случай на рапиду, я солью, гляну.

[pendulum7777]

Цитата: Сообщение от PLAstic pendulum7777, а логах AVZ ничего подозрительного нет. Каков путь, откуда запускается этот файл? И кидани его на всякий случай на рапиду, я солью, гляну.

Да, подозрений предостаточно:

>>>> Возможно маскировка имени исполняемого файла 2156 btstackserver.exe, реальное имя - BTSTAC~1.EXE
>>>> Возможно маскировка имени исполняемого файла 2352 btstackserver.exe, реальное имя - BTSTAC~1.EXE

1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=07B580)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 80552580
KiST = 80501354 (284)

Функция NtCreateThread (35) перехвачена (805C611A->F7AADA64), перехватчик не определен
Функция NtOpenProcess (7A) перехвачена (805C01C2->F7AADA50), перехватчик не определен
Функция NtOpenThread (80) перехвачена (805C044E->F7AADA55), перехватчик не определен
Функция NtTerminateProcess (101) перехвачена (805C7B10->F7AADA5F), перехватчик не определен
Функция NtWriteVirtualMemory (115) перехвачена (805A88C2->F7AADA5A), перехватчик не определен

D:\pub\GameSetup.exe >>> подозрение на Worm.Win32.Fujack.e ( 0AAA6584 00000000 00236949 001FE30F 27648)
C:\Program Files\TortoiseSVN\bin\tortoisesvn.dll --> Подозрение на Keylogger или троянскую DLL

[PLAstic]

Ещё раз перечитай сообщение и сделай как я попросил.
Той инфы, что ты приводишь здесь, нет в логах AVZ. Из этого я делаю вывод, что D:\pub\GameSetup.exe просто лежит на диске и был обнаружен в ходе проверки дисков. Можешь его убить, но он не активен. Твой "тортоис" - я не знаю, что это. Подобные подозрения могут падать на вполне нормальные софтины. Например, UltraVNC тоже попадает в эту категорию.
С btstackserver.exe вообще смешная ситуация. Почему-то он у тебя запускается по досовскому имени (8.3) и вызывает подозрение на себя. Если не ошибаюсь, это из софта блютуза.

[pendulum7777]

Тогда пожалуйста, для жителей крайнего Севера, объясни - Открыть АВЗ, нажать то то и то то... Я сделаю...

Да... БТСТАК это блютус, Тортойс это СВН...
Инфа по системе:
Ноут Acer Aspire 5052, XP SP2, + Avira, Comodo, AVZ, WinXP manager...

Стоит масса не нужных мне программ (когда машин не хватает люди работают на моей) такие как Denver, SVN, Subversion, PHP Expert

Моих личных программ кот наплакал - Игры не ставлю.

[PLAstic]

Заходишь в список служб. Пуск-Настройка-ПУ-Администрирование-Службы
Двойной клик на этой службе
В появившемся окне смотришь исполняемый файл в поле 1. Кинь содержимое поля сюда строкой и сам файл на рапиду.
На всякий случай в поле 2 поставь "Отключено", перезагрузись и посмотри, остался такой тип запуска или опять Авто. Если Авто, то вирус и он активен.

[pendulum7777]

Служба отключена - файла нет, зависимостей нет... Включить службу, соответственно, не получается

З.Ы. Да-аа... Страшная служба какая-то...

[PLAstic]

Тогда в чём вопрос, если она не работает? Я не нашёл упомянутого модуля в памяти в отчёте AVZ. Вполне вероятно, был вирусняк, его тело убили, а служба осталась.

[pendulum7777]

Цитата: Сообщение от PLAstic Тогда в чём вопрос, если она не работает? Я не нашёл упомянутого модуля в памяти в отчёте AVZ. Вполне вероятно, был вирусняк, его тело убили, а служба осталась.

Ну все равно - если бы был вирус скорее всего Гугл о нем знал бы хоть чтото... С другой стороны хотелось бы знать наверняка что это и каким образом эту службу можно вырезать из списка служб

З.Ы. Ну и собственно я думаю тему можно закрывать...

[PLAstic]

Сделай поиск по реестру. Ты найдёшь её в разделе HKLM\SYSTEM\CurrentControlSet\Services
Удали ветку с названием сервиса и перегрузись.