Маскировка процессов

ribakaba · 05.01.2009, 22:25

При сканировании компа утилита AVZ 4.30 при включенном лечении выдает красным цветом::
1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=2400, имя = "setup.exe", полное имя = "\Device\HarddiskVolume1\DOCUME~1\Abraham\LOCA LS~1 \Temp\RarSFX0\setup.exe"
>> обнаружена подмена PID (текущий PID=9038, реальный = 2400)
>> обнаружена подмена имени, новое имя = ""
>> Маскировка драйвера: Base=ED4C9000, размер=81920, имя = "\SystemRoot\System32\Drivers\Parport.SYS"

А также красным цветом:
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll)
Файл, как был в папке, так и остался, а резюме: найдено вредоносных программ 0, подозрений - 0.
Повторил сканирование, а результат тот же.
Уважаемые форумчане, кто подскажет, что это обозначает и насколько это серьезно.

CosmiC · 06.01.2009, 04:22

"\Device\HarddiskVolume1\DOCUME~1\Abraham\LOCA LS~1 \Temp\RarSFX0\setup.exe"
похоже на мусор... CCleaner в помощь, или руками прибить.

а второе, это кусок оффиса, идентифицируется как Browser Helper Object (BHO) каковым и является, но опасности не представляет

*Zhlobny Hmur* · 06.01.2009, 11:10

Цитата:

Сообщение от CosmiC


	похоже на мусор

Скажем, на заразу больше похоже... Ну не должно из темпов процессы запускаться и тем более маскироваться.

ribakaba · 06.01.2009, 21:53

Цитата:

Сообщение от Zhlobny Hmur


	Скажем, на заразу больше похоже... Ну не должно из темпов процессы запускаться и тем более маскироваться.

Попутно вопрос: если все-таки вирус, вторая система с диска D остается чистой или тоже может быть заражена? И ещё: файлы на диске D заражаются или нет? Если переустановить систему на диске С, а диск D оставить не тронутым?

*Zhlobny Hmur* · 06.01.2009, 22:02

ribakaba, все зависит от стратегии вируса. Если он тотально загаживает файлы (типа сектор7), то по фигу где они находятся. Но обычно поражается основная система... И при аккуратном запуске можно спокойно отлечиваться под другой системой.

Vose · 07.01.2009, 00:10

Цитата:

Сообщение от Zhlobny Hmur


	И при аккуратном запуске можно спокойно отлечиваться под другой системой.

Только иногда под другой системой гадик не обнаруживается, т.к. ведёт себя "прилежно", т.е ни как - просто "отлёживается и не светится".
ribakaba похоже просто распаковали вы какую-то бяку из раровского архива. Сканьте ещё раз, включив AVZPM и AVZGuard и лечение, с последующей перезагрузкой. Ну и просто "ручками" гадика прибить можно.

Lelick · 07.01.2009, 02:42

Цитата:

Сообщение от Vose


	Ну и просто "ручками" гадика прибить можно

Этого делать не желательно, т.к. при восстановлении системы или файлов, любой программой восстановления, соответственно можно оживить и вредоносный код. Поэтому, это надо делать с помощью антивируса.

ribakaba · 07.01.2009, 20:58

Цитата:

Сообщение от ribakaba


	Маскировка процесса с PID=2400, имя = "setup.exe", полное имя = "\Device\HarddiskVolume1\DOCUME~1\Abraham\LOCA LS~1 \Temp\RarSFX0\setup.exe" >> обнаружена подмена PID (текущий PID=9038, реальный = 2400) >> обнаружена подмена имени, новое имя = ""

избавился сканированием.

Цитата:

Сообщение от CosmiC


	C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll -->

Деинсталировал Office.

Цитата:

Сообщение от ribakaba


	>> Маскировка драйвера: Base=ED4C9000, размер=81920, имя = "\SystemRoot\System32\Drivers\Parport.SYS"

Пробовал сканировать DrWeb и Eset NOD32. Никакой заразы не находят.
Пробовал удалить вручную. Удалил даже из корзины, а он выныривает откуда-то опять. Что делать и откуда эта зараза выскакивает?

Dimonsh · 07.01.2009, 21:11

Цитата:

Сообщение от ribakaba


	Цитата: Сообщение от ribakaba >> Маскировка драйвера: Base=ED4C9000, размер=81920, имя = "\SystemRoot\System32\Drivers\Parport.SYS" Пробовал сканировать DrWeb и Eset NOD32. Никакой заразы не находят. Пробовал удалить вручную. Удалил даже из корзины, а он выныривает откуда-то опять. Что делать и откуда эта зараза выскакивает?

Отключи восстановление системы, загрузись в безопасном режиме и попробуй еще раз.

Vose · 08.01.2009, 00:57

Цитата:

Сообщение от Lelick


	Этого делать не желательно, т.к. при восстановлении системы или файлов, любой программой восстановления, соответственно можно оживить и вредоносный код.

Lelick, вообще то восстановление системы первым делом отключают, когда вирями борются (особенно с серьёзными) - вон Dimonsh выше тоже про это пишет и на Касперском сайте, например, тоже такая рекомендация висит.
ribakaba Сделай, как Dimonsh выше написал и ещё в реестре по имени файла-гадика поищи и все упоминания удали. Справку по AVZ почитай - там есть тонкости, как правильно активных гадов прибивать и в каком порядке и что включать, ну и галку "лечить" не забывать ставить

Удачи!

05.01.2009, 22:25	#1
ribakaba Постоялец Пол: Регистрация: 15.02.2008 Сообщений: 266 Репутация: 20	Маскировка процессов При сканировании компа утилита AVZ 4.30 при включенном лечении выдает красным цветом:: 1.4 Поиск маскировки процессов и драйверов Маскировка процесса с PID=2400, имя = "setup.exe", полное имя = "\Device\HarddiskVolume1\DOCUME~1\Abraham\LOCA LS~1 \Temp\RarSFX0\setup.exe" >> обнаружена подмена PID (текущий PID=9038, реальный = 2400) >> обнаружена подмена имени, новое имя = "" >> Маскировка драйвера: Base=ED4C9000, размер=81920, имя = "\SystemRoot\System32\Drivers\Parport.SYS" А также красным цветом: 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll --> Подозрение на Keylogger или троянскую DLL C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll>>> Поведенческий анализ Типичное для кейлоггеров поведение не зарегистрировано Файл успешно помещен в карантин (C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll) Файл, как был в папке, так и остался, а резюме: найдено вредоносных программ 0, подозрений - 0. Повторил сканирование, а результат тот же. Уважаемые форумчане, кто подскажет, что это обозначает и насколько это серьезно.

06.01.2009, 04:22	#2
CosmiC Постоялец Пол: Регистрация: 28.03.2005 Сообщений: 750 Репутация: 423	Re: Маскировка процессов "\Device\HarddiskVolume1\DOCUME~1\Abraham\LOCA LS~1 \Temp\RarSFX0\setup.exe" похоже на мусор... CCleaner в помощь, или руками прибить. а второе, это кусок оффиса, идентифицируется как Browser Helper Object (BHO) каковым и является, но опасности не представляет __________________ War... War never changes...

06.01.2009, 22:02	#5
Zhlobny Hmur Модератор Пол: Регистрация: 28.06.2005 Адрес: Siberia Сообщений: 6,062	Re: Маскировка процессов ribakaba, все зависит от стратегии вируса. Если он тотально загаживает файлы (типа сектор7), то по фигу где они находятся. Но обычно поражается основная система... И при аккуратном запуске можно спокойно отлечиваться под другой системой. __________________ Беда пришла откуда ее не ждали - наступило утро! i7 4770, 24Gb, 8Gb 1070Ti, X-Fi Fatal1ty, APC SUA1000, iiYama 514, TH-50PF11, Behringer MS20

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Маскировка процессов	ribakaba	Антихакинг	3	14.02.2010 10:52
Обнаружение скрытых процессов	Deementor	Статьи	9	04.02.2010 19:44
Зависание процессов в WindowsXP	KEQ	Microsoft Windows	6	17.02.2008 12:00