Проблема с вирусом локализована - как его теперь изловить?

[ch-olga.livejournal.com]

http://community.livejournal.com/useful_faq/4606873.html?view=42596505#t42596505

Итак, методом научного тыка вредоносный процесс выявлен, номер его засечен, название вполне безобидное, поиск по названию левых файлов в неположенном месте не нашел. Как теперь изловить источник данного процесса, если известны его название, номер в диспетчере задач, то, что он нацелен на Интернет, и то, что запускается автоматом при включении.

Конкретно в какие папки идти и смотреть, где он наследить мог еще?

АПД: Проблема решена, злоумышленник вычислен, звался он C:\WINDOWS\system32\1041t.exe

Comments

[vickvega.livejournal.com]

Скачайте Hijackthis (http://www.merijn.org/files/HiJackThis_v2.exe), запустите, лог сюда.

[ch-olga.livejournal.com]

Лог длинный, может по почте отправить будет проще?

[vickvega.livejournal.com]

(http://www.mailonpix.ru/)

[ch-olga.livejournal.com]

Спасибо!

[guest-o.livejournal.com]

Номер (идентификатор процесса) ничего не говорит, потому что в общем случае он может меняться при разных загрузках системы. Скачайте Process Explorer с сайта sysinternals.com, посмотрите, из какого файла и по какому пути запускается этот процесс. Потом возьмите этот файл и проверьте на сайте антивируса Касперского.

P/S/: А если взять TCP View с того же сайта и посмотреть, на какой адрес ломится этот процесс, то не окажется ли этот адрес каким-нибудь в духе 8.255.хх.хх?

[guest-o.livejournal.com]

Вчера бодался с похожей фигнёй. Только svchost гнал трафик не исходящий, а входящий. Что-то перемкнуло в мозгах службы "Фоновая интеллектуальная служба передачи (BITS)". Несмотря на отключенные обновления, она продолжала что-то качать. От этой службы зависит служба автоматических обновлений Windows. Если б адрес был похожим, значит, корень проблемы один и тот же, и получается, что это не глюк в мозгах службы, а какой-то троян. Просто я просканил машину всем, чем можно, и ничего подозрительного не нашлось. Вылечилось остановкой служб автоматического обновления и интеллектуальной этой передачи.

[ch-olga.livejournal.com]

Нашли вроде бы.

[guest-o.livejournal.com]

Огласите тогда результаты расследования, pls :-)

[ch-olga.livejournal.com]

Троян вроде бы. ЗАпускался в автозапуске по адресу C:\WINDOWS\system32\1041t.exe.
Исключила этот процесс из автозапуска - и он куды-то пропал. Загадочно немного, но сейчас все работает нормально.

[romx.livejournal.com]

Рекомендую гОвна чистить с помощью spybot.com и DrWeb CureIt. Сперва один, потом другой, CureIt запускать в Safe Mode.
Подозреваю одним вы не отделались.

Сегодня собственноручно чистил свою рабочую машину, которая оказывается два дня как минимум DDoS-ила fishki.net и какой-то хост на "Караване"

[guest-o.livejournal.com]

А svchost какую роль в этом деле играл?

[ch-olga.livejournal.com]

Не поняла, честно говоря. Его выловили через протокол процессов, смотрите выше. По неизвестному пользователю :).

O23 - Service: Веб-клиент WebClientaswUpdSv (WebClientaswUpdSv) - Unknown owner - C:\WINDOWS\system32\1041t.exe

[ch-olga.livejournal.com]

Точнее, неизвестному производителю. Но после чистки неприятный эффект исчез.
Я не очень внутреннюю механику понимаю, просто удаление C:\WINDOWS\system32\svchost.exe давало нужный эффект. Может этот вирус его особым образом запускал, у меня этих svchost много висит.