26.05.2011, 17:33 | #1 (ссылка) |
Новичок
Регистрация: 10.07.2010
Сообщений: 48
Репутация: 0
|
Маскировка под процесс svchost.exe
Дорогие друзья.
Помогите разобраться, пожалуйста. Последние дни комп начал жутко тормозить. Обратил внимание, что в диспетчере 8 процессов svchost.exe, обычно их было 6. 2 из них грузят ЦП по 50% каждый (в сумме 100%) Что сделано: - Прокатано антивирусами, АВЗ, отключены все возможные службы, удалено все старое, ненужное и подозрительное, простой поиск svchost.exe копий не выявил - в результате процессов svchost.exe осталось 8, но только 1 из них грузит ЦП на 50%. Этот самый 1 процесс, который грузит на 50%, запущен от имени пользователя, хотя такого быть не может, ибо легальный svchost.exe всегда имеет владельцев SYSTEM, LOCAL, NETWORК. Процесс можно просто убить и ничего страшного не происходит, но при перегрузе он появится вновь. Далее, открываем нехитрую прогу Process Explorer и видим, что 7 процессов svchost.exe рождены процессом services, т.е. легальным процессом Виндоус. В инфо-вкладках отображается список управляемых ими служб, который совпадает с меню управления службами - все ОК. Но отдельно лежит еще 1 процесс svchost.exe который и ест 50% ЦП. В родителях у него числится explorer.exe от имени пользователя. Вражина обнаружен! Но в инфо-вкладках не видно его местоположение и исполняемые файлы/команды. Важное дополнение!!! Если вынуть сетевой шнур из компа, то процесс перестает грузить ЦП на 50%, но остается в списке. При втыкании шнура на место, снова загруз ЦП 50%. Исходящего траффика нет. Все возможные службы принудительно вручную отключены/остановлены. Вопрос: Что надо сделать чтоб обнаружить заразу и пресечь ее преступную деятельность? В тему "Безопасность" обращался, логи АВЗ и ХайДжек проверили - ничего критического не видно. Прилагаю скрин (норм качество, вес 3.8 мб), где все видно. Красным помечены легальные процессы services, синим помечены процессы пользователя, в инфо-подсказке искомого процесса отсутствует описание процесса и исполняемая функция, а в окне свойств видим родителя и владельца. Курсоры в окнах указывают на причину проблемы. http://webfile.ru/5347264 Заранее благодарен. (ХР пиратка) |
26.05.2011, 17:58 | #3 (ссылка) |
Специалист
|
А вы не хотите посмотреть содержимое папки C:\Document and Settings\Мишаня на предмет наличия непонятных exe и dll файлов? Только обязательно надо включить отображение скрытых и системных файлов и папок!
Последний раз редактировалось OlegSh; 26.05.2011 в 18:11. |
26.05.2011, 18:30 | #4 (ссылка) |
Новичок
Регистрация: 10.07.2010
Сообщений: 48
Репутация: 0
|
Отсмотрел, то что скрыто - не вижу ничего явно левого. Я и не очень понимаю, что там надо увидеть - вот проблема то!
Автозагрузка - все мое, ничего нелегального не видно. А по факту грузится "левый" процесс при запуске. Тут умный человек подсказал попробовать кильнуть файл WINDOWS\system32\Drivers\PROCEXP141.SYS Удалил - результат интересный: процессы те же, там же, но теперь этот svchost кушает 30% ЦП - уже прогресс. Далее взял совет из моей же темы http://pchelpforum.ru/f26/t58134/ Файл igfxtray.exe не обнаружен, но в папке Prefetch имеется файл IGFXTRAY.EXE-0022F8A9.pf с датой вчерашней загрузки компа - уже ближе к телу. Значит какие-то действия этим файлом ведутся, но в компе его не видать. Дальше опять не знаю что делать. |
26.05.2011, 19:12 | #6 (ссылка) |
Новичок
Регистрация: 10.07.2010
Сообщений: 48
Репутация: 0
|
Пусто. Там как и у всех юзеров лежит текст и мпег ntuser. Дальше куча папок.
В папках там порылся - везде тхт, мпеги, джипеги. Нашелся только в апликейшн некий ironcache.dll но он не при делах, думаю. И в темпе там 2 длл не страшных среди кучи хлама. Вроде тема избитая, а решений нет ни у кого. |
26.05.2011, 19:35 | #7 (ссылка) |
Специалист
|
Почитайте вот тут: http://www.levik.info/siszyd32exe-il...-processor.htm
И вот тут: http://www.smallprogs.ru/page/svchost Возможно это вам поможет. ЗЫ. Просто не хочется переписывать то, что уже написано другими ))). |
26.05.2011, 20:19 | #8 (ссылка) |
Новичок
Регистрация: 10.07.2010
Сообщений: 48
Репутация: 0
|
Прочитал. Все сверил. Ничего похожего не нашел.
По запросу cmd tasklist /svc искомый процесс помечен Н/Д. Но, есть интересный скрин мониторинга процессов АВЗ. На скрине: Вверху экрана отмечен искомый процесс, внизу экрана список файлов с которыми он взаимодействует. Как определить какой из файлов неверный? Есть методы против Кости Сапрыкина? http://webfile.ru/5347694 |
Ads | |
26.05.2011, 20:23 | #9 (ссылка) |
Стажёр
|
видимо этот человек был не совсем умный, ибо это драйвер от PROCESS EXPLORER`a
Посмотрите ветку реестра: Код:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Logon Код:
userinit ---------- Добавлено в 19:23 ---------- Предыдущее сообщение было написано в 19:21 ---------- Где лежит этот файл (svchost нелегальный) можете выяснить? |
26.05.2011, 20:29 | #10 (ссылка) |
Эксперт
|
попробуйте найти ваш процесс этой утилитой http://zalil.ru/31127615
|
26.05.2011, 20:45 | #12 (ссылка) |
Новичок
Регистрация: 10.07.2010
Сообщений: 48
Репутация: 0
|
Напротив userinit такая строка D:\WINDOWS\system32\userinit.exe,
Файл svchost.exe в компьютере один. Копий не находит. Лежит где положено в Систем32\ Я то сделал или опять напутал? ---------- Добавлено в 19:42 ---------- Предыдущее сообщение было написано в 19:37 ---------- Вашей утилитой глянул. Увидел точно ту же таблицу что в скрине от АВЗ. Вроде все те же файлы. ---------- Добавлено в 19:45 ---------- Предыдущее сообщение было написано в 19:42 ---------- Ага. Меткий у Вас глаз. В описании написано, что rasadhlp.dll это Remote Access AutoDial Helper. А я все службы удаленный поотключал давно. Хотя кто же так вирус маскирует. А winrnr.dll тоже непонятный LDAP RnR Provider DLL |
26.05.2011, 20:56 | #14 (ссылка) |
Новичок
Регистрация: 10.07.2010
Сообщений: 48
Репутация: 0
|
Опа. я нажал выгрузить rasadhlp.dl.
Вылезло окно, что "Generic system 32 произошла ошибка и приложение будет закрыто". В списке процессов исчез злой svchost, который грузил ЦП. Осталось 7 svchost. Все из адреса Систем32. Заагруз ЦП 0. Второй драйвер не стал пока трогать. Как закрепить успех? |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Процесс... | igorviRUS | Безопасность | 4 | 10.04.2011 13:08 |
Процесс SVCHOST грузит систему(логи) | Waper32 | Безопасность | 15 | 28.03.2011 23:45 |
Странный процесс. | Pavlucha | Безопасность | 5 | 28.02.2011 22:00 |
процесс IEXPLORE.EXE | v0vIk | Безопасность | 6 | 14.02.2011 11:36 |
Неизвестный процесс | Genius | Windows XP | 7 | 10.02.2011 00:30 |
Процесс Opera.exe | Kolunya | Windows XP | 2 | 23.12.2010 13:27 |
Процесс svchost.exe | Romario666 | Windows XP | 6 | 06.12.2010 19:34 |
процесс werfalut.exe | -=GHOST=- | Безопасность | 2 | 31.08.2010 02:13 |
Неизвестный процесс | Bilal | Безопасность | 15 | 19.05.2010 23:05 |
Процесс svchost.exe | Кузен | Windows XP | 19 | 09.01.2010 15:09 |
Маскировка Windows 2000 под XP | Мартин | Windows XP | 0 | 07.12.2009 21:30 |
Процесс создания | Fresh | Веб-строительство | 4 | 29.10.2008 08:11 |