Маскировка под процесс svchost.exe

neigrok · 26.05.2011, 17:33

Дорогие друзья.
Помогите разобраться, пожалуйста.

Последние дни комп начал жутко тормозить. Обратил внимание, что в диспетчере 8 процессов svchost.exe, обычно их было 6.
2 из них грузят ЦП по 50% каждый (в сумме 100%)

Что сделано:
- Прокатано антивирусами, АВЗ, отключены все возможные службы, удалено все старое, ненужное и подозрительное, простой поиск svchost.exe копий не выявил - в результате процессов svchost.exe осталось 8, но только 1 из них грузит ЦП на 50%.
Этот самый 1 процесс, который грузит на 50%, запущен от имени пользователя, хотя такого быть не может, ибо легальный svchost.exe всегда имеет владельцев SYSTEM, LOCAL, NETWORК.
Процесс можно просто убить и ничего страшного не происходит, но при перегрузе он появится вновь.

Далее, открываем нехитрую прогу Process Explorer и видим, что 7 процессов svchost.exe рождены процессом services, т.е. легальным процессом Виндоус. В инфо-вкладках отображается список управляемых ими служб, который совпадает с меню управления службами - все ОК.
Но отдельно лежит еще 1 процесс svchost.exe который и ест 50% ЦП. В родителях у него числится explorer.exe от имени пользователя.
Вражина обнаружен! Но в инфо-вкладках не видно его местоположение и исполняемые файлы/команды.

Важное дополнение!!!
Если вынуть сетевой шнур из компа, то процесс перестает грузить ЦП на 50%, но остается в списке. При втыкании шнура на место, снова загруз ЦП 50%.
Исходящего траффика нет.
Все возможные службы принудительно вручную отключены/остановлены.

Вопрос: Что надо сделать чтоб обнаружить заразу и пресечь ее преступную деятельность?
В тему "Безопасность" обращался, логи АВЗ и ХайДжек проверили - ничего критического не видно.

Прилагаю скрин (норм качество, вес 3.8 мб), где все видно. Красным помечены легальные процессы services, синим помечены процессы пользователя, в инфо-подсказке искомого процесса отсутствует описание процесса и исполняемая функция, а в окне свойств видим родителя и владельца. Курсоры в окнах указывают на причину проблемы.

http://webfile.ru/5347264

Заранее благодарен.
(ХР пиратка)

neigrok · 26.05.2011, 17:47

Цитата:

Сообщение от neigrok

В тему "Безопасность" обращался, логи АВЗ и ХайДжек проверили - ничего критического не видно.

И на том спасибо.

OlegSh · 26.05.2011, 17:58

А вы не хотите посмотреть содержимое папки C:\Document and Settings\Мишаня на предмет наличия непонятных exe и dll файлов? Только обязательно надо включить отображение скрытых и системных файлов и папок!

neigrok · 26.05.2011, 18:30

Отсмотрел, то что скрыто - не вижу ничего явно левого. Я и не очень понимаю, что там надо увидеть - вот проблема то!
Автозагрузка - все мое, ничего нелегального не видно. А по факту грузится "левый" процесс при запуске.
Тут умный человек подсказал попробовать кильнуть файл WINDOWS\system32\Drivers\PROCEXP141.SYS
Удалил - результат интересный: процессы те же, там же, но теперь этот svchost кушает 30% ЦП - уже прогресс.
Далее взял совет из моей же темы http://pchelpforum.ru/f26/t58134/
Файл igfxtray.exe не обнаружен, но в папке Prefetch имеется файл IGFXTRAY.EXE-0022F8A9.pf с датой вчерашней загрузки компа - уже ближе к телу. Значит какие-то действия этим файлом ведутся, но в компе его не видать.
Дальше опять не знаю что делать.

OlegSh · 26.05.2011, 18:51

Цитата:

Сообщение от neigrok

Отсмотрел, то что скрыто - не вижу ничего явно левого. Я и не очень понимаю, что там надо увидеть - вот проблема то!

Там не должно быть вообще никаких exe и dll!!!!

neigrok · 26.05.2011, 19:12

Пусто. Там как и у всех юзеров лежит текст и мпег ntuser. Дальше куча папок.
В папках там порылся - везде тхт, мпеги, джипеги. Нашелся только в апликейшн некий ironcache.dll но он не при делах, думаю.
И в темпе там 2 длл не страшных среди кучи хлама.
Вроде тема избитая, а решений нет ни у кого.

OlegSh · 26.05.2011, 19:35

Почитайте вот тут: http://www.levik.info/siszyd32exe-il...-processor.htm
И вот тут: http://www.smallprogs.ru/page/svchost
Возможно это вам поможет.
ЗЫ. Просто не хочется переписывать то, что уже написано другими ))).

neigrok · 26.05.2011, 20:19

Прочитал. Все сверил. Ничего похожего не нашел.
По запросу cmd tasklist /svc искомый процесс помечен Н/Д.

Но, есть интересный скрин мониторинга процессов АВЗ.
На скрине: Вверху экрана отмечен искомый процесс, внизу экрана список файлов с которыми он взаимодействует.
Как определить какой из файлов неверный? Есть методы против Кости Сапрыкина?

http://webfile.ru/5347694

Шелкопряд · 26.05.2011, 20:23

Цитата:

Сообщение от neigrok

умный человек

видимо этот человек был не совсем умный, ибо это драйвер от PROCESS EXPLORER`a

Посмотрите ветку реестра:

Код:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Logon

, найдите параметр

Код:

userinit

, его содержание выложите сюда

---------- Добавлено в 19:23 ---------- Предыдущее сообщение было написано в 19:21 ----------

Где лежит этот файл (svchost нелегальный) можете выяснить?

дормидонд · 26.05.2011, 20:29

попробуйте найти ваш процесс этой утилитой http://zalil.ru/31127615

OlegSh · 26.05.2011, 20:34

У себя не нашел взаимосвязей с rasadhlp.dll, winrnr.dll

neigrok · 26.05.2011, 20:45

Напротив userinit такая строка D:\WINDOWS\system32\userinit.exe,

Файл svchost.exe в компьютере один. Копий не находит. Лежит где положено в Систем32\

Я то сделал или опять напутал?

---------- Добавлено в 19:42 ---------- Предыдущее сообщение было написано в 19:37 ----------

Вашей утилитой глянул. Увидел точно ту же таблицу что в скрине от АВЗ. Вроде все те же файлы.

---------- Добавлено в 19:45 ---------- Предыдущее сообщение было написано в 19:42 ----------

Ага. Меткий у Вас глаз.
В описании написано, что rasadhlp.dll это Remote Access AutoDial Helper. А я все службы удаленный поотключал давно.
Хотя кто же так вирус маскирует.

А winrnr.dll тоже непонятный LDAP RnR Provider DLL

OlegSh · 26.05.2011, 20:49

Цитата:

Сообщение от neigrok

Ага. Меткий у Вас глаз.

Правsй клик на этих взаимосвязях - Выгрузить dll

neigrok · 26.05.2011, 20:56

Опа. я нажал выгрузить rasadhlp.dl.
Вылезло окно, что "Generic system 32 произошла ошибка и приложение будет закрыто".
В списке процессов исчез злой svchost, который грузил ЦП.

Осталось 7 svchost. Все из адреса Систем32. Заагруз ЦП 0.

Второй драйвер не стал пока трогать.

Как закрепить успех?

OlegSh · 26.05.2011, 20:58

Возможно это служба?
Попробуйте воспользоваться утилитой Autoruns. Возможно она даст возможность это выключить.

26.05.2011, 17:33	#1 (ссылка)
neigrok Новичок Регистрация: 10.07.2010 Сообщений: 48 Репутация: 0	Маскировка под процесс svchost.exe Дорогие друзья. Помогите разобраться, пожалуйста. Последние дни комп начал жутко тормозить. Обратил внимание, что в диспетчере 8 процессов svchost.exe, обычно их было 6. 2 из них грузят ЦП по 50% каждый (в сумме 100%) Что сделано: - Прокатано антивирусами, АВЗ, отключены все возможные службы, удалено все старое, ненужное и подозрительное, простой поиск svchost.exe копий не выявил - в результате процессов svchost.exe осталось 8, но только 1 из них грузит ЦП на 50%. Этот самый 1 процесс, который грузит на 50%, запущен от имени пользователя, хотя такого быть не может, ибо легальный svchost.exe всегда имеет владельцев SYSTEM, LOCAL, NETWORК. Процесс можно просто убить и ничего страшного не происходит, но при перегрузе он появится вновь. Далее, открываем нехитрую прогу Process Explorer и видим, что 7 процессов svchost.exe рождены процессом services, т.е. легальным процессом Виндоус. В инфо-вкладках отображается список управляемых ими служб, который совпадает с меню управления службами - все ОК. Но отдельно лежит еще 1 процесс svchost.exe который и ест 50% ЦП. В родителях у него числится explorer.exe от имени пользователя. Вражина обнаружен! Но в инфо-вкладках не видно его местоположение и исполняемые файлы/команды. Важное дополнение!!! Если вынуть сетевой шнур из компа, то процесс перестает грузить ЦП на 50%, но остается в списке. При втыкании шнура на место, снова загруз ЦП 50%. Исходящего траффика нет. Все возможные службы принудительно вручную отключены/остановлены. Вопрос: Что надо сделать чтоб обнаружить заразу и пресечь ее преступную деятельность? В тему "Безопасность" обращался, логи АВЗ и ХайДжек проверили - ничего критического не видно. Прилагаю скрин (норм качество, вес 3.8 мб), где все видно. Красным помечены легальные процессы services, синим помечены процессы пользователя, в инфо-подсказке искомого процесса отсутствует описание процесса и исполняемая функция, а в окне свойств видим родителя и владельца. Курсоры в окнах указывают на причину проблемы. http://webfile.ru/5347264 Заранее благодарен. (ХР пиратка)

26.05.2011, 17:58	#3 (ссылка)
OlegSh Специалист Регистрация: 05.04.2011 Сообщений: 3,695 Записей в блоге: 18 Репутация: 378	А вы не хотите посмотреть содержимое папки C:\Document and Settings\Мишаня на предмет наличия непонятных exe и dll файлов? Только обязательно надо включить отображение скрытых и системных файлов и папок! Последний раз редактировалось OlegSh; 26.05.2011 в 18:11.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Процесс...	igorviRUS	Безопасность	4	10.04.2011 13:08
Процесс SVCHOST грузит систему(логи)	Waper32	Безопасность	15	28.03.2011 23:45
Странный процесс.	Pavlucha	Безопасность	5	28.02.2011 22:00
процесс IEXPLORE.EXE	v0vIk	Безопасность	6	14.02.2011 11:36
Неизвестный процесс	Genius	Windows XP	7	10.02.2011 00:30
Процесс Opera.exe	Kolunya	Windows XP	2	23.12.2010 13:27
Процесс svchost.exe	Romario666	Windows XP	6	06.12.2010 19:34
процесс werfalut.exe	-=GHOST=-	Безопасность	2	31.08.2010 02:13
Неизвестный процесс	Bilal	Безопасность	15	19.05.2010 23:05
Процесс svchost.exe	Кузен	Windows XP	19	09.01.2010 15:09
Маскировка Windows 2000 под XP	Мартин	Windows XP	0	07.12.2009 21:30
Процесс создания	Fresh	Веб-строительство	4	29.10.2008 08:11

26.05.2011, 18:30	#4 (ссылка)
neigrok Новичок Регистрация: 10.07.2010 Сообщений: 48 Репутация: 0	Отсмотрел, то что скрыто - не вижу ничего явно левого. Я и не очень понимаю, что там надо увидеть - вот проблема то! Автозагрузка - все мое, ничего нелегального не видно. А по факту грузится "левый" процесс при запуске. Тут умный человек подсказал попробовать кильнуть файл WINDOWS\system32\Drivers\PROCEXP141.SYS Удалил - результат интересный: процессы те же, там же, но теперь этот svchost кушает 30% ЦП - уже прогресс. Далее взял совет из моей же темы http://pchelpforum.ru/f26/t58134/ Файл igfxtray.exe не обнаружен, но в папке Prefetch имеется файл IGFXTRAY.EXE-0022F8A9.pf с датой вчерашней загрузки компа - уже ближе к телу. Значит какие-то действия этим файлом ведутся, но в компе его не видать. Дальше опять не знаю что делать.

26.05.2011, 19:12	#6 (ссылка)
neigrok Новичок Регистрация: 10.07.2010 Сообщений: 48 Репутация: 0	Пусто. Там как и у всех юзеров лежит текст и мпег ntuser. Дальше куча папок. В папках там порылся - везде тхт, мпеги, джипеги. Нашелся только в апликейшн некий ironcache.dll но он не при делах, думаю. И в темпе там 2 длл не страшных среди кучи хлама. Вроде тема избитая, а решений нет ни у кого.

26.05.2011, 19:35	#7 (ссылка)
OlegSh Специалист Регистрация: 05.04.2011 Сообщений: 3,695 Записей в блоге: 18 Репутация: 378	Почитайте вот тут: http://www.levik.info/siszyd32exe-il...-processor.htm И вот тут: http://www.smallprogs.ru/page/svchost Возможно это вам поможет. ЗЫ. Просто не хочется переписывать то, что уже написано другими ))).

26.05.2011, 20:19	#8 (ссылка)
neigrok Новичок Регистрация: 10.07.2010 Сообщений: 48 Репутация: 0	Прочитал. Все сверил. Ничего похожего не нашел. По запросу cmd tasklist /svc искомый процесс помечен Н/Д. Но, есть интересный скрин мониторинга процессов АВЗ. На скрине: Вверху экрана отмечен искомый процесс, внизу экрана список файлов с которыми он взаимодействует. Как определить какой из файлов неверный? Есть методы против Кости Сапрыкина? http://webfile.ru/5347694

26.05.2011, 20:29	#10 (ссылка)
дормидонд Эксперт Регистрация: 19.03.2010 Сообщений: 10,530 Записей в блоге: 2 Репутация: 1111	попробуйте найти ваш процесс этой утилитой http://zalil.ru/31127615

26.05.2011, 20:34	#11 (ссылка)
OlegSh Специалист Регистрация: 05.04.2011 Сообщений: 3,695 Записей в блоге: 18 Репутация: 378	У себя не нашел взаимосвязей с rasadhlp.dll, winrnr.dll

26.05.2011, 20:45	#12 (ссылка)
neigrok Новичок Регистрация: 10.07.2010 Сообщений: 48 Репутация: 0	Напротив userinit такая строка D:\WINDOWS\system32\userinit.exe, Файл svchost.exe в компьютере один. Копий не находит. Лежит где положено в Систем32\ Я то сделал или опять напутал? ---------- Добавлено в 19:42 ---------- Предыдущее сообщение было написано в 19:37 ---------- Вашей утилитой глянул. Увидел точно ту же таблицу что в скрине от АВЗ. Вроде все те же файлы. ---------- Добавлено в 19:45 ---------- Предыдущее сообщение было написано в 19:42 ---------- Ага. Меткий у Вас глаз. В описании написано, что rasadhlp.dll это Remote Access AutoDial Helper. А я все службы удаленный поотключал давно. Хотя кто же так вирус маскирует. А winrnr.dll тоже непонятный LDAP RnR Provider DLL

26.05.2011, 20:56	#14 (ссылка)
neigrok Новичок Регистрация: 10.07.2010 Сообщений: 48 Репутация: 0	Опа. я нажал выгрузить rasadhlp.dl. Вылезло окно, что "Generic system 32 произошла ошибка и приложение будет закрыто". В списке процессов исчез злой svchost, который грузил ЦП. Осталось 7 svchost. Все из адреса Систем32. Заагруз ЦП 0. Второй драйвер не стал пока трогать. Как закрепить успех?

26.05.2011, 20:58	#15 (ссылка)
OlegSh Специалист Регистрация: 05.04.2011 Сообщений: 3,695 Записей в блоге: 18 Репутация: 378	Возможно это служба? Попробуйте воспользоваться утилитой Autoruns. Возможно она даст возможность это выключить.

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads