service.exe - инфицирован BackDoor.Bulknet.100
#1
Отправлено 24 Апрель 2008 - 00:10
C:WINDOWSsystem32service.exe - инфицирован BackDoor.Bulknet.100
C:WINDOWSsystem32service.exe – исцелен
Интересно то что сам физически файл service.exe в директории C:WINDOWSsystem32 не существует, видно какая – то программа создает его и потом стирает
И при полной проверки системы вирусов тоже не обнаруживается
Если кто то сталкивался аналогичной проблемой, прошу поделитесь практикой его исцеления
#2
Отправлено 24 Апрель 2008 - 00:26
Он и называется, по русски черная дверь(подогнано по смыслу). :)И при полной проверки системы вирусов тоже не обнаруживается
Интернет вырубите, безопасный режим, после не включяя интернет, поставте агнитум Outpost Security Suite Pro или ему подобный.
Кстате воспользуйтесь советом борки, перед лечением wiki.drweb.com/index.php/SpIDer_Guard%C2%AE
#3
Отправлено 24 Апрель 2008 - 00:35
Особенно нужноперед лечением wiki.drweb.com/index.php/SpIDer_Guard%C2%AE
LogPID=DWORD
Тогда можно будет увидеть, кто дроппает бэкдора. Похоже, дроппер неизвестен. :(
---
С уважением,
Borka.
#4
Отправлено 24 Апрель 2008 - 00:58
Как понял в регистр добавить
[HKLMSYSTEMCurrentControlSetServicesSPIDER]
LogPID=DWORD
LogSource=DWORD
LogTimer=DWORD
и что из этого будет? Узнаем дроппера?
#5
Отправлено 24 Апрель 2008 - 01:09
В реестр добавить эти ключи как "Параметр DWORD" (REG_DWORD) со значением 1. LogTimer не очень нужен.Как понял в регистр добавить
Примерно да. Будет что-то вроде такого:и что из этого будет? Узнаем дроппера?
24-04-2008 01:02:29 #01 [CL] (PID = 3624) F:zzzzHackDef.sys - iнфiкований BackDoor.HackDef
24-04-2008 01:02:30 #01 [CL] (PID = 3624) F:zzzzHackDef.sys - зцiлений
Процесс с PID=3624 - инициатор записи вируса. У меня это ФАР. :)
У Вас может быть по-разному. ;) Например, это может быть svchost или еще какой-нить...
---
С уважением,
Borka.
#6
Отправлено 24 Апрель 2008 - 01:20
[hklmsystemcurrentcontrolsetservicesspider]
LogPID=1
LogSource=1
После перезагрузки в отчете написано
24-04-2008 02:20:19 [PS] (PID = 1480) C:WINDOWSsystem32service.exe - инфицирован BackDoor.Bulknet.100
24-04-2008 02:20:20 [PS] (PID = 1480) C:WINDOWSsystem32service.exe - исцелен
#7
Отправлено 24 Апрель 2008 - 01:22
#8
Отправлено 24 Апрель 2008 - 01:25
Потом? Что то PID-ов не видно
#9
Отправлено 24 Апрель 2008 - 01:26
---
С уважением,
Borka.
#10
Отправлено 24 Апрель 2008 - 01:28
PID-а (1480)
#11
Отправлено 24 Апрель 2008 - 01:34
Стоп! Что-то не то:Там нет таково
PID-а (1480)
24-04-2008 02:20:19 [ps] (PID = 1480) C:WINDOWSsystem32service.exe - инфицирован BackDoor.Bulknet.100
24-04-2008 02:20:20 [ps] (PID = 1480) C:WINDOWSsystem32service.exe - исцелен
[PS] - это Process Start, то есть файл service.exe к этому моменту ужЕ есть. Поэтому и PID'а такого нет. СмотрИте в лог раньше по времени, раз говорите, что файла в каталоге нет. Значит, он как-то должен записАться туда.
Должно быть что-то вроде
24-04-2008 чч:мм:сс [CL] (PID = xxxx) C:WINDOWSsystem32service.exe -> вот это интереснее.
---
С уважением,
Borka.
#12
Отправлено 24 Апрель 2008 - 01:40
При следующем перезагрузке написал
24-04-2008 02:37:53 [PS] (PID = 408) C:WINDOWSsystem32service.exe - инфицирован BackDoor.Bulknet.100
24-04-2008 02:37:53 [PS] (PID = 408) C:WINDOWSsystem32service.exe - исцелен
#13
Отправлено 24 Апрель 2008 - 01:42
Детализация лога полная?Такого нечего не смог найти в spidernt
---
С уважением,
Borka.
#14
Отправлено 24 Апрель 2008 - 01:45
#15
Отправлено 24 Апрель 2008 - 01:48
"Настройки" -> "Отчет" -> "Детали". Поставить все птицы.В смысле?
---
С уважением,
Borka.
#16
Отправлено 24 Апрель 2008 - 01:58
Перезагрузил
Написано
24-04-2008 02:55:09 [PS] (PID = 1592) C:WINDOWSsystem32service.exe - инфицирован BackDoor.Bulknet.100
24-04-2008 02:55:09 [PS] (PID = 1592) C:WINDOWSsystem32service.exe - исцелен
До него про service.exe нечего нет
#17
Отправлено 24 Апрель 2008 - 02:00
:( Идей нет. Беру таймаут до завтра...До него про service.exe нечего нет
---
С уважением,
Borka.
#18
Отправлено 24 Апрель 2008 - 02:02
Уже 3 часа ночи :-0
P.S. может существует какая-то то программа логгер операции (деиствии) windows-а
#19
Отправлено 24 Апрель 2008 - 02:41
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"Service Control Manager"="service.exe"
Но сам файл service.exe на моем компьютере нет
Странно :-0
#20
Отправлено 24 Апрель 2008 - 11:58
Есть - FileMon Руссинновича.может существует какая-то то программа логгер операции (деиствии) windows-а
---
С уважением,
Borka.
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых