96 ответов в этой теме

[jjoosseepphh]

При каждой загрузке системы SpIDer Guard находит вирус файле service.exe и в отчете пишет

C:WINDOWSsystem32service.exe - инфицирован BackDoor.Bulknet.100
C:WINDOWSsystem32service.exe – исцелен

Интересно то что сам физически файл service.exe в директории C:WINDOWSsystem32 не существует, видно какая – то программа создает его и потом стирает

И при полной проверки системы вирусов тоже не обнаруживается

Если кто то сталкивался аналогичной проблемой, прошу поделитесь практикой его исцеления

[account has been deleted]

И при полной проверки системы вирусов тоже не обнаруживается

Он и называется, по русски черная дверь(подогнано по смыслу). :)
Интернет вырубите, безопасный режим, после не включяя интернет, поставте агнитум Outpost Security Suite Pro или ему подобный.
Кстате воспользуйтесь советом борки, перед лечением wiki.drweb.com/index.php/SpIDer_Guard%C2%AE

[Borka]

перед лечением wiki.drweb.com/index.php/SpIDer_Guard%C2%AE

Особенно нужно
LogPID=DWORD
Тогда можно будет увидеть, кто дроппает бэкдора. Похоже, дроппер неизвестен. :(


---
С уважением,
Borka.

[jjoosseepphh]

Как мне поступить, прошу объясните
Как понял в регистр добавить

[HKLMSYSTEMCurrentControlSetServicesSPIDER]
LogPID=DWORD
LogSource=DWORD
LogTimer=DWORD

и что из этого будет? Узнаем дроппера?

[Borka]

Как понял в регистр добавить

В реестр добавить эти ключи как "Параметр DWORD" (REG_DWORD) со значением 1. LogTimer не очень нужен.

и что из этого будет? Узнаем дроппера?

Примерно да. Будет что-то вроде такого:
24-04-2008 01:02:29 #01 [CL] (PID = 3624) F:zzzzHackDef.sys - iнфiкований BackDoor.HackDef
24-04-2008 01:02:30 #01 [CL] (PID = 3624) F:zzzzHackDef.sys - зцiлений
Процесс с PID=3624 - инициатор записи вируса. У меня это ФАР. :)
У Вас может быть по-разному. ;) Например, это может быть svchost или еще какой-нить...

---
С уважением,
Borka.

[jjoosseepphh]

Добавил следующее в регистре

[hklmsystemcurrentcontrolsetservicesspider]
LogPID=1
LogSource=1

После перезагрузки в отчете написано

24-04-2008 02:20:19 [PS] (PID = 1480) C:WINDOWSsystem32service.exe - инфицирован BackDoor.Bulknet.100
24-04-2008 02:20:20 [PS] (PID = 1480) C:WINDOWSsystem32service.exe - исцелен

[pig]

Остаётся позвать диспетчер задач и найти там процесс с PID = 1480

[jjoosseepphh]

Диспетчер задач открыл, зашел в кладку Процессы
Потом? Что то PID-ов не видно

[Borka]

"Вид" -> "Выбрать столбцы" -> "PID".

---
С уважением,
Borka.

[jjoosseepphh]

Там нет таково
PID-а (1480)

[Borka]

Там нет таково
PID-а (1480)

Стоп! Что-то не то:
24-04-2008 02:20:19 [ps] (PID = 1480) C:WINDOWSsystem32service.exe - инфицирован BackDoor.Bulknet.100
24-04-2008 02:20:20 [ps] (PID = 1480) C:WINDOWSsystem32service.exe - исцелен
[PS] - это Process Start, то есть файл service.exe к этому моменту ужЕ есть. Поэтому и PID'а такого нет. СмотрИте в лог раньше по времени, раз говорите, что файла в каталоге нет. Значит, он как-то должен записАться туда.
Должно быть что-то вроде
24-04-2008 чч:мм:сс [CL] (PID = xxxx) C:WINDOWSsystem32service.exe -> вот это интереснее.


---
С уважением,
Borka.

[jjoosseepphh]

Такого нечего не смог найти в spidernt

При следующем перезагрузке написал

24-04-2008 02:37:53 [PS] (PID = 408) C:WINDOWSsystem32service.exe - инфицирован BackDoor.Bulknet.100
24-04-2008 02:37:53 [PS] (PID = 408) C:WINDOWSsystem32service.exe - исцелен

[Borka]

Такого нечего не смог найти в spidernt

Детализация лога полная?

---
С уважением,
Borka.

[jjoosseepphh]

В смысле?

[Borka]

В смысле?

"Настройки" -> "Отчет" -> "Детали". Поставить все птицы.

---
С уважением,
Borka.

[jjoosseepphh]

Сделал как Вы сказали
Перезагрузил

Написано
24-04-2008 02:55:09 [PS] (PID = 1592) C:WINDOWSsystem32service.exe - инфицирован BackDoor.Bulknet.100
24-04-2008 02:55:09 [PS] (PID = 1592) C:WINDOWSsystem32service.exe - исцелен

До него про service.exe нечего нет

[Borka]

До него про service.exe нечего нет

:( Идей нет. Беру таймаут до завтра...

---
С уважением,
Borka.

[jjoosseepphh]

Ок. я тоже пойду спать
Уже 3 часа ночи :-0

P.S. может существует какая-то то программа логгер операции (деиствии) windows-а

[jjoosseepphh]

В регистре нашел что-то интересное


[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"Service Control Manager"="service.exe"

Но сам файл service.exe на моем компьютере нет
Странно :-0

[Borka]

может существует какая-то то программа логгер операции (деиствии) windows-а

Есть - FileMon Руссинновича.

---
С уважением,
Borka.