Есть и RegMon того же Руссиновича.В регистре нашел что-то интересное
Выставьте размер лога спайдера в пару метров, приложите этот лог с полной детализацией от старта до финиша. Уберите ключевую информацию. Будем посмотреть.
---
С уважением,
Borka.
Отправлено 24 Апрель 2008 - 12:04
Есть и RegMon того же Руссиновича.В регистре нашел что-то интересное
Отправлено 24 Апрель 2008 - 12:06
Он и называется, по русски черная дверь(подогнано по смыслу). :)
Отправлено 24 Апрель 2008 - 16:31
Отправлено 24 Апрель 2008 - 16:40
Отправлено 24 Апрель 2008 - 23:56
Отправлено 25 Апрель 2008 - 00:06
Отправлено 25 Апрель 2008 - 00:13
http://technet.microsoft.com/ru-ru/sysinte...653(en-us).aspxЧто теперь?
Найдите процесс под номером 1480 в столбике PID.После перезагрузки в отчете написано24-04-2008 02:20:19 [ps] (PID = 1480) C:WINDOWSsystem32service.exe - инфицирован BackDoor.Bulknet.10024-04-2008 02:20:20 [ps] (PID = 1480) C:WINDOWSsystem32service.exe - исцелен
Отправлено 25 Апрель 2008 - 00:24
Отправлено 25 Апрель 2008 - 00:28
Не думаю что вам понятно, наша задача наити то что запускает бакдора, как сказал Борка, скорей всего он доктору не известен(дропер который запускает бакдора)Это то понятно
Отправлено 25 Апрель 2008 - 00:39
поставте агнитум Outpost Security Suite Pro или ему подобный.
Отправлено 25 Апрель 2008 - 00:39
Отправлено 25 Апрель 2008 - 01:04
Именно. Весь вопрос в том, что пондимется раньше - дроппер или ФайлМон...Задача та понятно – надо найти того кто создает файл service.exe, не так ли?
Отправлено 25 Апрель 2008 - 01:06
Это бесполезно. Во-первых, PID при старте будет каждый раз разный. Во-вторых, это [PS] - проверка при запуске, т. е. файл ужЕ существует.Найдите процесс под номером 1480 в столбике PID.
результат можно сюда. :)
Отправлено 25 Апрель 2008 - 01:06
Отправлено 25 Апрель 2008 - 01:10
Отправлено 25 Апрель 2008 - 01:15
РегМон и ФайлМон настроены? В смысле "Options" -> "Filter/Highlight" в обоих и "Volumes" в ФайлМоне?в логах РегМонитора и в ФайлМонитора PID 1812 нет
Отправлено 25 Апрель 2008 - 01:22
Отправлено 25 Апрель 2008 - 01:35
Отправлено 25 Апрель 2008 - 01:49
0 пользователей, 0 гостей, 0 скрытых