Есть и RegMon того же Руссиновича.В регистре нашел что-то интересное
Выставьте размер лога спайдера в пару метров, приложите этот лог с полной детализацией от старта до финиша. Уберите ключевую информацию. Будем посмотреть.
---
С уважением,
Borka.
service.exe - инфицирован BackDoor.Bulknet.100
Автор
jjoosseepphh
, апр 24 2008 00:10
96 ответов в этой теме
#21
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 24 Апрель 2008 - 12:04
Выставьте размер лога спайдера в пару метров, приложите этот лог с полной детализацией от старта до финиша. Уберите ключевую информацию. Будем посмотреть.
---
С уважением,
Borka.
#22
drwebuser
-
- Members
- 12 Сообщений:
Newbie
Отправлено 24 Апрель 2008 - 12:06
Он и называется, по русски черная дверь(подогнано по смыслу). :)
Не "черная дверь" (черный - black), а "задняя дверь" (back - сзади, позади).
Т.е. с помощью него злоумышленник открывает себе дверь в систему.
#23
jjoosseepphh
-
- Posters
- 136 Сообщений:
Member
Отправлено 24 Апрель 2008 - 16:31
Не понял про каких RegMon и FileMon идет речь
Объясните плиз
Объясните плиз
#24
pig
-
- Helpers
- 10 855 Сообщений:
Бредогенератор
#25
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 24 Апрель 2008 - 16:40
http://www.microsoft.com/rus/technet/sysin...es/Filemon.mspx
http://www.microsoft.com/rus/technet/sysin...ies/regmon.mspx
---
С уважением,
Borka.
http://www.microsoft.com/rus/technet/sysin...ies/regmon.mspx
---
С уважением,
Borka.
#26
jjoosseepphh
-
- Posters
- 136 Сообщений:
Member
Отправлено 24 Апрель 2008 - 23:56
Скачал регМонитор и ФайлМонит
Что теперь? В автозапуск бросит их м перезагрузить комп? И смотреть лог?
Что теперь? В автозапуск бросит их м перезагрузить комп? И смотреть лог?
#27
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 25 Апрель 2008 - 00:06
Если опыта у Вас нет, то
http://support.drweb.com/request либо
http://new-forum.drweb.com/mod/forum/threa...=35657#msg35657
---
С уважением,
Borka.
http://support.drweb.com/request либо
http://new-forum.drweb.com/mod/forum/threa...=35657#msg35657
---
С уважением,
Borka.
#28
account has been deleted
-
- Posters
- 2 837 Сообщений:
Massive Poster
Отправлено 25 Апрель 2008 - 00:13
http://technet.microsoft.com/ru-ru/sysinte...653(en-us).aspxЧто теперь?
Process Explorer
http://technet.microsoft.com/ru-ru/sysinte...645(en-us).aspx
Process Monitor
что есть из этого запустите. :)
в окне программы(и той и другой) есть столбик PID
Найдите процесс под номером 1480 в столбике PID.После перезагрузки в отчете написано24-04-2008 02:20:19 [ps] (PID = 1480) C:WINDOWSsystem32service.exe - инфицирован BackDoor.Bulknet.10024-04-2008 02:20:20 [ps] (PID = 1480) C:WINDOWSsystem32service.exe - исцелен
результат можно сюда. :)
#29
jjoosseepphh
-
- Posters
- 136 Сообщений:
Member
Отправлено 25 Апрель 2008 - 00:24
Это то понятно ноя спрашивал по поводу того как сделать чтоб при запуске создавался лог файлов и регистров, вед при запуске вылезает этот зараза и сразу же хватает его ДрВеб
#30
account has been deleted
-
- Posters
- 2 837 Сообщений:
Massive Poster
Отправлено 25 Апрель 2008 - 00:28
Не думаю что вам понятно, наша задача наити то что запускает бакдора, как сказал Борка, скорей всего он доктору не известен(дропер который запускает бакдора)Это то понятно
#31
NetSky
-
- Members
- 2 Сообщений:
Newbie
Отправлено 25 Апрель 2008 - 00:39
поставте агнитум Outpost Security Suite Pro или ему подобный.
Лишняя трата ресурсов ;-)
"Living is easy with eyes closed..."
#32
jjoosseepphh
-
- Posters
- 136 Сообщений:
Member
Отправлено 25 Апрель 2008 - 00:39
Задача та понятно – надо найти того кто создает файл service.exe, не так ли?
Сейчас кинул ярлыки РегМонитора и ФайлМонитора в Автозапуск и посмотрю что будет
Сейчас кинул ярлыки РегМонитора и ФайлМонитора в Автозапуск и посмотрю что будет
#33
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 25 Апрель 2008 - 01:04
Именно. Весь вопрос в том, что пондимется раньше - дроппер или ФайлМон...Задача та понятно – надо найти того кто создает файл service.exe, не так ли?
---
С уважением,
Borka.
#34
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 25 Апрель 2008 - 01:06
Это бесполезно. Во-первых, PID при старте будет каждый раз разный. Во-вторых, это [PS] - проверка при запуске, т. е. файл ужЕ существует.Найдите процесс под номером 1480 в столбике PID.
результат можно сюда. :)
---
С уважением,
Borka.
#35
jjoosseepphh
-
- Posters
- 136 Сообщений:
Member
Отправлено 25 Апрель 2008 - 01:06
кинул ярлыки РегМонитора и ФайлМонитора в Автозапуск
перезапустил комп
в spidernt
25-04-2008 01:45:59 [PS] (PID = 1812) C:WINDOWSsystem32service.exe - инфицирован BackDoor.Bulknet.100
25-04-2008 01:45:59 [PS] (PID = 1812) C:WINDOWSsystem32service.exe – исцелен
в логах РегМонитора и в ФайлМонитора PID 1812 нет
да еще про действие компа при загрузке, забил отметит раньше, может оно будет играть какой то роль в расследовании ; - )
при загрузке винда на мониторе появляется рабочий столь с ярлыками - загружается система, через секунд 1-2 все ярлыки, кнопка пуск и панель задач исчезают – остается только фоновой рисунок. Через секунд 5-8 все появляется на свое место и spider пишет …… исцелено 1 …..
перезапустил комп
в spidernt
25-04-2008 01:45:59 [PS] (PID = 1812) C:WINDOWSsystem32service.exe - инфицирован BackDoor.Bulknet.100
25-04-2008 01:45:59 [PS] (PID = 1812) C:WINDOWSsystem32service.exe – исцелен
в логах РегМонитора и в ФайлМонитора PID 1812 нет
да еще про действие компа при загрузке, забил отметит раньше, может оно будет играть какой то роль в расследовании ; - )
при загрузке винда на мониторе появляется рабочий столь с ярлыками - загружается система, через секунд 1-2 все ярлыки, кнопка пуск и панель задач исчезают – остается только фоновой рисунок. Через секунд 5-8 все появляется на свое место и spider пишет …… исцелено 1 …..
#36
jjoosseepphh
-
- Posters
- 136 Сообщений:
Member
Отправлено 25 Апрель 2008 - 01:10
Я и про это говорил, что как можно сделать так что мониторы загружались самими первыми, а мне указывали что я не хрена не понял
#37
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 25 Апрель 2008 - 01:15
РегМон и ФайлМон настроены? В смысле "Options" -> "Filter/Highlight" в обоих и "Volumes" в ФайлМоне?в логах РегМонитора и в ФайлМонитора PID 1812 нет
---
С уважением,
Borka.
#38
jjoosseepphh
-
- Posters
- 136 Сообщений:
Member
Отправлено 25 Апрель 2008 - 01:22
Volumes
–––––––––
Выбрано диск C и D – больше физических или виртуальных дисков у меня нет на что можно было бы создать временные файлы
Filter/Highlight
--------------
Установлено установки по умолчанью
Include *
Exclude – пусто
Highlight – пусто
–––––––––
Выбрано диск C и D – больше физических или виртуальных дисков у меня нет на что можно было бы создать временные файлы
Filter/Highlight
--------------
Установлено установки по умолчанью
Include *
Exclude – пусто
Highlight – пусто
#39
jjoosseepphh
-
- Posters
- 136 Сообщений:
Member
Отправлено 25 Апрель 2008 - 01:35
что посоветуйте? Как будем искать того паразита который создает файл service.exe
#40
jjoosseepphh
-
- Posters
- 136 Сообщений:
Member
Отправлено 25 Апрель 2008 - 01:49
Погодите, сам файл service.exe я поймал!!!
В настройках spider для заряженных объектов место исцеление поставил переместить в карантин и в папке C:Program FilesDrWebinfected.!!! был перемешен файл service.exe
Выслать его к Вам? Поможет в расследовании?
В настройках spider для заряженных объектов место исцеление поставил переместить в карантин и в папке C:Program FilesDrWebinfected.!!! был перемешен файл service.exe
Выслать его к Вам? Поможет в расследовании?
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых
