svchost.exe -k netsvcs от имени пользователя, Новый вирус |
Здравствуйте, гость ( Вход | Регистрация )
svchost.exe -k netsvcs от имени пользователя, Новый вирус |
6.9.2011, 18:08
Сообщение
#1
|
|
Администратор Группа: Главные администраторы Сообщений: 14349 Регистрация: 12.10.2007 Из: Twilight Zone Пользователь №: 1 |
Уже второй раз сталкиваюсь с новым типом вируса, симптомы как здесь:
http://forum.oszone.net/thread-208647.html Т.е. если смотреть из под Process Explorer, запускается %windir%\system32\svchost.exe от имени пользователя, т.е. процесс запустивший его - explorer.exe ... ключи командной строки: "-k netsvcs", рабочая папка %USERPROFILE% ... запускаться может от одного, до нескольких экземпляров. Причем, svchost.exe и explorer.exe соответствуют дистрибутивным. Как и чем они запускаются (вернее чем-то понятно, а вот как) выяснить не удалось. Настройки HKLM\System\CurrentControlSet\Services вроде нормальные. Загрузка системы этими процессами под 100% ... Еще выяснил вот что ... одновременно с ними в папке %Userprofile%\...\Главное меню\Программы\Автозагрузка присутствует скрытый exe'шник ... иногда это igfxtray.exe (маскируется под драйвера Intel'овской видеокарты), иногда случайное буквенно-цифровое имя. Так вот, если его прибить, то загрузка CPU пропадает. Но процесс svchost.exe от имени пользователя (!) все равно запускается ... p.s. В данный момент идет "разбор полетов", что и как ... -------------------- |
|
|
6.9.2011, 18:18
Сообщение
#2
|
|
Администратор Группа: Главные администраторы Сообщений: 14349 Регистрация: 12.10.2007 Из: Twilight Zone Пользователь №: 1 |
Просканировал систему ComboFix (взять можно здесь,
здесь или здесь) ... вот лог сканирования: log.7z ( 3,56 килобайт ) Кол-во скачиваний: 181 Код ComboFix 11-09-06.03 - Администратор 06.09.2011 17:54:09.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1251.7.1049.18.767.408 [GMT 4:00] Running from: c:\documents and settings\Администратор\Рабочий стол\Upload\ComboFix.exe AV: ESET NOD32 Antivirus 4.0 *Disabled/Updated* {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0} . WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . . c:\documents and settings\Администратор\Главное меню\Программы\Автозагрузка\igfxtray.exe c:\documents and settings\Администратор\Application Data\igfxtray.dat c:\documents and settings\Администратор\Application Data\KYL c:\documents and settings\Администратор\Application Data\KYL\fi.dat c:\documents and settings\Администратор\Application Data\Microsoft\Internet Explorer\qsTAtsrv.dll c:\documents and settings\Администратор\Local Settings\Application Data\ApplicationHistory c:\documents and settings\Администратор\Local Settings\Application Data\ApplicationHistory\caspol.exe.f62feae4.ini c:\documents and settings\Администратор\WINDOWS c:\program files\Common Files\bssrepp c:\program files\Common Files\bssrepp\path.txt c:\program files\Common Files\keylog.txt c:\windows\AutoRun.ini c:\windows\system32\AdmDll.dll c:\windows\system32\drivers\wdreg.exe c:\windows\system32\ieunitdrf.inf c:\windows\system32\raddrv.dll c:\windows\system32\srcsize32d.dat c:\windows\system32\tmp.tmp . . ((((((((((((((((((((((((( Files Created from 2011-08-06 to 2011-09-06 ))))))))))))))))))))))))))))))) . . 2011-09-06 09:23 . 2011-09-06 09:23 -------- d-----w- c:\program files\trend micro 2011-09-06 09:23 . 2011-09-06 09:23 -------- d-----w- C:\rsit 2011-09-05 06:36 . 2011-09-06 06:11 -------- d-----w- c:\documents and settings\Администратор\Application Data\MicroST 2011-08-29 04:43 . 2011-08-29 04:43 -------- d-----w- c:\documents and settings\Администратор\Local Settings\Application Data\Google 2011-08-29 04:43 . 2011-08-29 04:43 -------- d-----w- c:\documents and settings\Администратор\Local Settings\Application Data\Bromium . . . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2011-09-06 13:40 . 2009-10-30 10:41 700416 ----a-w- c:\windows\system32\advapi32.$$$ 2011-08-30 04:40 . 2011-05-26 05:59 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl 2011-07-27 10:53 . 2011-07-27 10:54 73728 ----a-w- c:\windows\system32\javacpl.cpl 2011-07-27 10:53 . 2011-07-27 10:54 472808 ----a-w- c:\windows\system32\deployJava1.dll 2010-11-16 10:02 . 2010-11-16 08:38 18734784 ----a-w- c:\program files\WDM_A406.exe 2010-11-11 07:37 . 2010-11-11 07:37 955784 ----a-w- c:\program files\SkypeSetup.exe 2010-07-26 11:31 . 2010-07-26 11:29 16634027 ----a-w- c:\program files\qs_free.exe 2010-07-21 04:53 . 2010-07-21 04:48 9676728 ----a-w- c:\program files\FirefoxSetup.exe 2011-09-01 04:53 . 2011-03-23 11:18 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll . . ------- Sigcheck ------- Note: Unsigned files aren't necessarily malware. . [-] 2009-02-24 . F5E8B729CE74757A6635FED21614DE50 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "VistaIcon"="c:\program files\VistaDriveIcon\VistaDrv.exe" [2008-03-23 132096] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-09-24 7626752] "nwiz"="nwiz.exe" [2006-09-24 1519616] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-09-24 86016] "egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-05-14 2029640] "SoundMan"="SOUNDMAN.EXE" [2007-04-16 577536] "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-04-08 254696] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-15 15360] "VistaIcon"="c:\program files\VistaDriveIcon\VistaDrv.exe" [2008-03-23 132096] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "IE7_011"="shell32" [X] "IE7_012"="advpack.dll" [2008-04-15 100352] . c:\documents and settings\Ђ¤¬ЁЁбва в®а\ѓ« ў®Ґ ¬Ґо\Џа®Ја ¬¬л\Ђўв®§ Јаг§Є \ Punto Switcher.lnk - c:\program files\Yandex\Punto Switcher\punto.exe [2011-6-29 2451304] . [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoThumbnailCache"= 1 (0x1) "NoSMConfigurePrograms"= 1 (0x1) "NoSMHelp"= 1 (0x1) . [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, mqnkapfc.dll . [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\R5BaseSmc] @="" . [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SCardSvr] @="" . [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\token] @="" . [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{50DD5230-BA8A-11D1-BF5D-0000F805F530}] @="" . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] 2008-01-11 18:16 39792 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe . [HKEY_LOCAL_MACHINE\software\microsoft\security center] "FirewallOverride"=dword:00000001 "UpdatesOverride"=dword:00000001 "AntiVirusOverride"=dword:00000001 . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) "DisableNotifications"= 1 (0x1) . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\WINDOWS\\system32\\CNAB4RPK.EXE"= "c:\\Program Files\\Opera\\opera.exe"= "c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"= "c:\windows\system32\r_server.exe"= c:\windows\system32\r_server.exe:192.168.0.0/255.255.255.0,192.168.1.0/255.255.255.0:Enabled:Radmin Server "c:\\Program Files\\Skype\\Phone\\Skype.exe"= . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 "17413:TCP"= 17413:TCP . R2 cpinit;Служба инициализации Крипто-Про CSP;c:\program files\Crypto Pro\CSP\cpinit.exe [30.10.2009 14:41 114688] R2 cprmcsp;Служба хранения и использования ключей Крипто-Про CSP;c:\program files\Crypto Pro\CSP\cprmcsp.exe [30.10.2009 14:41 458752] R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [07.04.2010 21:07 731840] R3 R5BaseSmc;USB Token Holder Service;c:\windows\system32\drivers\smccard.sys [30.03.2010 16:09 12800] S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [24.07.2009 10:54 717296] S1 ehdrv;ehdrv;c:\windows\system32\DRIVERS\ehdrv.sys --> c:\windows\system32\DRIVERS\ehdrv.sys [?] S1 epfwtdir;epfwtdir;c:\windows\system32\DRIVERS\epfwtdir.sys --> c:\windows\system32\DRIVERS\epfwtdir.sys [?] S2 r_server;Remote Administrator Service;c:\windows\system32\r_server.exe [15.06.2010 13:03 241664] S3 token;USB Token Service;c:\windows\system32\drivers\eps2kt1.sys [30.03.2010 16:09 21888] S4 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\McAfee Security Scan\2.0.181\McCHSvc.exe [15.01.2010 16:49 227232] . --- Other Services/Drivers In Memory --- . *Deregistered* - PROCEXP141 . . ------- Supplementary Scan ------- . uStart Page = hxxp://www.yandex.ru/?clid=37245 uDefault_Search_URL = hxxp://search.qip.ru mStart Page = about:blank mSearch Bar = uInternet Connection Wizard,ShellNext = hxxp://www.yandex.ru/?clid=41279 uSearchAssistant = hxxp://search.qip.ru/ie IE: &Экспорт в Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 IE: {{39AA6D29-4236-4F25-A36A-3410EF5283D9} - {39AA6D29-4236-4F25-A36A-3410EF5283D9} - c:\progra~1\PIVIMM~1\MULTIS~1.DLL TCP: DhcpNameServer = 192.168.1.1 DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab FF - ProfilePath - c:\documents and settings\Администратор\Application Data\Mozilla\Firefox\Profiles\aed9jcsh.default\ FF - prefs.js: browser.search.selectedEngine - Яндекс FF - prefs.js: browser.startup.homepage - hxxp://www.yandex.ru/ FF - prefs.js: keyword.URL - hxxp://search.qip.ru/search?from=FF&query= . - - - - ORPHANS REMOVED - - - - . HKU-Default-RunOnce-tscuninstall - c:\windows\system32\tscupgrd.exe AddRemove-QIP 2010 - c:\program files\QIP 2010\unins000.exe . . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2011-09-06 18:04 Windows 5.1.2600 Service Pack 3 NTFS . scanning hidden processes ... . scanning hidden autostart entries ... . scanning hidden files ... . scan completed successfully hidden files: 0 . ************************************************************************** . Completion time: 2011-09-06 18:06:15 ComboFix-quarantined-files.txt 2011-09-06 14:05 . Pre-Run: 27 085 209 600 байт свободно Post-Run: 28 923 023 360 байт свободно . Current=3 Default=3 Failed=0 LastKnownGood=5 Sets=1,2,3,4,5 - - End Of File - - 0A0FD505619DB2013ED6BDA68A4AB769 -------------------- |
|
|
6.9.2011, 18:39
Сообщение
#3
|
|
Администратор Группа: Главные администраторы Сообщений: 14349 Регистрация: 12.10.2007 Из: Twilight Zone Пользователь №: 1 |
Как видно, проблема была именно вот в этом:
Код c:\documents and settings\Администратор\Главное меню\Программы\Автозагрузка\igfxtray.exe c:\documents and settings\Администратор\Application Data\igfxtray.dat После удаления этих файлов процесс svchost.exe от имени пользователя перестал появляться в системе. К сожалению содержимое "C:\Qoobox\Quarantine\" сохранить не удалось, т.к. ComboFix при деинсталляции (ComboFix /Uninstall) стер все следы своего присутствия в системе, в том числе и карантин. Поэтому собственно анализировать больше нечего -------------------- |
|
|
9.11.2011, 0:00
Сообщение
#4
|
|
Junior Member Группа: Пользователи Сообщений: 68 Регистрация: 19.11.2009 Пользователь №: 384 |
Нада заразится ещё раз))
|
|
|
24.10.2012, 16:00
Сообщение
#5
|
|
Junior Member Группа: Пользователи Сообщений: 84 Регистрация: 13.10.2007 Пользователь №: 8 |
Прошел год... А гадость все жива, сегодня вот вылавливал, на этот раз научилась прятаться в бутсекторе загрузочного раздела. Прогресс за год хоть небольшой, но есть
|
|
|
24.10.2012, 16:07
Сообщение
#6
|
|
Администратор Группа: Главные администраторы Сообщений: 14349 Регистрация: 12.10.2007 Из: Twilight Zone Пользователь №: 1 |
Прошел год... А гадость все жива, сегодня вот вылавливал, на этот раз научилась прятаться в бутсекторе загрузочного раздела. Прогресс за год хоть небольшой, но есть А каким образом это проявлялось? Т.е. фактически, что делал код вредоноса находящийся в MBR/PBR? Например, при загрузке ОС автоматически помещал exe'шник в папку автозагрузки или что? -------------------- |
|
|
26.10.2012, 17:41
Сообщение
#7
|
|
Администратор Группа: Главные администраторы Сообщений: 14349 Регистрация: 12.10.2007 Из: Twilight Zone Пользователь №: 1 |
© http://news.drweb.com/show/?c=5&i=2927&lng=ru
Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщает о распространении новой троянской программы Trojan.GBPBoot.1, обладающей интересным механизмом самовосстановления. С точки зрения реализуемых данным троянцем вредоносных функций, Trojan.GBPBoot.1 можно назвать довольно примитивной вредоносной программой: она способна загружать с удаленных серверов и запускать на инфицированном компьютере различные исполняемые файлы либо запускать программы, не хранящиеся непосредственно на компьютере жертвы. Этим ее деструктивный функционал исчерпывается. Однако интересен этот троянец прежде всего тем, что имеет возможность серьезно противодействовать попыткам его удаления. Trojan.GBPBoot.1 состоит из нескольких модулей. Первый из них модифицирует главную загрузочную запись (MBR) на жестком диске компьютера, после чего записывает в конец подходящего раздела (вне файловой системы) модуль вирусного инсталлятора, модуль автоматического восстановления троянца, архив с файлом explorer.exe и сектор с конфигурационными данными. После чего помещает в системную папку вирусный инсталлятор, запускает его, а собственный файл удаляет. После собственного запуска вирусный инсталлятор сохраняет в системную папку конфигурационный файл и динамическую библиотеку, которую регистрирует в системе в качестве системной службы. Затем инсталлятор запускает эту службу и самоудаляется. В свою очередь, системная служба загружает хранящийся в системной папке конфигурационный файл (либо читает конфигурационные данные, ранее сохраненные на диск дроппером), устанавливает связь с удаленным управляющим сервером, передает ему сведения об инфицированной системе и пытается загрузить на зараженный компьютер передаваемые сервером исполняемые файлы. Если скачать эти файлы не удалось, повторное соединение устанавливается после следующей перезагрузки системы. В случае если по каким-либо причинам происходит удаление файла вредоносной службы (например, в результате сканирования диска антивирусной программой), срабатывает механизм самовосстановления. С использованием модифицированной троянцем загрузочной записи в момент запуска компьютера стартует процедура проверки наличия на диске файла вредоносной системной службы, при этом поддерживаются файловые системы стандартов NTFS и FAT32. В случае его отсутствия Trojan.GBPBoot.1 перезаписывает стандартный файл explorer.exe собственным, содержащим «инструмент самовосстановления», после чего он запускается одновременно с загрузкой ОС Windows. Получив управление, вредоносный экземпляр explorer.exe повторно инициирует процедуру заражения, после чего восстанавливает и запускает оригинальный explorer.exe. Таким образом, простое сканирование системы различными антивирусными программами может не привести к ожидаемому результату, поскольку троянец способен восстанавливать себя в защищаемой системе. Антивирусное ПО Dr.Web располагает механизмами обнаружения и лечения данной угрозы, в том числе позволяет восстанавливать поврежденную загрузочную запись, поэтому Trojan.GBPBoot.1 не представляет серьезной опасности для пользователей продуктов «Доктор Веб». -------------------- |
|
|
Текстовая версия | Сейчас: 26.4.2024, 15:45 | |