TechMaster Публикувано Май 24, 2010 Report Share Публикувано Май 24, 2010 Моля за информация относно следните процесиpacuon.exe и hehookizoo.exeИ двата процеса водят към Windows32 като pacuon.exe води към реално не съществуващ файл.hehookizoo.exe води към C:\Windows\system32\hehookizoo.exeОписанието според Process Explorer е- Kernel Mode Driver Managerhehoriozoo се появява отново след изтриване през LinuxLiveCDRootKit скенерите казват, че всичко е чисто.Антивирусната(Аvira)+МBAM+Combofix не намират нищо.Системата е след почистване вируси от флашка.Virus Total относно hehookizoo.exeVirusTotalПроцесите изразходват около 2500kb, като от всеки са по 1-2 на бройНяма никаква мрежова активност от двата процеса.Няма почти никаква процесорна активност като изключим StartUp, където има някаква активност от тях.Блокирах временно hehookizoo.exe с Local Security Policy и не се стартира.Но това не е решение.Другият процес просто води към несъществуващ изпълним файл, който не мога да намеря под Windows и LinuxИнтересува е какво подяволите е това...Процесите се водят от SystemСистемата не е моя, на мой познат е и няма да имам достъп до нея скоро.Благодаря на всеки компетен, който се изкаже.Големината на hehookizoo.exe е 318,464 bytesПроцесът буди сериозно подозрение в мен, че нещо не е наред...Прикачам hehookizoo.exe със сменено разширение- .zip, тъй като exe не е позволено.Tеглите и отваряте НА ВАША отговорност!!! Информацията от Publisher ме води тук 1http://www.freewebs.com/four-f/Отваряте на ваша отговорност!hehookizoo.zip Цитирай Link to comment Сподели другаде More sharing options...
Гост master7 Публикувано Май 24, 2010 Report Share Публикувано Май 24, 2010 Google отвори едва 5 резултата за тези процеси. Явно нещо ново ново на хоризонта. Ми ти самият като не знаеш какви са какво ,чакаш - Килни ги. И виж какво стартира с Windows и разкарай всичко което ти е съмнително. Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Май 25, 2010 Report Share Публикувано Май 25, 2010 ComboFix не е инструмент за профилактично и ежедневно сканиране както MBAM например. Това е инструмент за сканиране само и единствено, ако заразата е установена със сигурност или е почти сигурно, че има такава и е сериозна. Цитирай Link to comment Сподели другаде More sharing options...
B-boy/StyLe/ Публикувано Май 25, 2010 Report Share Публикувано Май 25, 2010 Определено при търсене на оригиналното име на файла "kmdmanager.exe" излезнаха много резултати клонящи към ВирусТотал с висок процент на засичане от антивирусните програми. Виж особено страниците към FreeFixer => http://www.google.bg/#hl=bg&q=%22kmdmanager.exe%22&meta=&aq=f&aqi=&aql=&oq=&gs_rfai=&fp=1&cad=b Прави ли ти нещо впечатление: Vendor and version information [?] The following is the available information on woossoo.exe:Property ValueProduct name Kernel Mode Driver ManagerCompany name Four-FFile description Kernel Mode Driver ManagerInternal name KmdManagerOriginal filename KmdManager.exeLegal copyright Copyright © 2002-2005 Four-FProduct version 1.3File version 1.3.0.0 The following is the available information on buny.exe:Property ValueProduct name Kernel Mode Driver ManagerCompany name Four-FFile description Kernel Mode Driver ManagerInternal name KmdManagerOriginal filename KmdManager.exeLegal copyright Copyright © 2002-2005 Four-FProduct version 1.3File version 1.3.0.0 и т.н. Пратен е и на MBAM екипа за анализ. Макар анализа на ThreatExpert да не откри нищо особено... Цитирай Link to comment Сподели другаде More sharing options...
Pe6o Публикувано Май 25, 2010 Report Share Публикувано Май 25, 2010 http://qr4uda.bay.livefilestore.com/y1paVOEgFz8c7adJbrah471IEFb3pa5R2FTZA9BIxc7ueaSp7PeMse0Fp3DnFYLffQTbcZt1nmRYAfrHB1d2x-HEu4fsTZgFxTI/SV%2010.jpg VY 73! Цитирай Link to comment Сподели другаде More sharing options...
Гост tnn Публикувано Май 25, 2010 Report Share Публикувано Май 25, 2010 Непознат вредоносен код пробва да атакува още при опита за изтегляне на файла от първия пост! Считам, че ще се издънят доста защити. Име на хост host127-70.superhosting.bg Интернет доставчик Lirex net EOOD Континент Европа Държава България Регион Grad Sofiya Местно време* 25 May 2010 10:35 IP адрес 91.196.127.70 Преценете дали да пробвате! Поздрави Цитирай Link to comment Сподели другаде More sharing options...
Nicky Публикувано Май 25, 2010 Report Share Публикувано Май 25, 2010 Данните са на нашия хостинг, който е безопасен доколкото знам Цитирай Link to comment Сподели другаде More sharing options...
TechMaster Публикувано Май 25, 2010 Author Report Share Публикувано Май 25, 2010 ComboFix не е инструмент за профилактично и ежедневно сканиране както MBAM например. Това е инструмент за сканиране само и единствено, ако заразата е установена със сигурност или е почти сигурно, че има такава и е сериозна.Много добре знам, че ComboFix не е инструмент за профилактика.Но в него ми беше надеждата, като най-крайна мярка за опит за почистване на системата.Интересува ме нивото на опасност и защо всички редовни програми на които имам вяра, се издъниха!А аз казах, че системата е почистена...Чак после ми направиха впечатление тези процеси.Как се закачат в Windows и защо в Kernel Mode???Дано не са от гадният тип зарази, които си закачат куките на WinLogOn и т.н и фактологически всичко минава през тях...Да беше Sality да знам какво да го правя!Някой поне знае ли нивото на опасността на това нещо?Буквално не проявява активност.И защо след като е изтрито физически от диска се появява пак???Какво съм изпуснал?П.П Бях пуснал Gmer и още няколко AntiRootKit и нищо...Gmer просто не намери нищо, освен драйверите за тъчпада... Цитирай Link to comment Сподели другаде More sharing options...
Гост tnn Публикувано Май 25, 2010 Report Share Публикувано Май 25, 2010 Нивото на опастност е около това на "Rootkit TDL 3" от последно поколение. Бих пробвал с XueTr0.33 - обаче защитата ми блокира връзката и възпрепятствува изтеглянето на файла. Ако я изключа - вероятно и аз ще го лепна "чудото"... Цитирай Link to comment Сподели другаде More sharing options...
TechMaster Публикувано Май 25, 2010 Author Report Share Публикувано Май 25, 2010 Нивото на опастност е около това на "Rootkit TDL 3" от последно поколение. Бих пробвал с XueTr0.33 - обаче защитата ми блокира връзката и възпрепятствува изтеглянето на файла. Ако я изключа - вероятно и аз ще го лепна "чудото"...Честно казано не знам защо, но мисля,файлът сам по себе си не е опасен, но е бил използван като част от вирус, който вече съм отстранил.Антивирусите, които съм ползвал не са го счели за опасен и просто са го оставили...Щом Thread Expert не намира нищо интересно...Защото в различни форуми за програмиране се споменава използването именно на този файл, разбира се с оригиналното му име.kmdmanager.exeнапример Тукили ЛинкЧакам информацията от MBAM, за да знам за какво става въпрос.Просто не знам какво да мисля вече...Просто това нещо не натоварва системата, не води до никакви грешки, не заразява файлове, няма активност по мрежата, не пренасочва в интернет, не излизат никакви рекламни прозорци, няма непрестанна дискова активност, все едно го няма.Никакви синптоми на зараза Цитирай Link to comment Сподели другаде More sharing options...
Гост tnn Публикувано Май 25, 2010 Report Share Публикувано Май 25, 2010 http://virscan.org/report/6446f9e7209ed60187b0aeddc6d942f1.html Изпратено и на мълчащите засега азиатци.Според австрийците http://www.emsisoft.com/en/malware/?Trojan-Dropper.Win32.Vidro!IK Защитата ми безпроблемно се справи с пируетите - не подценявайте тези творци! Атакуват в движение когото могат. Поздрави Цитирай Link to comment Сподели другаде More sharing options...
avalon72 Публикувано Май 25, 2010 Report Share Публикувано Май 25, 2010 Непознат вредоносен код пробва да атакува още при опита за изтегляне на файла от първия пост! Считам, че ще се издънят доста защити. Име на хост host127-70.superhosting.bg Интернет доставчик Lirex net EOOD Континент Европа Държава България Регион Grad Sofiya Местно време* 25 May 2010 10:35 IP адрес 91.196.127.70 Преценете дали да пробвате! ПоздравиНай-обикновен Avast! 4.8 Pro го хваща още на входа. Който е с друга да му мисли. Цитирай Link to comment Сподели другаде More sharing options...
TechMaster Публикувано Май 25, 2010 Author Report Share Публикувано Май 25, 2010 http://virscan.org/report/6446f9e7209ed60187b0aeddc6d942f1.html Изпратено и на мълчащите засега азиатци.Според австрийците http://www.emsisoft.com/en/malware/?Trojan-Dropper.Win32.Vidro!IK Защитата ми безпроблемно се справи с пируетите - не подценявайте тези творци! Атакуват в движение когото могат. ПоздравиA сега забележи как Comodo, Avira, Sophos, Symantec, Kaspersky!!!!и ClamAV не го ловят.А това бяха програмите, на които принципно разчитам...И от 11 имаме 4засичания с хеуристики, които както знаем дават и False Positive.Avira ми беше фаворит...Както и да е-Трябва да се разбере на 100% това RootKit ли е, защо GMER не го улови, част от вирус ли е, програмистки framework за драйвери, както мисля е описано в давата линка, които дадох или драйверен framework, ползван от някой вирус, за да може да работи в Kernel mode или...Няма информация просто и ще е спекулация...Изчистих МуWebs и т.н, изчистих червей и няколко троянеца, с които Avira не можеше да се оправи както изглеждаше, почистих регистъра, но за това...Нищо!Файлът е стар, има информация за неговото съществуване, Publisher-а му има дори официален сайт...ThreadExpert не дава индикации за опасност... Цитирай Link to comment Сподели другаде More sharing options...
Гост tnn Публикувано Май 25, 2010 Report Share Публикувано Май 25, 2010 Най-обикновен Avast! 4.8 Pro го хваща още на входа. Който е с друга да му мисли.Avast! 4.8 Pro често показва по-добри резултати от доста грандове и това едва ли е изненадващо. Ако бяха по-малко сложните сработвания с FP при тази Европрограма- тя би била при лидерите. Впечатлява ме - все по-често изпреварва програмите примерно на КасперскиЛаб. А и не само тях - то нещата си са видни при подобни съпоставки. P.S. Generic Dropper май е най-точно! Цитирай Link to comment Сподели другаде More sharing options...
draco_volans Публикувано Май 25, 2010 Report Share Публикувано Май 25, 2010 При мен, с Opera, до изтегляне въобще не се стига - веднага се изписва грешка и толкоз. Avаst 5 не се обажда. Нито бит не се прехвърля. С IE8, обаче, още при цъкне на изтеглянето и Avast 5 блокира връзката Цитирай Link to comment Сподели другаде More sharing options...
Препоръчан пост
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.