Български вирус, мит или истина...

[Petar_kir2000]

Здравейте,

 

От една седмица воювам с един вирус(по-точно е троянски кон) в мрежата ми.

Първо забелязах, че натоварването на компютрите е доста голямо и на импулси - от 0 до 100%. Мрежата ми стана също много натоварена, изполваше около 60% от достъпния трафик.

Надявах се, че като сканирам с всички налични антивирусни програми, все нещо ще открие - но не би...

Нито Spybot search&destroy, нито AVG или Касперски, дори McAfee не регистрира, че има нещо...

Тогава реших да използвам чука и длетото.

Благодаря на всички форумци, за добре описаните методи на търсене на шпиони, та успях да се справя.

Отначало видях с Windows defender-a, че имам неизвестен стартиращ фаил в регистрите.

 

Доста ме озадачи, че не мога да го открия със протърсване на директорията.

Още повече бях учуден, че името му се менеше, при всеки акаунт(вероятно се пределя от паролата на клиента), но не надхвърляше 6 знака...

Ето го и лога на Hijackthis

 

[/b][b]Logfile of HijackThis v1.99.1
Scan saved at 15:25 ч., on 16.2.2008 г.
Platform: Unknown Windows (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16609)[/b][b]Running processes:
C:\PROGRA~1\McAfee.com\Agent\mcagent.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Canon\MultiPASS4\MPDBMgr.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Launch Manager\QtZgAcer.EXE
C:\Acer\Empowering Technology\eDSMSNfix.exe
C:\Program Files\SiteAdvisor\6253\SiteAdv.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Western Digital Technologies\Spindown\ExSpinDn.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
C:\Windows\WindowsMobile\wmdc.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
D:\Program Files\Norton Ghost\Agent\VProTray.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Acer\Empowering Technology\ENET\ENMTRAY.EXE
C:\Windows\ehome\ehmsas.exe
C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Users\ADMINI~1\AppData\Local\Temp\RtkBtMnt.exe
C:\Program Files\Common Files\Logitech\KhalShared\KHALMNPR.EXE
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
D:\Petar\alabala.exe[/b][b]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [url="http://go.microsoft.com/fwlink/?LinkId=54896"]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url="http://www.google.bg/"]http://www.google.bg/[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url="http://en.us.acer.yahoo.com"]http://en.us.acer.yahoo.com[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url="http://go.microsoft.com/fwlink/?LinkId=54896"]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url="http://go.microsoft.com/fwlink/?LinkId=54896"]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url="http://en.us.acer.yahoo.com"]http://en.us.acer.yahoo.com[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\6253\SiteAdv.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan\scriptsn.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SpoofStick BHO - {CBA74CDA-DF78-4AD9-954E-3B15D0A993DE} - C:\Program Files\CoreStreet\SpoofStick\SpoofStickBHO.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program Files\SiteAdvisor\6253\SiteAdv.dll
O3 - Toolbar: SpoofStick - {4D46ED77-1429-4CF6-8F63-C84B5D710BAF} - C:\Program Files\CoreStreet\SpoofStick\SpoofStick.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [eDSMSNfix] C:\Acer\Empowering Technology\eDSMSNfix.exe
O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [mcagent_exe] C:\Program Files\McAfee.com\Agent\mcagent.exe /runkey
O4 - HKLM\..\Run: [siteAdvisor] C:\Program Files\SiteAdvisor\6253\SiteAdv.exe
O4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [WD Spindown Utility] "C:\Program Files\Western Digital Technologies\Spindown\ExSpinDn.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Windows Mobile Device Center] %windir%\WindowsMobile\wmdc.exe
O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Messenger Sharing USN Journal Reader Service] glfbct.exe
O4 - HKLM\..\Run: [Norton Ghost 12.0] "D:\Program Files\Norton Ghost\Agent\VProTray.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\RunServices: [Messenger Sharing USN Journal Reader Service] glfbct.exe
O4 - HKLM\..\RunOnce: [NCInstallQueue] rundll32 netman.dll,ProcessQueue
O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Messenger Sharing USN Journal Reader Service] glfbct.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O11 - Options group: [iNTERNATIONAL] International*
O13 - Gopher Prefix: 
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} (PCPitstop Utility) - [url="http://www.pcpitstop.com/pcpitstop/PCPitStop.CAB"]http://www.pcpitstop.com/pcpitstop/PCPitStop.CAB[/url]
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - [url="http://driveragent.com/files/driveragent.cab"]http://driveragent.com/files/driveragent.cab[/url]
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - [url="https://secure.logmein.com/activex/RACtrl.cab"]https://secure.logmein.com/activex/RACtrl.cab[/url]
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Program Files\SiteAdvisor\6253\SiteAdv.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - AppInit_DLLs: eNetHook.dll
O23 - Service: ALaunch Service (ALaunchService) - Unknown owner - C:\Acer\ALaunch\ALaunchSvc.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - Unknown owner - C:\Program Files\LogMeIn\x86\RaMaint.exe (file missing)
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\COMMON~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\COMMON~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe
O23 - Service: MpService - Canon Inc. - C:\Program Files\Canon\MultiPASS4\MPSERVIC.EXE
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: @%systemroot%\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\ServiceModelInstallRC.dll,-8195 (NetMsmqActivator) - Unknown owner - C:\Windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe" -NetMsmqActivator (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: Norton Ghost - Symantec Corporation - D:\Program Files\Norton Ghost\Agent\VProSvc.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: SiteAdvisor Service - Unknown owner - C:\Program Files\SiteAdvisor\6253\SAService.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: @%windir%\system32\inetsrv\iisres.dll,-30003 (W3SVC) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%windir%\system32\inetsrv\iisres.dll,-30001 (WAS) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)
O23 - Service: WMYJAQDT - Unknown owner - C:\Users\ADMINI~1\AppData\Local\Temp\WMYJAQDT.exe (file missing)
O23 - Service: WVSK - Unknown owner - C:\Users\ADMINI~1\AppData\Local\Temp\WVSK.exe (file missing)
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe[/b][b]

До тук добре, но лошо е, че успях да изолирам вируса и какво се оказа.

БЪЛГАРСКИ!

Просто шпионина събира информация от компа, само за epay и я изпраща на български адрес....(ако някой държи, мога и да му го кажа...)

Затова и другите антивирусни програми не реагираха на него.

Как се справих с него - Много лесно.

-Изключих Restore points;

-Преминах в сеъф моде;

-Отново сканирах с Hijackthis и го изтрих от регистрите;

-После, последователно във всеки акаунт, преровох за подобна гадина и където все още беше останала в регистите, я изтрих.

-Накрая, рестартирах за последно и възстанових Restre points...

 

Надявам се да съм бил полезен с този опит -

НЕ ВЯРВАЙТЕ САМО НА АНТИВИРУСНИТЕ ПРОГРАМИ И ЗАЩИТИ

[Castigado Pantockrator]

Звучи интересно. Може ли по - конкретно.

Благодаря!

[crio]

Най-добре го прати на водещите антивирусни компании да го анализират. Също бих искал и аз да го прегледам, защото ми е доста интересно да го разгледам... пък може и да напиша някоя програма за премахването му.

[Night_Raven]

Това чудо и услуга си има:

O23 - Service: WMYJAQDT - Unknown owner - C:\Users\ADMINI~1\AppData\Local\Temp\WMYJAQDT.exe (file missing)

По принцип в случаи на неоткриване на файлове по нормални методи е хубаво да се има предвид, че може и rootkit да има. В такива случаи Gmer e добър съюзник.

[Petar_kir2000]

Съжалявам момчета,

но в старанието си бързо да се освободя от този мръсник, не положих усилия да го запазя като файл.

Наистина се опитах да отделя файла, но не го открих нито с търсачката на Виндовс, нито в ДОС моде. Явно, веднага след зареждане се самоизтриваше. Възможно ли е това?

Още повече, че след като изтрих Restore points, той изчезна... Сигурно държеше копие в тях и се саморепродуцираше от там.

Аз също видях, че си има сървиси и ги изтрих. Но запазих името на сайта към когото изпращаше информацията, вижте го: 83.148.104.14 - явно е български нали? Открих този адрес чрез Дефендера - в опциите за мрежово активни програми този адрес стоеше срещу името на вируса.

 

Но обещавам, че ако отново се появи, ще положа повече усилия, да го открия и съхраня.

[Night_Raven]

Може да не се вижда, ако използва rootkit или подобна технология за скриване. Затова казах, че Gmer е добър съюзник в случая.

[Petar_kir2000]

Може да не се вижда, ако използва rootkit или подобна технология за скриване. Затова казах, че Gmer е добър съюзник в случая.

 

Night_Raven, приятелю,

 

Проблема при мен беше, че аз не можех да локализирам файла, а не процеса. Как да сваля процеса от памметта и да го запиша? Има ли такава програма?

[Aquarius]

Може би Night_Raven има предвид Rootkit, който инжектира зловреден код, за да манипулира Windows API с цел да скрие различни обекти като файлове, ключове в регистъра, процеси, портове и тн.

Как да сваля процеса от памметта и да го запиша? Има ли такава програма?

Процеса сам по себе си е контейнер, който съдържа множество ресурси резервирани за нишките, изпълняващи приложението. Той се дефинира основно с адресно пространство, таблица с манипулатори на обекти и информация за достъп (acess token). Няма как да го "свалиш от паметта". Друг е въпроса, че може да направиш файл с извадка от паметта на адресното пространство на процеса. Това може да стане с помощта на вградения в Windows инструмент Dr.Watson. Обикновено информацията от crash dump файловете се използва от разработчиците за дебъгване, но ако ти трябва мога да ти напиша как става създаването на такъв файл.

Иначе може да използваш DLL прозореца на Process Explorer, за да прегледаш файловете мапнати в адресното пространство на процеса (т.нар. memory mapped files). Там може да откриеш и изпълнимия файл.

[Petar_kir2000]

Иначе може да използваш DLL прозореца на Process Explorer, за да прегледаш файловете мапнати в адресното пространство на процеса (т.нар. memory mapped files). Там може да откриеш и изпълнимия файл.

Ех да знаех за тази програма, нямаше да се мъча с Windows defender-a да извличам информация за активните програми.

Надявам се следващия път(дано да няма такъв... ) да дам повече информация за вируса...

Благодаря l.kanelov за програмката!

Между другото, това не е ли онзи Dr.Watson от System information/Tools? А аз винаги съм гледал с насмешка на тази толкова стара програмка...

[paro]

Здравей Perkoto, това, което описваш е много интересно. За др. Ватсон виж тук. Аз от около месец забелязвам на компютъра си необичайна мрежова активност. Какво имам в предвид? "Компютърчетата" в системната лента долу в дясно до часовника премигват на всеки 4 секунди, дори и когато не използвам никаква мрежова програма. На мен ми се струва странно. От време на време може да има обмяна на пакети между компютъра ми и сървъра, но толкова ритмично и често не е естествено. Ще използвам написаното тук, за да се разровя по-дълбоко.

[Aquarius]

Ех да знаех за тази програма, нямаше да се мъча с Windows defender-a да извличам информация за активните програми.

Process Explorer има изключително полезни възможности, които спомагат за откриването на зловреден код. Например визуализира стандартно в лилаво процеси, на който изпълнимите файлове са т.нар. Packed images. Това означава, че файла е криптиран или компресиран. Много често зловреден код използва тази техника, за да затрудни дефинициите на anti-threat програмите. Също така чрез Process Explorer получаваш много, много повече информация за процесите - информация за местоположението на файла, състояние на цифровият подпис, родителски процес, пълна информация за производителността (плюс графики), възможност да наблюдаваш състоянието на нишките в процеса и преглеждане на стека на нишките, информация за ТCP/IP връзките, информация за средата, възможност да прегледаш стринговете (низовете) във файла. Това е само една малка част от възможностите на Process Explorer. Инструмента намира приложение в много случай. 100% ти го препоръчвам!

 

Между другото, това не е ли онзи Dr.Watson от System information/Tools? А аз винаги съм гледал с насмешка на тази толкова стара програмка...

Да - другия начин да го стартираш е чрез Start --> Run и пишеш drwtsn32. Това отваря прозореца, който съдържа настройките. Общо взето най-важните настройки са пътя до файла с извадка (текстовото поле до етикета Crash Dump), който ще се създаде и типа на файла с извадка. Хубаво е ако решиш да създадеш файл с извадка от паметта, който да изпратиш например на разработчика на даденото приложение да селектираш радио бутона Full до етикета Crash Dump Type. Така crash dump файла предоставя доста повече полезна информация. Създаването на crash dump файл за определен процес става като отвориш Start --> RUN и напишеш drwtsn32 -p <идентификатор_на_процеса>. Идентификатора на процеса (PID) стандартно се визуализира до колоната CPU при Process Explorer, а при Task Manager трябва ръчно да си я добавиш към страницата Processes с помощта на менюто View --> Select Columns.

 

@ harhal

Може да използваш инструмента TCPView, за да провериш всеки процес какви връзки създава. Също така може да използваш и TCP/IP таба на Process Explorer за всеки процес.

[Petar_kir2000]

Да - другия начин да го стартираш е чрез Start --> Run и пишеш drwtsn32.

 

Оппа, нов проблем, то в Виста-"Глистата" май го няма Dr.Watson??? Чукнете тук!

Но може да се вземе от ХР и да се сложи на Виста... Чукнете тук!

 

А иначе Process Explorer работи без проблем...

 

И казано "апетита идва с яденето" - имаме ли инструкция в Софтвизия за Process Explorer? Ако не, мога да се опитам да я направя?

 

@ harhal

Може да използваш инструмента TCPView, за да провериш всеки процес какви връзки създава. Също така може да използваш и TCP/IP таба на Process Explorer за всеки процес.

l.kanelov на "хапка-залче" ни дава! тази програмка е също голям "френски ключ".

[IVAN]

И казано "апетита идва с яденето" - имаме ли инструкция в Софтвизия за Process Explorer? Ако не, мога да се опитам да я направя?

Само ревю: http://softvisia.com/forums/index.php?showtopic=2368

[Cheers]

Ако успееш да заловиш вируса, в бъдеще може да използваш VMWare, като се записва заразения файл (ако бъде локализиран) в хостната операционна система. Трябва хоста да е: "host only", със забранени шернати папки и изключен "guest isolation". След това се стартира вируса, записва се мрежовия трафик и опитите за външна връзка, DNS, добавените файлове, процесите и промените в регистрите. Инструменти: BinText, IDA Pro, UPX, Process Explorer, FileMon, RegMon, RegShot, Proc Dump, OllyDbg, TCPView, TDIMon и Ethereal.

Тези инструменти могат да се използват и за анализ и запис на действията на вируси, троянци, червеи на вече заразен компютър. Следващият път опитай да пипнеш вируса, не е лесно.

[paro]

I.kanelov, благодаря за насоките, ще използвам програмките, които ми препоръчваш.