| NANO Antivirus > Forum http://www.nanoav.pro/forum/ |
|
| Странный зверек http://www.nanoav.pro/forum/viewtopic.php?f=15&t=665 |
Страница 1 из 2 |
| Автор: | Viha [ 10 авг 2011 00:31 ] |
| Заголовок сообщения: | Странный зверек |
Поймал, сам не знаю что. Вроде в системе ничего лишнего не появилось. Антивирус молчит, процессов посторонних не наблюдается. Симптомы: периодически появляется ошибка о сбое в процессе IEXPLORE.EXE Наблюдения: самопроизвольно запускается процесс iexplore.exe, причем с параметрами (логи ведет anvir, но в логах не видно кто запустил процесс), в параметрах обычно какой нибудь редкий поисковик и поисковый запрос. Запросы постоянно разные. На экране окно ИЕ не появлется, т.е. запускается в скрытом режиме, увидеть можно только сам процесс, открыв диспетчер задач. Обычно запускается сразу 2 процесса. Убивая один, второй убивается автоматом. В логах Анвира примерно такие сообщения "08/09 23:43:55 iexplore.exe 4216 started by svchost.exe NT AUTHORITY\SYSTEM C:\Program Files\Internet Explorer\IEXPLORE.EXE http://theconceptscreenplay.com/search/ ... es+coupons " или "08/09 23:43:55 iexplore.exe 4636 started by svchost.exe NT AUTHORITY\SYSTEM C:\Program Files\Internet Explorer\IEXPLORE.EXE http://educanuair.com/search/?lake+leelanau+rentals ". Первый адрес всегда разный. Решение: пока что выкрутился переименовыванием файла iexplore.exe, но проблема не решена. Подскажите что можно ковырнуть и куда можно заглянуть, чтобы попытаться найти вредителя, подозреваю модифицирован какой нибудь системный файл или библиотека. |
|
| Автор: | Rodger [ 10 авг 2011 11:08 ] |
| Заголовок сообщения: | Re: Странный зверек |
Здравствуйте, Viha. Судя по Viha писал(а): iexplore.exe 4216 started by svchost.exe , кто-то сидит внутри svchost. Просмотреть список служб, работающих внутри процесса svchost, а также подгруженные файлы и прочую информацию можно, например, с помощью ProcessExplorer. Имеет смысл проверить наличие подозрительных задач планировщика. Также вы можете собрать логи с помощью nanoreport и отправить их к нам - мы просмотрим логи, и, возможно, попросим вас выслать подозрительный файл на анализ.
|
|
| Автор: | Viha [ 11 авг 2011 21:24 ] |
| Заголовок сообщения: | Re: Странный зверек |
Логи nanoreport сейчас высылаю с кратким описанием проблемы и ссылкой на эту тему. В назначенных заданиях ничего нет, был правда гуглевский апдейтер назначен. Удалил его, он тоже мне поднадоел. В процессах, просмотрел с помощью анвира, тоже вроде ничего подозрительного не вяжется к svchost. Вслед за логами nanoreports отправлю и сам svchost. Ушли логи и письмо с аттачем на virus@nanoav.ru |
|
| Автор: | Viha [ 13 авг 2011 02:06 ] |
| Заголовок сообщения: | Re: Странный зверек |
Спасибо. Ответ получил. Рекомендуемыми программами не пользуюсь, но, думаю, разобраться не составит труда. Проверить и предоставить данные смогу только после среды. Необходимо выехать на несколько дней, так что доступ к компьютеру будет невозможен. Если можно, в двух словах - как настроить ProcessExplorer на отлов запуска ИЕ? И какую информацию и как нужно будет собрать для отправки в лабораторию? |
|
| Автор: | ya [ 15 авг 2011 17:53 ] |
| Заголовок сообщения: | Re: Странный зверек |
Viha, здравствуйте. В вашем случае ProcessExplorer послужит для получения дампа svchost (просто правой кнопкой на процессе, create dump). Момент запуска iexplore.exe можно и просто в диспетчере задач. ProcessMonitor может в этом деле помочь. Нажимаем Filter -> Filter... Далее подбираем соответствующее условие для фильтра. Например, убираем все, чей ImagePath не соответствует C:\Program Files\Internet Explorer\IEXPLORE.EXE. Для этого выбираем соответствующий параметр, выставляем is not, в следующее поле вбиваем данный путь, в последнем поле ставим Exclude. Готово, остается ждать, когда посыпятся соответствующие сообщения. Пришлите нам дамп соответствующего svchost`а и все подозрительные файлы, которые обнаружите утилитой autoruns. |
|
| Автор: | Viha [ 07 сен 2011 00:37 ] |
| Заголовок сообщения: | Re: Странный зверек |
Ну вот, дошли руки... Сделал дампы. Дамп процесса svchost-родителя в котором появляется ИЕ и дамп самого родительского процесса ИЕ (получилась лесенка: уровень 1 - svchost.exe; уровень 2 - IEXPLORE.EXE; уровень 3 - несколько IEXPLORE.EXE). Дампы сделал уровней 1 и 2. Делал полные дампы. Объем получился порядочный. Заархивировал их по отдельности с паролем 123. Выложил на ргхост вместе с архивом подозрительных на мой взгляд dll-ок и самим svchost.exe (все они лежат в Windows\system32\) ну и сам IEXPLORE.EXE тоже в архиве со стандартным паролем. PS Перед созданием дампов загрузился под вин7 и вычистил под ноль темп, хистори, архив, кукисы и прочее и прочее, все что смог найти связанное с ИЕ. |
|
| Автор: | ya [ 09 сен 2011 12:49 ] |
| Заголовок сообщения: | Re: Странный зверек |
Viha, мы просмотрели Ваши дампы. Действительно имеет место инжект dll`ки в svchost. Но при этом нет никаких следов того, каким образом это было сделано. Нет и имени dll`ки. При этом, возможно, её и на самом диске даже не окажется (возможно она выбрасывается прямо в память). Есть вероятность, что опознать данную dll удастся по размеру. Поищите на диске файлы размером 22016 байт. Но главное - поймать того, кто инжектит данную dll`ку. Для этого лучше просмотреть всевозможные места автозапуска. Попробуйте просмотреть c:\Documents and Settings\All Users\Application Data\ на предмет "левых" файлов. Dll`ка качает зашифрованный конфиг, в котором находятся url, и потом открывает их в IE. Конфиг, как раз, скачивается в %Application Data%. |
|
| Автор: | Viha [ 09 сен 2011 23:42 ] |
| Заголовок сообщения: | Re: Странный зверек |
Тут архив IE.RAR с паролем 123. Собрал все что смог найти по Вашей подсказке - все dll-ки размером 22016 байт и один интересный файлик... В архиве структуру папок сохранил как на диске С. Так что проблем с разбирательством что и где живет возникнуть не должно. Но если что то еще нужно найти или проверить - я всегда готов. Лишь бы избавиться от этой гадости цивилизованным путем. Подозреваю, что не у меня одного такая проблема, но мало кто может о ней догадываться. Да и в инете не встречал описание подобных явлений. Могу предположить, что другие антивирусы не разбирались с этим явлением. По крайней мере дрвеб точно (я их утилитой недавно полностью комп проверял и она ничего не нашла). Да и каспер свои утилиты раздает бесплатно, они тоже ничего не нашли. |
|
| Автор: | Viha [ 18 сен 2011 13:25 ] |
| Заголовок сообщения: | Re: Странный зверек |
Победил, кажется, я свою проблему. Точно не скажу какой именно файл был виноват, но удалил из системы три файла: 1) c:\windows\system32\drivers\pci.sys 2) c:\windows\system32\wmdrmsdk.dll 3) c:\windows\system32\twext.dll Моя история кратко... Заметил, что в процессах висят два процесса iexplore.exe при том, что самих окон нигде не видно. Поковырявшись в логах программ, увидел, что ИЕ запускается с завидной регулярностью, причем с заданным адресом в адресной строке. Адрес всегда разный и по большей части поисковые запросы. Переименовав файл C:\Program Files Internet Explorer\iexplore .exe в что угодно, лишь бы оно не запускалось, я на некоторое время проблему решил - процессы не запускались. Затем не знаю, что произошло, но при запуске любого интернет приложения два процесса svchost.exe начали грузить процессор на 100%. Методом проб и ошибок, плюс свободное ПО другого антивируса, плюс два дня времени на тесты, плюс размышления... Из системы удалены выше указанные файлы. Теперь ИЕ не запускается в фоне. Интернет приложения запускаются свободно, ничего систему не грузит. Файлы отправлены в лабораторию НаноАВ, правда сегодня только понял, что отправил их на support, если есть необходимость, то перешлю на virus. |
|
| Автор: | Viha [ 24 сен 2011 22:48 ] |
| Заголовок сообщения: | Re: Странный зверек |
И ни ответа ни привета... Наверное разработчики все силы бросили на тесты-проверку-исправления в новой версии... |
|
| Страница 1 из 2 | Часовой пояс: UTC + 3 часа |
| Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |
|