none
Procmon обнаружил попытки запустить удаленный вирус. Как найти вредителя? RRS feed

  • Вопрос

  • Антивирус avast удалил зараженный файл SPVC32Loader. После этого для проверки я запустил Procmon, который показал, что некоторые процессы (conhost.exe, taskeng.exe, GoogleUpdate.exe, taskhost.exe, DllHost.exe) время от времени пытаются запустить этот файл, но конечно, не находят его. Однако, тот же avast не считает перечисленные файлы зараженными.

    Что это значит?

    Может ли попытка запустить SPVC32Loader исходить от подпроцессов указанных процессов? Тогда как найти эти подпроцессы? <o:p></o:p>

    20 ноября 2013 г. 7:34

Ответы

  • Создайте фильтр в Process Monitor для разыскиваемого Вами процесса воспользовавшись статьёй http://ab57.ru/procmon.html

    Более подробную информацию, Вам лучше поискать или задать вопрос на Форуме http://forum.sysinternals.com/


    Да, я Жук, три пары лапок и фасеточные глаза :))


    22 ноября 2013 г. 4:46
    Модератор
  • Всем большое спасибо. Проблема решена. Вредитель обнаружен и уничтожен. Это был не файл, это были две величины в Registry - AppInit_DLLs и LoadAppInit_DLLs под ключем HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows. (У меня Win7.) Величины эти описаны здесь - http://msdn.microsoft.com/en-us/library/windows/desktop/dd744762(v=vs.85).aspx (Что интересно – страничка эта датирована 16/11/2013, а я ищу вредителя с конца октября! Во-время в Microsoft спохватились написать.)

    Многие программы обращаются в это место Registry. А туда, видимо, вирус записал в AppInit_DLLs ссылку на зараженный файл SPVC32Loader, а в LoadAppInit_DLLs записал 1, что означает запускать то, что указано в AppInit_DLLs. Вот это я и наблюдал в Procmon. <o:p></o:p>

    Отдельное спасибо Жуку за ссылку на замечательный сайт Александра Белого. <o:p></o:p>

    22 ноября 2013 г. 10:28

Все ответы

  • Добрый день! 

    У avast есть возможность запуска антивируса до загрузки ОС и всех процессов (запланировать проверку после перезагрузки, как то так). Выполните эти действия, возможно отработает.


    C уважением к Вам, Я

    • Предложено в качестве ответа Elina LebedevaModerator 21 ноября 2013 г. 14:48
    • Отменено предложение в качестве ответа levgorin 22 ноября 2013 г. 2:48
    20 ноября 2013 г. 10:22
  • Дополнительно запустите бесплатную утилиту CureIT в режиме усиленной защиты и проверьте компьютер, по окончании быстрой проверки, в зависимости от результата, запустите его на полную проверку.

    Да, я Жук, три пары лапок и фасеточные глаза :))

    20 ноября 2013 г. 10:29
    Модератор
  • Спасибо за советы. Но это было бы слишком просто, я все это делал сразу же по обнаружении. Но никакие антивирусы ничего не находят. Я предполагаю потому, что в системе нет файла с вредоносным кодом. Есть только ссылка на зараженный файл, который удален к тому же. Но все равно хотелось бы такого вредителя из системы удалить. <o:p></o:p>

    К тому, что я писал ранее, хочу добавить следующее:  <o:p></o:p>

    1) Все процессы, которые пытаются найти зараженный SPVC32Loader весьма кратковременны, Procmon показывает их длительность так 0.0000825, 0.0001121, 0.0001548... (видимо, секунд). <o:p></o:p>

    2) Process Name, который показывает Procmon, мне кажется, фальшивый, подставной (возможно ли это?). Я время от времени включаю Procmon и вижу, что чуть ли не все процессы пытаются найти этот уже удаленный SPVC32Loader. Вряд ли это соответствует действительности.

    3) Procmon фиксирует примерно 70 попыток поиска SPVC32Loader за 1 час.

    Подскажите, как искать вредителя.

    22 ноября 2013 г. 2:50
  • Создайте фильтр в Process Monitor для разыскиваемого Вами процесса воспользовавшись статьёй http://ab57.ru/procmon.html

    Более подробную информацию, Вам лучше поискать или задать вопрос на Форуме http://forum.sysinternals.com/


    Да, я Жук, три пары лапок и фасеточные глаза :))


    22 ноября 2013 г. 4:46
    Модератор
  • Всем большое спасибо. Проблема решена. Вредитель обнаружен и уничтожен. Это был не файл, это были две величины в Registry - AppInit_DLLs и LoadAppInit_DLLs под ключем HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows. (У меня Win7.) Величины эти описаны здесь - http://msdn.microsoft.com/en-us/library/windows/desktop/dd744762(v=vs.85).aspx (Что интересно – страничка эта датирована 16/11/2013, а я ищу вредителя с конца октября! Во-время в Microsoft спохватились написать.)

    Многие программы обращаются в это место Registry. А туда, видимо, вирус записал в AppInit_DLLs ссылку на зараженный файл SPVC32Loader, а в LoadAppInit_DLLs записал 1, что означает запускать то, что указано в AppInit_DLLs. Вот это я и наблюдал в Procmon. <o:p></o:p>

    Отдельное спасибо Жуку за ссылку на замечательный сайт Александра Белого. <o:p></o:p>

    22 ноября 2013 г. 10:28