[Valeant]

I.
1. На что бросаются глаза так это Length 512 т.е. блоки, в Viste данные блоки могут достигать размера от 4КБ-65КБ и даже 1024KБ.
2. у вас версия Process Monitor'а я думаю старая, обновите ее до 2.03
3. добавьте столбец "Command Line" и TID
4. совместно с любой другой программой выяснить по TID и "Command Line" доп. информацию (лучше в Process Explorer)
5. при открытии картинки из FAR например в стандартный "Фотоальбом", на пальцах выглядит так запуск должен быть передан через COM Surrogate например т.к. расширение *.jpg, то
C:\Windows\system32\DllHost.exe /Processid:{76D0CB12-7604-4048-B83C-1005C7DDC503}
...
{76D0CB12-7604-4048-B83C-1005C7DDC503} - %ProgramFiles%\Windows Photo Gallery\PhotoViewer.dll
и т.д.
...
А уже C:\Windows\system32\DllHost.exe /Processid:{76D0CB12-7604-4048-B83C-1005C7DDC503} через FASTIO_READ например будет чтение файла *.jpg

Странный скрин от ProcMon может фильтр добавлен?
II.
Аналогично см. выше

III.
Аналогично см. выше

Так же UDP порты с 137 и 139 любимые порты для всяких атак и деятельность по ним бывает активна после заражения вирусами и троянами. И ваш Jetico как раз и ругается на это.

Я думаю ваш ПК в добавок еще заражен трояном.

[J-Pro]

Большое спасибо Вам за ответ!

Valeant,

Цитата Valeant:

На что бросаются глаза так это Length 512 т.е. блоки, в Viste данные блоки могут достигать размера от 4КБ-65КБ и даже 1024KБ »

Что это может значить?

Цитата Valeant:

обновите ее до 2.03 ... добавьте столбец "Command Line" и TID ... совместно с любой другой программой выяснить по TID и "Command Line" доп. информацию (лучше в Process Explorer) ...»

Хорошо, новые скрины запощу сюда.

Цитата Valeant:

DllHost.exe »

Этот процесс вызывается только, если используется PhotoViewer.dll, правильно? А что происходит "на пальцах", если используется прописанная для всех картинок по умолчанию программа-вьювер xxxxxx.exe(в данном случае, cam2pc.exe)?

Цитата Valeant:

Странный скрин от ProcMon может фильтр добавлен? »

А чем он странный? Тем, что всё циклически повторяется? Я обьясню: фильтры все по умолчанию, никаких своих я не ставил. Дело в том, что обращение к диску настолько частое(лампочка только горит, не мигает), что в логе попадаются такие, вот, участки, где никаких других данных не зафиксировано. Я специально выбрал для скрина именно такую часть лога. На самом деле, другая активность там так же учитывается.

Цитата Valeant:

Так же UDP порты с 137 и 139 любимые порты для всяких атак и деятельность по ним бывает активна после заражения вирусами и троянами. И ваш Jetico как раз и ругается на это. »

Вот это очень интересно. Дело в том, что я постоянно отсеиваю(один раз отловил и занёс в конфиг запрет) коннекты от svchost.exe куда-то по порту 137. И их много, но они все пресекаются. Это распознаётся Jetico, как "Send datagram", а не outgoing connection. Честно говоря, вопрос с этими datagram'ами - одна из вещей, не понятных в Jetico... Просто потому, что неясно, почему send datagram - это не outgoing connection и наоборот...

Ещё раз спасибо за ответ, на выходных обязательно проделаю Ваши рекомендации + проверюсь доктор веб лайв сиди, как посоветовали на другом форуме. Результаты отпишу сюда.

[Valeant]

Windows это куча программынх файлов и библиотек (в виде *.Dll). Вызов библиотек может происходить одним из методов DCOM можно напрямую запускать программу, а можно через DllHost.exe лучше найти про это информацию и почитать.

Про ProcMon почему так говорю, потому что информации он должен выдавать намного больше, а не та что на скрине, если только не включены фильтры отсеивающие ее. Не забутьте столбец обязательно добавить "Command Line" тогда вам многое станет понятно.
Так же опять подчеркну скрин http://img16.imageshack.us/img16/5431/farexcelhdd.jpg на данную активность зачем torrent читать файл FAR с локального диска, так же присутствие тут же svchost.exe так же наводит на мысль вируса или трояна, аналогично и в скрине http://img17.imageshack.us/img17/2382/cam2pchdd.jpg


Например:

Из FAR запуск *.avi (4Gb), все первое время происходит из под FAR сначала сопоставление расширения файла к программе запуска - изучение реестра,
...
HKEY_CLASSES_ROOT\CLSID\{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}\InprocServer32
@="%SystemRoot%\system32\wmpshell.dll"
...

FAR через load image в память C:\Windows\System32\wmpshell.dll (Image Base:0x71f70000 Image Size:0x1b000, duration данной операции 0.0, Image Base:0x72020000 Image Size:0x1b000 duration данной операции 0.0 и т.д.)
Далее так же из под FAR находим wmplayer.exe, загружается wmplayer.exe через load image в память (например Image Base:0x2520000 Image Size:0x2c000; и т.д.), так же все примочки к wmplayer.exe которые есть. И только потом

wmplayer.exe - IRP_MJ_READ(через систему драйверов читает) - файл *.avi

Будет проигрывать и читать до конца, duration данной одной операции 0.0019646 (Offset:0 Length:65536) и так до
конца читает

Другой пример файл размером *.avi - 700MB читается в точно таком же запуске только читается c переменными блоками от Length:16384 до Length:19968(duration данной операции 0.0010476), что в принципе наверное и правильно так как поток слабоват для видео, чтоб читать данные из файлов быстрее.

По видео файлам у вас попробуйте либо удалить K-Lite codec, поставить посвежее или другой !?!?!. Только после проверки на вирусы и трояны.

[J-Pro]

В общем, народ, поигрался я на выходных с этой фигнёй, сдаю отчёт Всё по порядку:

I. После перерыва в 6 дней(комп не включался) включаю комп и виста вдруг пишет о том, что файл tcpip.sys с несоответствующей подписью. Грузиться отказывается, предлагает восстановить с инсталяционного диска. Восстановил. Но странно... да, файл патченный для халф-опен коннекшнов, но всё было нормально около 3 месяцев!

II. Как и советовали, скачал minDrWebLiveCD-5.0.0.0902170.iso, проверил все диски. Итог можете видеть на этой и этой картинках. Как видно, Trojan.Fakealert.1500 в дллках в SysWOW64 + в Temporary Internet Files(вообще я юзаю мозиллу, но иногда и ИЕ). Других вирусов не обнаружил. Все найденные трояны удалил. Кстати, к вопросу об эффективности авиры: при проверке "системных директорий" она не лезет в SysWOW64 и ей подобные (я проверял), т.к., видимо, не умеет работать с х64 системами. Но в любом случае должна была показать... ведь длл-ка как-то загружались...

III. Загрузил систему.
1. Наблюдаю 2 коннекта соответственно(см. скрин), запретил. Их только два и каждый раз после логона.
2. Через минут 10 после загрузки чё-то заметил мигающий HDD-диод. Ничего не запускал. Решил проверить процмоном. Результат поразил... Прошу прощения за качество картинки, но, как видите, когда я пытался сделать скрин, программа вылетела(и пока я не нажал "закрыть", не поверите, буфер обмена не работал). Как видите, в различных директориях процессом svchost.exe зачем-то создаются одинаковые батники с названием quasf.dll.bat. Я проверил эти директории, таких батников там нет. Значит, удалил свхост? Событий об удалении не было, вроде, в мониторе. Запускал? Что делал с ними? Странно... Опять же - наткнулся случайно!
3. Решил проверить файрвол, происходят ли ещё коннекты на 137 порт? Проверил... всё осталось. Скрин можете видеть тут. Зачем эти процессы туда лезут - не понятно...
4. На всякий случай сделал этот скрин из Jetico. Так видно, какие свхосты куда залезли. Ну и остальные процессы... Можно было и тспвью, но тут читабельнее, вродь.
5. Решил проверить сабж и снова открыть картинку из иксплорера. Открыл. Те же тормоза и обращения к диску. Скрин процмона с нужными столбцами тут. "Опять торренты!", - подумал я. Вырубил уторрент и повторил эксперимент: скрин.
6. Пока занимался вышеописанным, всё время вылазили предупреждения, что в инет лезут приложения, которые туда лезть НИКАК не могут! Например, смотрим картинку. Что это значит? Неужели, всё настолько серьёзно, что этот троян пытается коннектиться через другие приложения? Ну не могут же мспэйнт и апачмонитор в нет ходить!
7. Кто-то просил список процессов... Вот он. Ах да... там нет процесса C:\Windows\System32\RacAgent.exe(25 088 bytes), который тоже просил доступ к сети, как в пункте 6. Зачем привёл размер? Потому что в описании этого процесса в нете нашёл, что он весит около 20 кб. Но это, наверное, от того, что у меня х64 система, а в описании размер был для х86.
8. Ну и напоследок ещё раз решил глянуть логи файрвола. Приводу скрин самых свежих(да, да, 5 утра )
9. [добавил] Открыл из иксплорера xls-файл(от microsoft excel). 4 раза открывался без проблем, но на пятый опять сабж. Но на сей раз по TID'у я его вычислил в процесс иксплорере. Скрин тут. Кому-то это о чём-то говорит?

Что делать? Думаю, самый лёгкий(относительно) и надёжный способ - переставить систему Но хотелось бы без такой меры... уж очень много там всего стоит. Что-то ещё можно сделать? За ответы всем спасибо заранее!

[Valeant]

J-Pro,

Цитата:

J-Pro, 1. Наблюдаю 2 коннекта соответственно(см. скрин), запретил. Их только два и каждый раз после логона.

Могу сказать, а зачем запретили shchost.exe выход в сеть -> а как у вас например mozila в интернет выходит или как ipsec будет работать. 1900 порту(UDP) сидит служба обнаружения SSDP (SSDP Discovery) -> лучше вообще данные службы отключить SSDP Discovery и UPnP (универсальная система Plug & Play). Просто надо быть повнимательней и наверное на Jetico есть готовые правила.

Цитата:

J-Pro, 2. Через минут 10 после загрузки чё-то заметил мигающий HDD-диод. Ничего не запускал. Решил проверить процмоном. Результат поразил... Как видите, в различных директориях процессом svchost.exe зачем-то создаются одинаковые батники с названием quasf.dll.bat.

Не доконца может дочистили, поищите описание данных Trojan.Fakealert в интернете, что они делают.
И поищите еще через autoruns.exe на подозрительные вещи.

Цитата:

J-Pro, 3. Решил проверить файрвол, происходят ли ещё коннекты на 137 порт? Проверил... всё осталось. Скрин можете видеть тут. Зачем эти процессы туда лезут - не понятно...

Отключите NetBios

Цитата:

J-Pro, 9. Открыл из эксплорера xls-файл(от microsoft excel). 4 раза открывался без проблем, но на пятый опять сабж. Но на сей раз по TID'у я его вычислил в процесс иксплорере. Скрин тут. Кому-то это о чём-то говорит?

На пятый раз заразились заразой.
Я же не спроста сказал включить TID, по номерам данных потоков (Threads) в ProcessExplorer нужно было посмотреть согласно скринам PID 1384 (svchost.exe) -> TID 4616, 3832, 4628 и т.д. что это за потоки, и для чтения файла одного так много потоков не создается. И обратите внимание на смещения при чтении.

Для п. 3-8 из всего сказанного остаюсь при своем ПК заражен вирусом или трояном (вылечен не доконца)

Выход загрузка с чего нибудь, проверка на вирусы и трояны двумя антивирусниками, очистка всех TEMP каталогов, и кэший броузеров, проверка на запуск всего через autoruns и так же обратить внимание на закладку драйверов, все что будет найдено проверить на удаление ссылок в реестре.

[J-Pro]

Valeant,
Спасибо за ответ.

Цитата Valeant:

зачем запретили shchost.exe выход в сеть »

Ну я не совсем запретил... Только на 137-139 порты(т.к. говорили, что по ним частенько трояны коннектятся) + 1900(не знал, что сидит на этом порту)

Цитата Valeant:

как у вас например mozila в интернет выходит или как ipsec будет работать »

Простите, не понял вопрос. Мозилла в инет выходит как обычно, в жетико для него прописан "свод" правил, называется Web Browser(80 порт и т.д.).

Цитата Valeant:

1900 порту(UDP) сидит служба обнаружения SSDP (SSDP Discovery) -> лучше вообще данные службы отключить SSDP Discovery и UPnP (универсальная система Plug & Play) »

В настройках моего рутера я видел где-то пункт UPnP enabled. Может, из-за этого не стоит отключать? Или это не касается моего компьютера? (простите, в вопросах UPnP и SSDP не шарю ) И если не сложно, не могли бы Вы подсказать, как правильно их отключить?

Цитата Valeant:

Отключите NetBios »

Тут тоже, если можно, подскажите, как правильно его отключить? В свойствах подключения к сети NetBios'а нет.

Цитата Valeant:

На пятый раз заразились заразой »

Как же заразился, если ничего не делал между этими попытками? Разве такое возможно? Разве что что-то само запустилось по расписанию какому-нить...

Цитата Valeant:

нужно было посмотреть согласно скринам PID »

Нда, я посмотрел, но не там, где надо На днях тест повторю. Результаты запощу.

Цитата Valeant:

ПК заражен вирусом или трояном (вылечен не доконца) »

Тут я согласен, естественно... Но беспокоит вопрос: может ли быть заражен сам svchost.exe? Или какие-то другие процессы? Т.е. достаточно ли будет удалить заразу в виде длл и фигни, запускающейся автоматом? Ведь svchost.exe так часто коннектился по 137 порту из-за заражения или... ?

Спасибо!

[добавил]P.S.:

Цитата Valeant:

поищите описание данных Trojan.Fakealert в интернете »

Кому интересно, вот описание и инструкции по удалению. Я почитал, но, как можно заметить, файлы дллек у меня были абсолютно другие. Но я ещё проверю на наличие описанных в ссылке.

[Valeant]

Если в системе есть зараженный файл (*.dll, *.jpg, *.exe, *.tmp, *.temp и т.д.) и он прописался в реестре (т.е. механизм запуска через драйвера, службу и т.д) то сколько не запускай ПК само тело будет каждый раз выполнять процедуру заражения вашего ПК - поэтому говорю загрузка с диска или флэшки, антивирусы (только с новыми базами) должны это устранять как нам хотелось бы, но не всегда.....

По чаше посещайте http://www.viruslist.com/ru/index.html (особенно Новые описания),
http://www.viruslist.com/ru/viruses/...pter=152526512 или с подобной тематикой.

Да и очень много процессов запущено на данном пк согласно скрина http://img18.imageshack.us/img18/3509/processlist.png, а они вам все нужны эти процессы.

Все вопросы которые вы затронули можно по ним "научный труд писать", думаю данный форум предназначен не для этого, а информацию по данным вопросам можно найти в интернете.

[J-Pro]

Valeant, я прошу прощения за, быть может, ламерский вопрос, но может ли вирусоносная длл-ка может заставить svchost.exe(к примеру) коннектиться куда-то на свой адрес? Или для этого обязательно должен быть заражён(изменён) сам файл svchost.exe?

Цитата Valeant:

Да и очень много процессов ... они вам все нужны»

Да, все нужны. Я же не буду ставить их для смеха

Цитата Valeant:

Все вопросы которые вы затронули можно по ним "научный труд писать", думаю данный форум предназначен не для этого, а информацию по данным вопросам можно найти в интернете »

Наверное, Вы правы, спасибо.

P.S.: На одном форуме посоветовали тулзу Unhackme. Скачал, дома попробую. Ещё действительно засомневался в авире, тем более в её работе в х64 системах. Запустил в нёй проверку системных дир винды, дык он как раз SysWOW64 и не проверил. Только system32 и т.д. Решил найти альтернативу, глянул топы антивирусов, вроде, битдефендер один из лучших - тож скачал бесплатную версию, проверю комп им. Ещё попробую провериться Ad-Aware, помню, в своё время он хорошо себя показал. О результатах сообщу.

[J-Pro]

Valeant, поставил Unhackme, она висит в трее и через этот значок в трее можно запустить сканер. Так вот, жму правой кнопкой, выбираю "вызвать Unhackme"(процесс reanimator.exe) и винт снова начинает шуршать. Смотрю процмон, вижу это. Поступил, как Вы советовали, нашёл сриды: вот. Что можно об этом сказать?