[Valeant]

J-Pro,
По поводу Ad-Aware - очень хорошая программа, только та что старенькая SE, только к ней поновей базу файл defs.ref, очень хорошо справляется с возложенной на нае задачей.

Цитата:

Да, все нужны. Я же не буду ставить их для смеха

??????

Все svchost запускаются процессом services.exe. Используется единый процесс для работы нескольких сервисов (хорошо видно в ProsessExplore расположив столбец Process в виде дерева нажав лев.кн.мыши несколько раз на данном названии столбца)
В ветке HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services перечислены все сервисы данной системы, в поле ImagePath видна команда запуска .

Например
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess
ImagePath = %SystemRoot%\system32\svchost.exe -k netsvcs

Некоторые вирусы, трояны и т.д. маскируются под имя svchost, замещая настоящий на свою копию.
Или даже используют способ загрузки через драйвера, устанавливая свой драйвер в систему и запуская его при запуске системы.

Цитата:

J-Pro, но может ли вирусоносная длл-ка может заставить svchost.exe(к примеру) коннектиться куда-то на свой адрес? Или для этого обязательно должен быть заражён(изменён) сам файл svchost.exe?

Не обязательно.

Цитата:

J-Pro, происходит циклическое однообразное обращение к диску на протяжении от 10 до 20 минут.

На что бросаются глаза так это Length 512
Наверное надо было бы начать с начало, а установлены ли драйвера на материнку, а в каком режиме работает винт PIO или UDMA? А с какой скорость копируются файлы куда нибудь?
И не как не пойму по ProcMon полное название операции Read....., есть операции чтения через FAST_IO_ напрямую, или IRP_MJ_ через драйвер. У вас версия какая.

Данной программой Unhackme не пользовался, достаточно хорошая autoruns.exe из этой же серии где в закладке Service и Drivers и Logon ищем все подозрительное.

[J-Pro]

Valeant, три ночи я, простите, трахался с компом, пробовал то Unhackme, то Ad-Aware AE(свежая версия), то авторанс. В общем, первая чё-то нашла, удалила, потом не нашла, потом опять нашла, в общем, её поведение мне абсолютно неясно. Единственное, чем она помогла - тем, что дала мне понять, что на компе руткиты, т.к. файлы найденных "угроз" не были обнаружены. В общем, раз 10, наверное, я перегружался, пробовал различные методы сканирования и лечения этой программой, результат один и тот же - всё равно это злосчастное обращение к диску при открытии файлов другой программой(не только фаром, но и из какого-нить сетапа галкой "запустить программу" и т.д.).

Вчера ночью я попробовал Ad-Aware. Помнится, пару лет назад я тоже успешно использовал Ad-Aware SE, она мне помогала. А тут, блин, нашла один вирус, и то, тот, который лежал в папке карантина доктора веба В общем, тоже не помогла.

Ну а потом я решил, всё-таки, потратить время и тщательно просмотреть все закладки autoruns.exe. Нашёл там(в драйверах и сервисах) штук 7-8 записей, файлы которых найдены не были. Хоть и у некоторых было написано что-то умное в названии, я нафиг поудалял, потому что если файл не найден, думаю, это как раз тот руткит, который НЕ нужен. Перегрузился, перепроверил ещё раз, вроде ничего похожего. Попробовал пооткрывать файлы из фара: 10 попыток, разные файлы - все нормально открылись. Какая-то радость есть, но всё же и сомнение, что удалил не всё, тоже осталось. Ведь, если ни авира, ни анхакми, ни адэвэйр не нашли эту фигню, то разве можно так просто с помощью авторанс её раз и навсегда удалить? Наверняка у неё припасено что-то в другом месте Хотя... поживём - увидим.

В любом случае, Valeant, Вам ОГРОМНОЕ спасибо за помощь, я узнал много нового

P.S.: После "лечения" и последующей перезагрузки, глянул в процмон, а там свхост "шерстит" все файлы, шо есть на винтах одним своим сридом(у которого в столбце Start Address было 0х00 - что-то такое). Предполагаю, что это работа какого-то майкрософтовского индексера-поисковика... Ткните плиз в тему, ежели такая имеется, где описано, как этот поисковик вырубить. Всё равно, если я что-то ищу - пользуюсь фаром, а эти постоянные индексации мне абсолютно не нужны... (если, конечно, это были они )

[Valeant]

Про индекс - поисковик наверное шутка - это легко проверяется включить ProcMon поставить фильтр на данную службу
Microsoft Windows Search Indexer - команд линия C:\Windows\system32\SearchIndexer.exe /Embedding и посмотреть в течения часа какая же будет активность данной службы в этом окне, например у меня она не отключена да и незаметно когда она работает (загрузка на проц) может дать ей время отработать и все успокоится.

SearchIndexer.exe - запускает два процесса
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchProtocolHost.exe

Иногда сидит в памяти занимая 40MB, но вот заметил из всего процессорного времени работы наблюдая в ProcessExplorer при обычной работе открытие документа, файла в проводнике и т.д. что-то она неактивна по процессорному времени (CPU Time):
- Idle - 2:00:26.467
- SearchIndexer.exe - отработала 0:00:06.426

Так что в ней проблем не вижу

Не знаю как вы а я еще пользуюсь очисткой реестра. "Почаще" запускайте ProcessExplorer и autoruns, и будет вам "счатье", будете видит перед глазами одно и то же т.е. все запущенные процессы, и если вдруг появится новый то сразу же бросится в глаза.

[J-Pro]

Valeant, про SearchIndexer понял, спасибо. Значит, это не он.

Только что включил комп, прошло немного времени и повторилось то, что я перепутал с индексированием. Вы Вашим опытным взглядом не могли бы осмотреть и попробовать определить, что это может быть? Я всё сохранил, как нужно. Итак, лог процмона(взял скрины из четырёх его частей, сверху вниз): первый, второй, третий, четвёртый. А вот тут открытый срид с ID 2444. Что скажете, что это может быть? Всё тот же троянец или ординарные действия ОС?

Спасибо Вам огромное заранее...

[Valeant]

Из Command Line строки у вас видна команда на запуск
c:\windows\system32\svchost.exe -k secsvcs - WinDefend системный сервис Vista.

Очень странное svchost с PID 986, да и странный поток 2444 и 304 у которых нет название в поле Start Address а просто стоит 0x0. Судя по названиям Operation идет просто сбор информации по файлам, а если перейти в закладку Services то можно было бы увидеть какие сервисы запускаются этим svchost.

А зачем так много антивирусных программ WinDefend, Antivirus и Ad-Aware да еще и одновременно. Отключите оставьте что нибудь одно, можно начать с WinDefend.

[J-Pro]

1. Сегодня при открытии архива из фара(шифт+ентер=>открывается винрар) опять произошёл сабж Все остальные файлы, вроде, пока открываются быстро.

2.

Цитата Valeant:

у которых нет название в поле Start Address а просто стоит 0x0 »

Вот и мне так показалось.

Цитата Valeant:

если перейти в закладку Services »

Буду знать Пытался посмотреть стэк срида, дык недоступен...

Цитата Valeant:

А зачем так много антивирусных программ WinDefend, Antivirus и Ad-Aware да еще и одновременно. Отключите оставьте что нибудь одно, можно начать с WinDefend »

Ad-Aware, как я понял, у меня стоит без антивируса, только руткиты и всякое адвэйр. А на вирусы проверяет авира. А Дефендер надо бы отключить, достал он меня своими обновлениями. Да и нафиг он нужен, если всё это время работал и пропустил троян...

[J-Pro]

Да и ещё... сегодня в процессе работы за компом вылетел синий экран. Дамп весь сохранил на всякий случай. Если кому интересно - выложу. За полгода работы системы это первый синий экран.
На одном форуме вычитал, что:

Цитата:

... Whenever Windows detects that any of the PFN lists or any of the PFN entries themselves have become invalid, the system halts with a PFN_LIST_CORRUPT bugcheck. This bugcheck usually occurs for one of two reasons, the first reason being memory corruption. If there is a buggy driver in the system that is writing on memory that it does not own, it could easily corrupt one of the PFN lists or entries. In order to rule this out, you should run Driver Verifier with Special Pool enabled for suspect drivers in the system. This will hopefully allow you to catch the misbehaving driver in the act of scribbling memory, instead of receiving a crash sometime later when the O/S discovers the damage. The second cause for this bugcheck is incorrect MDL handling. ...

Может, это действительно произошло из-за трояна, который грузится драйвером? Но в авторанс я ничего подозрительного больше не видел... Хотя... это нужно каждый драйвер проверять в гугле из списка

Добавил: Да, кстати, проанализировав ошибку по этой и этой страничке, выяснил, что причина: "A driver attempted to free a page that is still locked for IO. " Из дампа можно узнать, что за драйвер?

[Valeant]

Из джампа узнать драйвер пользуюсь

1. установить Debugging Tools for Windows http://www.microsoft.com/whdc/DevToo...g/default.mspx
2. сценарий http://tools.oszone.net/Vadikan/files/kdfe.zip
3. далее выполнить сценарий kdfe.cmd указав в качестве параметра путь к файлу дампа памяти Mini*.dmp

kdfe.cmd "%systemroot%\Minidump\Mini1110307-01.dmp"

[J-Pro]

Valeant,
Спасибо Вам за ответ, очень полезная информация, взял на вооружение.

Всё запустил, итог:

Код:

Crash date:         Wed Mar 19 05:45:06.678 2008 (GMT+2)
Stop error code:    0x4E_9a
Process name:       System
Probably caused by: NETIO.SYS ( NETIOWfpPoolFree+19 )

Видимо, синий экран не связан с вирусом... Как Вы думаете?

Цитата Valeant:

а если перейти в закладку Services то можно было бы увидеть какие сервисы запускаются этим svchost. »

Сегодня с винраром ситуация повторилась и я зашёл в сервисы. Вроде ничего подозрительного, вот скрин.

[Valeant]

Цитата:

J-Pro, Probably caused by: NETIO.SYS ( NETIOWfpPoolFree+19 )

драйвер NETIO.SYS по названию понятно NET и I/O - сетевая подсистеме ввода/вывода, а внутри данного файла можно обнаружить
..N e t w o r k I / O S u b s y s t e m ...M i c r o s o f t R W i n d o w s R O p e r a t i n g...
много программ используют его в своих целях и в том числе firewall и антивирусные программы с встроенными firewall.
Лучше для начало обновить драйвера на материнку chipset и на сетевую карту, потом поставить посвежее firewall.

И например после выхода SP1 вышли патчи http://support.microsoft.com/kb/952709 например в этом есть так же данный драйвер netio.sys. Для информации http://www.cybersecurity.ru/news/59522.html

Так же рекомендую поставить параметр в реестре
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
DisablePagingExecutive = 1

Отменяет выгрузку компонентов ядра на HDD (файл подкачки), как то попадалось в интернете сообщение, которое взял на заметку, при проблемных драйверах от сторонних производителей (которые часто устанавливаются с программой) помогает избежать вываливания в синий экран.

Цитата:

J-Pro, Сегодня с винраром ситуация повторилась и я зашёл в сервисы. Вроде ничего подозрительного, вот скрин.

Смысл не понял winrar и данного скрина для svchost, какая взаимосвязь между ними.