Внедрение в процесс. Windows XP
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Внедрение в процесс. Windows XP - 2008-03-14 01:00:35.456666
|
|
|
Insect
Сообщений: 4
Оценки: 0
Присоединился: 2008-03-14 00:54:12.636666
|
Здравствуйте. Проблема заключается в следующем:
Есть комп с WinXP. На этом компе была запущена зловредная программа. После того как стало понятно что она зловредная, ее исполняемый файл был удален. С тех пор происходит следующее: при запуске какого либо процесса (ну в частности прикладные программы) эта зловредная программа выдает messageBox с сообщением, причем messageBox имеет пиктограмму того процесса который был запущен, то есть как бы от имени этого процесса. Я точно не представляю механизма работы.
Вот в этом и хотелось бы разобраться и в том как ее побороть. Есть какие либо идеи?
P.S: антивирусами она не палится…
|
|
|
|
|
RE: Внедрение в процесс. Windows XP - 2008-03-14 02:37:58.990000
|
|
|
Insect
Сообщений: 4
Оценки: 0
Присоединился: 2008-03-14 00:54:12.636666
|
Не спортивно. Хочу узнать механизм функционирования
|
|
|
|
|
RE: Внедрение в процесс. Windows XP - 2008-03-14 11:56:32.470000
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
99% какая-то dll инжектится в каждый процесс, посмотри какие подозрительные дллки присутствют в процессах
|
|
|
|
|
RE: Внедрение в процесс. Windows XP - 2008-03-14 15:45:34.710000
|
|
|
il0dbg
Сообщений: 66
Оценки: 0
Присоединился: 2007-10-30 01:32:31.366666
|
Юзай PE Tools
|
|
|
|
|
RE: Внедрение в процесс. Windows XP - 2008-03-14 18:14:34.116666
|
|
|
Insect
Сообщений: 4
Оценки: 0
Присоединился: 2008-03-14 00:54:12.636666
|
Каждый раз при запуске прикладной программы в ее папке создается файл с расширением sys (как его приаттачить к посту ???). Так же в реестре в HKEY_LOCAL_MACHINE/SOFTWARE создается папка с ключем DataStamp типа REG_DWORD, который содержит следующее значение: b77ada47
|
|
|
|
|
RE: Внедрение в процесс. Windows XP - 2008-03-14 22:13:45.283333
|
|
|
AdReNaL1Ne
Сообщений: 8027
Оценки: 350
Присоединился: 2005-09-11 06:38:05
|
Проверяй сервисы и автозагрузку на наличие вредоносных программ.
|
|
|
|
|
RE: Внедрение в процесс. Windows XP - 2008-03-18 13:14:25.106666
|
|
|
JTG
Сообщений: 1189
Оценки: 0
Присоединился: 2007-03-05 11:56:01.993333
|
Инсталить касперского, запретить в настройках внешнее управление сервисом, включить проактивную защиту, перезагрузиться и ждать первого invader/loader если таковой на самом деле живёт в системе, далее по обстоятельствам.
Поставить Rootkit Unhooker, поискать скрытые процессы.
Запустить Process Explorer от Руссиновича, Ctrl+L, Ctrl+D (покажет длл подгруженные в процесс) и какую-нибудь очень маленькую программу (чёнить типа примера ассемблерного HelloWorld), при появлении этого паразитного MessageBox глядеть в нижнее окно на предмет левых dll. Если таковые найдены - принудительно выгрузить (из всех процессов, была на wasm.ru утилита, забыл название) прочесать имя в реестре и удалить все ссылки на подозрительную DLL (тока не удалить системные!)
|
|
|
|
|
RE: Внедрение в процесс. Windows XP - 2008-03-18 17:05:50.846666
|
|
|
LeXus22
Сообщений: 4
Оценки: 0
Присоединился: 2008-02-18 18:07:38.146666
|
Это 100% в реестре прописался вирь. У меня подобная фишка была, вирус при открытии любой программы выдавал ошибку, после нажатия ок, программа работала как обычно. этот вирь мне заблокировал диспечер задач, реестр, и много еще чего. Но все таки получилось все разблокировать и удалить вирус. НО ошибка оставалась, тогда я полазил в реестре и после недолгих поисков нашел нужную папку. Удалил ее и все ошибка пропала.
|
|
|
|
|
RE: Внедрение в процесс. Windows XP - 2008-05-11 09:47:38.123333
|
|
|
xaper
Сообщений: 187
Оценки: 0
Присоединился: 2008-02-06 11:18:53
|
Можешь винду переустановить и реестр очистить,тогда 100% поможет.
|
|
|
|
|
RE: Внедрение в процесс. Windows XP - 2008-05-12 07:35:13.040000
|
|
|
furiousangel
Сообщений: 1116
Оценки: 0
Присоединился: 2005-05-28 06:31:47
|
Если это реально меседжбокс, то запусти через ольку чет, предварительно не забыв поставить бряк на меседжбокс. Смотри откуда этот меседжбокс вызывается и веди разбор вверх. sys наталкивает на драйвер, но имхо очень-очень маловероятно.
Если это dll-ка то стоит попробовать поставить бряк и на LoadLibrary.
Очень сомневаюсь что это чудо написано виртуозом.
|
|
|
|
|
|
