VPF::wscntfy.exe (не RI, а N!!) и компания... - Форум программистов

KasMP

Дата 18.12.2008, 19:26 (ссылка)

(нет голосов)

Загрузка ...

Опытный

Профиль
Группа: Завсегдатай
Сообщений: 586
Регистрация: 8.8.2006

Репутация: нет
Всего: 30

Добрый вечер, мои любимые программисты smile

!

Пару дней назад имела "счастье" стать жертвой какого-то сложного механизма...

Самые внешние симптомы: комп начал подтормаживать (не сильно, но я заметила); винчестер сдал издавать характерные звуки в те моменты, в которые раньше этого не делал.

Точнее, система не подтормаживала, а просто выполняла больше операций, чем надо... Возникало ощущение, что каждое мое действие (даже самое маленькое и, особенно, запуск приложений) пропускается через какую-то оболочку, а потом куда-то записывается. При всем этом снижения скорости исходящего трафика я не наблюдала. Но я почему-то забила на все это и не стала разбираться smile

.

На следующий день мне стало очень хорошо понятно, что за мной правда смотрят smile

(не буду вдаваться в подробности... скажу только, что это связано с обычными серфингом, протоколом TCP и т.п.).
Я присмотрелась к списку процессов. К счастью, мне удалось отличить wscntfy.exe от хорошего wscritfy.exe.

Наш драгоценный Google говорил что-то противоречивое: то это какой-то маленький клиент большого мощного приложения, то это вирус, прописывающий свой код в tcpip.sys, то это брат, друг и верный помощник других вредоносных процессов, то самостоятельный руткит (давно руткиты светятся в диспетчере задач и селятся в system32 smile

??), а у кого-то вообще "Windows Security Center", Центр безопасности smile

.

Сначала я решила не заморачиваться и просто переустановить систему (тем более, с видео тоже глюки были). Добросовестно отформатировала системный диск, переустановила. Открыла диспетчер задач в новенькой "чистой" винде и ... wscntfy.exe smile

!! Запустила AVZ (с не самой новой базой) и ... несколько функций файла ...\system32\DRIVERS\a347bus.sys перехвачены smile

. Если завершить wscntfy.exe, то он тут же появляется снова.

Пока отключила службу "центр обеспечения безопасности" (и остановила ее для надежности) . wscntfy.exe исчез.

Может быть, кто-то знаком с wscntfy.exe? Он еще где-то оставляет себя smile

? Как избавиться от него полностью?
Расскажите, пожалуйста smile

!

P.S.. Антивируса у меня нет. Вся моя безопасность строится на очень хорошо настроенном (и настраиваемом каждый день) файрволле, заглядывании только на хорошие надежные сайты и на периодической проверки.

Добавлено @ 19:30
Кстати,

Цитата

Действие

Червь для платформы Windows. Распостраняется посредством рассылки своих копий по электронной почте по адресам, найденным на захваченном компьютере. Открывает "чёрный ход" через IRC, предоставляя атакующему контроль над системой. Ослабляет настройки безопасности системы.

Я не получала писем с сомнительными вложениями smile

, не пользуюсь IRC smile

.

Это сообщение отредактировал(а) KasMP - 18.12.2008, 19:31

KasMP

Дата 18.12.2008, 19:44 (ссылка)

(нет голосов)

Загрузка ...

Опытный

Профиль
Группа: Завсегдатай
Сообщений: 586
Регистрация: 8.8.2006

Репутация: нет
Всего: 30

Видимо, иногда wscnfy.exe идет в комплекте с startdv.exe; startdv.exe я у себя не нашла.

Еще отключила службы восстановления и обновления.

Добавлено через 12 минут и 29 секунд
Лог от проверки HijackThis:

Код


Logfile of HijackThis v1.99.1
Scan saved at 21:50:35, on 18.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\ctfmon.exe
K:\Firefox\firefox.exe
C:\Documents and Settings\Дом\Рабочий стол\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ASUSGamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [RemoteControl] K:\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] K:\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [OutpostMonitor] K:\NOOUTP~1\op_mon.exe /tray /noservice
O4 - HKLM\..\Run: [OutpostFeedBack] "K:\No Outpost\feedback.exe" /dump:os_startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Инструмент проверки носителя Picture Motion Browser.lnk = K:\Sony\VolumeWatcher\SPUVolumeWatcher.exe
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://K:\Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Быстрая настройка Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - K:\No Outpost\ie_bar.dll
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - K:\Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1047C2D3-EDEE-4F4C-9716-C4B721F87F93}: NameServer = 192.168.10.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A5A926B-294E-4CDA-A506-94676C8416EA}: NameServer = 81.91.36.3 81.91.36.5
O17 - HKLM\System\CS1\Services\Tcpip\..\{1047C2D3-EDEE-4F4C-9716-C4B721F87F93}: NameServer = 192.168.10.1
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O20 - AppInit_DLLs: k:\nooutp~1\wl_hook.dll
O23 - Service: Agnitum Client Security Service (acssrv) - Agnitum Ltd. - K:\NOOUTP~1\acs.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

Вроде бы, ничего страшного smile

...

KasMP

Дата 18.12.2008, 20:19 (ссылка)

(нет голосов)

Загрузка ...

Опытный

Профиль
Группа: Завсегдатай
Сообщений: 586
Регистрация: 8.8.2006

Репутация: нет
Всего: 30

Признаки.

Цитата

При первом запуске копирует себя в системную директорию Windows (%System%) под именем wscntfy.exe.

Ага.

Цитата

Записывает ссылку на себя в раздел реестра, отвечающий за автозагрузку приложений при старте системы:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows Security Alert = %System%\wscntfy.exe

Видимо, переустановка XP не прошла мимо - у меня нет.

Цитата

Также создает в реестре следующие ключи:

    * HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
      VersionNumber
    * HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Winsock
      TcpNumConnections

То же самое (нет).

Но если попытаться удалить wscntfy.exe из system32, то через несколько секунд файл восстанавливается.

Добавлено через 1 минуту и 17 секунд
Ну тогда засчет чего он запустился в новенькой чистой винде??????? Я даже сетевой кабель для надежности выдергивала!!!!!

Добавлено через 9 минут и 52 секунды
Т.е. получается так:
сейчас у меня формально чистая система (посмотрите на отчет HijackThis), в которой каким-то магическим образом запустилась какая-то левая живучая прога. Прогу, возможно, уже удалось остановить. Но надо разобраться с магическим образом, который наверняка еще жив...

mes

Дата 20.12.2008, 01:20 (ссылка)

(голосов:1)

Загрузка ...

любитель

Профиль
Группа: Участник Клуба
Сообщений: 7954
Регистрация: 14.1.2006

Репутация: нет
Всего: 250

Цитата(KasMP @ 18.12.2008, 20:19

)

сейчас у меня формально чистая система (посмотрите на отчет HijackThis), в которой каким-то магическим образом запустилась какая-то левая живучая прога. Прогу, возможно, уже удалось остановить. Но надо разобраться с магическим образом, который наверняка еще жив...

Только не переусердствуй smile

Ты наверно будешь сильно удивлена, но wscntfy (windows security notify) вполне нормально иметь на винде . smile

Поставь в брандмауре галочки про автоматическое обновление и что сама следишь за антивирусом, чтоб он тебя не доставал. smile

P.S. а вот про wscritfy никогда и не слышал. smile

Это сообщение отредактировал(а) mes - 20.12.2008, 01:33

--------------------

http://opendots.net

KasMP

Дата 21.12.2008, 21:49 (ссылка)

(нет голосов)

Загрузка ...

Опытный

Профиль
Группа: Завсегдатай
Сообщений: 586
Регистрация: 8.8.2006

Репутация: нет
Всего: 30

Цитата(mes @ 20.12.2008, 01:20

)

Только не переусердствуй

А теперь уже негде усердствовать smile

. Вот только обидно, что не найти и не узнать тот вирус smile

, который был smile

...

Цитата(mes @ 20.12.2008, 01:20

)

Ты наверно будешь сильно удивлена, но wscntfy (windows security notify) вполне нормально иметь на винде

Да

... Просто мне когда-то давно примерещилось, что он пишется через RI smile

Цитата(mes @ 20.12.2008, 01:20

)

P.S. а вот про wscritfy никогда и не слышал.

Google и microsoft.com тоже smile

0 Пользователей читают эту тему (0 Гостей и 0 Скрытых Пользователей)
0 Пользователей:
« Предыдущая тема \| MS Windows \| Следующая тема »