Имя: Пароль:
IT
Админ
Проводник убивает процессы всех браузеров раз в 20 минут - несколько часов
, , ,
0 PiotrLoginov
 
25.04.17
19:58
Собственно, сабж.  Винда - семерка. Касперский ничего не находит. Подозрительного ничего в реестре, ярлыках запуска и планировщике не нашел.

Происходит все так: сначала проводник создает во временных папках батник  с кодом "taskkill" для всех существующих браузеров и удалением самого себя (этого bat-файла). Затем проводник запускает этот файл на выполнение, и пользователь видит окно командной строки. В этот момент, если повезет, я успеваю нажать Pause на клавиатуре, и выполнение батника приостанавливается. Как правило, к этому моменту он успевает убить часть браузеров, если таковые запущены. Затем я открываю расширенный диспетчер задач, где вижу висящий процесс cmd, его дочерние процессы taskkill, а также родительский процесс, запустивший батник - explorer.

Кто виноват и что делать?
1 Анна Ивановна
 
25.04.17
19:59
подарок от предыдущего одмина?
2 PiotrLoginov
 
25.04.17
20:54
да не.. это не в ЛВС, это дома у юзера
3 PiotrLoginov
 
26.04.17
13:08
Up
4 Ёпрст
 
26.04.17
13:17
(0) смотри в службах И в реестре
5 Ёпрст
 
26.04.17
13:18
ну и в драйверах, скрытых системных устройсвах.
6 Looking
 
26.04.17
13:23
Проверить с загрузочного диска DrWeb. Провести сканирование AVZ
7 PiotrLoginov
 
26.04.17
13:36
В службах? Службы смотрел. Ничего подозрительного. Или идет маскировка. Если только каждую службу проверить на подозрительные параметры запуска... Но: проводник (его процесс) запускает bat-файл с вредоносным содержимым. Может ли сторонний процесс заставить проводник запустить некий файл? Но - спасибо. Мб удастся подключить сисадмина. Ему скажу.

Анализ драйверов не в моих силах. Там столько библиотек и исполняемых файлов.. как и чем это проанализировать?

С загрузочного диска прокручу проверку, спасибо. Хотя уже не верю в результат... правда будет это теперь нескоро. Ок, апну темку после праздников.
8 NuclearWinter
 
26.04.17
13:38
Process Monitor + анализ, какой процесс создает/удаляет батник с указанным именем? Не сам же explorer.exe создает его
9 1dvd
 
26.04.17
13:44
какой полезный вирус, не даёт по инторнетам лазить
10 Looking
 
26.04.17
13:45
(7)обратите внимание на AVZ и его штатные скрипты, можно провести диагностику и отправить ее материалы на вирусинфо.помогите
11 dmrjan
 
26.04.17
13:53
Можно еще запуститься с Kaspersky Rescue Disk.
12 1dvd
 
26.04.17
13:58
такой вопрос. А если не запускать браузеры, окно cmd всё-равно всплывает?
13 PiotrLoginov
 
26.04.17
14:05
(8) Не помню уже, что использовал для анализа и иерархии процессов.. какжись как раз Process monitor, но в любом случае, такие проги не умеют вроде отслеживать, кто создает те или иные файлы... Есть вроде еще приложения, которые могут мониторить указанную папку и сообщать, кто создал новый файл.

Эх, ну увижу я, что файл создает тот же проводник, и что дальше? Понятно, что сейчас, когда компа нет рядом, можно долго планировать, что можно будет попробовать, а потом, когда я займусь этим, все гипотезы быстро "сдадутся".

(10) попробую. вообще я поклонник продуктов от Касперского. Если Kaspersky Security Scan ничего не нашла, слабо верю в успех других. Но придестся перепробовать еще парочку.

(12) Все равно всплывает
14 PiotrLoginov
 
26.04.17
14:11
(9) пользователь говорит, если в момент срабатывания bat-файла работать по RDP, терминальный сеанс тоже "валится". Сам не наблюдал. В батнике вроде не было кода, который бы убивал mstsc.exe    Какое-то уравнение с кучей неизвестных, блин.
15 ildary
 
26.04.17
14:15
(14) компьютер не был в руках любителя autoit? Я писал робота, облегчающего запуск клиента Сбербанк бизнес онлайн - и мой робот похожим образом себя ведет - гасит окна IE (правда без taskkill), а потом его же стартует, ввода все нужные пароли за человека.
16 Heckfy
 
26.04.17
14:15
В стандартный виндовый шедулер заглядывали? Стопудово там джоба висит.
17 1dvd
 
26.04.17
14:16
снеси венду, комп же домашний...
18 Looking
 
26.04.17
14:19
(17)массовое решение от домашних установщиков ))) сам уже и не помню когда последний раз приходилось ОС именно переустанавливать. Зато ГБ раздражают своим предложением по любому чиху переустановить им Винду, привыкли что дома им чаще всего так и делают.
19 ildary
 
26.04.17
14:25
(18) за хорошие деньги почему бы и нет? А если не устраивает цена, то го к любому обьявлению на подьезде.
20 1Снеговик
 
гуру
26.04.17
14:26
(18) кто такие ГБ? Переустанови винду, сидишь в куче мусора.
21 1dvd
 
26.04.17
14:31
(18) а смысл днями искать решение, если переустановка займёт 2 часа с перекурами?
22 PiotrLoginov
 
26.04.17
17:04
(15) только выполняется не экзешником autoit, а обычным батником.

(16) заглядывал. Отключил пару обновлялок. Фигня прекратилась (по словам юзера) на несколько суток. Потом возобновилась.

(17) успеется

(20) ГБ - главбух. кстати, пользователь - бухгалтер.

(21) переустановка с воссозданием привычной рабочей среды займет не 2 часа. но конечно, в крайнем случае, переустановлю.