"Несанкционированный" запуск процесса

@dex123 · Регистрация: 05.04.2013

Author24 — интернет-сервис помощи студентам

Здравствуйте,

Недавно заметил один процесс в диспетчере copy.exe, Нажимаю открыть расположение файла
какой-то левый экзешник C:\Windows\updater\updater.exe
В списках автозагрузки его нет, но при запуске системы этот процесс запускается. Удалить я его всегда успею, подскажите что его может запускать?
Еще вопрос мог ли он мне тут троянов позагружать? Вот проверил на вирустотале его
https://www.virustotal.com/ru/... /analysis/

gecata · 20.09.2014, 12:43

А Process Explorer что по поводу этого процесса говорит? (там есть возможность глянуть на "Родительский" (Parent) процесс)

@dex123 · 20.09.2014, 13:04 **[ТС]**

Судя по всему нет родительского, если переводить из названия. Или это что-то другое значит ?

<Non-existent Process>(2248)

@Spalah · 20.09.2014, 13:17

В службах посмотрите.

@dex123 · 20.09.2014, 13:49 **[ТС]**

Как вычислить если там этот процесс? Там этих служб куча, я вроде все руками перебрал, что-нибудь указывающее, на
C:\Windows\update не нашёл, хотя я мог и проглядеть.
Жаль нет сортировки по дате установки, так бы я быстро узнал есть или нет

gecata · 20.09.2014, 15:02

Может, этот таинственный родительский процесс "засветится" в отчёте GSI?

@dex123 · 21.09.2014, 11:23 **[ТС]**

Добавлено через 1 минуту
Загрузил отчет

Кликните здесь для просмотра всего текста

Обнаружены драйверы, требующие обновления: [0]
Обнаружены приложения, требующие обновления: [0]
Найдены неизвестные объекты: [71]
Недоверенные объект(ы): [0]
Обнаружено потенциально несовместимое программное обеспечение: [164]
Hosts: original
Возможно зараженный объект: [0]

Несовместимое ПО считает только антивирь

Кликните здесь для просмотра всего текста

=> Dr.Web Anti-virus for Windows

Запущенные процессы

=> Имя файла "C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe" - Dr.Web Anti-Virus
=> Имя файла C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe - Dr.Web Anti-Virus
=> Имя файла "C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwarkdaemon.exe" -arkpipe:\pipe\arserver -arkinitflags:13 - Dr.Web Anti-Virus
=> Имя файла C:\Program Files\Common Files\Doctor Web\Updater\drwupsrv.exe - Dr.Web ®
=> Имя файла "C:\Program Files\DrWeb\dwservice.exe" --logfile="c:\programdata\doctor web\logs\dwservice.log" - Dr.Web ®
=> Имя файла "C:\Program Files\DrWeb\dwnetfilter.exe" --ats - Dr.Web ®
=> Имя файла "C:\Program Files\DrWeb\spideragent.exe" - Dr.Web ®

Запущенные службы

=> Имя файла C:\Program Files\DrWeb\dwservice.exe - Dr.Web ®
=> Имя файла C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe - Dr.Web Anti-Virus
=> Имя файла C:\Program Files\DrWeb\dwnetfilter.exe - Dr.Web ®

Неизвестные объекты: есть пару непонятных dll, но дата появления очень давняя,а эта бяка появилась недавно

Кликните здесь для просмотра всего текста

=> "D:\Soft\LiveSurf - клиент\livesurf.exe" -start

Драйверы, запущенные в ...

firefox.exe [1]
=> C:\Program Files (x86)\Mozilla Firefox\mozjs.dll

QIPShot.exe [3]
=> C:\Users\bogdan\AppData\Local\QIP\QIP Shot\netclient.dll
=> C:\Users\bogdan\AppData\Local\QIP\QIP Shot\Langs\Russian.dll
=> C:\Users\bogdan\AppData\Local\QIP\QIP Shot\hostings\SmotriCom.dll

GameOverlayUI.exe [1]
=> D:\Program Files (x86)\Steam\bin\chromehtml.dll

Steam.exe [8]
=> D:\Program Files (x86)\Steam\libavcodec-56.dll
=> D:\Program Files (x86)\Steam\libavresample-2.dll
=> D:\Program Files (x86)\Steam\libavutil-54.dll
=> D:\Program Files (x86)\Steam\video.dll
=> D:\Program Files (x86)\Steam\libavformat-56.dll
=> D:\Program Files (x86)\Steam\libswscale-3.dll
=> D:\Program Files (x86)\Steam\bin\chromehtml.dll
=> C:\Users\bogdan\AppData\Local\Temp\~50C7.tmp

steamwebhelper.exe [1]
=> D:\Program Files (x86)\Steam\bin\ffmpegsumo.dll

RelicCOH.exe [7]
=> D:\Program Files (x86)\Steam\SteamApps\common\Company of Heroes Relaunch\DivxMediaLib.dll
=> D:\Program Files (x86)\Steam\SteamApps\common\Company of Heroes Relaunch\FileParser.dll
=> D:\Program Files (x86)\Steam\Steam.dll
=> D:\Program Files (x86)\Steam\SteamApps\common\Company of Heroes Relaunch\MilesRedist\mssmp3.asi
=> D:\Program Files (x86)\Steam\SteamApps\common\Company of Heroes Relaunch\MilesRedist\mssvoice.asi
=> D:\Program Files (x86)\Steam\SteamApps\common\Company of Heroes Relaunch\MilesRedist\mssds3d.flt
=> D:\Program Files (x86)\Steam\SteamApps\common\Company of Heroes Relaunch\MilesRedist\msseax.flt

Реестр

_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [4]
=> D:\Soft\ShadeYou\shadeyougui.exe
=> D:\Soft\LiveSurf - клиент\livesurf.exe
=> D:\Soft\RedSurf-client\redsurf.exe
=> D:\Soft\ProstoSurf\prostosurf.exe

Проверенные папки

C:\Users\bogdan\AppData\Local\Temp\ [7]
=> C:\Users\bogdan\AppData\Local\Temp\CDPatcher-1.1.9.9.rar_.exe
=> C:\Users\bogdan\AppData\Local\Temp\Honorbuddy-2.5.10217.732.zip_.exe
=> C:\Users\bogdan\AppData\Local\Temp\npp.6.5.1.Installer.exe
=> C:\Users\bogdan\AppData\Local\Temp\npp.6.5.2.Installer.exe
=> C:\Users\bogdan\AppData\Local\Temp\Skype.msi
=> C:\Users\bogdan\AppData\Local\Temp\tmp1FE8.dll
=> C:\Users\bogdan\AppData\Local\Temp\Uninstall.exe

C:\Users\bogdan\AppData\Local\Temp\is-RMH4M.tmp [1]
=> C:\Users\bogdan\AppData\Local\Temp\is-RMH4M.tmp\botva2.dll

C:\Users\bogdan\AppData\Local\Temp\TeamViewer\Version8\x64 [1]
=> C:\Users\bogdan\AppData\Local\Temp\TeamViewer\Version8\x64\Teamviewer_PrintProce ssor.dll

C:\Users\bogdan\AppData\Local\Temp\TeamViewer\Version9\x64 [1]
=> C:\Users\bogdan\AppData\Local\Temp\TeamViewer\Version9\x64\Teamviewer_PrintProce ssor.dll

C:\Windows\Temp\A3430056-4617-463E-84DB-D6320CA20301 [1]
=> C:\Windows\Temp\A3430056-4617-463E-84DB-D6320CA20301\ImagingProvider.dll

C:\Windows\Temp\ServiceAppxPackage [1]
=> C:\Windows\Temp\ServiceAppxPackage\ServiceAppxCustomAction.dll

@Persk · 21.09.2014, 11:32

Сообщение от dex123

Загрузил отчет

Ссылку на отчет покажите

@dex123 · 22.09.2014, 01:06 **[ТС]**

http://www.getsysteminfo.com/r... 437e923534

Новые блоги и статьи
UserScript для подсветки кнопок языков программирования в зависимости от текущего раздела volvo 13.01.2025 В результате работы этого скрипта подсвечиваются нужные кнопки не только в форм быстрого ответа, но и при редактировании сообщения: / / ==UserScript== / / @name CF_DefaultLangSelect / / . . .	Обновление сайта www.historian.by Reglage 13.01.2025 За неделю добавил два урока - по ассемблеру и Линуксу, а также дополнил один урок по ассемблеру. Мелкими шагами двигаюсь дальше к неизменной цели. По ИТ: 1) добавил урок "Структура программы на. . .	Введение в модели и алгоритмы машинного обучения InfoMaster 12.01.2025 Машинное обучение представляет собой одну из наиболее динамично развивающихся областей искусственного интеллекта, которая фокусируется на разработке алгоритмов и методов, позволяющих компьютерам. . .	Как на Python создать нейросеть для решения задач InfoMaster 12.01.2025 В контексте стремительного развития современных технологий особое внимание уделяется таким инструментам, как нейросети. Эти структуры, вдохновленные биологическими нейронными сетями, используются для. . .	Как создать нейросеть для генерации картинок на Python InfoMaster 12.01.2025 Генерация изображений с помощью искусственных нейронных сетей стала одним из наиболее захватывающих направлений в области компьютерного зрения и машинного обучения. В этой статье мы рассмотрим. . .	Создание нейросети для генерации текста на Python InfoMaster 12.01.2025 Нейросети, или искусственные нейронные сети, представляют собой модели машинного обучения, вдохновленные работой человеческого мозга. Они состоят из множества взаимосвязанных узлов, или "нейронов",. . .
Как создать нейросеть распознавания изображений на Python InfoMaster 12.01.2025 Введение в распознавание изображений с помощью нейросетей Распознавание изображений с помощью нейронных сетей стало одним из самых впечатляющих достижений в области искусственного интеллекта. Эта. . .	Основы искуственного интеллекта InfoMaster 12.01.2025 Искусственный интеллект (ИИ) представляет собой одну из наиболее динамично развивающихся областей современной науки и технологий. В широком смысле под искусственным интеллектом понимается способность. . .	Python и нейросети InfoMaster 12.01.2025 Искусственные нейронные сети стали неотъемлемой частью современных технологий, революционизировав множество областей - от медицинской диагностики до автономных транспортных средств. Python, благодаря. . .	Python в машинном обучении InfoMaster 12.01.2025 Python стал неотъемлемой частью современного машинного обучения, завоевав позицию ведущего языка программирования в этой области. Его популярность обусловлена несколькими ключевыми факторами, которые. . .	Создание UI на Python с TKinter InfoMaster 12.01.2025 TKinter — это одна из наиболее популярных библиотек для создания графических интерфейсов пользователей (GUI) в языке программирования Python. TKinter входит в стандартную библиотеку Python, что. . .	HTML5 в разработке мобильных приложений InfoMaster 12.01.2025 Введение: Обзор роли HTML5 в мобильной разработке В современном мире мобильных технологий HTML5 стал ключевым инструментом для разработки кроссплатформенных приложений. Эта технология произвела. . .

@dex123 0 / 0 / 0 Регистрация: 05.04.2013 Сообщений: 53
		1
	"Несанкционированный" запуск процесса 20.09.2014, 12:29. Показов 1175. Ответов 8 Метки нет (Все метки) Здравствуйте, Недавно заметил один процесс в диспетчере copy.exe, Нажимаю открыть расположение файла какой-то левый экзешник C:\Windows\updater\updater.exe В списках автозагрузки его нет, но при запуске системы этот процесс запускается. Удалить я его всегда успею, подскажите что его может запускать? Еще вопрос мог ли он мне тут троянов позагружать? Вот проверил на вирустотале его https://www.virustotal.com/ru/... /analysis/ 0

gecata Модератор 15902 / 7924 / 755 Регистрация: 03.01.2012 Сообщений: 32,863
	20.09.2014, 12:43	2
	А Process Explorer что по поводу этого процесса говорит? (там есть возможность глянуть на "Родительский" (Parent) процесс) 0

@dex123 0 / 0 / 0 Регистрация: 05.04.2013 Сообщений: 53
	20.09.2014, 13:04 [ТС]	3
	Судя по всему нет родительского, если переводить из названия. Или это что-то другое значит ? <Non-existent Process>(2248) 0

@Spalah 20 / 17 / 8 Регистрация: 28.03.2013 Сообщений: 134
	20.09.2014, 13:17	4
	В службах посмотрите. 0

@dex123 0 / 0 / 0 Регистрация: 05.04.2013 Сообщений: 53
	20.09.2014, 13:49 [ТС]	5
	Как вычислить если там этот процесс? Там этих служб куча, я вроде все руками перебрал, что-нибудь указывающее, на C:\Windows\update не нашёл, хотя я мог и проглядеть. Жаль нет сортировки по дате установки, так бы я быстро узнал есть или нет 0

gecata Модератор 15902 / 7924 / 755 Регистрация: 03.01.2012 Сообщений: 32,863
	20.09.2014, 15:02	6
	Может, этот таинственный родительский процесс "засветится" в отчёте GSI? 0

@dex123 0 / 0 / 0 Регистрация: 05.04.2013 Сообщений: 53
	21.09.2014, 11:23 [ТС]	7
	Добавлено через 1 минуту Загрузил отчет Кликните здесь для просмотра всего текста Обнаружены драйверы, требующие обновления: [0] Обнаружены приложения, требующие обновления: [0] Найдены неизвестные объекты: [71] Недоверенные объект(ы): [0] Обнаружено потенциально несовместимое программное обеспечение: [164] Hosts: original Возможно зараженный объект: [0] Несовместимое ПО считает только антивирь Кликните здесь для просмотра всего текста => Dr.Web Anti-virus for Windows Запущенные процессы => Имя файла "C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe" - Dr.Web Anti-Virus => Имя файла C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe - Dr.Web Anti-Virus => Имя файла "C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwarkdaemon.exe" -arkpipe:\pipe\arserver -arkinitflags:13 - Dr.Web Anti-Virus => Имя файла C:\Program Files\Common Files\Doctor Web\Updater\drwupsrv.exe - Dr.Web ® => Имя файла "C:\Program Files\DrWeb\dwservice.exe" --logfile="c:\programdata\doctor web\logs\dwservice.log" - Dr.Web ® => Имя файла "C:\Program Files\DrWeb\dwnetfilter.exe" --ats - Dr.Web ® => Имя файла "C:\Program Files\DrWeb\spideragent.exe" - Dr.Web ® Запущенные службы => Имя файла C:\Program Files\DrWeb\dwservice.exe - Dr.Web ® => Имя файла C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe - Dr.Web Anti-Virus => Имя файла C:\Program Files\DrWeb\dwnetfilter.exe - Dr.Web ® Неизвестные объекты: есть пару непонятных dll, но дата появления очень давняя,а эта бяка появилась недавно Кликните здесь для просмотра всего текста => "D:\Soft\LiveSurf - клиент\livesurf.exe" -start Драйверы, запущенные в ... firefox.exe [1] => C:\Program Files (x86)\Mozilla Firefox\mozjs.dll QIPShot.exe [3] => C:\Users\bogdan\AppData\Local\QIP\QIP Shot\netclient.dll => C:\Users\bogdan\AppData\Local\QIP\QIP Shot\Langs\Russian.dll => C:\Users\bogdan\AppData\Local\QIP\QIP Shot\hostings\SmotriCom.dll GameOverlayUI.exe [1] => D:\Program Files (x86)\Steam\bin\chromehtml.dll Steam.exe [8] => D:\Program Files (x86)\Steam\libavcodec-56.dll => D:\Program Files (x86)\Steam\libavresample-2.dll => D:\Program Files (x86)\Steam\libavutil-54.dll => D:\Program Files (x86)\Steam\video.dll => D:\Program Files (x86)\Steam\libavformat-56.dll => D:\Program Files (x86)\Steam\libswscale-3.dll => D:\Program Files (x86)\Steam\bin\chromehtml.dll => C:\Users\bogdan\AppData\Local\Temp\~50C7.tmp steamwebhelper.exe [1] => D:\Program Files (x86)\Steam\bin\ffmpegsumo.dll RelicCOH.exe [7] => D:\Program Files (x86)\Steam\SteamApps\common\Company of Heroes Relaunch\DivxMediaLib.dll => D:\Program Files (x86)\Steam\SteamApps\common\Company of Heroes Relaunch\FileParser.dll => D:\Program Files (x86)\Steam\Steam.dll => D:\Program Files (x86)\Steam\SteamApps\common\Company of Heroes Relaunch\MilesRedist\mssmp3.asi => D:\Program Files (x86)\Steam\SteamApps\common\Company of Heroes Relaunch\MilesRedist\mssvoice.asi => D:\Program Files (x86)\Steam\SteamApps\common\Company of Heroes Relaunch\MilesRedist\mssds3d.flt => D:\Program Files (x86)\Steam\SteamApps\common\Company of Heroes Relaunch\MilesRedist\msseax.flt Реестр _CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [4] => D:\Soft\ShadeYou\shadeyougui.exe => D:\Soft\LiveSurf - клиент\livesurf.exe => D:\Soft\RedSurf-client\redsurf.exe => D:\Soft\ProstoSurf\prostosurf.exe Проверенные папки C:\Users\bogdan\AppData\Local\Temp\ [7] => C:\Users\bogdan\AppData\Local\Temp\CDPatcher-1.1.9.9.rar_.exe => C:\Users\bogdan\AppData\Local\Temp\Honorbuddy-2.5.10217.732.zip_.exe => C:\Users\bogdan\AppData\Local\Temp\npp.6.5.1.Installer.exe => C:\Users\bogdan\AppData\Local\Temp\npp.6.5.2.Installer.exe => C:\Users\bogdan\AppData\Local\Temp\Skype.msi => C:\Users\bogdan\AppData\Local\Temp\tmp1FE8.dll => C:\Users\bogdan\AppData\Local\Temp\Uninstall.exe C:\Users\bogdan\AppData\Local\Temp\is-RMH4M.tmp [1] => C:\Users\bogdan\AppData\Local\Temp\is-RMH4M.tmp\botva2.dll C:\Users\bogdan\AppData\Local\Temp\TeamViewer\Version8\x64 [1] => C:\Users\bogdan\AppData\Local\Temp\TeamViewer\Version8\x64\Teamviewer_PrintProce ssor.dll C:\Users\bogdan\AppData\Local\Temp\TeamViewer\Version9\x64 [1] => C:\Users\bogdan\AppData\Local\Temp\TeamViewer\Version9\x64\Teamviewer_PrintProce ssor.dll C:\Windows\Temp\A3430056-4617-463E-84DB-D6320CA20301 [1] => C:\Windows\Temp\A3430056-4617-463E-84DB-D6320CA20301\ImagingProvider.dll C:\Windows\Temp\ServiceAppxPackage [1] => C:\Windows\Temp\ServiceAppxPackage\ServiceAppxCustomAction.dll 0

@Persk Модератор 8743 / 3368 / 244 Регистрация: 25.10.2010 Сообщений: 13,601
	21.09.2014, 11:32	8
	Сообщение от dex123 Загрузил отчет Ссылку на отчет покажите 0

@dex123 0 / 0 / 0 Регистрация: 05.04.2013 Сообщений: 53
	22.09.2014, 01:06 [ТС]	9
	http://www.getsysteminfo.com/r... 437e923534 0