"Несанкционированный" запуск процесса

@dex123 · Регистрация: 05.04.2013

Author24 — интернет-сервис помощи студентам

Здравствуйте,

Недавно заметил один процесс в диспетчере copy.exe, Нажимаю открыть расположение файла
какой-то левый экзешник C:\Windows\updater\updater.exe
В списках автозагрузки его нет, но при запуске системы этот процесс запускается. Удалить я его всегда успею, подскажите что его может запускать?
Еще вопрос мог ли он мне тут троянов позагружать? Вот проверил на вирустотале его
https://www.virustotal.com/ru/... /analysis/

gecata · 20.09.2014, 12:43

А Process Explorer что по поводу этого процесса говорит? (там есть возможность глянуть на "Родительский" (Parent) процесс)

@dex123 · 20.09.2014, 13:04 **[ТС]**

Судя по всему нет родительского, если переводить из названия. Или это что-то другое значит ?

<Non-existent Process>(2248)

@Spalah · 20.09.2014, 13:17

В службах посмотрите.

@dex123 · 20.09.2014, 13:49 **[ТС]**

Как вычислить если там этот процесс? Там этих служб куча, я вроде все руками перебрал, что-нибудь указывающее, на
C:\Windows\update не нашёл, хотя я мог и проглядеть.
Жаль нет сортировки по дате установки, так бы я быстро узнал есть или нет

gecata · 20.09.2014, 15:02

Может, этот таинственный родительский процесс "засветится" в отчёте GSI?

@dex123 · 21.09.2014, 11:23 **[ТС]**

Добавлено через 1 минуту
Загрузил отчет

Кликните здесь для просмотра всего текста

Обнаружены драйверы, требующие обновления: [0]
Обнаружены приложения, требующие обновления: [0]
Найдены неизвестные объекты: [71]
Недоверенные объект(ы): [0]
Обнаружено потенциально несовместимое программное обеспечение: [164]
Hosts: original
Возможно зараженный объект: [0]

Несовместимое ПО считает только антивирь

Кликните здесь для просмотра всего текста

=> Dr.Web Anti-virus for Windows

Запущенные процессы

=> Имя файла "C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe" - Dr.Web Anti-Virus
=> Имя файла C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe - Dr.Web Anti-Virus
=> Имя файла "C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwarkdaemon.exe" -arkpipe:\pipe\arserver -arkinitflags:13 - Dr.Web Anti-Virus
=> Имя файла C:\Program Files\Common Files\Doctor Web\Updater\drwupsrv.exe - Dr.Web ®
=> Имя файла "C:\Program Files\DrWeb\dwservice.exe" --logfile="c:\programdata\doctor web\logs\dwservice.log" - Dr.Web ®
=> Имя файла "C:\Program Files\DrWeb\dwnetfilter.exe" --ats - Dr.Web ®
=> Имя файла "C:\Program Files\DrWeb\spideragent.exe" - Dr.Web ®

Запущенные службы

=> Имя файла C:\Program Files\DrWeb\dwservice.exe - Dr.Web ®
=> Имя файла C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe - Dr.Web Anti-Virus
=> Имя файла C:\Program Files\DrWeb\dwnetfilter.exe - Dr.Web ®

Неизвестные объекты: есть пару непонятных dll, но дата появления очень давняя,а эта бяка появилась недавно

Кликните здесь для просмотра всего текста

=> "D:\Soft\LiveSurf - клиент\livesurf.exe" -start

Драйверы, запущенные в ...

firefox.exe [1]
=> C:\Program Files (x86)\Mozilla Firefox\mozjs.dll

QIPShot.exe [3]
=> C:\Users\bogdan\AppData\Local\QIP\QIP Shot\netclient.dll
=> C:\Users\bogdan\AppData\Local\QIP\QIP Shot\Langs\Russian.dll
=> C:\Users\bogdan\AppData\Local\QIP\QIP Shot\hostings\SmotriCom.dll

GameOverlayUI.exe [1]
=> D:\Program Files (x86)\Steam\bin\chromehtml.dll

Steam.exe [8]
=> D:\Program Files (x86)\Steam\libavcodec-56.dll
=> D:\Program Files (x86)\Steam\libavresample-2.dll
=> D:\Program Files (x86)\Steam\libavutil-54.dll
=> D:\Program Files (x86)\Steam\video.dll
=> D:\Program Files (x86)\Steam\libavformat-56.dll
=> D:\Program Files (x86)\Steam\libswscale-3.dll
=> D:\Program Files (x86)\Steam\bin\chromehtml.dll
=> C:\Users\bogdan\AppData\Local\Temp\~50C7.tmp

steamwebhelper.exe [1]
=> D:\Program Files (x86)\Steam\bin\ffmpegsumo.dll

RelicCOH.exe [7]
=> D:\Program Files (x86)\Steam\SteamApps\common\Company of Heroes Relaunch\DivxMediaLib.dll
=> D:\Program Files (x86)\Steam\SteamApps\common\Company of Heroes Relaunch\FileParser.dll
=> D:\Program Files (x86)\Steam\Steam.dll
=> D:\Program Files (x86)\Steam\SteamApps\common\Company of Heroes Relaunch\MilesRedist\mssmp3.asi
=> D:\Program Files (x86)\Steam\SteamApps\common\Company of Heroes Relaunch\MilesRedist\mssvoice.asi
=> D:\Program Files (x86)\Steam\SteamApps\common\Company of Heroes Relaunch\MilesRedist\mssds3d.flt
=> D:\Program Files (x86)\Steam\SteamApps\common\Company of Heroes Relaunch\MilesRedist\msseax.flt

Реестр

_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [4]
=> D:\Soft\ShadeYou\shadeyougui.exe
=> D:\Soft\LiveSurf - клиент\livesurf.exe
=> D:\Soft\RedSurf-client\redsurf.exe
=> D:\Soft\ProstoSurf\prostosurf.exe

Проверенные папки

C:\Users\bogdan\AppData\Local\Temp\ [7]
=> C:\Users\bogdan\AppData\Local\Temp\CDPatcher-1.1.9.9.rar_.exe
=> C:\Users\bogdan\AppData\Local\Temp\Honorbuddy-2.5.10217.732.zip_.exe
=> C:\Users\bogdan\AppData\Local\Temp\npp.6.5.1.Installer.exe
=> C:\Users\bogdan\AppData\Local\Temp\npp.6.5.2.Installer.exe
=> C:\Users\bogdan\AppData\Local\Temp\Skype.msi
=> C:\Users\bogdan\AppData\Local\Temp\tmp1FE8.dll
=> C:\Users\bogdan\AppData\Local\Temp\Uninstall.exe

C:\Users\bogdan\AppData\Local\Temp\is-RMH4M.tmp [1]
=> C:\Users\bogdan\AppData\Local\Temp\is-RMH4M.tmp\botva2.dll

C:\Users\bogdan\AppData\Local\Temp\TeamViewer\Version8\x64 [1]
=> C:\Users\bogdan\AppData\Local\Temp\TeamViewer\Version8\x64\Teamviewer_PrintProce ssor.dll

C:\Users\bogdan\AppData\Local\Temp\TeamViewer\Version9\x64 [1]
=> C:\Users\bogdan\AppData\Local\Temp\TeamViewer\Version9\x64\Teamviewer_PrintProce ssor.dll

C:\Windows\Temp\A3430056-4617-463E-84DB-D6320CA20301 [1]
=> C:\Windows\Temp\A3430056-4617-463E-84DB-D6320CA20301\ImagingProvider.dll

C:\Windows\Temp\ServiceAppxPackage [1]
=> C:\Windows\Temp\ServiceAppxPackage\ServiceAppxCustomAction.dll

@Persk · 21.09.2014, 11:32

Сообщение от dex123

Загрузил отчет

Ссылку на отчет покажите

@dex123 · 22.09.2014, 01:06 **[ТС]**

http://www.getsysteminfo.com/r... 437e923534

@dex123 0 / 0 / 0 Регистрация: 05.04.2013 Сообщений: 53
		1
	"Несанкционированный" запуск процесса 20.09.2014, 12:29. Показов 1168. Ответов 8 Метки нет (Все метки) Здравствуйте, Недавно заметил один процесс в диспетчере copy.exe, Нажимаю открыть расположение файла какой-то левый экзешник C:\Windows\updater\updater.exe В списках автозагрузки его нет, но при запуске системы этот процесс запускается. Удалить я его всегда успею, подскажите что его может запускать? Еще вопрос мог ли он мне тут троянов позагружать? Вот проверил на вирустотале его https://www.virustotal.com/ru/... /analysis/ 0

gecata Модератор 15901 / 7923 / 755 Регистрация: 03.01.2012 Сообщений: 32,863
	20.09.2014, 12:43	2
	А Process Explorer что по поводу этого процесса говорит? (там есть возможность глянуть на "Родительский" (Parent) процесс) 0

@dex123 0 / 0 / 0 Регистрация: 05.04.2013 Сообщений: 53
	20.09.2014, 13:04 [ТС]	3
	Судя по всему нет родительского, если переводить из названия. Или это что-то другое значит ? <Non-existent Process>(2248) 0

@Spalah 20 / 17 / 8 Регистрация: 28.03.2013 Сообщений: 134
	20.09.2014, 13:17	4
	В службах посмотрите. 0

@dex123 0 / 0 / 0 Регистрация: 05.04.2013 Сообщений: 53
	20.09.2014, 13:49 [ТС]	5
	Как вычислить если там этот процесс? Там этих служб куча, я вроде все руками перебрал, что-нибудь указывающее, на C:\Windows\update не нашёл, хотя я мог и проглядеть. Жаль нет сортировки по дате установки, так бы я быстро узнал есть или нет 0

gecata Модератор 15901 / 7923 / 755 Регистрация: 03.01.2012 Сообщений: 32,863
	20.09.2014, 15:02	6
	Может, этот таинственный родительский процесс "засветится" в отчёте GSI? 0

@dex123 0 / 0 / 0 Регистрация: 05.04.2013 Сообщений: 53
	21.09.2014, 11:23 [ТС]	7
	Добавлено через 1 минуту Загрузил отчет Кликните здесь для просмотра всего текста Обнаружены драйверы, требующие обновления: [0] Обнаружены приложения, требующие обновления: [0] Найдены неизвестные объекты: [71] Недоверенные объект(ы): [0] Обнаружено потенциально несовместимое программное обеспечение: [164] Hosts: original Возможно зараженный объект: [0] Несовместимое ПО считает только антивирь Кликните здесь для просмотра всего текста => Dr.Web Anti-virus for Windows Запущенные процессы => Имя файла "C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe" - Dr.Web Anti-Virus => Имя файла C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe - Dr.Web Anti-Virus => Имя файла "C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwarkdaemon.exe" -arkpipe:\pipe\arserver -arkinitflags:13 - Dr.Web Anti-Virus => Имя файла C:\Program Files\Common Files\Doctor Web\Updater\drwupsrv.exe - Dr.Web ® => Имя файла "C:\Program Files\DrWeb\dwservice.exe" --logfile="c:\programdata\doctor web\logs\dwservice.log" - Dr.Web ® => Имя файла "C:\Program Files\DrWeb\dwnetfilter.exe" --ats - Dr.Web ® => Имя файла "C:\Program Files\DrWeb\spideragent.exe" - Dr.Web ® Запущенные службы => Имя файла C:\Program Files\DrWeb\dwservice.exe - Dr.Web ® => Имя файла C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe - Dr.Web Anti-Virus => Имя файла C:\Program Files\DrWeb\dwnetfilter.exe - Dr.Web ® Неизвестные объекты: есть пару непонятных dll, но дата появления очень давняя,а эта бяка появилась недавно Кликните здесь для просмотра всего текста => "D:\Soft\LiveSurf - клиент\livesurf.exe" -start Драйверы, запущенные в ... firefox.exe [1] => C:\Program Files (x86)\Mozilla Firefox\mozjs.dll QIPShot.exe [3] => C:\Users\bogdan\AppData\Local\QIP\QIP Shot\netclient.dll => C:\Users\bogdan\AppData\Local\QIP\QIP Shot\Langs\Russian.dll => C:\Users\bogdan\AppData\Local\QIP\QIP Shot\hostings\SmotriCom.dll GameOverlayUI.exe [1] => D:\Program Files (x86)\Steam\bin\chromehtml.dll Steam.exe [8] => D:\Program Files (x86)\Steam\libavcodec-56.dll => D:\Program Files (x86)\Steam\libavresample-2.dll => D:\Program Files (x86)\Steam\libavutil-54.dll => D:\Program Files (x86)\Steam\video.dll => D:\Program Files (x86)\Steam\libavformat-56.dll => D:\Program Files (x86)\Steam\libswscale-3.dll => D:\Program Files (x86)\Steam\bin\chromehtml.dll => C:\Users\bogdan\AppData\Local\Temp\~50C7.tmp steamwebhelper.exe [1] => D:\Program Files (x86)\Steam\bin\ffmpegsumo.dll RelicCOH.exe [7] => D:\Program Files (x86)\Steam\SteamApps\common\Company of Heroes Relaunch\DivxMediaLib.dll => D:\Program Files (x86)\Steam\SteamApps\common\Company of Heroes Relaunch\FileParser.dll => D:\Program Files (x86)\Steam\Steam.dll => D:\Program Files (x86)\Steam\SteamApps\common\Company of Heroes Relaunch\MilesRedist\mssmp3.asi => D:\Program Files (x86)\Steam\SteamApps\common\Company of Heroes Relaunch\MilesRedist\mssvoice.asi => D:\Program Files (x86)\Steam\SteamApps\common\Company of Heroes Relaunch\MilesRedist\mssds3d.flt => D:\Program Files (x86)\Steam\SteamApps\common\Company of Heroes Relaunch\MilesRedist\msseax.flt Реестр _CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [4] => D:\Soft\ShadeYou\shadeyougui.exe => D:\Soft\LiveSurf - клиент\livesurf.exe => D:\Soft\RedSurf-client\redsurf.exe => D:\Soft\ProstoSurf\prostosurf.exe Проверенные папки C:\Users\bogdan\AppData\Local\Temp\ [7] => C:\Users\bogdan\AppData\Local\Temp\CDPatcher-1.1.9.9.rar_.exe => C:\Users\bogdan\AppData\Local\Temp\Honorbuddy-2.5.10217.732.zip_.exe => C:\Users\bogdan\AppData\Local\Temp\npp.6.5.1.Installer.exe => C:\Users\bogdan\AppData\Local\Temp\npp.6.5.2.Installer.exe => C:\Users\bogdan\AppData\Local\Temp\Skype.msi => C:\Users\bogdan\AppData\Local\Temp\tmp1FE8.dll => C:\Users\bogdan\AppData\Local\Temp\Uninstall.exe C:\Users\bogdan\AppData\Local\Temp\is-RMH4M.tmp [1] => C:\Users\bogdan\AppData\Local\Temp\is-RMH4M.tmp\botva2.dll C:\Users\bogdan\AppData\Local\Temp\TeamViewer\Version8\x64 [1] => C:\Users\bogdan\AppData\Local\Temp\TeamViewer\Version8\x64\Teamviewer_PrintProce ssor.dll C:\Users\bogdan\AppData\Local\Temp\TeamViewer\Version9\x64 [1] => C:\Users\bogdan\AppData\Local\Temp\TeamViewer\Version9\x64\Teamviewer_PrintProce ssor.dll C:\Windows\Temp\A3430056-4617-463E-84DB-D6320CA20301 [1] => C:\Windows\Temp\A3430056-4617-463E-84DB-D6320CA20301\ImagingProvider.dll C:\Windows\Temp\ServiceAppxPackage [1] => C:\Windows\Temp\ServiceAppxPackage\ServiceAppxCustomAction.dll 0

@Persk Модератор 8740 / 3365 / 244 Регистрация: 25.10.2010 Сообщений: 13,601
	21.09.2014, 11:32	8
	Сообщение от dex123 Загрузил отчет Ссылку на отчет покажите 0

@dex123 0 / 0 / 0 Регистрация: 05.04.2013 Сообщений: 53
	22.09.2014, 01:06 [ТС]	9
	http://www.getsysteminfo.com/r... 437e923534 0