Nietypowe pytanie o procesy

[niedzielny]

Chciałbym się na wstępie z wszystkimi przywitać z forum, założonego przez legendarną Picasso. A teraz do rzeczy.

 

Testuję na swoim drugim komputerze program monitorujący, typu trojan/keylogger (tak, tak, już słyszę te zgrzytanie zębami, ale u siebie mi wolno) i o ile na XP działa, tak na Windows 7 działał do czasu, aż nie zauważył go AV McAfee. Myślę sobie no i dobra jest, od tego jest AV, skoro zna to blokuje. Więc:

1. 'zdezaktywowałem' AV ale nie odinstalowywałem - w process explorer żadnych procesów z AV

2. Zdezaktywowałem uruchamiane usług AV i Defendera

3. Przepuściłem program przez zaporę (poustawiane reguły)

4. Dodatkowo posprawdzałem programem autoruns wszystko bardzo dokładnie i w nim "unieszkodliwiłem" to co mogło jeszcze przeszkadzać, czyli pliki sterowników AV etc.

5. Uruchamiam program-trojan i co widzę w process explorerze? Że proces programu trojana się uruchamia i nawet nie po sekundzie coś go zamyka

 

Dodam tylko, że wcześniej wszystko działało jak należy a plik wgrany na nowo, więc nie może być uszkodzony

Czy ma ktoś pomysł dlaczego tak się dzieje?

Może dlatego, że program jest już na jakiejś black liście, tylko w takim razie co zamyka jego proces?

Jakie jeszcze procesy/usługi nadzorują szkodliwe oprogramowanie?

Chętnie wysłucham każdej merytorycznej podpowiedzi pozbawionej złośliwości w stylu "o trojanach tu nie pomagamy" oraz personalnych wycieczek.

[DawidS28]

Pokaż logi z OTL, zobaczymy co tam siedzi:

https://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/

[ichito]

Akurat McAfee słynie z tego, że trudno go odinstalować i często pozostawia w systemie po sobie jakieś śmieci...w tym przypadku mogą to być może jakieś usługi lub procesy podpięte pod svhost.exe na przykład. Może to?

[wieslaw531]

McAfee korzysta również z Frameworka.

[niedzielny]

No witam, człowiek strasznie zagoniony, praktycznie gościem w domu, ale do rzeczy:

Wygenerowałem logi po raz pierwszy, okazało się, że McAFee był zintegrowany z zaporą. Pomyślałem, może to jest przyczyną więc zdezaktywowałem do postaci by była standardowa zapora, niestety nie pomogło.

Oto nowe logi w załącznikach.

 

PS. Popełniłem dwa grzechy...

1. OTL nie jest w wersji najnowszej

2. Nie odinstalowałem DAEMON Tools Lite

Ale myślę, że to nie ma kluczowego znaczenia na opisywany przeze mnie problem

Extras2.TxtPobieranie informacji ...

OTL2.TxtPobieranie informacji ...

[DawidS28]

O4 - HKLM..\Run: [system] C:\Windows\System32\ie5unit.exe ()
[2011-03-25 14:27:08 | 000,000,135 | ---- | M] () -- C:\Windows\w5win.ini

To ta Twoja zabawka?

 

Co Cię może blokować:

 

O2 - BHO: (McAfee Phishing Filter) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\Program Files\McAfee\MSK\mskapbho.dll ()
FF - HKLM\software\mozilla\Firefox\Extensions\\{B7082FAA-CB62-4872-9106-E42DD88EDE45}: C:\Program Files\McAfee\SiteAdvisor [2010-03-09 19:13:43 | 000,000,000 | ---D | M]

[niedzielny]

Tak, to ta "zabawka" już sprawdzam, czy to jest powodem

 

 

Nie pomogło, poddaję się wygląda to na jakieś zalistowanie na amen jeśli nie przez AV to przez defendera, a nie będę ręcznie zmieniał rozszerzeń wszystkich exeków z McAFee, czy systemowych. Szkoda, bo ciekaw byłem dlaczego tak się dzieje. Mam taką teorię, że jeśli program raz został zauważony to jest przez coś blokowany, w jakiś tam sposób i tyle. Poprzyglądam się jeszcze programom Toshiby, ale zaczynam się powoli godzić z tym, że przyjdzie mi odpuścić.

[DawidS28]

Jak to wygląda w trybie awaryjnym?

 

Jest mnóstwo możliwości, od DEP, poprzez aktualizacje bezpieczeństwa Windowsa, a skończywszy na przypadkowym programie, który się "gryzie" z Twoją zabawką.

 

Nie łatwiej odpalić programik na czystej maszynie wirtualnej?