svchost

916089

искать утилитки для выкорчевывания руткитов

жать delete service ?

!!POSSIBLE ROOTKIT ACTIVITY DETECTED!! =)

Решил проблему?

ftp://ftp.drweb.com/pub/drweb/livecd/

Как отличить wmiprvse.exe MS-овский от трояна? (Полная версия)

Все форумы >> [Системы] >> Windows



Сообщение

voody -> Как отличить wmiprvse.exe MS-овский от трояна? (03.12.2006 2:05:25)

Всем привет. Меня интересует следующий вопрос. У меня при запуске системы (WinXP SP2) загружается процесс wmiprvse.exe (из %WinDir%\SYSTEM32\wbem\wmiprvse.exe), который висит в памяти несколько минут и выгружается. В Гугле нашел информацию о том, что это системный процесс Windows, и, также, процесс, под который часто косят вирусы. Раньше я на процессы не обращал внимания, но на днях купил в метро подозрительный диск с телефонной базой и подумал о том, не подхватил ли я каких-нибудь вирей с него. Каспером диск просканил перед запуском - чисто (хотя, если Каспер сказал, что вирусов нет - это еще 50/50, т.к. ни один из мной написанных троянов он еще не поймал), Dr.Web'ом просканил - тоже чисто. Так вот, кто-нибудь знает, как отличить подлинный wmiprvse.exe от трояна? Например, каков размер нормального, Майкрософтовского файла в вашей системе (у меня он занимает 213 Кб)? Заранее спасибо за помощь.



Technologist -> RE: Как отличить wmiprvse.exe MS-овский от трояна? (03.12.2006 2:14:49)

Не покупай диски в метро, телефонная база не обновлялась с 2003 года (в смысле жители и пасссспортные данные)



voody -> RE: Как отличить wmiprvse.exe MS-овский от трояна? (03.12.2006 2:23:54)

То, что база не обновлялась с 2003 года - я уже заметил, но я сейчас не об этом спрашиваю. Т.ч., прошу без оффтопа. Какой у тебя размер файла wmiprvse.exe? Желательно, в байтах, т.к. вряд ли троян будет иметь точь в точь такой же размер, как системный файл.



andrewsoft -> RE: Как отличить wmiprvse.exe MS-овский от трояна? (03.12.2006 5:19:39)

У меня wmiprvse.exe сразу после установки весит 213 КБ (218 112 байт).
Нужно обращать внимание не на размер в килобайтах, а на размер в байтах, т.к. троян или ещё
что-нибудь может быть в другом месте, а в wmiprvse.exe только их вызов из нескольких десятков байт.

В различных буилдах Виндовса могут быть различные размеры файлов.



voody -> RE: Как отличить wmiprvse.exe MS-овский от трояна? (03.12.2006 15:21:54)

У меня точно такой же размер. Наверное, зря я волнюсь, учитывая то, что я просканил файл всеми возможными антивирусами, да и в инете читал о подобных вопросах (о том, как у кого-то этот процесс грузится, висит в памяти пару минут и выгружается - видимо, это его нормальное поведение).



shol -> RE: Как отличить wmiprvse.exe MS-овский от трояна? (05.12.2006 7:12:41)

quote:

ORIGINAL: voody

У меня при запуске системы (WinXP SP2) загружается процесс wmiprvse.exe (из %WinDir%\SYSTEM32\wbem\wmiprvse.exe)... Например, каков размер нормального, Майкрософтовского файла в вашей системе (у меня он занимает 213 Кб)?

У меня такая же ерунда, система грузится долго и процесс имеется wmiprvse.exe целых 2 штук. Один в system другой в network service. И Каспер сказал, что вирусов нет. А файл имеет размер 218 112 байт. Посмотри :www.neuber.com/taskmanager/deutsch/prozess/wmiprvse.exe.html сам я не разобрался пока.



voody -> RE: Как отличить wmiprvse.exe MS-овский от трояна? (09.12.2006 2:34:30)

quote:

У меня такая же ерунда, система грузится долго и процесс имеется wmiprvse.exe целых 2 штук. Один в system другой в network service. И Каспер сказал, что вирусов нет. А файл имеет размер 218 112 байт. Посмотри :www.neuber.com/taskmanager/deutsch/prozess/wmiprvse.exe.html сам я не разобрался пока.


У меня система грузится быстро и процесс wmiprvse.exe только один. Находиться по адресу:

%WinDir%\SYSTEM32\wbem\wmiprvse.exe

Поскольку у меня процесс один - не думаю, что это вирус. Один wmiprvse.exe у меня был всегда. А тебе бы советовал призадуматься. По ссылке, которую ты дал, не могу ничего прочитать из-за незнания немецкого. Дай на русском, или на английском.



voody -> RE: Как отличить wmiprvse.exe MS-овский от трояна? (09.12.2006 2:35:41)

И еще, чуть не забыл! Ты написал, сколько весит первый wmiprvse.exe (у меня так же), а второй?



Rumata -> RE: Как отличить wmiprvse.exe MS-овский от трояна? (20.04.2007 17:54:3

А у меня такой вопрос: оригинальный виндовый wmiprvse.exe в интерент за чем нибудь лазит? Мой файрвол запросил разрешение выпустить этот процесс в инет. я отказал, на всяк случай. Вообще, интересно, файрволл стоит давненько, и только вот сегодня такой запрос от него. nod по поводу этого процесса не ругается. Короче, хелп, самбади!



RamMerLabs -> RE: Как отличить wmiprvse.exe MS-овский от трояна? (20.04.2007 18:10:19)

Всё путём! Этот процесс выскакивает, когда некая прога (необязательно вирус!) запрашивает инфу о системе через WMI.



JTG -> RE: Как отличить wmiprvse.exe MS-овский от трояна? (20.04.2007 18:39:02)

А что это за страшный процесс "Бездействие системы"?! Висит всегда и проц грузит на 99% [][][]



RamMerLabs -> RE: Как отличить wmiprvse.exe MS-овский от трояна? (20.04.2007 18:39:50)

это не процесс!



JTG -> RE: Как отличить wmiprvse.exe MS-овский от трояна? (20.04.2007 18:41:26)

Это не процесс, это юмор



AdReNaL1Ne -> RE: Как отличить wmiprvse.exe MS-овский от трояна? (20.04.2007 18:44:26)

Лучше не размер файла а CRC сравнивать.



]DimON[ -> RE: Как отличить wmiprvse.exe MS-овский от трояна? (21.04.2007 15:24:36)

213 КБ (218 112 байт)



]DimON[ -> RE: Как отличить wmiprvse.exe MS-овский от трояна? (21.04.2007 15:28:33)

quote:

ORIGINAL: JTG

А что это за страшный процесс "Бездействие системы"?! Висит всегда и проц грузит на 99% [][][]
Он нужен для того, чтобы ЦП "не вырубался"...



zhuk -> RE: Как отличить wmiprvse.exe MS-овский от трояна? (21.04.2007 15:53:04)

Без этого процесса тоже неплохо живётся. Я себе его вырубил, чтоб под ногами не путался Винда без него работает хорошо, а если там есть вирус (проверял на ВМ) то антивирем не палится (Касперский, аваст, нод32 и др. веб) и весит около 272 кб.



JTG -> RE: Как отличить wmiprvse.exe MS-овский от трояна? (23.04.2007 11:35:02)

quote:

Без этого процесса тоже неплохо живётся. Я себе его вырубил

Аналогично. Вообще, добрую половину служб можно выключить



Dark_MX -> RE: Как отличить wmiprvse.exe MS-овский от трояна? (28.04.2007 7:14:47)

quote:

Аналогично. Вообще, добрую половину служб можно выключить

Больше чем половину []

Ах да забыл хеш моего wmiprvse.exe:
3B9228821AECE65C899910EB8FAE709B
Если совпадает с вашим, не партесь или давайте парится вместе))

Получить можно с помощью www.d-mx.narod.ru/hash.exe
Не спорю, ламерская, но только так могу пока(((



kulinich -> RE: Как отличить wmiprvse.exe MS-овский от трояна? (29.10.2007 3:06:13)

А у меня он заново появляется в диспетчере задач после того как я завершаю процесс!!!
подскажи что это может значить и что делать!!!!! =)))
размер 5 284 KB



RanDoMix -> RE: Как отличить wmiprvse.exe MS-овский от трояна? (29.10.2007 7:23:01)

ооо, а 5кб - это скорее уже не шуточки. Проверь его всякими жопами. Попробуй в безопасном режиме его удалить(а лучше заархивировать) а там посмотрим.



AdM1N -> RE: Как отличить wmiprvse.exe MS-овский от трояна? (29.10.2007 14:55:49)

Пуск-Выполнить-"sfc -scannow" (без кавычек)



deemer -> RE: Как отличить wmiprvse.exe MS-овский от трояна? (29.10.2007 18:20:04)

quote:

ORIGINAL: AdReNaL1Ne

Лучше не размер файла а CRC сравнивать.

а чем ? каким софтом ?



AdM1N -> RE: Как отличить wmiprvse.exe MS-овский от трояна? (30.10.2007 13:50:15)

HexProbe Hex Calculator

вообщем всем нужно ставить заплату WindowsXP-KB958644-x86-RUS.exe
иначе начинаются проблемы с сетевыми принтерами и сетевым окружением.

попробуй вот эту штуку
http://tr.buzilka.ru/details.php?id=1837