Gå til innhold

Mistenkelig prosess i windows

Uni

Av Uni
i IKT-drift og sikkerhet

Anbefalte innlegg

Uni

Uni

Skrevet
Skrevet

jeg tok en liten titt i oppgavebehandlinga i windows og der fant jeg en prosess som het

XAB218.EXE

 

prøvde å søke på denne på google og diverse andre søkemotorer, men fikk absolutt ingen resultat, noe jeg fant mistenkelig

 

når jeg søkte på navnet i windows så fikk jeg vite at dette var en fil som het XAB218.EXE og lå i temp-mappa mi. ikonet er en slags brun hund eller noe...

 

sammen med denne filen i temp mappa lå disse filene med samme ikon:

15.03.2005 17:52 172ÿ099 CB265A.EXE

15.03.2005 17:52 172ÿ099 HS9929.EXE

15.03.2005 17:52 172ÿ099 PT92D6.EXE

15.03.2005 17:52 172ÿ099 VFF548.EXE

 

noen som har den minste peiling på hva dette kan være?

Lenke til kommentar

Videoannonse

Videoannonse
Annonse
Uni

Uni

Skrevet
  • Forfatter
Skrevet
Men har du merket noe merkelig/noe uønsket nede ved klokka? f.eks ikoner og/eller reklame/popups i det siste?

5489656[/snapback]

 

hehe, nei. jeg har ikke merket noe som helst som tyder på at det kan være noen ulumskheter på gang. den laptopen jeg fant den på er den jeg bruker på jobb...

det jeg egentlig reagerer litt på er at det er en prosess som jeg aldri har sett før, jeg får ingen resultater etter google-søk, og filene ligger i Temp-mappa :hmm:

Lenke til kommentar
Mr.Locke

Mr.Locke

Skrevet
Skrevet (endret)

Filen hører til Trend Micro OfficeScan antageligvis:

http://www.trendmicro.com/en/products/desk...te/overview.htm

 

( søk på google etter ofcdog.pdg / ofcdebug.ini eller bare ofcdog / ofcdebug )

 

Sjekket litt, ikke kjørt den, men tittet i bit-koden på fila. Den er komprimert og har en DOS-header som sier "Not usable in a MSDOS enviroment", med andre ord en windows executable.

 

Den er laget med MS Visual c++ bibliotek og benytter seg ac RUNDLL32.exe. Den har internnavn WatchDog ser det ut som, så se om du har noen andre *.exe filer noe sted på maskina som heter watchdog.exe eller SR_WatchDog.exe.

 

Den kan antageligvis også komme fra Mustek, Kwakkelflap Watchdog-O-Matic eller en log-analyzer fra www.checkpoint.com, men er nærmest 100% sikker på at den kommer fra Trend Micro Scan og er en del av Officescan 95, isåfall er den ikke farlig.

 

Det står noen referanser til ServiceGuard i bit-koden i fila, noe som kan tyde på at den er en del av en Windows XP/NT/2000 tjeneste som starter/stopper tjenestene i windows.

 

litt linker:

 

http://www.datagutan.no/index.php?Page=3

http://www.auditmypc.com/process/watchdog.asp

http://www.liutilities.com/products/wintas...ibrary/watchdog

http://process.networktechs.com/SR_WatchDog.exe.php

 

Den benytter seg også av en dll som heter osceprot.dll, så sjekk om du også har filen ofcdog.exe

 

Filen viser også at den er en del av officescan 95, se også etter filen

ofcdebug.ini.

 

I bitkoden finner jeg stringer som "The malicious proccess has been terminated".

Endret av Mr.Locke
Lenke til kommentar
Mr.Locke

Mr.Locke

Skrevet
Skrevet (endret)
Neppe spyware dette her, se forrige posten min.

5489759[/snapback]

La oss håpe du har rett da, men jeg syns det er suspekt at det kjøres fra temp mappen.

5489771[/snapback]

 

 

Det er fordi dette selv er en antivirus, scanner og firewall, de legger seg ofte der.

 

http://www.dotnetjunkies.com/WebLog/anoras...1/19/32676.aspx

 

Han sa også at han fant det på jobbmaskinen sin, så antageligvis bruker de Trend Micro OfficeScan der.

 

"The file had a reference to a debug symbol database file named OfcDog.pdg (D:\OfficeScan\src\Client\OfcDog\Release\OfcDog.pdb). Trend Micro OfficeScan is the virus scanner we use so this file was probably not hostile. Just to be sure I located OfcDog.exe and it was a verbatim copy of the shady executable I had running on my computer."

 

Med andre ord, random filnavnene på *.exe'ene i temp er nok en metode for å forhindre piratkopiering på klientene som antivirus-programmet scanner samt å unngå at et spyware/virus gjenkjenner antivirus-scanneren på filnavnet når det kjører i minnet, for å forhindre at et evt. virus slår av programmet.

 

Jeg er nærmest 100% sikker på at hvis han finner filen ofcdog.exe enten på jobbens server, eller andre steder på sin egen maskin så vil han se at den er 100% identisk med *.EXE filene han har i temp-mappen sin med random-navn ettersom jeg fant dette i bit-koden til filene jeg undersøkte:

 

"..get[][][][].OfficeScan\src\Client\OfcDog\Release\OfcDog.pdb[][][][]2D[][]{[][].."

 

Uni, hvis du ikke har en bit/HEX-editor for å se innhold av filer, så kan du gjøre noe så enkelt som å rename exe filen til txt eller *.doc og åpne den som tekst i notepad, wordpad eller word, og så bla igjennom allt virrvarret forsiktig til du finner lesbar tekst og referanser, skriv ned disse referansene og dermed søk på disse på google/altavista, da vil du somregel alltid finne ut hvor/hva en fil gjør/stammer fra.

Endret av Mr.Locke
Lenke til kommentar
Uni

Uni

Skrevet
  • Forfatter
Skrevet (endret)
Den er laget med MS Visual c++ bibliotek og benytter seg ac RUNDLL32.exe. Den har internnavn WatchDog ser det ut som, så se om du har noen andre *.exe filer noe sted på maskina som heter watchdog.exe eller SR_WatchDog.exe.

jeg fant ingen av disse filene

 

 

Den benytter seg også av en dll som heter osceprot.dll, så sjekk om du også har filen ofcdog.exe

disse to fant jeg i trend officescan-mappa mi. ser ut som om du traff blink gitt ;)

 

 

da virker det som om dette er en del av Trend Officescan

 

Takk for hjelpen alle sammen :thumbs:

 

jeg ville påstå at problemet er løst! :thumbup:

Endret av Uni
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...