20 ответов в этой теме

[Никола]

Если коротко.
Все автообновления системы и программ отключены, или производятся по запросу. Вдруг замечаю, что сразу после установления соединения начинает идти трафик (в основном исходящий) Паук молчит как партизан, никаких "новых" процессов в системе тоже не наблюдаю. Но с какого то ... файл C:WINDOWSsystem32winlogon.exe начал рваться в инет. Делает по нескольку запросов в секунду и через 2-3 секунды отключает соединение. На скрине видно одномоментное колличество таких запросов.
И в то же время http://www.virustotal.com/ru/analisis/1343...72dc199b8751033

[Никола]

Да, забыл добавить. При попытке штатно отключить интернет соединение, этот файл сжирает 98% всех ресурсов и дает жуткий вис. Хоть как то избавится от зависания удалось лиш понизив приоритет процесса ниже полика.

Кому лень рисунки рассматривать, во вложении тот же скрин в текстовом варианте.

[ILNARus]

вероятнее всего инжект в процесс, поэтому скачайте

http://depositfiles.com/files/8602462

там 4 проги... нужен логи( упаковать и приаттачить сюда)
HJ -> http://wiki.drweb.com/index.php/HijackThis
RkU-> Переходим на вкладку Report, нажимает скан, ставим галочки на все, кроме Files.
------------------------------------------------
Безопасный Интернет Я в контакте Нежность

[mrbelyash]

http://wiki.drweb.com/index.php/Скрытые_процессы
http://wiki.drweb.com/index.php/Если_у_вас...нический_вопрос
А также настройте Спайдер Гуард,как написано здесь
http://wiki.drweb.com/index.php/SpIDer_Guard®
-------------------------------------------

http://mrbelyash.narod.ru/utils.html
Искренне Ваш,мистер Беляш

[v.martyanov]

Правильно внизу про Inject говорят, делайте логи. С большой вероятностью - Rntm/Bulknet.

[Shu_B]

Правильно внизу...

Лично у меня ваше сообшение последнее ;) нижее небывает.

Эх... всё в мире относительно.

[v.martyanov]

Вот уж точно :-)

[Никола]

Философствовать, (что там точно, а что нет) эт оно конечно. Если предмет знаком. А то заходишь сюда раз в год, когда проблему ухватил. Софта надавали, а я на него почти как парнокопытное на новые ворота. :-)
Ладно, логи этого софта вродь кой как сделал, прицепил, если что не так - поправьте.
Дамп из памяти тож вроде получился, но думаю сюда его не стоит, да и вес больше 10 метров даж в архиве.
AVZ и до этого проверял, могу конечно лог выложить, вместе с логами доктора, но толку то, если не находят. И то и то обновленное, последних версий.
Чего дальше то сотворить?

[mrbelyash]

Файлик mszsrn32.dll в вирлаб-это червь

Email-Worm.Win32.Banwarum.a

Технические детали
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Также вирус распространяется, используя уязвимость Microsoft Windows LSASS (MS04-011).
Является приложением Windows (PE EXE-файл), имеет размер около 46 КБ.
Червь содержит в себе функцию бэкдора.
Инсталляция
После запуска червь создает в системном каталоге Windows файл с именем mszsrn32.dll:
%System%mszsrn32.dll
Данный DLL-файл встраивается в процесс winlogon.exe для того, чтобы скрыть свою активность от пользователя зараженного компьютера.
Также червь создает следующие записи в системном реестре:
[HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifymszsrn32]
"Asynchronous"="1"
"DllName"="%System%mszsrn32.dll"
"Impersonate"="0"
"Startup"="Startup"
"Type"="2"
При каждой следующей загрузке Windows автоматически запустит файл червя.
Червь создает уникальный идентификатор "Worm.Win32.Zasrancheg" для определения своего присутствия в системе.
Распространение через email
Для поиска адресов жертв червь сканирует файлы. При рассылке зараженных писем червь использует собственную SMTP-библиотеку.
Червь ищет на зараженном компьютере следующие программы-архиваторы:
7-Zip
WinAce
WinRAR
И использует их для сжатия с паролем, указанным в письме, своей копии, которую помещает в виде вложения в зараженное письмо.
Вложения могут иметь одно из расширений:
? rar
? zip
Внутри архива содержится файл с копией червя с двойным расширением: ".gif <много пробелов> .exe". Например:
Tickets.gif <много пробелов> .exe
Удаленное администрирование
Червь открывает на зараженной машине случайный TCP-порт для приема удаленных команд. Это позволяет злоумышленнику иметь полный доступ к системе, получать информацию с зараженного компьютера, загружать любые файлы, запускать их и удалять.
Для приема команд и отсылки собранной информации червь соединяется со следующими серверами:
5dime.net
7stick.biz
7stick.info
brancholania.biz
brancholania.net
frachetto.com
frachetto.info
monti2.com
olania.com
olania.net

По материалам сайта viruslist.ru

А также файлик reset5.dll-бэкдор
-------------------------------------------

http://mrbelyash.narod.ru/utils.html
Искренне Ваш,мистер Беляш

[Borka]

Чего дальше то сотворить?

Главный глюк здесь:
Windows Version: Windows XP SP1

Проверьте эти файлы в онлайне:
C:WINDOWSSystem324C98EB7F.exe
C:WINDOWSsystem32driversaslm75.sys
C:WINDOWSsystem32mszsrn32.dll

И здесь: http://www.virustotal.com/

[Borka]

Файлик mszsrn32.dll в вирлаб-это червь
Email-Worm.Win32.Banwarum.a

Странно... Вообще говоря, Win32.HLLM.Rancheg давно известен...

---
С уважением,
Borka.

[ILNARus]

что то прячет, не это ли

O23 - Service: 4C98EB7F - Unknown owner - C:WINDOWSSystem324C98EB7F.exe (file missing)

Вы точно инфракрасным портом работаете? сотовый телефон? иначе завершить это процесс
C:WINDOWSSystem32irftp.exe

кстати, в свое время с ChamClock.exe гулял вирус...
------------------------------------------------
Безопасный Интернет Я в контакте Нежность

[Никола]

Да, версия оси на этом компе оятавляет желать. По ряду причин очень геморно поднимать паки.
За советы спасибо, ща займусь проверками.
Кстати, на счет распространения по мылу - сильно сомневаюсь, спам конечно получаю, как все. :-) Но как с такими письмами себя вести - тож научен.

[Никола]

Вы точно инфракрасным портом работаете? сотовый телефон? иначе завершить это процесс
C:WINDOWSSystem32irftp.exe

Точнее некуда. :-) Есть люди и на диале сидят. не везде цивилизация.

[userr]

Да, версия оси на этом компе оятавляет желать. По ряду причин очень геморно поднимать паки.

По ряду причин очень скоро ждём Вас снова в гости.

[Borka]

на счет распространения по мылу - сильно сомневаюсь

Это один из способов распространения. Может мылом, может по сети.

---
С уважением,
Borka.

[Никола]

Странно... Вообще говоря, Win32.HLLM.Rancheg давно известен.

Действительно странно. Давно, но блин не всем. http://www.virustotal.com/ru/analisis/421f...917c61247c57b64

С 98 года доктором пользуюсь, обидно даже как то. Ща пошлю им подарок.
(правда, последний мой тикет почти полгода обрабатывали)

[Borka]

Ща пошлю им подарок.

Номер тикета - сюда.

---
С уважением,
Borka.

[Никола]

По ряду причин очень скоро ждём Вас снова в гости.

За последние лет 5 это первый случай, когда сам справится не смог. Такое "скоро" я любому бы пожелал. :-)

А за помощь и оперативность ВСЕМ ОГРОМНОЕ СПАСИБО!!!

[Никола]

Номер тикета - сюда

Все Ваши желания
Вашему запросу назначен идентификатор [drweb.com #654411].
И через несколько минут
Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
Вирус: Win32.HLLM.Rancheg.21.

Спасибо за сотрудничество.