Показано с 1 по 10 из 10.

Winlogon - подозрительная активность (заявка № 9226)

  1. #1
    Junior Member Репутация
    Регистрация
    23.04.2007
    Сообщений
    9
    Вес репутации
    36

    Exclamation Winlogon - подозрительная активность

    Системный процесс winlogon активно обменивается данными с удалённым сервисом, обращаясь при этом весьма активно к жёсткому диску. Я использую GPRS-соединение, поэтому и заметил. Блокировка файерволом OutPost приводит к мгновенной перезагрузке системы. Блокировка древней версией ZoneAlarm успешна, однако с определённой частотой выдаётся сообщение о попытке удалённого доступа к моей машине с неизвестного IP-адреса. Антивирус Касперского ничего не обнаружил.

    Прошу помощи.

    P.S. Система - Windows 2000 SP4. Совершенно непонятно, как отключить "Восстановление системы". Долго искал, не нашёл.

    Вложения Вложения
    Последний раз редактировалось Weihun; 23.04.2007 в 06:37. Причина: P.S.

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2265
    АВЗ - файл - выполнить скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\Games\Starcraft\Hook.dll','');
    QuarantineFile('C:\WINNT\system32\mszsrn32.dll','');
     DeleteFile('C:\WINNT\system32\mszsrn32.dll');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Компьютер перезагрузится, после перезагрузки прислать карантин согласно правил.
    Пофиксить в HijackThis строчку
    Код:
    O20 - Winlogon Notify: mszsrn32 - C:\WINNT\system32\mszsrn32.dll
    Windows обновляете?
    Касперский у вас стоит очень уж древний, обновить бы.

    И сделайте новые логи.

  4. #3
    Junior Member Репутация
    Регистрация
    23.04.2007
    Сообщений
    9
    Вес репутации
    36
    anton_dr

    Windows не обновляю, увы, нет возможности. Через GPRS это сделать трудно. Однако, те манипуляции, что Вы порекомендовали, кажется, устранили проблему, по крайней мере сечас winlogon уже не пытается проникнуть в Интернет. Тем не менее, шлю логи и карантин.

    У меня возникли несколько вопросов:

    1. Что это такое? Как я понимаю, некоторая вредоносная библиотека, каким-то образом связанная с процессом winlogon. Какие действия она осуществляла?

    2. Каким образом она попала в систему? Я не загружал ни одного исполнительного файла из Интернет. Или же она проникла сквозь отверстия в системе?

    3. Существует ли вероятность повторного заражения изнутри, то есть если предположить, что библиотека затаилась в каком-нибудь исполняемом модуле на жестком диске? Если да, то как её отыскать?

    Большое спасибо. Вы мне очень помогли.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2265
    Чегой-то там еще вроде осталось. Установите в АВЗ - AVZPM - установка драйвера расширенного мониторинга, и сделайте еще раз логи АВЗ.
    Так же посмотрите в АВЗ - сервис - менеджер автозапуска - сохранить протокол, и прикрепите его сюда.
    А файлик ваш детектируется всеми почти антивирусными продуктами.Еще раз повторяю, вам необходимо установить хотя бы современный антивирус.
    AhnLab-V3 2007.4.21.0 04.20.2007 Win32/Zasran.worm.42496
    AntiVir 7.3.1.53 04.22.2007 Worm/Banwarum.E.1
    Authentium 4.93.8 04.20.2007 W32/Zasran.D
    Avast 4.7.981.0 04.21.2007 Win32:Banwarum-I
    AVG 7.5.0.464 04.22.2007 I-Worm/Zasran.E
    BitDefender 7.2 04.23.2007 Win32.Worm.Banwarum.A
    CAT-QuickHeal 9.00 04.21.2007 I-Worm.Banwarum.e
    ClamAV devel-20070416 04.23.2007 Worm.Banwarum.B-2
    DrWeb 4.33 04.22.2007 Win32.HLLM.Rancheg
    eSafe 7.0.15.0 04.22.2007 Win32.Banwarum.e
    eTrust-Vet 30.7.3585 04.21.2007 Win32/Banwarum.E
    Ewido 4.0 04.22.2007 Worm.Banwarum.e
    FileAdvisor 1 04.23.2007 no virus found
    Fortinet 2.85.0.0 04.23.2007 W32/Banwarum.E@mm
    F-Prot 4.3.2.48 04.20.2007 W32/Zasran.D
    F-Secure 6.70.13030.0 04.23.2007 Email-Worm.Win32.Banwarum.e
    Ikarus T3.1.1.5 04.23.2007 Email-Worm.Win32.Banwarum.e
    Kaspersky 4.0.2.24 04.23.2007 Email-Worm.Win32.Banwarum.e
    McAfee 5014 04.20.2007 W32/Banwarum.dll
    Microsoft 1.2405 04.23.2007 Worm:Win32/Banwarum.C@mm
    NOD32v2 2210 04.22.2007 Win32/Banwarum.E
    Norman 5.80.02 04.21.2007 W32/Banwarum.D@mm
    Panda 9.0.0.4 04.22.2007 W32/Banwarum.C.worm
    Prevx1 V2 04.23.2007 Worm.Banwarum
    Sophos 4.16.0 04.20.2007 W32/Banwar-A
    Sunbelt 2.2.907.0 04.19.2007 Email-Worm.Win32.Banwarum.e
    Symantec 10 04.23.2007 W32.Banwarum@mm
    TheHacker 6.1.6.088 04.09.2007 W32/Banwarum.e
    VBA32 3.11.4 04.21.2007 Email-Worm.Win32.Banwarum.e
    VirusBuster 4.3.7:9 04.22.2007 I-Worm.Banwarum.D
    Webwasher-Gateway 6.0.1 04.23.2007 Worm.Banwarum.E.1
    Прочитать про его собрата можно здесь. http://www.viruslist.com/ru/viruses/...virusid=122323

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2265
    Также, полезное дополнение от Bratez
    Также рекомендую отключить неиспользуемые системные службы,
    например эти (если нет локальной сети):

    O23 - Service: Обозреватель компьютеров (Browser) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
    O23 - Service: Сервер (lanmanserver) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
    O23 - Service: Служба поддержки TCP/IP NetBIOS (LmHosts) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
    O23 - Service: Служба сообщений (Messenger) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
    O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINNT\system32\netdde.exe
    O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINNT\system32\netdde.exe
    O23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - C:\WINNT\system32\tlntsvr.exe
    а если локалка используется, тогда только выделенные.

  7. #6
    Junior Member Репутация
    Регистрация
    23.04.2007
    Сообщений
    9
    Вес репутации
    36
    anton_dr

    Драйвер не устанавливается. Программа никак не реагирует на попытку его установить. Протокол приложен. Антивирус я установлю в ближайшее время.

    Ещё раз спасибо!
    Вложения Вложения

  8. #7
    Junior Member Репутация
    Регистрация
    23.04.2007
    Сообщений
    9
    Вес репутации
    36
    Ага, понятно. Что-то мне недавно приходило на немецком языке :о) :о) :о) Обычно я спам не читаю, но тут заинтересовался, ибо немецкий - мой любимый язык. Вот и схлопотал на свою голову. Впредь буду осторожней.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2265
    Удалите в менеджере автозапуска первые две записи; в авз - файл - восстановление системы отметить пункты 1,5,6,8,16. и приложите еще раз лог из автозапуска.

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Ваш зловред использует уязвимость, закрываемую заплатками
    KB835732 и KB921883. Обязательно установите их!

    http://virusinfo.info/showthread.php?t=9235

  11. #10
    Junior Member Репутация
    Регистрация
    23.04.2007
    Сообщений
    9
    Вес репутации
    36
    anton_dr

    Готово. Лог прилагается.

    Bratez

    Благодарю!
    Вложения Вложения

  • Уважаемый(ая) Weihun, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Подозрительная активность
      От DVMin в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 25.11.2010, 12:54
    2. Подозрительная активность
      От 2fast4U в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 03.11.2009, 12:50
    3. Подозрительная активность почты
      От IndeeZ в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 05.02.2009, 14:46
    4. Подозрительная активность HDD.
      От Палыч в разделе Microsoft Windows
      Ответов: 14
      Последнее сообщение: 03.06.2008, 21:33
    5. Подозрительная активность
      От rosalin в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 19.02.2008, 14:24

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00380 seconds with 21 queries