-
Junior Member
- Вес репутации
- 65
Посторонний траффик + использование моих учетных записей для рассылки почты
Сегодня мой знакомый сказал, что получил от меня пустое письмо, которого
я не посылал. Я попросил прислать RFC-заголовок этого письма, из которого
стало ясно, что письмо отправлено с моего компьютера. Больше всего меня
насторожила тема письма, которая была осмысленной и имела прямое отношение
к моему знакомому с таким смыслом: Расчет за <название проекта.ру>
Далее сегодня же на один из своих емейл-адресов (ящик на сервисе mail.ru и
с моим платным хостингом не связан) вдруг получил пачку вернувшихся писем,
(хотя я их не рассылал) от различных MAILER-DAEMON и postmaster прчем все
они в зоне .de
В RFC-заголовках подозрение вызвал айпишник и название сервера, где хостятся
мои сайты (и работает почта), с которых были отправлены, якобы мной, письма
Кроме описанного выше, сразу после подключения к интернету наблюдаю
посторонний малозаметный траффик
Только вчера запускал сканер Касперского (без расширенных баз), он ничего не
обнаружил (до этого Касперского регулярно обновлял и сканировал все файлы).
Сканирование сегодня при помощи утилиты Drweb-CureIT так же не дало никаких
результатов.
AVZ обнаружил следующее:
2. Проверка памяти
Количество найденных процессов: 29
Анализатор - изучается процесс 876 C:\WINDOWS\system32\G-VGA.exe
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 1440 C:\Program Files\AT-AR210\AT-AR210 USB MODEM\dslmon.exe
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 2004 C:\PROGRA~1\MICROS~4\rapimgr.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Приложение не имеет видимых окон
Количество загруженных модулей: 272
Проверка памяти завершена
плюс еще:
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "msjidpmo.dll"
Проверка завершена
Хочу пояснить: я испльзую интернет-соединение Стрим и адсл-модем и приложение
C:\Program Files\AT-AR210\AT-AR210 USB MODEM\dslmon.exe относится именно к нему
По инструкции с Virusinfo отключил восстановление системы, сделал первый лог
AVZ, перезагрузился, сделал второй лог, сделал лог HijackThis, включил
восстановление системы.
Выкладываю три лога, как написано в инструкции.
Очень надеюсь на помощь экспертов.
Хотелось бы также комментария, о том что произошло и по какой возможной причине.
А также совета, как защитить информацию от кражи в данной ситуации.
Заранее спасибо за помощь!
Последний раз редактировалось Алек; 01.08.2010 в 17:18.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\G-VGA.exe','');
QuarantineFile('C:\WINDOWS\system32\msssmsda.dll','');
QuarantineFile('msjidpmo.dll','');
RebootWindows(true);
end.
После перезагрузки прислать карантин через ссылку вверху ("Прислать запрошеные файлы").
Пофиксить:
Код:
O20 - AppInit_DLLs: msjidpmo.dll
O20 - Winlogon Notify: msssmsda - C:\WINDOWS\system32\msssmsda.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O15 - Trusted Zone: *.fanerra.ru - сами добавляли в довереные?
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 65
Скрипт выполнил, комп сам перезагрузился.
Карантин прислал.
Когда фиксил получил такое сообщение:
"An unexpected error has occurred at procedure: modBackup_MakeBackup(sItem=O20 - AppInit_DLLs: msjidpmo.dll)
Error #5 - Invalid procedure call or argument
Please email me at [email protected], reporting the following:
* What you were trying to fix when the error occurred, if applicable
* How you can reproduce the error
* A complete HijackThis scan log, if possible
Windows version: Windows NT 5.01.2600
MSIE version: 6.0.2900.2180
HijackThis version: 1.99.1
This message has been copied to your clipboard.
Click OK to continue the rest of the scan."
Дальше нажал ОК и перезагрузил комп.
O15 - Trusted Zone: *.fanerra.ru - добавил в доверенные сам
Что делать дальше?
В чем была причина проблемы и откуда она могла появиться?
Проблема устранена?
-
Сделайте новые логи по правилам , посмотрим что осталось
-
-
Junior Member
- Вес репутации
- 65
Да, сейчас сделаю, только вот хотел уточнить: восстановление сисемы после чего можно включать? В правилах сказано, что "после лечения" - поясните, пожалуйста, на чем в данном случае заканчивается лечение? Я первый раз включил восстановление системы после получения лога HijackThis - правильно сделал?
-
Восстановление системы как выключили перед созданием первых логов, так и не включайте, пока вам не сообщат, что больше ничего зловредного на компьютере нет.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 65
Сделал новые логи.
Кстати в протоколе AVZ опять написал:
"2. Проверка памяти
Количество найденных процессов: 28
Анализатор - изучается процесс 784 C:\WINDOWS\system32\G-VGA.exe
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 1688 C:\PROGRA~1\MICROS~4\rapimgr.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 1768 C:\Program Files\AT-AR210\AT-AR210 USB MODEM\dslmon.exe
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Количество загруженных модулей: 270
Проверка памяти завершена"
Жду комментариев специалистов.
Последний раз редактировалось Алек; 01.08.2010 в 17:18.
-
Сообщение от
Алек
Кстати в протоколе AVZ опять написал:
...C:\WINDOWS\system32\G-VGA.exe
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 1688 C:\PROGRA~1\MICROS~4\rapimgr.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 1768 C:\Program Files\AT-AR210\AT-AR210 USB MODEM\dslmon.exe
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Просто этих файлов нет в базе безопасных, и АВЗ выясняет чем они занимаются. Поищите (как искать - http://virusinfo.info/showthread.php?t=4567):
Код:
C:\WINDOWS\system32\msssmsda.dll
msjidpmo.dll
Если найдутся, пришлите их по правилам.
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 65
Выполнил поиск файлов msssmsda.dll и msjidpmo.dll через AVZ в соответствии с указанной Вами инструкцией - поиск ничего не дал
-
Сообщение от
Алек
поиск ничего не дал
ну а почему такой грустный? Может убили их уже. Сделайте новые логи, плиз.
-
-
Junior Member
- Вес репутации
- 65
Еще раз выкладываю логи.
Если все ОК, то хотелось бы знать в чем была причина и каким путем могло произойти данное заражение/проникновение?
Какое ваше заключение?
Последний раз редактировалось Алек; 01.08.2010 в 17:18.
-
Junior Member
- Вес репутации
- 65
Просто напоминаю о своем вопросе
-
В логах все чисто. Проблема больше не проявляется?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 65
Пока не наблюдаю
Спасибо за помощь!
Можно включить восстановление системы?
-
Можно
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-