winlogon 445 port

Небольшая локалка, обнаружил значительный исходящий трафик от клиентов (в том числе от своего) по 445 порту. При проверке свежим дрвебом нашел w32.hllm.rancheg в безопасном режиме вылечил в папке систем32 библиотеку ms*.dll , worm(1).dll в папке system32/.../contentIE../ .. и в папке systemvolume information A*.dll удалил. После перезагрузки вирусная активность не прекратилась.Запустив актив порт обнаружил, что процесс winlogon делает запрос сначала на сайт google по порту 80, а потом начинает перебирать IP начиная с 172,16,0,1 (наша сеть) и дальше по порядку. Как только выходит за диапазон нашей сетиначинает переться в нет. 445 порт заблокировал Трафик инспектором. Но в сети творится содом и гомора :).

C:\WINDOWS\system32\mszsrn32.dll
C:\WINDOWS\system32\DRIVERS\vusbbus.sys
C:\WINDOWS\system32\trafinspag.exe
C:\WINDOWS\system32\TrafInspAg_Tollbar.dll
C:\Program Files\Selom Ofori\BlackMoon FTP Server\FTPService.exe

Пришлите перечисленные файлы способом указанным в правилах. Там часть подозтительные, часть для внесения в базу безопасных. Так что вышлите пожалуйста все.

Файлы отправил. mszszn32.dll по-моему та библиотека, которую лечил дрвеб в безопасном режиме.
Да еще при этом блкируется работа отображения рабочей группы и вход в компьютер снаружи. Даже по IP.

C:\WINDOWS\system32\mszsrn32.dll
Это и есть зверь. Его нужно удалить. Если будет сопротивляться, то в АВЗ отложенным удалением

Спасибо, вроде бы помоглою Непонятно правда, почему его не видят антивири. Действительно сопротивляется удалению. Убил при помощи отложенного удаления AVZ

[QUOTE=vddav]Спасибо, вроде бы помоглою Непонятно правда, почему его не видят антивири. Действительно сопротивляется удалению. Убил при помощи отложенного удаления AVZ[/QUOTE]
Видят, но не все.

что интересно вирус изменил тактику, восстановился, и пошел теперь не 445 а по 80 порту отсылать инфу на какой то сайт (Hurricane electric 64.62.198.162:80) причем 40 - 50 метров не останавливаясь. Где то видно недобили. :( ( дрвеб пытается лечить mszsrn32.dll, но не удаляет из папки систем 32). Который кстати появился после удаления AVZ. И после проверки обновленным дрвеб показал в папке с AVZ тот самый rancheg

@vddav
попробуйте ручками удалить. Инструкция [URL="http://securityresponse.symantec.com/avcenter/venc/data/[email protected]"]здесь[/URL] внизу странички.

[QUOTE=vddav]что интересно вирус изменил тактику, восстановился, и пошел теперь не 445 а по 80 порту отсылать инфу на какой то сайт (Hurricane electric 64.62.198.162:80) причем 40 - 50 метров не останавливаясь. Где то видно недобили. :( ( дрвеб пытается лечить mszsrn32.dll, но не удаляет из папки систем 32). Который кстати появился после удаления AVZ. И после проверки обновленным дрвеб показал в папке с AVZ тот самый rancheg[/QUOTE]
Восстановился вряд-ли. Скорее новый поймал

В сети пошел рецидив. Вылеченные компы повторно заражаются, несмотря на то, что стоит обновленный антивирус (причем как дрвеб так и каспер(естесственно по одному)). Излечивал след образом: Отключал восстановление системы, удалял файл mszsrn32.dll из систем32 при помощи AVZ. Чистил реестр вручную. Поверял свежим антивирусом. Но буквально через час два на том же компе появлялся вирус не смотря на работающий антивирь.

Ваш "друг" - Win32.HLLM.Rancheg (Dr.Web) или Email-Worm.Win32.Banwarum.e (KAV) скорее всего залазит к вам через дыру в службе LSASS. Вот описанее одной из его разновидностей:
---
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Также вирус распространяется, используя уязвимость Microsoft Windows LSASS ([url=http://www.microsoft.com/technet/security/Bulletin/MS04-011.mspx]MS04-011[/url]).
Является приложением Windows (PE EXE-файл), имеет размер около 46 КБ.
Червь содержит в себе функцию бэкдора.
---
Далее тут: [url]http://www.viruslist.com/ru/viruses/encyclopedia?virusid=122323[/url]

Антивирус от такого способа проникновения не защитит. Поможет установка патчей на Windows.