Бешеный IEXPLORE.EXE

В общем, заметил я странную активность сетевую, стал разбираться. Обнаружил, что процесс IEXPLORE.EXE, являющийся почему-то потомком winlogon.exe активно что-то перекачивает... посмотрел сниффером - в пакетах обрывки спама на инглише и системных сообщений SMTP. Если процесс грохнуть, то он снова воскрешается, и через некоторое время продолжил своё чёрное дело... Можно остановить этот процесс ProcessExplorer-ом от sysinternals. Тогда он ничего не может сделать, до перезагрузки. Если переименовать iexplore.exe, то процесс не появляется, и сетевой активности нет, но так жить нельзя :)
Обнловил базы дрвеба, скачал авз... Выловил штук пять троянов...
В том числе: Trojan-Proxy.Win32.Xorpix.v, Trojan-PSW.Win32.LDPinch.ali, Email-Worm.Win32.Scano.l, Spy.Aureate. LdPinch из C:\Windows\csrss.exe выдирал руками, тормознув некоторые процессы, и удалив файл и ключи в реестре с ним связанные.
Но проблема не исчезла, а антивири (avz и drweb) ничего не обнаруживают.
Сижу за натом, фаервола нет.

В логах несколько битых zip архивов avz на них ругается, и неубитый вирь в tmp в архиве, я его уже прибил.
dopuslib.dll - библиотека от файлового менеджера Directory Opus.

мораль: Вот что бывает, если дать посторонним попользоваться :)

@Vovanium
[QUOTE]Сижу за натом, фаервола нет.[/QUOTE]
Это не проблема
Пришлите для анализа, как написано:
[QUOTE]C:\WebServers\etc\utils\Boot.exe
C:\dnet\dnetc.exe
C:\Documents and Settings\All Users.WINDOWS\Documents\Settings\arm32.dll[/QUOTE]
[QUOTE]Вот что бывает, если дать посторонним попользоваться [/QUOTE]
Эти жеж нехорошие [B]посторонние[/B] удалили с Вашего сервера все патчи >:(
[QUOTE]Platform: Windows 2003 (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 (6.00.3790.0000)[/QUOTE]
Ну прямо как в анекдоте про генерала, которому нехороший лейтенат в штаны наложил :P

[QUOTE=Vovanium]
В логах несколько битых zip архивов avz на них ругается, и неубитый вирь в tmp в архиве, я его уже прибил.
dopuslib.dll - библиотека от файлового менеджера Directory Opus.
[/QUOTE]
пришлите файлы:
C:\Documents and Settings\All Users.WINDOWS\Documents\Settings\arm32.dll
c:\windows\system32\ltmsg.exe
c:\windows\system32\tp4mon.exe
C:\WINDOWS\System32\wshirda.dll
c:\windows\system32\irmon.dll
c:\WINDOWS\system32\hal.dll
C:\Program Files\GPSoftware\Directory Opus\dopuslib.dll

программу WinVNC сами ставили?

Файл сохранён как virus_44945f053ef6e.zip
Размер файла 483898
MD5 f9242a06232ca65f0cba06dc9717665e

Boot.exe не захотел по непонятным причинам добавляться в карантин, хотя я его даже скопировал в C:tmp (как и arm32.dll, который тоже с изначального места не хотел копроваться)

[QUOTE=Rene-gad]@Vovanium

Это не проблема
Пришлите для анализа, как написано:


Эти жеж нехорошие [B]посторонние[/B] удалили с Вашего сервера СП2 и все патчи >:(

Ну прямо как в анекдоте про генерала, которому нехороший лейтенат в штаны наложил :P[/QUOTE]
Можно поставить вопрос так: а сервис-пакис патчами там когда-нибудь стояли? :) Комп используется исключительно как рабочая станция. А Win2003 стоит потому, что ничегодругого под рукой не было :)

WinVCN ставил сам (использовал всвоё время для залезания с работы, теперь для руления другими компами)

Файл сохранён как virus_449463ca5f114.zip
Размер файла 2742
MD5 43a954009514a7e9e114b1835528759d

Пришлось закачать Boot.exe отдельным файлом.

[QUOTE=Vovanium]Пришлось закачать Boot.exe отдельным файлом.[/QUOTE]
файл Control.pl Ваш? если нет - поищите на диске и пришлите.
кстати, а usr\bin\perl у Вас вообще существует?

[QUOTE=MOCT]файл Control.pl Ваш? если нет - поищите на диске и пришлите.
кстати, а usr\bin\perl у Вас вообще существует?[/QUOTE]

И Control.pl и usr\bin\perl - файлы из установлнного пакета Денвер-2.
Находятся в C:\Webservers (каталог установки денвера) В автозапуск прописались при установке пакета.

Ваша проблема - файл arm32.dll
Для удаления запустите AVZ, включите AVZGuard, выберите пункт "Файл\Отложенное удаление файла", укажите путь к файлу arm32.dll. После этого не выключая AVZGuard уйдите на перезагрузку.
После перезагрузки должно полегчать.
Выгрузите из памяти все свои программы (т.е. которыми пользуетесь сами, ставили сами и доверяте) кроме Интернет-браузера (типа Internet Explorer - его как раз лучше запустить) и сделайте новый лог исследования системы програмой AVZ.
После чего присоедините его к теме.

p.s. Поищите на диске файлик dll.dll, если есть - пришлите.

Спасибо, помогло.
А что это за дрянь?

Если не удалится (так не пробовал), можно так:
В безопасном режиме запускаете regedit, находите ключ реестра HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\arm32reg
щелкаете по нему и в меню по правому клику выбираете "Разрешения".
В открывшемся окне ставите все птички в колонке "Запретить", соглашаетесь с предупреждением винды. Так поочередно для всех пользователей, выбирая их в верхнем окошке, кроме последнего - "Создатель/владелец", для него не получится, да это и не нужно.
Жмете "Применить", "Ок", закрываете всё и перезагружаетесь. После перезагрузки файл можно спокойно удалить руками.
Потом можно снова зайти в тот же раздел реестра, снять запреты и удалить эту ветку arm32reg, она не нужна. Можно и оставить, она не вредна, даже какая-то защита от повторной посадки того же трояна :).

[QUOTE=Vovanium]Спасибо, помогло.
А что это за дрянь?[/QUOTE]
По дрвебу - Backdoor.Uragan или Backdoor.Bech.

Интересно, где Вы всё это подцепили. В истории IE не осталось ли чего интересного ?
Если найдется - скиньте, плиз, в личку все ссылки, что найдете. С таким именем файла еще его не видел.

[QUOTE=Alexey P.]Интересно, где Вы всё это подцепили. В истории IE не осталось ли чего интересного ?
Если найдется - скиньте, плиз, в личку все ссылки, что найдете. С таким именем файла еще его не видел.[/QUOTE]
так надо же еще научить, откуда эти ссылки взять!
в DPF вроде бы ничего нет (хотя hijackths.log выглядит каким-то отредактированным).
и еще - меня не покидает мысль, что должны остаться и другие файлики...

[b]Alexey P.[/b] интересный способ удаления. Хотя у меня легко удалил его AVZ. А если бы не удалил, я б подцепил винт к другому компу и удалил его оттуда. Кстати, с файлом ничего нельзя было сделать, именно подключением к другому компу мне удалось его достать и отослать.

В истории ни IE ни Opera ничего не нашел. Вообще, это похоже письмецо постаралось, открытое из мейл-клиента оперы.

[QUOTE=Vovanium]В истории ни IE ни Opera ничего не нашел. Вообще, это похоже письмецо постаралось, открытое из мейл-клиента оперы.[/QUOTE]
письмеца не осталось?

Дык, не нашел.
От него только message.zip остался в Tmp

[QUOTE=Vovanium]Дык, не нашел.
От него только message.zip остался в Tmp[/QUOTE]
а в этом архиве что?

Зверь там, ясен пень: C:\Documents and Settings\Lily\Local Settings\Temp\Message.zip/{ZIP}/Document.exe >>>>> Email-Worm.Win32.Scano.ab

[QUOTE=Vovanium]Зверь там, ясен пень: C:\Documents and Settings\Lily\Local Settings\Temp\Message.zip/{ZIP}/Document.exe >>>>> Email-Worm.Win32.Scano.ab[/QUOTE]
ясен пень, что зверь, другое дело - какой.
киньте в меня (адрес в личке), а то после версии .t до меня никакие не добирались

[QUOTE=MOCT]
и еще - меня не покидает мысль, что должны остаться и другие файлики...[/QUOTE]
Не, не факт, там же антивирус поработал, скорее всего посносил.

To Vovanium:
На всякий проверьте в \windows\system32:
taskdir.exe
taskdir.dll
taskdir~.exe

Лучше в безопасном режиме, в обычном при наличии первого файла вы их не увидите. Точнее, можете и увидеть, но ненадолго, он засекет и исключит себя из обзора :). С учетом числа файлов в %sysdir% - увидеть нереально, он быстрее срабатывает.
Так же и в процессах - виден, но исчезает где-то секунд за 4-5. Не успел увидеть - сорри, больше не увидишь :).

[QUOTE=Vovanium]C:\dnet\dnetc.exe
[/QUOTE]
офф: а в какой команде?