Утечка памяти. Следы заитаскивания бэкдоров (заявка №44990)
Пользователь обратился [URL=http://virusinfo.info/911test]в сервис 911[/URL], указав на следующие проблемы в работе его компьютера:
Утечка памяти. Следы заитаскивания бэкдоров на сервере ISA.
Определённо точно видно, что на сервер кто то не раз пытался затащить бэкдоры.
Антивирус их вроде как находит и удаляет, после принудительных проверок., но есть устойчивое подозхрение что звери там ещё живут.
Дата обращения: 30.12.2010 10:20:06
Номер заявки: [URL=http://virusinfo.info/911test/?action=case_show_directions&case_id=44990]44990[/URL]
not-a-virus:RemoteAdmin.Win32.RA.3826
[B]30.12.2010 13:31:57[/B] на зараженном компьютере были обнаружены следующие вредоносные файлы:
[LIST=1][*] [B]\\?\C:\MDaemon\WorldClient\HTML\WorldClient.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 852053 байт[*] дата файла: 01.06.2006 16:09:16[*] версия: "9.0.4"[*] копирайты: "Copyright © 1996-2006 Alt-N Technologies, Ltd."[/LIST][*] [B]C:\WINDOWS\system32\Evemsg.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 32768 байт[*] дата файла: 18.09.2004 9:01:04[/LIST][*] [B]C:\MDaemon\SpamAssassin\SpamAssassin.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 1798144 байт[*] дата файла: 13.09.2005 19:01:42[*] версия: "3.0.4.0"[/LIST][*] [B]C:\WINDOWS\System\Winlogon.EXE[/B] - [URL=http://www.securelist.com/ru/find?words=not-a-virus:RemoteAdmin.Win32.RA.3826]not-a-virus:RemoteAdmin.Win32.RA.3826[/URL]
[LIST][*] размер: 32256 байт[*] дата файла: 19.10.2003 1:42:54[*] детект других антивирусов: DrWEB 6.0: Зловред Tool.FireDaemon; BitDefender: Зловред Spyware.Remoteadmi.RA; NOD32: Зловред Win32/FireDaemon application; Avast4: Зловред Win32:Adware-gen [Adw][/LIST][*] [B]C:\WINDOWS\System32\tfmsg.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 4608 байт[*] дата файла: 08.12.2006 13:36:48[/LIST][*] [B]C:\WINDOWS\TEMP\pdk-ServiceAdmin-1408\aa40b006a86d0b1d7f99c7187f3e3b24.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 32872 байт[*] дата файла: 29.12.2010 23:45:22[/LIST][*] [B]C:\WINDOWS\TEMP\pdk-ServiceAdmin-1408\a0e4125e2b40948d4b5a9c8a64767a69.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 49219 байт[*] дата файла: 29.12.2010 23:45:18[/LIST][*] [B]C:\WINDOWS\TEMP\pdk-ServiceAdmin-1408\c7152a6b17345c19ed17d72b56516ee7.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 77900 байт[*] дата файла: 29.12.2010 23:45:12[/LIST][*] [B]C:\WINDOWS\TEMP\pdk-ServiceAdmin-1408\e6c502c1b2b806c6cd21634c2d23df0c.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 36970 байт[*] дата файла: 29.12.2010 23:45:16[/LIST][*] [B]C:\WINDOWS\TEMP\pdk-ServiceAdmin-1408\e9d42a37693bc6c327d840c2695f5586.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 24652 байт[*] дата файла: 29.12.2010 23:45:12[/LIST][*] [B]C:\WINDOWS\TEMP\pdk-ServiceAdmin-1408\libdb.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 430080 байт[*] дата файла: 29.12.2010 23:45:10[*] версия: "3.2.9"[*] копирайты: "Copyright © Sleepycat Software Inc. 1997, 1998, 1999, 2000"[/LIST][*] [B]C:\WINDOWS\TEMP\pdk-ServiceAdmin-1408\perl56.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 663614 байт[*] дата файла: 29.12.2010 23:45:06[*] версия: "5,6,1,635"[*] копирайты: "Copyright 1987-2003, Larry Wall, Binary build by ActiveState Corp., http://www.ActiveState.com"[/LIST][*] [B]C:\WINDOWS\TEMP\pdk-ServiceAdmin-1408\2e74ac3649d88aa5dbcb4dab07ddfdb3.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 20566 байт[*] дата файла: 29.12.2010 23:45:12[/LIST][*] [B]C:\WINDOWS\TEMP\pdk-ServiceAdmin-1408\277c781f6a56d4ede7e19f67be0d82f5.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 28774 байт[*] дата файла: 29.12.2010 23:45:18[/LIST][*] [B]C:\WINDOWS\TEMP\pdk-ServiceAdmin-1408\285ad36865dad4c1427763ba692c03ab.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 94304 байт[*] дата файла: 29.12.2010 23:45:10[/LIST][*] [B]C:\WINDOWS\TEMP\pdk-ServiceAdmin-1408\38344d2981028a2c5be9fa4ab4b28b0e.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 20584 байт[*] дата файла: 29.12.2010 23:45:14[/LIST][*] [B]C:\WINDOWS\TEMP\pdk-ServiceAdmin-1408\7f5681f3d6079f7804a450d65465459a.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 82026 байт[*] дата файла: 29.12.2010 23:45:16[/LIST][*] [B]C:\WINDOWS\TEMP\pdk-ServiceAdmin-1408\8658f181af7f8168b91b12be0fc3cb0e.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 24646 байт[*] дата файла: 29.12.2010 23:45:14[/LIST][*] [B]c:\mdaemon\app\cfengine.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 241728 байт[*] дата файла: 13.09.2005 19:03:52[*] версия: "8.1.3"[*] копирайты: "Copyright © 2001"[/LIST][*] [B]c:\program files\gfi\webmonitor\avk1\kavss.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 69688 байт[*] дата файла: 16.05.2005 18:46:36[*] версия: "4, 0, 2, 28"[*] копирайты: "Copyright (C) 1999-2005 Kaspersky Lab."[/LIST][/LIST]
not-a-virus:RemoteAdmin.Win32.RA.3826
[B]30.12.2010 15:01:56[/B] на зараженном компьютере были обнаружены следующие вредоносные файлы:
[LIST=1][*] [B]\\?\C:\MDaemon\WorldClient\HTML\WorldClient.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 852053 байт[*] дата файла: 01.06.2006 16:09:16[*] версия: "9.0.4"[*] копирайты: "Copyright © 1996-2006 Alt-N Technologies, Ltd."[/LIST][*] [B]C:\WINDOWS\system32\Evemsg.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 32768 байт[*] дата файла: 18.09.2004 9:01:04[/LIST][*] [B]C:\MDaemon\SpamAssassin\SpamAssassin.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 1798144 байт[*] дата файла: 13.09.2005 19:01:42[*] версия: "3.0.4.0"[/LIST][*] [B]C:\WINDOWS\System\Winlogon.EXE[/B] - [URL=http://www.securelist.com/ru/find?words=not-a-virus:RemoteAdmin.Win32.RA.3826]not-a-virus:RemoteAdmin.Win32.RA.3826[/URL]
[LIST][*] размер: 32256 байт[*] дата файла: 19.10.2003 1:42:54[*] детект других антивирусов: DrWEB 6.0: Зловред Tool.FireDaemon; BitDefender: Зловред Spyware.Remoteadmi.RA; NOD32: Зловред Win32/FireDaemon application; Avast4: Зловред Win32:Adware-gen [Adw][/LIST][*] [B]C:\WINDOWS\System32\tfmsg.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 4608 байт[*] дата файла: 08.12.2006 13:36:48[/LIST][*] [B]C:\WINDOWS\TEMP\pdk-ServiceAdmin-1408\aa40b006a86d0b1d7f99c7187f3e3b24.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 32872 байт[*] дата файла: 29.12.2010 23:45:22[/LIST][*] [B]C:\WINDOWS\TEMP\pdk-ServiceAdmin-1408\a0e4125e2b40948d4b5a9c8a64767a69.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 49219 байт[*] дата файла: 29.12.2010 23:45:18[/LIST][*] [B]C:\WINDOWS\TEMP\pdk-ServiceAdmin-1408\c7152a6b17345c19ed17d72b56516ee7.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 77900 байт[*] дата файла: 29.12.2010 23:45:12[/LIST][*] [B]C:\WINDOWS\TEMP\pdk-ServiceAdmin-1408\e6c502c1b2b806c6cd21634c2d23df0c.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 36970 байт[*] дата файла: 29.12.2010 23:45:16[/LIST][*] [B]C:\WINDOWS\TEMP\pdk-ServiceAdmin-1408\e9d42a37693bc6c327d840c2695f5586.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 24652 байт[*] дата файла: 29.12.2010 23:45:12[/LIST][*] [B]C:\WINDOWS\TEMP\pdk-ServiceAdmin-1408\libdb.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 430080 байт[*] дата файла: 29.12.2010 23:45:10[*] версия: "3.2.9"[*] копирайты: "Copyright © Sleepycat Software Inc. 1997, 1998, 1999, 2000"[/LIST][*] [B]C:\WINDOWS\TEMP\pdk-ServiceAdmin-1408\perl56.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 663614 байт[*] дата файла: 29.12.2010 23:45:06[*] версия: "5,6,1,635"[*] копирайты: "Copyright 1987-2003, Larry Wall, Binary build by ActiveState Corp., http://www.ActiveState.com"[/LIST][*] [B]C:\WINDOWS\TEMP\pdk-ServiceAdmin-1408\2e74ac3649d88aa5dbcb4dab07ddfdb3.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 20566 байт[*] дата файла: 29.12.2010 23:45:12[/LIST][*] [B]C:\WINDOWS\TEMP\pdk-ServiceAdmin-1408\277c781f6a56d4ede7e19f67be0d82f5.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 28774 байт[*] дата файла: 29.12.2010 23:45:18[/LIST][*] [B]C:\WINDOWS\TEMP\pdk-ServiceAdmin-1408\285ad36865dad4c1427763ba692c03ab.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 94304 байт[*] дата файла: 29.12.2010 23:45:10[/LIST][*] [B]C:\WINDOWS\TEMP\pdk-ServiceAdmin-1408\38344d2981028a2c5be9fa4ab4b28b0e.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 20584 байт[*] дата файла: 29.12.2010 23:45:14[/LIST][*] [B]C:\WINDOWS\TEMP\pdk-ServiceAdmin-1408\7f5681f3d6079f7804a450d65465459a.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 82026 байт[*] дата файла: 29.12.2010 23:45:16[/LIST][*] [B]C:\WINDOWS\TEMP\pdk-ServiceAdmin-1408\8658f181af7f8168b91b12be0fc3cb0e.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 24646 байт[*] дата файла: 29.12.2010 23:45:14[/LIST][*] [B]c:\mdaemon\app\cfengine.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 241728 байт[*] дата файла: 13.09.2005 19:03:52[*] версия: "8.1.3"[*] копирайты: "Copyright © 2001"[/LIST][*] [B]c:\program files\gfi\webmonitor\avk1\kavss.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 69688 байт[*] дата файла: 16.05.2005 18:46:36[*] версия: "4, 0, 2, 28"[*] копирайты: "Copyright (C) 1999-2005 Kaspersky Lab."[/LIST][*] [B]C:\WINDOWS\system32\cipherwiz.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 13312 байт[*] дата файла: 23.11.2003 2:40:56[*] детект других антивирусов: DrWEB 6.0: Зловред Program.SrvAny[/LIST][/LIST]
