В "Помогите" подобных тем уже с десяток. Если не разберётесь - http://helpme.virusinfo.info/.
В "Помогите" подобных тем уже с десяток. Если не разберётесь - http://helpme.virusinfo.info/.
Имя Хоста для IPСообщение от pig
84.17.234.26
Наименование Сети
ReCom
Владелец Сети
JSC ReCom ISP
Дипаозон Адресов
84.17.234.0 - 84.17.234.255
Администратор Сети
Alexander A. Avdeyev
Расположение Сети
27a Oktiabrskaya str
Контактные Данные
+7 4862 497941, +7 4862 497994, [email protected]
Ещё "халява" -
Во вложении Win32.HLLM.Perf в виде файла с расширением .hta-----------------------------------------------------------------
From: Masitam <[email protected]>
Subj: Re: Позвони мне!
-----------------
Привет! Я завтра к тебе приеду, ок? Ты во сколько будешь дома? Помнишь ты просил программу, я её прикрепила к письму, очень полезная, пользуйся. пока.....
-----------------------------------------------------------------
Рассказ о том, какой вирус я словил и как с ним боролся.
Во-первых, приходит письмо от автора Ирка ( посмотрел в Инете, еще встречается На-ташка и т.п. это не важно).
Тема письма "Привет, когда НАПИШИШЬ?"
Текст письма такой:
Привет! Как тво ничего? Ты мне когда работу отдашь? Я тут мультик прикольный сделала, смотри с тобой в главной роли))) Я его к письму прикрепили)) Пока, чмок!
Посмотрел на текст, понял, что пришла "черная метка", т.е. вирус.
К письму было вложение под названием mult.exe размером 18К.
Я смекнул и сразу понял, что никакой мультик не может быть 18К. Просидел минут 20, подумал и решил, да и хрен с ним, ведь есть Каспер, он спасет. Скачал этот mult.exe к себе в машину, проверил его Каспером, тот, естественно, ничего не нашел. Тогда я запустил этот mult.exe. Ничего не случилось.
Через некоторое время заметил, что Инет работает медленно да и весь керогаз что-то стал тормозной. При этом Каспер начал орать, что в системе червь (какой-то E-mail.Worm, что- то такое). Ну, я сказал Касперу удалять всех червей. После удаления червя система на-чала просить инсталляционный CD с WindowsXP Service Pack2. Это повторилось несколько раз. Я решил сделать перезагрузку. И СОВЕРШИЛ СТРАШНУЮ ОШИБКУ!!!
После перезагрузки WinXP загружался медленно, грузил пустой рабочий стол и оста-навливался. Попытки подобраться через защищенный режим результата не дали. Выходил на черный экран и все. Правда, обратил внимание на то, что как в защищенном режиме, так и при обычной загрузке нажатие Ctrl+Alt+Del давало результат - появлялся диспетчер задач. Но по началу я это дело проигнорировал. А ЗРЯ!
Вдоволь повошкавшись с разными способами загрузки, полез с соседней машины в Инет. Нашёл много разного мата по поводу этой дряни, но дельных советов не было. Лишь в одном месте была наколка на то, что этот вирус создает файл csrss.exe в папке Windows.
(ОБРАЩАЮ ВНИМАНИЕ, файл с ТАКИМ ЖЕ ИМЕНЕМ, НО В ПАПКЕ Windows\System32 ЕСТЬ ВСЕГДА и НУЖЕН для НОРМАЛЬНОЙ работы WinXP)
Так вот, решение было таково. Запускаешь WinXP, получаешь пустой рабочий стол без TaskManager'a. Давишь Ctrl+Alt+Del и запускаешь диспетчер задач. В панели "Диспетчер задач" нажимаешь кнопку "Новая задача" (внизу панели). При этом появляется поле для за-пуска задачи. В этом поле набрать regedit и нажать ввод. Пройти по ветке
"H_KEY_LOCAL_MASHINE\Software\Microsoft\Window s NT\Currentversion\Image File Exe-cution Optoins".
Найти раздел "explorer", а в нем параметр Debug с значением С:\windows\csrss.exe
Удалить этот параметр и перезагрузиться. Все заработало!!!! УРА!!!!
После этого запустил Каспера и удалил файлы, зараженные червями.
Вот теперь все! Уффф! Можно выпить пинту пива....
P.S. Я полагаю, что заражение компьютера возможно лишь в том случае, когда запуск файла mult.exe производится с компьютера, находящегося в ONLine в Инете. Если компьютер в OffLine, то mult.exe, по моему простому разумению, не сможет активировать загружаемую из Инета вирусную часть и ничего не произойдет.
М.Л.
мдя.. А не прощё ли НЕ ЗАПУСКАТЬ файл вообще?
Сообщение от MedvedDНадежда умирает последней...ведь есть Каспер, он спасет.
второй это вродебы червь, т.е. самое интересное
там были найденые какие-то странные сылки
http://85.249.23.35/m2/g.php
http://207.46.250.119/g/m.php
http://84.22.161.192/s/f.php
и email'ы
[email protected]
[email protected]и еще 2 ссылки
те кому пришел вирус интересуются уфологией?
Последний раз редактировалось anton_dr; 24.07.2006 в 08:47.
это ты к чему? знаком с владельцами e-mail'ов?Сообщение от slider
2slider
Если это твои знакомые/возможно случайные, то у них сидит на компе дружок.Сообщение от MOCT
Предупреди, предложи почиститься.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Похоже, идёт новая волна подобных писем...
Сегодня пришло -
Внутри сообщение.html и самораспаковывающийся отдыхаю.exeX-AntiVirus: Checked by Dr.Web [version: 4.33, engine: 4.33.4.07270, virus records: 138087, updated:
31.08.2006]
Return-path: <[email protected]>
Received: from [194.186.36.214] (port=15708 helo=fex.rbc.ru)
by mx26.mail.ru with esmtp
id 1GKlwM-000KM1-00
for [email protected]; Wed, 06 Sep 2006 05:10:54 +0400
Received-SPF: none (mx26.mail.ru: 194.186.36.214 is neither permitted nor denied by domain of yahoo.com)
client-ip=194.186.36.214; [email protected]; helo=fex.rbc.ru;
Received: from mfgzkn (115.52.225.226)
by fex.rbc.ru; Wed, 6 Sep 2006 05:10:54 +0400
Date: Wed, 6 Sep 2006 05:10:54 +0400
From: =?koi8-r?B?5MHbwQ==?= <[email protected]>
X-Mailer: The Bat! (v2.01)
Reply-To: =?koi8-r?B?a29s?= <[email protected]>
X-Priority: 4 (Low)
Message-ID: <[email protected]>
To: =?koi8-r?B?Y3JhenljYXR6?= <[email protected]>
Subject: =?koi8-r?B?5MHXwcog19PU0sXUyc3T0T8=?=
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----------72EF92E3F4"
X-Spam: Not detected
ОТ:Даша <[email protected]>
КОМУXX <[email protected]>
ТЕМА:Давай встретимся?
Привет. Как провел день города? Жаль меня не было... Сегодня из отпуска прилетела, хорошо отдохнула. Хочу встретиться, ты как? Фотку тебе выслала прикольную, это с отпуска. ну глянь короче. пока, свидимся)
а в нем -
ЗЫ- молю бога чтоб подобное не пришло у нас на фирму одной девушке... Откроет ведь... Обязательно откроет... А DRWEb как назло считает файл безопасным...Antivirus Version Update Result
AntiVir 7.1.1.11 09.05.2006 HEUR/Malware
Authentium 4.93.8 09.06.2006 no virus found
Avast 4.7.844.0 09.04.2006 no virus found
AVG 386 09.05.2006 no virus found
BitDefender 7.2 09.06.2006 BehavesLike:Win32.ExplorerHijack
CAT-QuickHeal 8.00 09.05.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 09.06.2006 Trojan.Downloader.Small-2298
DrWeb 4.33 09.05.2006 no virus found
eTrust-InoculateIT 23.72.117 09.05.2006 no virus found
eTrust-Vet 30.3.3063 09.05.2006 Win32/Areses
Ewido 4.0 09.05.2006 no virus found
Fortinet 2.77.0.0 09.06.2006 suspicious
F-Prot 3.16f 09.06.2006 no virus found
F-Prot4 4.2.1.29 09.06.2006 no virus found
Ikarus 0.2.65.0 09.05.2006 no virus found
Kaspersky 4.0.2.24 09.06.2006 Trojan-Downloader.Win32.Delf.awg
McAfee 4845 09.05.2006 New Malware.n
Microsoft 1.1560 09.06.2006 no virus found
NOD32v2 1.1740 09.05.2006 a variant of Win32/TrojanDownloader.Delf.AJD
Norman 5.90.23 09.05.2006 W32/Downloader
Panda 9.0.0.4 09.05.2006 Suspicious file
Sophos 4.09.0 09.06.2006 no virus found
Symantec 8.0 09.06.2006 no virus found
TheHacker 5.9.8.204 09.04.2006 no virus found
UNA 1.83 09.06.2006 no virus found
VBA32 3.11.1 09.05.2006 no virus found
VirusBuster 4.3.7:9 09.05.2006 no virus found
Aditional Information
File size: 11131 bytes
MD5: 8563010d68c732950181f2d8e0b5753f
SHA1: cef385786fe03aa90a97a2b0545b07c51b3d2049
packers: UPack
Norman SandBox:
[ General information ]
* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: [email protected] - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.
* **Locates window "NULL [class AVP.AlertDialog]" on desktop.
* File length: 11131 bytes.
[ Changes to filesystem ]
* Creates file C:WINDOWSTEMPcsrss.exe.
[ Changes to registry ]
* Sets value "m"="m" in key "HKCUSoftwareMicrosoftWindows".
[ Network services ]
* Looks for an Internet connection.
* Opens URL: хттп://rikoger.com/lonus/1/1.exe.
[ Security issues ]
* Starting downloaded file - potential security problem.
[ Process/window information ]
* Modifies other process memory.
* Attemps to open C:WINDOWSTEMPcsrss.exe NULL.
(по данным VirusTotal)
Последний раз редактировалось Shu_b; 06.09.2006 в 08:41.
At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)
угу, Subject:Как прошел август? - на море.exe
Предыдущей, у одного чела, утащили аську, почту... асю уже пяток раз перепродали...
Да, у нас на местном форуме всплеск сообщений о таких письмах. Вложения - я на море.exe, отдыхаю.exe
От Даша: Привет я тут
Привет. Я уже вернулась с отпуска. Если свободен в выходные давай встретимся, ок? Ещ╦ тебе несколько фоток выслала, они в архиве, это то что с отпуска. ну короче, жду. пока.
Вложение: Фото.exe
Внутри, как выше упомянуто, Trojan-Downloader.Win32.Delf.awg
как говорится, следите за обновлениями. наверняка много версий будет.Сообщение от Winsent
а вот как на данный момент различные антивирусы детектят конфетку, загружаемую из дроппером из интернета. А NOD32 с последними базами и правда молчит. Даже при расширенной эвристике....Complete scanning result of "1.exe", received in VirusTotal at 09.06.2006, 11:23:28 (CET).
Antivirus Version Update Result
AntiVir 7.1.1.11 09.06.2006 HEUR/Crypted
Authentium 4.93.8 09.06.2006 no virus found
Avast 4.7.844.0 09.06.2006 no virus found
AVG 386 09.05.2006 no virus found
BitDefender 7.2 09.06.2006 no virus found
CAT-QuickHeal 8.00 09.05.2006 no virus found
ClamAV devel-20060426 09.06.2006 Trojan.Agent-614
DrWeb 4.33 09.06.2006 Trojan.PWS.LDPinch.1133
eTrust-InoculateIT 23.72.117 09.05.2006 no virus found
eTrust-Vet 30.3.3063 09.05.2006 no virus found
Ewido 4.0 09.05.2006 no virus found
Fortinet 2.77.0.0 09.06.2006 suspicious
F-Prot 3.16f 09.06.2006 no virus found
F-Prot4 4.2.1.29 09.06.2006 no virus found
Ikarus 0.2.65.0 09.06.2006 no virus found
Kaspersky 4.0.2.24 09.06.2006 Trojan-PSW.Win32.LdPinch.awp
McAfee 4845 09.05.2006 no virus found
Microsoft 1.1560 09.06.2006 Win32/Ldpinch
NOD32v2 1.1740 09.05.2006 no virus found
Norman 5.90.23 09.06.2006 no virus found
Panda 9.0.0.4 09.05.2006 Suspicious file
Sophos 4.09.0 09.06.2006 no virus found
Symantec 8.0 09.06.2006 no virus found
TheHacker 5.9.8.205 09.06.2006 no virus found
UNA 1.83 09.06.2006 no virus found
VBA32 3.11.1 09.05.2006 suspected of Trojan-Dropper.Agent.55
VirusBuster 4.3.7:9 09.05.2006 no virus found
Aditional Information
File size: 23552 bytes
MD5: 1d27b25be4ea6b3319b9490e83665585
SHA1: 4caa00ec15dbb04f704cc99424eb63a2c2a5b3ca
packers: UPX
Сйчас тоже его получил с mail.ru . не понятно , почему ? на маил.ру написано что касперски антивус защищает , или они просто для красоты там поставили его значёк ?
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Аналогично, сегодня получил на мейл.ру: Привет, как провел весь август? Я позавчера вернулась из отпуска, мне понравилось, вот тока погодка была не очень. Ну в принципе фотки глянь которые я тебе прислала, там увидишь. Что делаешь на выходных?
Прикрепленные данные: на море.exe (application/octet-stream, 11K)
Значок касперского у них наверное для красоты стоит.
Или касп на сервере обновляется нечасто...
Ну и на другой адрес (опят меилрушный)
Сашка <[email protected]>
на [email protected]
Привет, как провел лето? Я уже вернулась из отпуска, мне понравилось, вот тока погода подкачала. Ну, а так фотки глянь которые я тебе прислала, там увидишь. Завтра что делаешь?
и файл на море.exe
At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)
практика показывает, что файлы бывают размером 10713, 11113, 11131 байт (два последних имеются в наличии). также я сделал вывод, что файлы получили только пользователи mail.ru, но не все (лично мне на пару ящиков не пришло), на ящики других почтовых серверов ничего не приходило.Сообщение от CePguTKa