Небольшая локалка, обнаружил значительный исходящий трафик от клиентов (в том числе от своего) по 445 порту. При проверке свежим дрвебом нашел w32.hllm.rancheg в безопасном режиме вылечил в папке систем32 библиотеку ms*.dll , worm(1).dll в папке system32/.../contentIE../ .. и в папке systemvolume information A*.dll удалил. После перезагрузки вирусная активность не прекратилась.Запустив актив порт обнаружил, что процесс winlogon делает запрос сначала на сайт google по порту 80, а потом начинает перебирать IP начиная с 172,16,0,1 (наша сеть) и дальше по порядку. Как только выходит за диапазон нашей сетиначинает переться в нет. 445 порт заблокировал Трафик инспектором. Но в сети творится содом и гомора .
Последний раз редактировалось vddav; 28.05.2006 в 11:01.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пришлите перечисленные файлы способом указанным в правилах. Там часть подозтительные, часть для внесения в базу безопасных. Так что вышлите пожалуйста все.
Файлы отправил. mszszn32.dll по-моему та библиотека, которую лечил дрвеб в безопасном режиме.
Да еще при этом блкируется работа отображения рабочей группы и вход в компьютер снаружи. Даже по IP.
Спасибо, вроде бы помоглою Непонятно правда, почему его не видят антивири. Действительно сопротивляется удалению. Убил при помощи отложенного удаления AVZ
Спасибо, вроде бы помоглою Непонятно правда, почему его не видят антивири. Действительно сопротивляется удалению. Убил при помощи отложенного удаления AVZ
что интересно вирус изменил тактику, восстановился, и пошел теперь не 445 а по 80 порту отсылать инфу на какой то сайт (Hurricane electric 64.62.198.162:80) причем 40 - 50 метров не останавливаясь. Где то видно недобили. ( дрвеб пытается лечить mszsrn32.dll, но не удаляет из папки систем 32). Который кстати появился после удаления AVZ. И после проверки обновленным дрвеб показал в папке с AVZ тот самый rancheg
что интересно вирус изменил тактику, восстановился, и пошел теперь не 445 а по 80 порту отсылать инфу на какой то сайт (Hurricane electric 64.62.198.162:80) причем 40 - 50 метров не останавливаясь. Где то видно недобили. ( дрвеб пытается лечить mszsrn32.dll, но не удаляет из папки систем 32). Который кстати появился после удаления AVZ. И после проверки обновленным дрвеб показал в папке с AVZ тот самый rancheg
В сети пошел рецидив. Вылеченные компы повторно заражаются, несмотря на то, что стоит обновленный антивирус (причем как дрвеб так и каспер(естесственно по одному)). Излечивал след образом: Отключал восстановление системы, удалял файл mszsrn32.dll из систем32 при помощи AVZ. Чистил реестр вручную. Поверял свежим антивирусом. Но буквально через час два на том же компе появлялся вирус не смотря на работающий антивирь.
Ваш "друг" - Win32.HLLM.Rancheg (Dr.Web) или Email-Worm.Win32.Banwarum.e (KAV) скорее всего залазит к вам через дыру в службе LSASS. Вот описанее одной из его разновидностей:
---
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Также вирус распространяется, используя уязвимость Microsoft Windows LSASS (MS04-011).
Является приложением Windows (PE EXE-файл), имеет размер около 46 КБ.
Червь содержит в себе функцию бэкдора.
---
Далее тут: http://www.viruslist.com/ru/viruses/...virusid=122323
Антивирус от такого способа проникновения не защитит. Поможет установка патчей на Windows.
Уважаемый(ая) vddav, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: