Показано с 1 по 11 из 11.

winlogon 445 port (заявка № 5588)

  1. #1
    vddav
    Guest

    winlogon 445 port

    Небольшая локалка, обнаружил значительный исходящий трафик от клиентов (в том числе от своего) по 445 порту. При проверке свежим дрвебом нашел w32.hllm.rancheg в безопасном режиме вылечил в папке систем32 библиотеку ms*.dll , worm(1).dll в папке system32/.../contentIE../ .. и в папке systemvolume information A*.dll удалил. После перезагрузки вирусная активность не прекратилась.Запустив актив порт обнаружил, что процесс winlogon делает запрос сначала на сайт google по порту 80, а потом начинает перебирать IP начиная с 172,16,0,1 (наша сеть) и дальше по порядку. Как только выходит за диапазон нашей сетиначинает переться в нет. 445 порт заблокировал Трафик инспектором. Но в сети творится содом и гомора .
    Вложения Вложения
    Последний раз редактировалось vddav; 28.05.2006 в 11:01.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Geser
    Guest
    C:\WINDOWS\system32\mszsrn32.dll
    C:\WINDOWS\system32\DRIVERS\vusbbus.sys
    C:\WINDOWS\system32\trafinspag.exe
    C:\WINDOWS\system32\TrafInspAg_Tollbar.dll
    C:\Program Files\Selom Ofori\BlackMoon FTP Server\FTPService.exe

    Пришлите перечисленные файлы способом указанным в правилах. Там часть подозтительные, часть для внесения в базу безопасных. Так что вышлите пожалуйста все.

  4. #3
    vddav
    Guest
    Файлы отправил. mszszn32.dll по-моему та библиотека, которую лечил дрвеб в безопасном режиме.
    Да еще при этом блкируется работа отображения рабочей группы и вход в компьютер снаружи. Даже по IP.

  5. #4
    Geser
    Guest
    C:\WINDOWS\system32\mszsrn32.dll
    Это и есть зверь. Его нужно удалить. Если будет сопротивляться, то в АВЗ отложенным удалением

  6. #5
    vddav
    Guest
    Спасибо, вроде бы помоглою Непонятно правда, почему его не видят антивири. Действительно сопротивляется удалению. Убил при помощи отложенного удаления AVZ

  7. #6
    Geser
    Guest
    Цитата Сообщение от vddav
    Спасибо, вроде бы помоглою Непонятно правда, почему его не видят антивири. Действительно сопротивляется удалению. Убил при помощи отложенного удаления AVZ
    Видят, но не все.

  8. #7
    vddav
    Guest
    что интересно вирус изменил тактику, восстановился, и пошел теперь не 445 а по 80 порту отсылать инфу на какой то сайт (Hurricane electric 64.62.198.162:80) причем 40 - 50 метров не останавливаясь. Где то видно недобили. ( дрвеб пытается лечить mszsrn32.dll, но не удаляет из папки систем 32). Который кстати появился после удаления AVZ. И после проверки обновленным дрвеб показал в папке с AVZ тот самый rancheg

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    @vddav
    попробуйте ручками удалить. Инструкция здесь внизу странички.

  10. #9
    Geser
    Guest
    Цитата Сообщение от vddav
    что интересно вирус изменил тактику, восстановился, и пошел теперь не 445 а по 80 порту отсылать инфу на какой то сайт (Hurricane electric 64.62.198.162:80) причем 40 - 50 метров не останавливаясь. Где то видно недобили. ( дрвеб пытается лечить mszsrn32.dll, но не удаляет из папки систем 32). Который кстати появился после удаления AVZ. И после проверки обновленным дрвеб показал в папке с AVZ тот самый rancheg
    Восстановился вряд-ли. Скорее новый поймал

  11. #10
    vddav
    Guest
    В сети пошел рецидив. Вылеченные компы повторно заражаются, несмотря на то, что стоит обновленный антивирус (причем как дрвеб так и каспер(естесственно по одному)). Излечивал след образом: Отключал восстановление системы, удалял файл mszsrn32.dll из систем32 при помощи AVZ. Чистил реестр вручную. Поверял свежим антивирусом. Но буквально через час два на том же компе появлялся вирус не смотря на работающий антивирь.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Ваш "друг" - Win32.HLLM.Rancheg (Dr.Web) или Email-Worm.Win32.Banwarum.e (KAV) скорее всего залазит к вам через дыру в службе LSASS. Вот описанее одной из его разновидностей:
    ---
    Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
    Также вирус распространяется, используя уязвимость Microsoft Windows LSASS (MS04-011).
    Является приложением Windows (PE EXE-файл), имеет размер около 46 КБ.
    Червь содержит в себе функцию бэкдора.
    ---
    Далее тут: http://www.viruslist.com/ru/viruses/...virusid=122323

    Антивирус от такого способа проникновения не защитит. Поможет установка патчей на Windows.

  • Уважаемый(ая) vddav, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. 25 port again (заявка №32951)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 18.10.2010, 00:00
    2. i386si.sys; fips32cup.sys; ksi32sk; port... .sys
      От taganyork в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 30.06.2009, 15:17
    3. PORT NUMBERS
      От SDA в разделе Microsoft Windows
      Ответов: 0
      Последнее сообщение: 09.03.2008, 14:37
    4. Microsoft Port Reporter и Port Reporter Parser
      От HATTIFNATTOR в разделе Другие программы по безопасности
      Ответов: 0
      Последнее сообщение: 26.05.2005, 18:26
    5. port explorer
      От drongo в разделе Другие программы по безопасности
      Ответов: 0
      Последнее сообщение: 19.09.2004, 22:07

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00663 seconds with 20 queries