Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

Бешеный IEXPLORE.EXE (заявка № 5714)

  1. #1
    Vovanium
    Guest

    Exclamation Бешеный IEXPLORE.EXE

    В общем, заметил я странную активность сетевую, стал разбираться. Обнаружил, что процесс IEXPLORE.EXE, являющийся почему-то потомком winlogon.exe активно что-то перекачивает... посмотрел сниффером - в пакетах обрывки спама на инглише и системных сообщений SMTP. Если процесс грохнуть, то он снова воскрешается, и через некоторое время продолжил своё чёрное дело... Можно остановить этот процесс ProcessExplorer-ом от sysinternals. Тогда он ничего не может сделать, до перезагрузки. Если переименовать iexplore.exe, то процесс не появляется, и сетевой активности нет, но так жить нельзя
    Обнловил базы дрвеба, скачал авз... Выловил штук пять троянов...
    В том числе: Trojan-Proxy.Win32.Xorpix.v, Trojan-PSW.Win32.LDPinch.ali, Email-Worm.Win32.Scano.l, Spy.Aureate. LdPinch из C:\Windows\csrss.exe выдирал руками, тормознув некоторые процессы, и удалив файл и ключи в реестре с ним связанные.
    Но проблема не исчезла, а антивири (avz и drweb) ничего не обнаруживают.
    Сижу за натом, фаервола нет.

    В логах несколько битых zip архивов avz на них ругается, и неубитый вирь в tmp в архиве, я его уже прибил.
    dopuslib.dll - библиотека от файлового менеджера Directory Opus.

    мораль: Вот что бывает, если дать посторонним попользоваться
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    @Vovanium
    Сижу за натом, фаервола нет.
    Это не проблема
    Пришлите для анализа, как написано:
    C:\WebServers\etc\utils\Boot.exe
    C:\dnet\dnetc.exe
    C:\Documents and Settings\All Users.WINDOWS\Documents\Settings\arm32.dll
    Вот что бывает, если дать посторонним попользоваться
    Эти жеж нехорошие посторонние удалили с Вашего сервера все патчи
    Platform: Windows 2003 (WinNT 5.02.3790)
    MSIE: Internet Explorer v6.00 (6.00.3790.0000)
    Ну прямо как в анекдоте про генерала, которому нехороший лейтенат в штаны наложил
    Последний раз редактировалось Rene-gad; 18.06.2006 в 09:44.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    135
    Цитата Сообщение от Vovanium
    В логах несколько битых zip архивов avz на них ругается, и неубитый вирь в tmp в архиве, я его уже прибил.
    dopuslib.dll - библиотека от файлового менеджера Directory Opus.
    пришлите файлы:
    C:\Documents and Settings\All Users.WINDOWS\Documents\Settings\arm32.dll
    c:\windows\system32\ltmsg.exe
    c:\windows\system32\tp4mon.exe
    C:\WINDOWS\System32\wshirda.dll
    c:\windows\system32\irmon.dll
    c:\WINDOWS\system32\hal.dll
    C:\Program Files\GPSoftware\Directory Opus\dopuslib.dll

    программу WinVNC сами ставили?

  5. #4
    Vovanium
    Guest
    Файл сохранён как virus_44945f053ef6e.zip
    Размер файла 483898
    MD5 f9242a06232ca65f0cba06dc9717665e

    Boot.exe не захотел по непонятным причинам добавляться в карантин, хотя я его даже скопировал в C:tmp (как и arm32.dll, который тоже с изначального места не хотел копроваться)

    Цитата Сообщение от Rene-gad
    @Vovanium

    Это не проблема
    Пришлите для анализа, как написано:


    Эти жеж нехорошие посторонние удалили с Вашего сервера СП2 и все патчи

    Ну прямо как в анекдоте про генерала, которому нехороший лейтенат в штаны наложил
    Можно поставить вопрос так: а сервис-пакис патчами там когда-нибудь стояли? Комп используется исключительно как рабочая станция. А Win2003 стоит потому, что ничегодругого под рукой не было

    WinVCN ставил сам (использовал всвоё время для залезания с работы, теперь для руления другими компами)

  6. #5
    Vovanium
    Guest
    Файл сохранён как virus_449463ca5f114.zip
    Размер файла 2742
    MD5 43a954009514a7e9e114b1835528759d

    Пришлось закачать Boot.exe отдельным файлом.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    135
    Цитата Сообщение от Vovanium
    Пришлось закачать Boot.exe отдельным файлом.
    файл Control.pl Ваш? если нет - поищите на диске и пришлите.
    кстати, а usr\bin\perl у Вас вообще существует?

  8. #7
    Vovanium
    Guest
    Цитата Сообщение от MOCT
    файл Control.pl Ваш? если нет - поищите на диске и пришлите.
    кстати, а usr\bin\perl у Вас вообще существует?
    И Control.pl и usr\bin\perl - файлы из установлнного пакета Денвер-2.
    Находятся в C:\Webservers (каталог установки денвера) В автозапуск прописались при установке пакета.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    135
    Ваша проблема - файл arm32.dll
    Для удаления запустите AVZ, включите AVZGuard, выберите пункт "Файл\Отложенное удаление файла", укажите путь к файлу arm32.dll. После этого не выключая AVZGuard уйдите на перезагрузку.
    После перезагрузки должно полегчать.
    Выгрузите из памяти все свои программы (т.е. которыми пользуетесь сами, ставили сами и доверяте) кроме Интернет-браузера (типа Internet Explorer - его как раз лучше запустить) и сделайте новый лог исследования системы програмой AVZ.
    После чего присоедините его к теме.

    p.s. Поищите на диске файлик dll.dll, если есть - пришлите.

  10. #9
    Vovanium
    Guest
    Спасибо, помогло.
    А что это за дрянь?
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    740
    Если не удалится (так не пробовал), можно так:
    В безопасном режиме запускаете regedit, находите ключ реестра HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\arm32reg
    щелкаете по нему и в меню по правому клику выбираете "Разрешения".
    В открывшемся окне ставите все птички в колонке "Запретить", соглашаетесь с предупреждением винды. Так поочередно для всех пользователей, выбирая их в верхнем окошке, кроме последнего - "Создатель/владелец", для него не получится, да это и не нужно.
    Жмете "Применить", "Ок", закрываете всё и перезагружаетесь. После перезагрузки файл можно спокойно удалить руками.
    Потом можно снова зайти в тот же раздел реестра, снять запреты и удалить эту ветку arm32reg, она не нужна. Можно и оставить, она не вредна, даже какая-то защита от повторной посадки того же трояна .

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    740
    Цитата Сообщение от Vovanium
    Спасибо, помогло.
    А что это за дрянь?
    По дрвебу - Backdoor.Uragan или Backdoor.Bech.

    Интересно, где Вы всё это подцепили. В истории IE не осталось ли чего интересного ?
    Если найдется - скиньте, плиз, в личку все ссылки, что найдете. С таким именем файла еще его не видел.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    135
    Цитата Сообщение от Alexey P.
    Интересно, где Вы всё это подцепили. В истории IE не осталось ли чего интересного ?
    Если найдется - скиньте, плиз, в личку все ссылки, что найдете. С таким именем файла еще его не видел.
    так надо же еще научить, откуда эти ссылки взять!
    в DPF вроде бы ничего нет (хотя hijackths.log выглядит каким-то отредактированным).
    и еще - меня не покидает мысль, что должны остаться и другие файлики...

  14. #13
    Vovanium
    Guest
    Alexey P. интересный способ удаления. Хотя у меня легко удалил его AVZ. А если бы не удалил, я б подцепил винт к другому компу и удалил его оттуда. Кстати, с файлом ничего нельзя было сделать, именно подключением к другому компу мне удалось его достать и отослать.

    В истории ни IE ни Opera ничего не нашел. Вообще, это похоже письмецо постаралось, открытое из мейл-клиента оперы.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    135
    Цитата Сообщение от Vovanium
    В истории ни IE ни Opera ничего не нашел. Вообще, это похоже письмецо постаралось, открытое из мейл-клиента оперы.
    письмеца не осталось?

  16. #15
    Vovanium
    Guest
    Дык, не нашел.
    От него только message.zip остался в Tmp

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    135
    Цитата Сообщение от Vovanium
    Дык, не нашел.
    От него только message.zip остался в Tmp
    а в этом архиве что?

  18. #17
    Vovanium
    Guest
    Зверь там, ясен пень: C:\Documents and Settings\Lily\Local Settings\Temp\Message.zip/{ZIP}/Document.exe >>>>> Email-Worm.Win32.Scano.ab

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    135
    Цитата Сообщение от Vovanium
    Зверь там, ясен пень: C:\Documents and Settings\Lily\Local Settings\Temp\Message.zip/{ZIP}/Document.exe >>>>> Email-Worm.Win32.Scano.ab
    ясен пень, что зверь, другое дело - какой.
    киньте в меня (адрес в личке), а то после версии .t до меня никакие не добирались

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    740
    Цитата Сообщение от MOCT
    и еще - меня не покидает мысль, что должны остаться и другие файлики...
    Не, не факт, там же антивирус поработал, скорее всего посносил.

    To Vovanium:
    На всякий проверьте в \windows\system32:
    taskdir.exe
    taskdir.dll
    taskdir~.exe

    Лучше в безопасном режиме, в обычном при наличии первого файла вы их не увидите. Точнее, можете и увидеть, но ненадолго, он засекет и исключит себя из обзора . С учетом числа файлов в %sysdir% - увидеть нереально, он быстрее срабатывает.
    Так же и в процессах - виден, но исчезает где-то секунд за 4-5. Не успел увидеть - сорри, больше не увидишь .

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2269
    Цитата Сообщение от Vovanium
    C:\dnet\dnetc.exe
    офф: а в какой команде?

  • Уважаемый(ая) Vovanium, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Бешеный траффик
      От uk55 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 16.09.2009, 12:11
    2. Качается бешеный трафик
      От Homa в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 05:04
    3. бешеный трафик
      От volander в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 22.02.2009, 02:15
    4. Бешеный трафик
      От Елена в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 06.08.2006, 19:52
    5. Бешеный IEXPLORE.EXE часть втораЯ...
      От SHADOW-13 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 17.07.2006, 15:04

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01022 seconds with 17 queries