В общем, заметил я странную активность сетевую, стал разбираться. Обнаружил, что процесс IEXPLORE.EXE, являющийся почему-то потомком winlogon.exe активно что-то перекачивает... посмотрел сниффером - в пакетах обрывки спама на инглише и системных сообщений SMTP. Если процесс грохнуть, то он снова воскрешается, и через некоторое время продолжил своё чёрное дело... Можно остановить этот процесс ProcessExplorer-ом от sysinternals. Тогда он ничего не может сделать, до перезагрузки. Если переименовать iexplore.exe, то процесс не появляется, и сетевой активности нет, но так жить нельзя
Обнловил базы дрвеба, скачал авз... Выловил штук пять троянов...
В том числе: Trojan-Proxy.Win32.Xorpix.v, Trojan-PSW.Win32.LDPinch.ali, Email-Worm.Win32.Scano.l, Spy.Aureate. LdPinch из C:\Windows\csrss.exe выдирал руками, тормознув некоторые процессы, и удалив файл и ключи в реестре с ним связанные.
Но проблема не исчезла, а антивири (avz и drweb) ничего не обнаруживают.
Сижу за натом, фаервола нет.
В логах несколько битых zip архивов avz на них ругается, и неубитый вирь в tmp в архиве, я его уже прибил.
dopuslib.dll - библиотека от файлового менеджера Directory Opus.
мораль: Вот что бывает, если дать посторонним попользоваться
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
В логах несколько битых zip архивов avz на них ругается, и неубитый вирь в tmp в архиве, я его уже прибил.
dopuslib.dll - библиотека от файлового менеджера Directory Opus.
Файл сохранён как virus_44945f053ef6e.zip
Размер файла 483898
MD5 f9242a06232ca65f0cba06dc9717665e
Boot.exe не захотел по непонятным причинам добавляться в карантин, хотя я его даже скопировал в C:tmp (как и arm32.dll, который тоже с изначального места не хотел копроваться)
Сообщение от Rene-gad
@Vovanium
Это не проблема
Пришлите для анализа, как написано:
Эти жеж нехорошие посторонние удалили с Вашего сервера СП2 и все патчи
Ну прямо как в анекдоте про генерала, которому нехороший лейтенат в штаны наложил
Можно поставить вопрос так: а сервис-пакис патчами там когда-нибудь стояли? Комп используется исключительно как рабочая станция. А Win2003 стоит потому, что ничегодругого под рукой не было
WinVCN ставил сам (использовал всвоё время для залезания с работы, теперь для руления другими компами)
файл Control.pl Ваш? если нет - поищите на диске и пришлите.
кстати, а usr\bin\perl у Вас вообще существует?
И Control.pl и usr\bin\perl - файлы из установлнного пакета Денвер-2.
Находятся в C:\Webservers (каталог установки денвера) В автозапуск прописались при установке пакета.
Ваша проблема - файл arm32.dll
Для удаления запустите AVZ, включите AVZGuard, выберите пункт "Файл\Отложенное удаление файла", укажите путь к файлу arm32.dll. После этого не выключая AVZGuard уйдите на перезагрузку.
После перезагрузки должно полегчать.
Выгрузите из памяти все свои программы (т.е. которыми пользуетесь сами, ставили сами и доверяте) кроме Интернет-браузера (типа Internet Explorer - его как раз лучше запустить) и сделайте новый лог исследования системы програмой AVZ.
После чего присоедините его к теме.
p.s. Поищите на диске файлик dll.dll, если есть - пришлите.
Если не удалится (так не пробовал), можно так:
В безопасном режиме запускаете regedit, находите ключ реестра HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\arm32reg
щелкаете по нему и в меню по правому клику выбираете "Разрешения".
В открывшемся окне ставите все птички в колонке "Запретить", соглашаетесь с предупреждением винды. Так поочередно для всех пользователей, выбирая их в верхнем окошке, кроме последнего - "Создатель/владелец", для него не получится, да это и не нужно.
Жмете "Применить", "Ок", закрываете всё и перезагружаетесь. После перезагрузки файл можно спокойно удалить руками.
Потом можно снова зайти в тот же раздел реестра, снять запреты и удалить эту ветку arm32reg, она не нужна. Можно и оставить, она не вредна, даже какая-то защита от повторной посадки того же трояна .
Интересно, где Вы всё это подцепили. В истории IE не осталось ли чего интересного ?
Если найдется - скиньте, плиз, в личку все ссылки, что найдете. С таким именем файла еще его не видел.
Интересно, где Вы всё это подцепили. В истории IE не осталось ли чего интересного ?
Если найдется - скиньте, плиз, в личку все ссылки, что найдете. С таким именем файла еще его не видел.
так надо же еще научить, откуда эти ссылки взять!
в DPF вроде бы ничего нет (хотя hijackths.log выглядит каким-то отредактированным).
и еще - меня не покидает мысль, что должны остаться и другие файлики...
Alexey P. интересный способ удаления. Хотя у меня легко удалил его AVZ. А если бы не удалил, я б подцепил винт к другому компу и удалил его оттуда. Кстати, с файлом ничего нельзя было сделать, именно подключением к другому компу мне удалось его достать и отослать.
В истории ни IE ни Opera ничего не нашел. Вообще, это похоже письмецо постаралось, открытое из мейл-клиента оперы.
и еще - меня не покидает мысль, что должны остаться и другие файлики...
Не, не факт, там же антивирус поработал, скорее всего посносил.
To Vovanium:
На всякий проверьте в \windows\system32:
taskdir.exe
taskdir.dll
taskdir~.exe
Лучше в безопасном режиме, в обычном при наличии первого файла вы их не увидите. Точнее, можете и увидеть, но ненадолго, он засекет и исключит себя из обзора . С учетом числа файлов в %sysdir% - увидеть нереально, он быстрее срабатывает.
Так же и в процессах - виден, но исчезает где-то секунд за 4-5. Не успел увидеть - сорри, больше не увидишь .
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Бешеный IEXPLORE.EXE
Сообщение от Vovanium
