Winlogon - подозрительная активность

[Weihun]

Системный процесс winlogon активно обменивается данными с удалённым сервисом, обращаясь при этом весьма активно к жёсткому диску. Я использую GPRS-соединение, поэтому и заметил. Блокировка файерволом OutPost приводит к мгновенной перезагрузке системы. Блокировка древней версией ZoneAlarm успешна, однако с определённой частотой выдаётся сообщение о попытке удалённого доступа к моей машине с неизвестного IP-адреса. Антивирус Касперского ничего не обнаружил.

Прошу помощи.

P.S. Система - Windows 2000 SP4. Совершенно непонятно, как отключить "Восстановление системы". Долго искал, не нашёл.

[anton_dr]

АВЗ - файл - выполнить скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('D:\Games\Starcraft\Hook.dll','');
QuarantineFile('C:\WINNT\system32\mszsrn32.dll','');
 DeleteFile('C:\WINNT\system32\mszsrn32.dll');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится, после перезагрузки прислать карантин согласно правил.
Пофиксить в HijackThis строчку

Код:

O20 - Winlogon Notify: mszsrn32 - C:\WINNT\system32\mszsrn32.dll

Windows обновляете?
Касперский у вас стоит очень уж древний, обновить бы.

И сделайте новые логи.

[Weihun]

anton_dr

Windows не обновляю, увы, нет возможности. Через GPRS это сделать трудно. Однако, те манипуляции, что Вы порекомендовали, кажется, устранили проблему, по крайней мере сечас winlogon уже не пытается проникнуть в Интернет. Тем не менее, шлю логи и карантин.

У меня возникли несколько вопросов:

1. Что это такое? Как я понимаю, некоторая вредоносная библиотека, каким-то образом связанная с процессом winlogon. Какие действия она осуществляла?

2. Каким образом она попала в систему? Я не загружал ни одного исполнительного файла из Интернет. Или же она проникла сквозь отверстия в системе?

3. Существует ли вероятность повторного заражения изнутри, то есть если предположить, что библиотека затаилась в каком-нибудь исполняемом модуле на жестком диске? Если да, то как её отыскать?

Большое спасибо. Вы мне очень помогли.

[anton_dr]

Чегой-то там еще вроде осталось. Установите в АВЗ - AVZPM - установка драйвера расширенного мониторинга, и сделайте еще раз логи АВЗ.
Так же посмотрите в АВЗ - сервис - менеджер автозапуска - сохранить протокол, и прикрепите его сюда.
А файлик ваш детектируется всеми почти антивирусными продуктами.Еще раз повторяю, вам необходимо установить хотя бы современный антивирус.

AhnLab-V3 2007.4.21.0 04.20.2007 Win32/Zasran.worm.42496
AntiVir 7.3.1.53 04.22.2007 Worm/Banwarum.E.1
Authentium 4.93.8 04.20.2007 W32/Zasran.D
Avast 4.7.981.0 04.21.2007 Win32:Banwarum-I
AVG 7.5.0.464 04.22.2007 I-Worm/Zasran.E
BitDefender 7.2 04.23.2007 Win32.Worm.Banwarum.A
CAT-QuickHeal 9.00 04.21.2007 I-Worm.Banwarum.e
ClamAV devel-20070416 04.23.2007 Worm.Banwarum.B-2
DrWeb 4.33 04.22.2007 Win32.HLLM.Rancheg
eSafe 7.0.15.0 04.22.2007 Win32.Banwarum.e
eTrust-Vet 30.7.3585 04.21.2007 Win32/Banwarum.E
Ewido 4.0 04.22.2007 Worm.Banwarum.e
FileAdvisor 1 04.23.2007 no virus found
Fortinet 2.85.0.0 04.23.2007 W32/Banwarum.E@mm
F-Prot 4.3.2.48 04.20.2007 W32/Zasran.D
F-Secure 6.70.13030.0 04.23.2007 Email-Worm.Win32.Banwarum.e
Ikarus T3.1.1.5 04.23.2007 Email-Worm.Win32.Banwarum.e
Kaspersky 4.0.2.24 04.23.2007 Email-Worm.Win32.Banwarum.e
McAfee 5014 04.20.2007 W32/Banwarum.dll
Microsoft 1.2405 04.23.2007 Worm:Win32/Banwarum.C@mm
NOD32v2 2210 04.22.2007 Win32/Banwarum.E
Norman 5.80.02 04.21.2007 W32/Banwarum.D@mm
Panda 9.0.0.4 04.22.2007 W32/Banwarum.C.worm
Prevx1 V2 04.23.2007 Worm.Banwarum
Sophos 4.16.0 04.20.2007 W32/Banwar-A
Sunbelt 2.2.907.0 04.19.2007 Email-Worm.Win32.Banwarum.e
Symantec 10 04.23.2007 W32.Banwarum@mm
TheHacker 6.1.6.088 04.09.2007 W32/Banwarum.e
VBA32 3.11.4 04.21.2007 Email-Worm.Win32.Banwarum.e
VirusBuster 4.3.7:9 04.22.2007 I-Worm.Banwarum.D
Webwasher-Gateway 6.0.1 04.23.2007 Worm.Banwarum.E.1

Прочитать про его собрата можно здесь. http://www.viruslist.com/ru/viruses/...virusid=122323

[anton_dr]

Также, полезное дополнение от Bratez

Также рекомендую отключить неиспользуемые системные службы,
например эти (если нет локальной сети):

O23 - Service: Обозреватель компьютеров (Browser) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Сервер (lanmanserver) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Служба поддержки TCP/IP NetBIOS (LmHosts) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Служба сообщений (Messenger) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINNT\system32\netdde.exe
O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINNT\system32\netdde.exe
O23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - C:\WINNT\system32\tlntsvr.exe
а если локалка используется, тогда только выделенные.

[Weihun]

anton_dr

Драйвер не устанавливается. Программа никак не реагирует на попытку его установить. Протокол приложен. Антивирус я установлю в ближайшее время.

Ещё раз спасибо!

[Weihun]

Ага, понятно. Что-то мне недавно приходило на немецком языке :о) :о) :о) Обычно я спам не читаю, но тут заинтересовался, ибо немецкий - мой любимый язык. Вот и схлопотал на свою голову. Впредь буду осторожней.

[anton_dr]

Удалите в менеджере автозапуска первые две записи; в авз - файл - восстановление системы отметить пункты 1,5,6,8,16. и приложите еще раз лог из автозапуска.

[Bratez]

Ваш зловред использует уязвимость, закрываемую заплатками
KB835732 и KB921883. Обязательно установите их!

http://virusinfo.info/showthread.php?t=9235

[Weihun]

anton_dr

Готово. Лог прилагается.

Bratez

Благодарю!