Вирус или ... ?

Vita · 2006-12-08T09:08:07.0000000Z

У одной сотрудницы перестал работать Касперский. Полезли смотреть, что с ним случилось. В процессе его поиска на компе была обнаружена странная вещь: на диске С, помимо всего обычного и нужного, расположено под 2000 тысячи блокнотовских файлов под названиями типа "client105.log", "smtpthread1784.log". В них полная абра-катабра непонятная мне... Например: -------------------------------------------------- [12/05/06 11:59:45] ACE. Type - 0000, flags - 0000 -------------------------------------------------- -------------------------------------------------- [12/05/06 11:59:45] Sid: 0101 5000000 -------------------------------------------------- -------------------------------------------------- [12/05/06 11:59:45] User SYSTEM, domain NT AUTHORITY, rights 10000000 -------------------------------------------------- -------------------------------------------------- [12/05/06 11:59:45] ACE. Type - 0000, flags - 0000 -------------------------------------------------- -------------------------------------------------- [12/05/06 11:59:45] Sid: 0201 5000000 -------------------------------------------------- -------------------------------------------------- [12/05/06 11:59:45] User Администраторы, domain BUILTIN, rights A0020000 -------------------------------------------------- -------------------------------------------------- [12/05/06 11:59:45] ACE. Type - 0000, flags - 0000 -------------------------------------------------- -------------------------------------------------- [12/05/06 11:59:45] Sid: 0201 5000000 -------------------------------------------------- -------------------------------------------------- [12/05/06 11:59:45] User Администраторы, domain BUILTIN, rights 101FFFFF -------------------------------------------------- -------------------------------------------------- [12/05/06 11:59:45] ACE. Type - 0000, flags - 0000 -------------------------------------------------- -------------------------------------------------- [12/05/06 11:59:45] Sid: 0201 5000000 -------------------------------------------------- -------------------------------------------------- [12/05/06 11:59:45] User Пользователи, domain BUILTIN, rights 101FFFFF -------------------------------------------------- -------------------------------------------------- [12/05/06 11:59:45] ACE. Type - 0000, flags - 0000 -------------------------------------------------- -------------------------------------------------- [12/05/06 11:59:45] Sid: 0101 5000000 -------------------------------------------------- -------------------------------------------------- [12/05/06 11:59:45] User SYSTEM, domain NT AUTHORITY, rights 101FFFFF -------------------------------------------------- Хотя есть и тексты: ------------------------------------------------- 12/06/06 11:11:17 Start SMTP sending thread : 00000934 -------------------------------------------------- -------------------------------------------------- 12/06/06 11:11:35 ParseLetter. Letter after parsing.Buffer size: 20766 Buffer: Received: from psw0 (jmptwzc3 [9.69.6.26]) by Igor (8.13.6/8.12.11) with SMTP id wzdgjmq8 for <rti@sandiego.edu>; Wed, 6 Dec 2006 06:58:01 +0300 (envelope-from hwangfrankf@amphicar.net) Message-ID: <000b01c7190e$25cb1050$2702a8c0@Igor> From: "yunit" <hwangfrankf@amphicar.net> To: <joe_mcnabb@cchcs.org> Subject: thanks for {%rot:1|2|3|4|5%} sec of ur time Date: Wed, 6 Dec 2006 06:58:01 +0200 MIME-Version: 1.0 Content-Type: multipart/related; type="multipart/alternative"; boundary="----=_NextPart_002_000B_01C7190E.25CB1050" X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.1400.147 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.400.047 This is a multi-part message in MIME format. ------=_NextPart_002_000B_01C7190E.25CB1050 Content-Type: multipart/alternative; boundary= "----=_NextPart_001_000B_01C7190E.25CB1050" ------=_NextPart_001_000B_01C7190E.25CB1050 Content-Type: text/plain; charset="us-ascii" Content-Transfer-Encoding: quoted-printable Vladyka prebyval v plohom Nastroenii. Kak nadoevshaia kompiuternaia Igra, kotoruiu posle pobedonosnogo=20= zaversheniia v zapale nachinaesh prohodit s Samogo nachala i vdru= g osoznaesh, chto ona uzhe stala neinteresnoj. Kazhdaia tochka na tele otzyvalas noiushchej sadniashchej boliu,=20= i dazhe stol Neznachitelnoe dvizhenie zastavilo smorshchitsia. ------=_NextPart_001_000B_01C7190E.25CB1050 Content-Type: text/html; charset="us-ascii" Content-Transfer-Encoding: quoted-printable <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> <HTML><HEAD> <META http-equiv=3DContent-Type content=3D"text/html; charset=3Du= s-ascii"> <META content=3D"MSHTML " name=3D"GENERATOR"> <STYLE></STYLE> </HEAD> <BODY> <DIV> <p><IMG alt=3D"" hspace=3D0 src=3D"cid:005601c71903$de9c9af0$3869= 5781@hwangfrankf" align=3Dbaseline border=3D0></p> <DIV> <br> Vladyka prebyval v plohom Nastroenii. <br> Kak nadoevshaia kompiuternaia Igra, kotoruiu posle pobedonosnogo=20= zaversheniia v zapale nachinaesh prohodit s Samogo nachala i vdru= g osoznaesh, chto ona uzhe stala neinteresnoj. <br> Kazhdaia tochka na tele otzyvalas noiushchej sadniashchej boliu,=20= i dazhe stol Neznachitelnoe dvizhenie zastavilo smorshchitsia. </DIV></BODY></HTML> Сотрудница в глаза не видела эти файлы раньше. Как я понимаю, это почтовые логи... Но почему они на С? И Касперский не включается, гад :rolleyes:

933

юни

8 декабря 2006, 13:27

#41

Vita:
Мне друг-программист советует сохранить все важные данные и отформатировать диск...

Ну, в общем-то логично, времени уйдёт меньше. Другое дело, что в формате нет нужды, достаточно удалить директорию винды.

Можно рискнуть переустановить систему (но только загрузившись с компакта, не из под зараженной системы). Тогда - сразу после установки - нужно ставить Каспера, обновлять базы и лечить систему.

https://searchengines.guru/ru/forum/944108 - прокси-сервис на базе операторов домашнего интернета, сотни тысяч IP-адресов, канал от 20 Мбит

386

dkameleon

8 декабря 2006, 14:33

#42

юни:
Это может не помочь, если процесс системный будет.

по крайней мере будет известен виновник ;)

Может, это просто любимый фаервол дебаг логи ведёт

Дизайн интерьера (http://balabukha.com/)

D

7

dragonfly

8 декабря 2006, 15:16

#43

Vita:
Мне друг-программист советует сохранить все важные данные и отформатировать диск...
Наверное, это самое простое в нынешней ситуации, если учитывать мой опыт..😒

Vita, программист правильно советует...

Но если нужно срочно работать, советую поставить ZoneAlarm Pro. Она блокирует отправку/получение несанкционированного трафика с компьютера.

Хотя, повторюсь, в вашем случае форматирование лучше всего... Главное потом обратно этот вирус не впустить, уже на чистую систему. Ведь откуда то он взялся...

eTarget 2011:Панельная дискуссия «Стратегия eTarget 2011: Круглый стол Могут ли «плохие» входящие

105

Santim

8 декабря 2006, 16:59

#44

Ну, в общем-то логично, времени уйдёт меньше. Другое дело, что в формате нет нужды, достаточно удалить директорию винды.

Вот тут позволю не согласится, ведь мы не занем о каком вирусе идет речь, Вы уверены что вирус именно поразил ядро винды? Вспомните беду прошлого года, когда червь поражал все exe фалы и не давал им запускаться? Он делал это со всеми файлами до которых мог добраться из корневика. В другом случае если это Бласт, самый пример lsass.exe тут можно понять что ядро поражено и система это показывает.

Можно рискнуть переустановить систему (но только загрузившись с компакта, не из под зараженной системы).

Как связанно загрузка с компакт диска и не пораженная система? В любом случаем вирсу на компашку не попадет, но есть ли гарантия что снести только директорию винды Вас спасут от виря? Когда сам вирь не известен?

Цитата:
Сообщение от юни
Это может не помочь, если процесс системный будет.

по крайней мере будет известен виновник

А я думал если процесс системный выдает ошибку, то это пишется в журнал виндовый, а как сказал ТС там ничего небыло. Так что тут это смело можно откинуть.

P.S. Ну а теперь анализирую все это, я думаю что тут на лицо обыкновенный троян downloader который попал через IE или pop3 на компьютер пользователя. Но так как на лицо и факт заражение исполняющего файла, то тут ещё и червь дает о себе знать.

Совет по лечению, хоть и не быстрому, но даст ответ что точно произошло я уже озвучил.
Ещё посоветую, установите не ZoneAlarm а наш OutPost и запустите в режиме обучения, Вас будут информировать о каждом запускающемся процессе, который долбится в инет.

eTarget 2011:Панельная дискуссия «Стратегия eTarget 2011: Круглый стол Могут ли «плохие» входящие

933

юни

8 декабря 2006, 17:40

#45

Santim:
Вот тут позволю не согласится, ведь мы не занем о каком вирусе идет речь

Это не важно. Если ядро (и запускаемые им системные службы) чисты, то заражение невозможно принципиально. А они чисты, поскольку создается новая директория \windows, а старые файлы в Program Files перезаписываются.

Поэтому, кстати, нужно ставить систему с заведомого незараженного компакта - если начать копирование файлов дистрибутива, работая при этом в зараженной системе, то эти файлы могут быть инфецированны. Это уже зависит от типа вируса. ;)

Santim:
А я думал если процесс системный выдает ошибку, то это пишется в журнал виндовый, а как сказал ТС там ничего небыло. Так что тут это смело можно откинуть.

Я имел в виду тот факт, что попытка лечения системной службы может привести к краху операционки. К тому же, далеко не всегда заражение процесса отражается на его работоспособности. ;)

eTarget 2011:Панельная дискуссия «Стратегия eTarget 2011: Круглый стол Могут ли «плохие» входящие

105

Santim

8 декабря 2006, 17:53

#46

Поэтому, кстати, нужно ставить систему с заведомого незараженного компакта - если начать копирование файлов дистрибутива, работая при этом в зараженной системе, то эти файлы могут быть инфецированны. Это уже зависит от типа вируса.

Как компакт может быть у Вас зараженный если Вы сами его не записали или преобрели уже зараженный, что можно исключить?

Тут же можно уточнить, то факт...идет ли полная перустановка системы или её обновление. При обновлении programfiles у вас останутся, и если заражены приложения то вирус останется, но в ядре его уже не будет, хотя опять тут вы правы, что вирус может быть гулящий, и при первой же загрузке попадет в ядро, но смысл говорить об этом если мы не знаем причину? А причина у нас сам вирус и что он может сделать!

Я имел в виду тот факт, что попытка лечения системной службы может привести к краху операционки. К тому же, далеко не всегда заражение процесса отражается на его работоспособности.

Попытка лечения службы, может превести только к отказу этой службы, которая может потянуть неработоспособность всей системы, но система останется цела. В винде не предусмотрено такое чтоб переставить отдельные компоненты, как к примеру в Linux. В связи с этим и связан термин "переустановка винды" или её снос. ;)

По поводу не отражения процесса на работоспособности, может и так, но факт скачивания 3Гб разве не отражение неправильной работы ПК? Но тут мы не утверждаем точ заражено само ядро, так что остается только догадываться.

eTarget 2011:Панельная дискуссия «Стратегия eTarget 2011: Круглый стол Могут ли «плохие» входящие

19

glatcher

9 декабря 2006, 03:36

#47

/ru/forum/comment/1552624

Переиграть и победить: как анализировать конкурентов для продвижения сайта

Google: E-E-A-T не является фактором ранжирования