Подозрительный файл и ярлык tmp.tmp - Руководство для новичков

DJLOVE · 22.09.2010, 14:58

На этой неделе заметил что появился странный ярлык в панеле Quick Launch
и в многих разных папках так же появляется файл tmp.tmp ,
есть такой в папке system32 ,
при попытке стереть отказывается и говорит что используется другой программой

Подозрения сразу же на трояны, вирусы и т.п
Хотя стоит и файрвол и антивирус с последней базой данных.

Файрвол - Agnitum (в режиме "на заднем плане")
Антивирус - ESET
Виндоус - XP SP3

Кто то знаком? Или слышал про такое явление?

Likebeer · 22.09.2010, 15:10

Вот что выдал гугль...

Цитата:

Ос: Windows XP

Замеченные симптомы. В ряде папок появляется файл tmp.tmp нулевого размера. Одна из этих папок - \\Windows\System32, откуда этот файл удалить нельзя. Простое исследование показывает, что файл "держит" процесс lsass.exe.
Также начинает дико тормозить процесс Веб-серфинга (впрочем, на Зеленом тормоза вполне терпимые). TCPView показывает, что lsass.exe ломится на десяток ip-шников в интернете на 80-й порт, статус соединений - SYN_SENT.
Антивирусными утилитами (субботний AVP Removal Tool и сегодняшний CureIT) зловред не обнаруживается.

Лечение.
Вирусная библиотека, скорее всего, имеет случайное имя и загружается в память lsass через ключЪ реестра HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders
Оригинальное содержимое ключа: msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll. На зараженой машине было: msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, mogcrfuc.dll. После удаления данного файла из \\Windows\System32 и реестра все описанные выше симптомы чудесным образом исчезли.
По некоторым данным, на VirusTotal эта

известна как Trojan.MTA.0424.

Если это оно, то вот по этой ссылке есть инфа про него:
_http://www.pc1news.com/virus/alias-trojan-mta-0424-304440.html

Комментарий Администратора:

Plague:
смотри что цитируешь.

DJLOVE · 22.09.2010, 15:14

Цитата:

Оригинальное содержимое ключа: msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll. На зараженой машине было: msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, mogcrfuc.dll. После удаления данного файла из \\Windows\System32 и реестра все описанные выше симптомы чудесным образом исчезли.

вроде по описанию оно! хотелось бы узнать как такая дрянь пробралась ко мне со всеми защитами и как избежать чтобы не вернулась

Borland · 22.09.2010, 15:16

DJLOVE, вирь.
Походу этот: http://www.pc1news.com/virus/alias-trojan-mta-0424-304440.html , но возможно и что-то поновее.
http://sysadmins.ru/topic267262.html

DJLOVE · 22.09.2010, 15:19

mogcrfuc.dll не обнаружен, в реестре нашел какой то другой лишний DLL

Цитата:

Поиск же в интернете показал, что минимум двое, поймав данного зловреда, переустановили Windows! Very Happy

а вот это не радует

Likebeer · 22.09.2010, 15:31

DJLOVE, может сначала попробовать онлайн проверку на вирус?
Я так понимаю удалять нужно ключ в реестре

DJLOVE · 22.09.2010, 15:39

уничтожил лишний DLL в реестре, tmp.tmp поддался удалению
вроде бы, даже браузер стал работать быстрее

остается тогда несколько вопросов:

нкой мне этот антивирус если он его пропустил как своего брата?
как можно было подцепить эту дрянь если я параноически отношусь к левым ссылкам, имейлам, файлам, сайтам?
и самое главное как предотвратить повторение? (неужели нехватает софта для защиты? )

PS: хех главно имя и виря есть а лечения или защиты в соответственном софте нет?

*Plague* · 22.09.2010, 15:45

Цитата:

Сообщение от DJLOVE

нкой мне этот антивирус если он его пропустил как своего брата?

антивирус работает по базам. того что нет в базах, он не знает по определению.
удивил, честное слово..

Цитата:

Сообщение от DJLOVE

как можно было подцепить эту дрянь если я параноически отношусь к левым ссылкам, имейлам, файлам, сайтам?

значит недостаточно параноически..

Цитата:

Сообщение от DJLOVE

(неужели нехватает софта для защиты? )

см ответ на п.1.

Цитата:

Сообщение от DJLOVE

как предотвратить повторение?

не лазать черт знает где и нормально Оутпост настроить. у него есть защита системных веток реестра.

DJLOVE · 22.09.2010, 16:22

Цитата:

антивирус работает по базам. того что нет в базах, он не знает по определению.
удивил, честное слово..

чем я тебя таким удивил?
выходит расхваленый ESET не вносит в свои базы такие известные вирусы как этот

Цитата:

не лазать черт знает где и нормально Оутпост настроить. у него есть защита системных веток реестра.

а вот тут я прошляпил, незнаю почему но он у меня OFF

Вспомнил!! Я проверить антивирус и файрвол хотел , зашел на какой-то русский форум с веткой ,а там наверно в открытом виде висели вирусы или ссылки на них, с тех пор все и покатилось

проверил млин

Спасибо всем за оперативную помощь

*Plague* · 22.09.2010, 16:29

во-первых, непонятно кем он расхвален; во-вторых вирус "oPreved" который у многих аськи поуводил в 2006 году до сих пор некоторыми антивирями не видится. есть такая вещь как "географический и национальный менталитет", в свете которой многие вири среди иноязычного контингента не имеют распространения, а следовательно и не доходят до иноязычных писателей антивирей.

вообще, лучший антивирус - это руки...

22.09.2010, 14:58	# 1
DJLOVE ::VIP:: Регистрация: 30.04.2002 Адрес: Israel Пол: Male Сообщения: 7 090	Подозрительный файл и ярлык tmp.tmp На этой неделе заметил что появился странный ярлык в панеле Quick Launch и в многих разных папках так же появляется файл tmp.tmp , есть такой в папке system32 , при попытке стереть отказывается и говорит что используется другой программой Подозрения сразу же на трояны, вирусы и т.п Хотя стоит и файрвол и антивирус с последней базой данных. Файрвол - Agnitum (в режиме "на заднем плане") Антивирус - ESET Виндоус - XP SP3 Кто то знаком? Или слышал про такое явление? __________________ Дорогие оптимист, пессимист и реалист. Пока вы спорили о стакане с водой. Я его выпил. Опортюнист.

22.09.2010, 15:16	# 4
Borland СуперМод IMHO Консультант 2005-2009 Регистрация: 14.08.2002 Адрес: Московская ПЛ, ракетный отс Пол: Male Сообщения: 14 524	DJLOVE, вирь. Походу этот: http://www.pc1news.com/virus/alias-trojan-mta-0424-304440.html , но возможно и что-то поновее. http://sysadmins.ru/topic267262.html __________________ Не засоряйте форум "спасибами"! Для выражения благодарности существуют ПС и репутация! Соблюдайте Правила! Распространенье наше по планете Особенно заметно вдалеке: В общественном парижском туалете Есть надписи на русском языке В. Высоцкий Московская ПЛ IMHO - отдых в Анапе

22.09.2010, 15:31	# 6
Likebeer Как бы пиво Регистрация: 03.02.2004 Адрес: Москва Пол: Male Сообщения: 1 715	DJLOVE, может сначала попробовать онлайн проверку на вирус? Я так понимаю удалять нужно ключ в реестре __________________ I believe in life

22.09.2010, 15:39	# 7
DJLOVE ::VIP:: Регистрация: 30.04.2002 Адрес: Israel Пол: Male Сообщения: 7 090	уничтожил лишний DLL в реестре, tmp.tmp поддался удалению вроде бы, даже браузер стал работать быстрее остается тогда несколько вопросов: нкой мне этот антивирус если он его пропустил как своего брата? как можно было подцепить эту дрянь если я параноически отношусь к левым ссылкам, имейлам, файлам, сайтам? и самое главное как предотвратить повторение? (неужели нехватает софта для защиты? ) PS: хех главно имя и виря есть а лечения или защиты в соответственном софте нет? __________________ Дорогие оптимист, пессимист и реалист. Пока вы спорили о стакане с водой. Я его выпил. Опортюнист.

22.09.2010, 16:29	# 10
Plague Administrator Регистрация: 06.05.2003 Адрес: Московская Подводная Лодка Пол: Male Сообщения: 12 062	во-первых, непонятно кем он расхвален; во-вторых вирус "oPreved" который у многих аськи поуводил в 2006 году до сих пор некоторыми антивирями не видится. есть такая вещь как "географический и национальный менталитет", в свете которой многие вири среди иноязычного контингента не имеют распространения, а следовательно и не доходят до иноязычных писателей антивирей. вообще, лучший антивирус - это руки... __________________ все "спасибы" - в приват и в репутацию! не засоряйте форум!!!! ~~~~~~~~~~~~~~~~~~~~~~ The time has come it is quite clear, our antichrist is ~~almost~~ already here. M.M.