IMHO.WS

IMHO.WS (https://www.imho.ws/index.php)
-   Руководство для новичков (https://www.imho.ws/forumdisplay.php?f=35)
-   -   Подозрительный файл и ярлык tmp.tmp (https://www.imho.ws/showthread.php?t=144511)

DJLOVE 22.09.2010 13:58
Подозрительный файл и ярлык tmp.tmp
 
На этой неделе заметил что появился странный ярлык в панеле Quick Launch
и в многих разных папках так же появляется файл tmp.tmp ,
есть такой в папке system32 ,
при попытке стереть отказывается и говорит что используется другой программой

Подозрения сразу же на трояны, вирусы и т.п
Хотя стоит и файрвол и антивирус с последней базой данных.

Файрвол - Agnitum (в режиме "на заднем плане")
Антивирус - ESET
Виндоус - XP SP3

Кто то знаком? Или слышал про такое явление?

Likebeer 22.09.2010 14:10
Вот что выдал гугль...

Цитата:
Ос: Windows XP

Замеченные симптомы. В ряде папок появляется файл tmp.tmp нулевого размера. Одна из этих папок - \\Windows\System32, откуда этот файл удалить нельзя. Простое исследование показывает, что файл "держит" процесс lsass.exe.
Также начинает дико тормозить процесс Веб-серфинга (впрочем, на Зеленом тормоза вполне терпимые). TCPView показывает, что lsass.exe ломится на десяток ip-шников в интернете на 80-й порт, статус соединений - SYN_SENT.
Антивирусными утилитами (субботний AVP Removal Tool и сегодняшний CureIT) зловред не обнаруживается.

Лечение.
Вирусная библиотека, скорее всего, имеет случайное имя и загружается в память lsass через ключЪ реестра HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders
Оригинальное содержимое ключа: msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll. На зараженой машине было: msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, mogcrfuc.dll. После удаления данного файла из \\Windows\System32 и реестра все описанные выше симптомы чудесным образом исчезли.
По некоторым данным, на VirusTotal эта :censored: известна как Trojan.MTA.0424.
Если это оно, то вот по этой ссылке есть инфа про него:
_http://www.pc1news.com/virus/alias-trojan-mta-0424-304440.html

Комментарий Администратора:
Plague:
смотри что цитируешь.

DJLOVE 22.09.2010 14:14
Цитата:
Оригинальное содержимое ключа: msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll. На зараженой машине было: msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, mogcrfuc.dll. После удаления данного файла из \\Windows\System32 и реестра все описанные выше симптомы чудесным образом исчезли.
вроде по описанию оно! хотелось бы узнать как такая дрянь пробралась ко мне со всеми защитами и как избежать чтобы не вернулась :beer:

Borland 22.09.2010 14:16
DJLOVE, вирь.
Походу этот: http://www.pc1news.com/virus/alias-trojan-mta-0424-304440.html , но возможно и что-то поновее.
http://sysadmins.ru/topic267262.html

DJLOVE 22.09.2010 14:19
mogcrfuc.dll не обнаружен, в реестре нашел какой то другой лишний DLL

Цитата:
Поиск же в интернете показал, что минимум двое, поймав данного зловреда, переустановили Windows! Very Happy
а вот это не радует

Likebeer 22.09.2010 14:31
DJLOVE, может сначала попробовать онлайн проверку на вирус?
Я так понимаю удалять нужно ключ в реестре

DJLOVE 22.09.2010 14:39
уничтожил лишний DLL в реестре, tmp.tmp поддался удалению
вроде бы, даже браузер стал работать быстрее

остается тогда несколько вопросов:

нкой мне этот антивирус если он его пропустил как своего брата?
как можно было подцепить эту дрянь если я параноически отношусь к левым ссылкам, имейлам, файлам, сайтам?
и самое главное как предотвратить повторение? (неужели нехватает софта для защиты? )

PS: хех главно имя и виря есть а лечения или защиты в соответственном софте нет?

Plague 22.09.2010 14:45
Цитата:
Сообщение от DJLOVE (Сообщение 1723324)
нкой мне этот антивирус если он его пропустил как своего брата?
антивирус работает по базам. того что нет в базах, он не знает по определению.
удивил, честное слово.. :idontnow:

Цитата:
Сообщение от DJLOVE (Сообщение 1723324)
как можно было подцепить эту дрянь если я параноически отношусь к левым ссылкам, имейлам, файлам, сайтам?
значит недостаточно параноически..

Цитата:
Сообщение от DJLOVE (Сообщение 1723324)
(неужели нехватает софта для защиты? )
см ответ на п.1.

Цитата:
Сообщение от DJLOVE (Сообщение 1723324)
как предотвратить повторение?
не лазать черт знает где и нормально Оутпост настроить. у него есть защита системных веток реестра.

DJLOVE 22.09.2010 15:22
Цитата:
антивирус работает по базам. того что нет в базах, он не знает по определению.
удивил, честное слово..
чем я тебя таким удивил?
выходит расхваленый ESET не вносит в свои базы такие известные вирусы как этот

Цитата:
не лазать черт знает где и нормально Оутпост настроить. у него есть защита системных веток реестра.
а вот тут я прошляпил, незнаю почему но он у меня OFF

Вспомнил!! Я проверить антивирус и файрвол хотел , зашел на какой-то русский форум с веткой ,а там наверно в открытом виде висели вирусы или ссылки на них, с тех пор все и покатилось ;) проверил млин

Спасибо всем за оперативную помощь :beer:

Plague 22.09.2010 15:29
во-первых, непонятно кем он расхвален; во-вторых вирус "oPreved" который у многих аськи поуводил в 2006 году до сих пор некоторыми антивирями не видится. есть такая вещь как "географический и национальный менталитет", в свете которой многие вири среди иноязычного контингента не имеют распространения, а следовательно и не доходят до иноязычных писателей антивирей.

вообще, лучший антивирус - это руки...


Часовой пояс GMT +4, время: 13:16.

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2026, Jelsoft Enterprises Ltd.