Вирус IEXPLORE.EXE

Вопросы, связанные с операционными системами от Microsoft.

Сообщение eDio » Пт ноя 17, 2006 12:02 am

Просьба к модерам и админам, если не в тот раздел сунулся, не удаляйте тему. Перенесите, плиз, куда надо.

Буду краток:
От друга по асе пришла ссылка, мол прожка есть, скачай (друг этот месседж не писал, как выяснилось)

Вот ссылка
<a href="http://fairys-life.com/supersoft/ware/mobile.exe_А_оно_тебе_надо_качать" target="_blank">http://fairys-life.com/supersoft/ware/mobile.exe</a>?

После даунлоада насторожил размер, около 10кб, но в то, что вирусы управляют ICQ еще не верил
А вот после запуска в это поверил. Видимого эффекта не было. Заметил, что запустились три services.exe. Запустил файл еще раз и отследил файлмоном и регмоном все его запросы. Если надо, выложу логи.
Позже заметил в процессах IEXPLORE.EXE. Завершить не удается - он запускает себя снова, а вот services.exe лишние позавершал.

Код: выделить все
IEXPLORE.EXE
Owner ---------------------------  \\NT AUTHORITY\SYSTEM
Parent PID and path ------------- 516 [00000204], C:\WINDOWS\system32\winlogon.exe


Да, антивирь, ясно, ничего не увидел.
И это не тот известный вирус, с которым браузер слетает (не помню, как он называется). В автозапуске чисто всё, а после запуска Браузера ИЕ начался активный трансфер. К сожалению не отследил куда, а запускать ИЕ еще раз не хочу

Что это и как лечить?

Спасибо.


от Модератора:
Ты специально чтоль выложил прямую ссылку на файл, чтоб кто-то скачал?
Последний раз редактировалось eDio Пт ноя 17, 2006 6:37 am, всего редактировалось 1 раз.
<!--coloro:#CCCCCC--><span style="color:#CCCCCC"><!--/coloro--><!--sizeo:1--><span style="font-size:8pt;line-height:100%"><!--/sizeo-->Core 2 Duo E6550 // ASUS P5K // 2GB PC6400 in Dual-channel mode // XpertVision GeForce 8600GT // Samsung 160GB // ESI Juli@<!--sizec--></span><!--/sizec--><!--colorc--></span><!--/colorc-->
eDio
Майор
 
Сообщений: 427
Зарегистрирован: Вс апр 09, 2006 9:37 pm
Откуда: Київ, Україна
Пункты репутации: 0

Сообщение -=NV=- » Пт ноя 17, 2006 6:34 am

Что это и как лечить? мне тож похожая хрень приходила. поставил точку, проверил антивирусником, сделал снимок реестра и прогнал адинф. запустил. покрутилось оно в процессах и закрылось.
реестр не изменился на диске тож изменений 0. видать левый вирус. на всякий случай систему откатил.

для начала фаервол не помешал бы
потом можно откатить систему или сделать репаир с установочного диска.
по поводу автозапуска - пользуюсь плагинами к ТС startup guard и services по процессам - Ace helper - очень удобно все видно.
<!--coloro:#3333FF--><span style="color:#3333FF"><!--/coloro-->Однажды окунувшись в мир виртуальной реальности, ты можешь навсегда остаться в Глубине, в блистательном городе Диптауне, где люди обретают свободу, или, хотя бы видимость свободы.<!--colorc--></span><!--/colorc--> <a href="http://www.google.com.ua/search?hl=ru&q=%D0%BB%D0%B0%D0%B1%D0%B8%D1%80%D0%B8%D0%BD%D1%82+%D0%BE%D1%82%D1%80%D0%B0%D0%B6%D0%B5%D0%BD%D0%B8%D0%B9&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA&meta=" target="_blank">Лабиринт Отражений</a> Сергей Лукьяненко
-=NV=-
Подполковник
 
Сообщений: 949
Зарегистрирован: Ср дек 08, 2004 1:11 pm
Откуда: Deeptown
Пункты репутации: 0

Сообщение Terrogen » Пт ноя 17, 2006 7:10 am

<!--QuoteBegin-"Модер"+--><div class='quotetop'>Цитата("Модер")</div><div class='quotemain'><!--QuoteEBegin-->
Ты специально чтоль выложил прямую ссылку на файл, чтоб кто-то скачал?<!--QuoteEnd--></div><!--QuoteEEnd-->
удален уже файлик :(
<a href="http://terrogen.livejournal.com/" target="_blank">ЖЖ - Вестник научного похуизма</a>
Terrogen
Маршал
 
Сообщений: 5347
Зарегистрирован: Пт июл 09, 2004 8:17 pm
Откуда: Riga
Пункты репутации: 0

Сообщение Sh0Ck_filE » Пт ноя 17, 2006 7:26 am

Дочитав до ссылки, подумал что реклама...
А чо - порекламировать порновирус, обозвав его предельно странным порновирусом, который незнамо как лечить... Пиар, ёпт.
Интересно, под wine запустится? Выложите кто-нибудь, я тоже хочу поддаться!
<!--coloro:red--><span style="color:red"><!--/coloro-->"Для того чтобы быть человеком, надо им какое-то время не быть."<!--colorc--></span><!--/colorc--> ©<a href="http://zhurnal.lib.ru/b/brigadir_j_a/" target="_blank">Ю. А. Бригадир.</a>
<a href="http://counter.li.org/cgi-bin/runscript/display-person.cgi?user=437143" target="_blank">Registered Linux user #437143</a>.
Sh0Ck_filE
Генерал-лейтенант
 
Сообщений: 3474
Зарегистрирован: Пн апр 21, 2003 6:20 pm
Откуда: СССР
Пункты репутации: 0

Сообщение LU » Пт ноя 17, 2006 8:25 am

Terrogen писал(а):удален уже файлик :(

рыдаль -))))
Храни меня, Господь, от тех, кому я верю.
Кому не верю - тех остерегусь я сам. © Ж. Санд
Изображение
Компьютерный гений в первую очередь творческая личность и только потом пьяная скотина.
LU
Полковник
 
Сообщений: 1424
Зарегистрирован: Пт янв 31, 2003 12:11 am
Откуда: Владивосток
Пункты репутации: 0

Сообщение eDio » Сб ноя 18, 2006 12:20 am

-=NV=-
Тоже пользуюсь этими плагинами :)

2Модератор
А линк прямой дал, чтоб понятней было, вдруг кому-то то же приходило, и человек знает, как лечить. Да и не в скачке дело, а в том, чтоб запустить (что я по дурости и сделал :) ). Но сорри, если че.


Вирус - троян, походу. Изменений в WINLOGON.EXE (именно он - парэнт процесс) нет - такой, как надо. Я думаю, что вирус где-то себя "надстроил" в сервисах, если это возможно (вот в этом я не шарю вообще).
Бутался в безопасном режиме, но т.к. IEXPLORE.EXE запускается WINLOGON.EXE, то и в безопасном - запустился. Вот только он в единицу времени много раз завершался сам и запускал себя снова - видимо нужный сервис был стопнут, какая-то дллка не подгружена.

В итоге зашел с доса и убил IEXPLORE.EXE, все-равно браузер - отстой и пользуюсь лисом :) Больше ничего не запускалось.

И если -=NV=- говорит, изменений - ноль, буду надеятся, что так и есть.
А все-равно интересно, что это было. Сиптомы всех известных мне вирусов с IEXPLORE.EXE (знаю их правда 2, но лично :) ) не проявились. Так что если кто узнает, что это и как лечить (на будущее), отпишитесь, плиз.
<!--coloro:#CCCCCC--><span style="color:#CCCCCC"><!--/coloro--><!--sizeo:1--><span style="font-size:8pt;line-height:100%"><!--/sizeo-->Core 2 Duo E6550 // ASUS P5K // 2GB PC6400 in Dual-channel mode // XpertVision GeForce 8600GT // Samsung 160GB // ESI Juli@<!--sizec--></span><!--/sizec--><!--colorc--></span><!--/colorc-->
eDio
Майор
 
Сообщений: 427
Зарегистрирован: Вс апр 09, 2006 9:37 pm
Откуда: Київ, Україна
Пункты репутации: 0

Сообщение -=NV=- » Сб ноя 18, 2006 11:57 am

eDio,
<!--quoteo--><div class='quotetop'>Цитата</div><div class='quotemain'><!--quotec-->И если -=NV=- говорит, изменений - ноль, буду надеятся, что так и есть. <!--QuoteEnd--></div><!--QuoteEEnd-->
я говорил про то, что мне приходило :) ссылка немного другая была.
<!--coloro:#3333FF--><span style="color:#3333FF"><!--/coloro-->Однажды окунувшись в мир виртуальной реальности, ты можешь навсегда остаться в Глубине, в блистательном городе Диптауне, где люди обретают свободу, или, хотя бы видимость свободы.<!--colorc--></span><!--/colorc--> <a href="http://www.google.com.ua/search?hl=ru&q=%D0%BB%D0%B0%D0%B1%D0%B8%D1%80%D0%B8%D0%BD%D1%82+%D0%BE%D1%82%D1%80%D0%B0%D0%B6%D0%B5%D0%BD%D0%B8%D0%B9&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA&meta=" target="_blank">Лабиринт Отражений</a> Сергей Лукьяненко
-=NV=-
Подполковник
 
Сообщений: 949
Зарегистрирован: Ср дек 08, 2004 1:11 pm
Откуда: Deeptown
Пункты репутации: 0

Сообщение eDio » Пн ноя 20, 2006 10:34 am

Новый поворот в борьбе с вирусом...

После удаления IEXPLORE.EXE, заметил, что на диске начали появляться файлы с именами, типа csrss.exe но не там где надо, или Partitionsmagic 10 beta.exe, Britney Spears Porno.jpg.exe и т.д. по всем каталогам, чаще редко посещаемым.
Файлы появлялись только на двух дисках - системном и том, где был запущен mobile.exe.
Расширения создаваемых файлов: exe scr pif
Ясно, что ничего общего с настоящими exe scr pif созданные файлы не имели.
Первые 14 байтов в созданный файлах - это всегда строка MZKERNEL32.DLL. Размер же и вся остальная часть могли отличаться.
Дллку MZKERNEL32.DLL в системме не нашел.

Решил не париться - переставил системму. Пока еще поиск этих самых файлов не проводил - нет времени.
<!--coloro:#CCCCCC--><span style="color:#CCCCCC"><!--/coloro--><!--sizeo:1--><span style="font-size:8pt;line-height:100%"><!--/sizeo-->Core 2 Duo E6550 // ASUS P5K // 2GB PC6400 in Dual-channel mode // XpertVision GeForce 8600GT // Samsung 160GB // ESI Juli@<!--sizec--></span><!--/sizec--><!--colorc--></span><!--/colorc-->
eDio
Майор
 
Сообщений: 427
Зарегистрирован: Вс апр 09, 2006 9:37 pm
Откуда: Київ, Україна
Пункты репутации: 0

Сообщение -=NV=- » Пн ноя 20, 2006 5:08 pm

eDio, старый добрый адинф подкинуть?
<!--coloro:#3333FF--><span style="color:#3333FF"><!--/coloro-->Однажды окунувшись в мир виртуальной реальности, ты можешь навсегда остаться в Глубине, в блистательном городе Диптауне, где люди обретают свободу, или, хотя бы видимость свободы.<!--colorc--></span><!--/colorc--> <a href="http://www.google.com.ua/search?hl=ru&q=%D0%BB%D0%B0%D0%B1%D0%B8%D1%80%D0%B8%D0%BD%D1%82+%D0%BE%D1%82%D1%80%D0%B0%D0%B6%D0%B5%D0%BD%D0%B8%D0%B9&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA&meta=" target="_blank">Лабиринт Отражений</a> Сергей Лукьяненко
-=NV=-
Подполковник
 
Сообщений: 949
Зарегистрирован: Ср дек 08, 2004 1:11 pm
Откуда: Deeptown
Пункты репутации: 0

Сообщение eDio » Вт ноя 21, 2006 12:34 am

<!--quoteo--><div class='quotetop'>Цитата</div><div class='quotemain'><!--quotec-->eDio, старый добрый адинф подкинуть?<!--QuoteEnd--></div><!--QuoteEEnd-->
ммм... А это что? :-[ Название знакомое, в голове крутится, но не уверен :)

Да, провел поиск файлов - нет больше таких у меня в системме =) . Кста, затупил я. Дллку надо было искать не MZKERNEL32.DLL, а KERNEL32.DLL (такая уж точно есть). MZ - это начало любого экзешника :)

Но, блин, последний апдейт на симантек не увидел ничего... Странно даже, я был склонен доверять этому антивирю
<!--coloro:#CCCCCC--><span style="color:#CCCCCC"><!--/coloro--><!--sizeo:1--><span style="font-size:8pt;line-height:100%"><!--/sizeo-->Core 2 Duo E6550 // ASUS P5K // 2GB PC6400 in Dual-channel mode // XpertVision GeForce 8600GT // Samsung 160GB // ESI Juli@<!--sizec--></span><!--/sizec--><!--colorc--></span><!--/colorc-->
eDio
Майор
 
Сообщений: 427
Зарегистрирован: Вс апр 09, 2006 9:37 pm
Откуда: Київ, Україна
Пункты репутации: 0

Сообщение eDio » Вт ноя 21, 2006 12:50 am

Да, кста, если кому интересно (крэйзеры, однозначно :) )... Вирус доступен по тому-же адресу, но название файла другое :) Какое, правда не знаю. Просто от того же знакомого другим людям ссылки приходят еще :D но имя файла там другое. Последнее чего-то там с Anime связано было. Сам в асю не выхожу пока, потому точно и не знаю. Да и не интересно мне это после всего :)
<!--coloro:#CCCCCC--><span style="color:#CCCCCC"><!--/coloro--><!--sizeo:1--><span style="font-size:8pt;line-height:100%"><!--/sizeo-->Core 2 Duo E6550 // ASUS P5K // 2GB PC6400 in Dual-channel mode // XpertVision GeForce 8600GT // Samsung 160GB // ESI Juli@<!--sizec--></span><!--/sizec--><!--colorc--></span><!--/colorc-->
eDio
Майор
 
Сообщений: 427
Зарегистрирован: Вс апр 09, 2006 9:37 pm
Откуда: Київ, Україна
Пункты репутации: 0

Сообщение maxovt » Вт ноя 21, 2006 5:59 am

eDio писал(а):Вирус доступен по тому-же адресу, но название файла другое :) Какое, правда не знаю. Просто от того же знакомого другим людям ссылки приходят еще :D но имя файла там другое. Последнее чего-то там с Anime связано было.
Поделитесь ссылкой! :ph34r: :lol: B)

eDio, я бы на твоем месте давно бы системный диск грохнул и переставил винду. Чего его разводить? Все равно ни хентая, ни обещанной Бритни Спирс не покажет, а только дразниться будет. :P
<span style='color:green'>Kawaii nante sonna koto iccha dame desu!</span>
maxovt
Маршал
 
Сообщений: 7030
Зарегистрирован: Вт июн 03, 2003 2:16 pm
Откуда: Latvija, Rīga
Пункты репутации: 5

Сообщение -=NV=- » Вт ноя 21, 2006 6:31 am

eDio писал(а):KERNEL32.DLL

eDio писал(а):ммм... А это что? :-[ Название знакомое, в голове крутится, но не уверен

Ревизор дисков. сканит диски, создает базы данных. потом по интервалу сканит, сравнивает базы и выдает что у тебя поменялось, что добавилось, что удалилось. под ДОСом и первыми виндами - работало неплохо, а щас конечно сложновато, когда дистрибутивы бывают разворачиваются на 5-8 гиг и количество файлов 200-300+
(проверять задалбываешься)
<!--coloro:#3333FF--><span style="color:#3333FF"><!--/coloro-->Однажды окунувшись в мир виртуальной реальности, ты можешь навсегда остаться в Глубине, в блистательном городе Диптауне, где люди обретают свободу, или, хотя бы видимость свободы.<!--colorc--></span><!--/colorc--> <a href="http://www.google.com.ua/search?hl=ru&q=%D0%BB%D0%B0%D0%B1%D0%B8%D1%80%D0%B8%D0%BD%D1%82+%D0%BE%D1%82%D1%80%D0%B0%D0%B6%D0%B5%D0%BD%D0%B8%D0%B9&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA&meta=" target="_blank">Лабиринт Отражений</a> Сергей Лукьяненко
-=NV=-
Подполковник
 
Сообщений: 949
Зарегистрирован: Ср дек 08, 2004 1:11 pm
Откуда: Deeptown
Пункты репутации: 0

Сообщение Terrogen » Вт ноя 21, 2006 7:10 am

maxovt писал(а):Все равно ни хентая, ни обещанной Бритни Спирс не покажет

А!!!! Бритни!!!! Она жжОт!!! Особенно в виде экзешника :)))
<a href="http://terrogen.livejournal.com/" target="_blank">ЖЖ - Вестник научного похуизма</a>
Terrogen
Маршал
 
Сообщений: 5347
Зарегистрирован: Пт июл 09, 2004 8:17 pm
Откуда: Riga
Пункты репутации: 0

Сообщение eDio » Вт ноя 21, 2006 2:31 pm

<!--quoteo--><div class='quotetop'>Цитата</div><div class='quotemain'><!--quotec-->eDio, я бы на твоем месте давно бы системный диск грохнул и переставил винду.<!--QuoteEnd--></div><!--QuoteEEnd-->
Так и сделал.

Кста, вот краткий список имен файлов (так для себя, чисто поржать :) ) :

Britney Spears cumshot.jpg.exe
lsass.exe
smss.exe
Serials edition.txt.exe
Arnold Schwarzenegger.jpg.exe
Microsoft Office 2003 Crack best.exe
Gimp 1.8 Full with Key.exe
Learn Programming 2004.doc.exe
Opera 11 free.exe
Cloning.doc.exe
Osama Bin Laden.jpg.exe
Ringtones.mp3.exe
Keygen 4 all new.exe
Windows Vista Sourcecode.doc.exe
How to hack new.doc.exe
Keygen 4 all new.exe
Dictionary English 2004 - France.doc.exe
Harry Potter 5.mpg.exe
Taliban.exe
Partitionsmagic 10 beta.exe
Matrix 3 .mpg.exe
anthrax.doc.pif
WinAmp 13 full with sources.pif
Teen Porn 15.jpg.pif
Nostradamus.doc.pif
Clone DVD 6.pif
Internet Explorer 9 setup.pif
Britney Spears full album.mp3.pif
Harry Potter 1-6 book.txt.pif
Dark Angels new.pif
Ulead Keygen 2004.pif
Star Office 9.scr
Gimp 1.8 Full with Key.scr
Windows 2003 crack.scr
ACDSee 10 full.scr
Magix Video Deluxe 5 beta.scr
The Sims 4 beta.scr
Eminem full album.mp3.scr
Eminem Spears porn.jpg .scr - вообще бомба
<!--coloro:#CCCCCC--><span style="color:#CCCCCC"><!--/coloro--><!--sizeo:1--><span style="font-size:8pt;line-height:100%"><!--/sizeo-->Core 2 Duo E6550 // ASUS P5K // 2GB PC6400 in Dual-channel mode // XpertVision GeForce 8600GT // Samsung 160GB // ESI Juli@<!--sizec--></span><!--/sizec--><!--colorc--></span><!--/colorc-->
eDio
Майор
 
Сообщений: 427
Зарегистрирован: Вс апр 09, 2006 9:37 pm
Откуда: Київ, Україна
Пункты репутации: 0

След.

Вернуться в Dos & Windows

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 3

cron