Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Защита компьютерных систем (http://forum.oszone.net/forumdisplay.php?f=20)
-   -   Кто такой Libsysmgr.exe? (http://forum.oszone.net/showthread.php?t=45456)

Murder7 15-02-2005 22:13 298651
Кто такой Libsysmgr.exe?
 
Завёлся дружок на компе Libsysmgr.exe. Инициализирует огромный исходящий траффик(когда в инете), закрывает regedit, msconfig, KAV, инсталлятор DrWeb, ZA. Больше ничего не замечено. В безопасно режиме такого нет. В нём установил зоналарм, доктор вебер. Антивирус ничего не нашёл, а зоналарм при блокировке позывов в инет этого друга снимает проблему исходящего трафика. Опознайте чудо и как с ним эффективней бороться?

Oaxa 16-02-2005 01:01 298693
Вирус, как вирус. :upside:

Здесь полное описание и методы борьбы.

Greyman 16-02-2005 13:53 298824
Murder7
Для подобных случаев, я таки повесил объявление в ИБ по on-line проверке файлов на вирусы.

Murder7 16-02-2005 14:08 298830
Сегодня он вообще блокировал траффик. Вобщем грохнул я этот файл в безопасном режиме. И немного из реестра выкинул, но меня насторожила строк NT Loggin sevice.

Murder7 16-02-2005 14:10 298831
А ссылка дохлая, но по ней я понял, что вирус этот - w32.donk.s

Oaxa 16-02-2005 14:24 298833
Murder7
Цитата:
А ссылка дохлая
Сcылка живая.
Кратко процитирую:
W32.Donk.S is a network-aware worm that propagates through open network shares and allows a remote attacker to have unauthorized access to the infected computer through a backdoor. The worm also attempts to spread by exploiting several system vulnerabilities
...
Once W32.Donk.S is executed, it performs the following actions:
...
Prevents access to several security related Web sites by modifying the hosts file in %System%\drivers\etc and adding the following lines:
...
127.0.0.1 customer.symantec.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 updates.symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 www.nai.com
127.0.0.1 nai.com
127.0.0.1 secure.nai.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 my-etrust.com
127.0.0.1 mast.mcafee.com
127.0.0.1 ca.com
127.0.0.1 www.ca.com
127.0.0.1 networkassociates.com
127.0.0.1 www.networkassociates.com
127.0.0.1 avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 kaspersky.com
127.0.0.1 www.f-secure.com
127.0.0.1 f-secure.com
127.0.0.1 viruslist.com
127.0.0.1 www.viruslist.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mcafee.com
127.0.0.1 www.mcafee.com
127.0.0.1 sophos.com
127.0.0.1 www.sophos.com
127.0.0.1 symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 www.symantec.com

Greyman 16-02-2005 17:18 298902
Murder7
Цитата:
но меня насторожила строк NT Loggin sevice
Гы... На заборе тоже написано. Если в информации о версии такого подозрительного файла буде написано "Windows NT BASE API Client DLL by Microsoft Corporation" (АКА kernel32.dll) ты тоже просто так поверишь? Для этого и существует проверка на вредоносное ПО (в том числе вирусы и шпионы).
Цитата:
Цитата Oaxa
Сcылка живая.
Подтверждаю. Ну а причину того, что она у тебя не работала Oaxa тебе уже указал (про "hosts")...

Murder7 16-02-2005 17:47 298914
Цитата:
На заборе тоже написано
Не я в курсе про то что вирусы так маскируются, сам лог кейлоггера у другана за драйвер клавиатуры выдавал, но рисковать не хотелось.
Я только имя файла не нашёл, который убрать нужно. На ссылку до сих пор не заходит. Сейчас реестр от остатков вычищу, попробую. На касперского пускает. В инет пока левый никто не ломится.

Murder7 16-02-2005 19:51 298955
Вроде бы всё: были Trojan.Dyfuca/ Trojan-Spy.Win32.Qukart/ Trojan-Downloader.Win32.ISTBar/ Net-Worm.Win32.Padobot/ Trojan.Win32.Qhost
Откуда подцепил - с кряк сайтов и от знакомого (с винчем приходил).
По первому линку получил доп. сведения по очистке от вирька. Буду искать описания других.

Murder7 17-02-2005 14:50 299257
Цитата:
Trojan-Spy.Win32.Qukart
Осталась часть этого виря. АВП сканер ничего не находит, а монитор находит заражённый файл Hfcogmqi.exe в System32, но на самом деле его не существует. Базы для АВП сотят вчерашние (16-фев-2005), но это не помогает. Монитор пишет об ошибке лечения. Что делать?

Murder7 17-02-2005 14:59 299259
Это мне поможет? http://securityresponse.symantec.com....berbew.p.html

Greyman 17-02-2005 16:57 299288
Murder7
Цитата:
Что делать?
А проверить винт, подключив его к другой чистой машине с установленным антивирусом и всежими базами, возможности нет? ИМХО это оптимальный вариант. Можно еще загрузиться с чистого носителя (дискета, компакт, флешка), но при этом необходимо иметь антивирус, работающий в DOS-режимеи возможно с защищенного от записи насителя (АКА компакт диск). Однако минус готовых решений - определенная "старость" имеющихся баз. А делать подобный носитель имея зараженную систему - "мертвому припарки".
Ну а как вариант - максимум почистить ручками все подозрительное автозагружаемое (включая службы), как вариант - вообще временно отключить все, что не нужно для обязательной работы машины. Потом снести антивирус (начисто, включая из реестра) и поставить заново (в идеале - другой, хотя бы временно).

Murder7 17-02-2005 20:46 299378
Цитата:
и всежими базами, возможности нет?
Базы вчерашние, возможности нет, т.к винт опломбирован по гарантии.
Цитата:
максимум почистить ручками все подозрительное автозагружаемое (включая службы)
Нашёл я всё-таки этот Hfcogmqi.exe и из дос гронул, да ещё по линку ветки реестра вычистил.
Однако остаётся последнее, ранее мной не замеченное. Есть ли служба у вас в процессах WDFMGR. В реестре есть в 4 местах, пишет что: Включение драйверов пользовательского режима Windows. Windows User Mode Driver Framework. C:\WINDOWS\System32\wdfmgr.exe
Сидит в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UMWdf


Время: 16:56.

Время: 16:56.
© OSzone.net 2001-