Поиск  Правила 
Страницы: 1
Вирус MSLSRV32.EXE, Ответ тем ,которые не признают антивирусов.
 
#1
25.10.2009 18:10:21
В теме Windows - НЕ УСТАНАВЛИВАЕЦА!!!
http://www.winline.ru/forum/forum1/topic3607/messages/
сообщение IVIyTaHT начинается с фраз- Памагите! Очень прошу!.
Я не сторонник антивирусов.
Такую (последнюю) фразу можно включить в подтекст многих тем,создавемых на подобную тему.
Удивляет пренебрежение установкой защиты на компьютер.
Встречаются на форуме утверждения ,что Win7 не нуждается в антивирусе.
Многие пользователи Mac_ов заявляют , что их компьютеры вирусы не могут заражать.
Может быть я отстал от жизни , но думаю что , если системы финансовых банков и даже сам Пентагон иногда оказазываетя жертвой проделок хакеров , то нужно немного бояться (в меру) за свои системы
и не очень ценные данные.
Конечно компютеры простых пользователей им не интересны.
Но сколько еще начинающих хакеров,которые набирают практику в этом подлом деле на наших
компьютерах.
Хочу привести совсем свежий пример из своей практики.

Все началось с того ,что Firewall Pro Comodo запросил "подключать к интернету программу mslsrv32.exe . "Получил ответ "нет".
Посмотрел в автозагрузке, такая программа есть.Выгрузил.
В поиске узнал ,что это вирус.

Не буду перечислять все его своства.
Приведу основные:
Если верить сообщениям сайта
http://www.prevx.com
страница
http://www.prevx.com/filenames/1959374759409088068-X1/MSLSRV32.EXE.html
Страница переведена Arsenal Socrat Internet Basic v3.0 .
Читает адрес электронной почты и телефонные книжные детали
Использования DNS, чтобы восстановить IP адрес для вебсайтов
Найденный на зараженных(инфицированных) системах и сопротивляется допросу изделиями безопасности
Изменяет Политику Времени выполнения Системы ограничить применимость системы
Добавляет Ключ Регистрации(Регистратуры) (УПРАВЛЯЕМЫЙ) к авто началу Программы на системе запуск
Этот процесс создает другие процессы на диске
Выполняет Процесс
Может связаться с другими компьютерами, используя TCP протоколы
Использования rootkit методы, чтобы скрыть его присутствие, допрос или удаление
Использования функции, чтобы скрыть себя от пользователя и от процессов системы безопасности .
Файл нашел в C:\Windows.
Антиаирус не реагировал на его присутсвие.
Переименовал , сохранил.
Попробовал удалить вручную и произвести поиск всего ,что связано с mslsrv32.exe .
Почистил реестр.Обнаружил что mslsrv32.exe присутсвует в ключе в сочетании с 77.scr в форме
77.scr*...mslsrv32.exe.Нашел и удалил в system32 файлы "две цифры .scr".
Как раз такие файлы находил анивирус и удалял их.
Возможно вырус присутствовал с неделю.Вирусы вида 77.scr появлялись
регулярно.Возможно проник,когда не был установлен Comodo или пропустил запрос на
разрешение выхода в интернет.
Наблюдалось замедление скачивания файлов , иногда терялась управляемость и все зависало.
После перезагрузки восстанавливалось.
Практически благодяря принятым мной мерам нормальная работа восстановилась.
Позже после обновления Avast_a вирус был определен и приняты меры по его обезвреживанию.
Подбросил ему в отдельном каталоге восстановленный вирус.
Вот такая история.
Сейчас пока! все спокойно.
Изменено: palazh - 25.10.2009 18:12:46
 
 
 
#2
06.11.2009 11:44:16
Итак непрошенный гость снова пришел. Да это он - mslsrv32.exe.
Те же проявления.Comodo опять проявил бдительность.
Несмотря на то,что в реестре его следы только указывали на присутствие в c:\ Windows, на этот раз после удаления он неизвестным образом загружался в память , прописывался в автозагрузке и настойчиво просился в интернет.
Пришлось хорошенько все чистить вокруг и переустанавливать XP.
Не помогло.
И все же я его (точнее их) вычислил.
При отключенном интернете активность не прекращалась.
Она прекрасно отображалась в Comodo ->Активность->Журнал
А еще пригодилась утилита hunter.exe - Монитор сети (WinNT).
Она отображает IP компьютера,который пытается обратиться напрямую к моему компьютеру, и
кроме того можно этого любопытствующего отключить.
Почти каждый раз при этом Avast сообщает об обнаружении вируса,нет не mslsrv32.exe,
а разные типа 46.scr и другие.
После таких нескольких обращений в c:\windows и появляется mslsrv32.exe.
Также происходит запись в автозагрузку.
И тут же Comodo спрашивает о допуске mslsrv32.exe в интернет.
Сначала пыталса заблокировать в Comodo IP,какие фиксировал Монитор сети .
Но их оказалось больше десятка и появлялись все новые.
Пришлось заблокировать весь диапазон,кроме своего.
Конечно эта мера временная.
Не знаю , когда администрация наведет порядок.
Вот такое продолжение , и не знаю,будет еще -новое.
Изменено: palazh - 06.11.2009 12:23:33
 
 
 
#3
24.03.2011 07:41:01
Итак с большшой паузой мое новое сообщение на ту же тему,точнее на тему "Памагите! Очень прошу!.
Я не сторонник антивирусов. " Смотрите [url=http://www.winline.ru/forum/forum1/topic3607/messages/]Здесь.[/url]
Сначала три картинки,полученные вчера.
Как понятно из них , все они поступают с одинакового адреса http://winrdefender.net/.
Рисунок ,который сейчас на первом месте-это появление первого сообщения трояна на фоне страницы сайта.
Первая - как бы предупреждение от IE.
Вторая - кадр обычного видеоклипа , имитурующего проверку компьютера.
Третья - как бы показывает результат сканирования и демонстрирует "доброту и заботу" о пользователе.Только сообщите номер своего мобильного телефона и получите сверхмощное средство для защиты от вирусов.
Сначала я просто выключал компьютер,предполагая , что дальше последует запись вымогателя , как это уже было не раз и далее потеря на некоторое время доступа к интернету.Но при повторном появлении заинтересовался,что же будет дальше.
И был вознагражден за свое любопытство.Догадался сам запускать это "чудо человеческого разума" по ссылке , и каждый раз это повторялось (особенно мне понравился видеоклип) ,но теперь по моей инициативе.Проверил это перегрузившись на win 7.Там все также.
Видно запуск без участия самого жулика,насторожил его и он перестал появляться и сегодня - молчок.
Попробую на всякий случай.Загружается поисковик Google и все.

Конечно,здесь никакого вируса нет.Просто очередной обман , использующий страх перед вирусами.
Наверное я немного погорячился,поспешив поместить это сообщение на этой странице.
Если модератор найдет нужным , можно поместить отдельной темой с заголовком "Как нас внаглую дурят".
Изменено: palazh - 25.03.2011 07:10:52
 
 
 
#4
24.03.2011 09:32:17
Извиняюсь за ошибку .Второй рисунок должен быть таким.
Изменено: palazh - 25.03.2011 07:12:50
 
 
 
#5
24.03.2011 14:19:32
Однако!
Сегодня после обеда ,видно со свежими силами появился вчерашний "благодетель".
После сканирования сразу двумя антивирусами DrWeb Cureit , Avast_oм последний обнаружил в
кеше Google Chrome
c:\Documents and Settings\genadi\Local Settings\Application Data\Google\Chrome\User Data\Default\Cache\ файл
f_00018d размером 1.113.179 b-который оказался Win32-Fakelnst-T(Trj).После помещения его в карантин чудеса прекратились.
Следует ожидать появления нового троянца?
 
 
 
#6
26.03.2011 21:54:11
Что-то стало боязно выходить в Интернет.
Предлагают заключить соглашение,те кто вчера наглейшим образом запускали клип с имитацией проверки компьютера на вирусы.Заметьте все тот же WINUDEFENDER.NET.
А другие предлагают обновить Google Chrome. И сообщи для активации обязательно "РЕАЛНЫЙ НОМЕР МОБИЛЬНОГО ТЕЛЕФОНА".
 
 
 
#7
27.03.2011 00:02:27
Не хотите свой блог у нас завести?
 
 
 
#8
27.03.2011 07:22:02
Цитата
NoSmoke пишет:
Не хотите свой блог у нас завести?
Спасибо за предложение.
Я понимаю,что сейчас это стало модным.Мне кажемся в моем возрасте быть модным не совсем прилично.
А потом , зачем мне это нужно?
Меня устраивает давать сообщения с советами,кому это нужно или иногда выразить свое мнение.
В данном случае меня возмущает наглый обман,на который некоторые пользователи попадаются.
К примеру
[url=http://www2.amit.ru/forum/index.php?action=vthread&forum=4&topic=63654]вот здесь[/url]
Я щелкнул ради того же интереса и увидел видеоклип,имитирующий установку. (Проверка и пакеты собраны).


А вот еще благодетели-сэкономьте 600р.
Изменено: palazh - 27.03.2011 07:44:21
 
 
 
#9
27.03.2011 07:35:09
В свое время я услышал (лет 5 назад) , как известный режиссер Роман Виктюк сказал,что Интернет - это помойка.
Кажется мы уже приблизились к этому.
 
 
 
#10
27.03.2011 07:56:08
Цитата
palazh пишет:
Что-то стало боязно выходить в Интернет.
Волков боятся - в лес не ходить :) Раздражают эти окна - да, но бояться то зачем? Тем более, человеку с опытом. Закрыть дорогу окнам и забыть, а как это сделать, пользователям-новичкам подскажут Яндекс и Гугл.
 
 
 
#11
27.03.2011 09:49:11
Цитата
Анатолий пишет:
Закрыть дорогу окнам
Закрыть навряд удастся все,наглецы при закрытых дверях и окнах научились пролазить.А потом есть еще и маскировка под хороших людей , и не всегда чутье подскажет,что перед тобой жулик.
А меня еще,кроме того одолевает любопытсво,смотришь что-то новенькое увидишь и веселее становится жить.
Изменено: palazh - 27.03.2011 09:52:07
 
 
 
#12
27.03.2011 11:19:40
Цитата
palazh пишет:
Закрыть навряд удастся все,наглецы при закрытых дверях и окнах научились пролазить
Раньше я пользоваля браузером SeaMonkey. Для этого браузера среди прочих расширений можно было установить блокировщик баннеров и со всплващими окнами проблем не было. Браузеры у всех разные, единого рецепта не дать. Совсем недавно я перешёл на Opera. Пока в настройках нового браузера ничего не менял, при появлении всплывающх окон жму Alt+F4 и не вникаю, что там за окно приплыло. Коль зашла речь, зашёл в настройки - поставил "Не принимать". Поглядим насколько эффективно.
Меня больше достаёт реклама на телевидении, особенно бездарное пение в рекламе. Пульт не всегда под рукой, а порою звук хочется вырубить немедленно. Alt+F4 - всегда под рукой :)
Изменено: Анатолий - 27.03.2011 11:20:20
 
 
 
#13
30.03.2011 07:00:32
Несколько дней ни одного всплывающего окна. Блокировка всплывающих окон в Opera, тоже работает на 5 баллов :good:
Вообще, мне этот браузер понравился, пока не вижу минусов. Как это обычно бывает - не сразу привык, но в двух словах - очень удобен, шустрый.
 
 
 
Страницы: 1
Читают тему (гостей: 1)