Через меня идет спам-трафик.

[Аксель]

Добрый день.

Эту тему я уже поднимал на avast.ru, но ребята не смогли мне помочь.

Windows XP SP2 (build 2002)
Avast 4.7 Home (4.7.1001)
VPS 000757-2
Firewall - сейчас Комодо (на момент обнаружения проблемы не было ничего)

Повторюсь: "Три дня назад обратил внимание на значек АвастМейлСканера в трее, он усиленно проверял исходящую почту. Почту я не отправлял и это было подозрительно. Посмотрел в лог и - мама-мия!!! Тонны спама!

Были запущены Аваст и АВЗ - результат нулевой."

Спам уходит в виде пакетов ICMP Type:3 Code:3

Также при каждом соединении svchost желает отправить UDP пакет для: 239.255.255.250::upnp-mcast(1900)

Рассылка спама происходит не при каждом соединении, а по получении неких управляющих пакетов.

Через несколько минут приделаю логи.

................. готово.

[Numb]

Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\Parport.SYS','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\OAARXRUC.exe','');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\OAARXRUC.exe');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Система будет перезагружена. После перезагрузки, содержимое карантина AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=11110 , как написано в прил.3 правил , и сделайте новые логи, начиная с п. 10 правил. Попутно вопросы: видны симантек и аваст - кто из них живой?

[Аксель]

От Симантека потроха SystemWorks (СпидДиск, ВинДоктор).
SymAntiVirus не ставил, т.е. живет только Аваст.

Добавлено через 15 минут

:\DOCUME~1\9335~1\LOCALS~1\Temp\OAARXRUC.exe')

Я на 100% уверен, что этот файл появился сегодня, после запуска утилит с Sysinternals. Вряд ли он имеет отношение к существующей проблеме...

Еще, вопрос: Второй раз скрипты можно выполнять не выгружая Антивирус и Файервол?

[Numb]

Можно, но лучше выгрузить - логи получаются меньше, их легче читать. Карантин дошел. OAARXRUC.exe оказался от rootkit revealer-а от sysinternals - ваша правда Тогда просьба: дополнительно к логу исследования системы и логу hijackthis, сделайте логи, которые описаны здесь - http://virusinfo.info/showthread.php?t=10387 В безопасном режиме при этом перезагружаться необязательно.

[Аксель]

Получите.

[Макcим]

Выполните скрипт в AVZ

Код:

begin
 QuarantineFile('C:\WINDOWS\system32\ctfmon.exe','');
end.

"Пофиксите" в HijackThis

Код:

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

Пришлите файлы карантина по правилам раздела "Помогите". Сделайте логи с запущенным Internet Explorer. Какой почтовой программой пользуетесь?

[Аксель]

Какой почтовой программой пользуетесь?

GMail.com

Сделал все, как вы сказали. АнтиВирус и Файрвол отключены, запущен Макстон. (Да, еще "висел" ПроцессЭксплорер).

Странно... Вот уже добрых 4 часа никакого исходящего трафика! Мистика!

[Макcим]

GMail.com

У них есть фирменная программа?

[Аксель]

У них есть фирменная программа?

Нет. Я имел в виду, что пользуюсь он-лайн сервисом.

[Макcим]

Я имел в виду, что пользуюсь он-лайн сервисом.

Как-то не состыковывается с

Повторюсь: "Три дня назад обратил внимание на значек АвастМейлСканера в трее, он усиленно проверял исходящую почту. Почту я не отправлял и это было подозрительно. Посмотрел в лог и - мама-мия!!! Тонны спама!

Кто тогда спам отправлял?

[pig]

Спамботу клиенты не нужны. А вот как АвастМейлСканер проверяет трафик web-сайта GMail.com - это большой секрет той маленькой компании.

[Макcим]

Спамботу клиенты не нужны. А вот как АвастМейлСканер проверяет трафик web-сайта GMail.com - это большой секрет той маленькой компании.

Намекаете на проверку SSL? Спамбот мог отправлять через любой другой ящик.

[Аксель]

Точно не я. Бот наверное...

Поясню:

Периодически, при подключении к интернету, включается сканер почты Аваста.

Всплывающее информационное окошко показывает почтовые пакеты, уходящие по разным адресам (от А до Z), с заголовками призывающими купить средства для увеличения [BLOCKED] (в основном) или Виагру.

Резко падает скорость соединения и исходящий трафик увеличивеатся вдвое по сравнению с входящим.

[Макcим]

Поаккуратней с терминологией. Форум могут читать дети.

[Аксель]

Ok.

[Макcим]

Присланный файл чистый. Можно считать проблему решенной?

[Numb]

Не решена проблема - похоже, видно заразу Пожалуйста, сделайте следующее: на время выполнения скрипта, отключитесь от сети, отключите монитор avast!-а и восстановление системы. Далее: программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:

Код:

begin
Clearquarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\drivers\runtime2.sys','');
 QuarantineFile('\??\C:\WINDOWS\System32\drivers\runtime2.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки, пришлите содержимое карантина, как написано в прил. 3 правил. После сервиса от sysinternals боюсь удалять сразу, но на 90% это тот зверь , который и предлагает удлиннить *censored* . Вдобавок, еще вопрос: на машине были когда-нибудь установлены какие нибудь программы от Citrix Systems ?

[Аксель]

Отправил.

Но мне кажется, что при выполнении скрипта, произошли какие-то проблемы.

[Макcим]

Мне тоже так кажется. Ни какого runtime2.sys я в логах не нахожу.

[Аксель]

При выполнении скрипта, в окне исполнения процесса, были видны "ругательства" АВЗ. Но все происходило так быстро, что детально рассмотреть информацию не представлялось возможным.

Вопрос: Найти средствами АВЗ и отправить искомый файл можно?

Добавлено через 2 минуты
Собственно, попробовал найти runtime2.sys, при помощи АВЗ - результат нулевой.