Показано с 1 по 11 из 11.

svchost.exe работает спам-почтальоном (заявка № 6924)

  1. #1
    Junior Member Репутация
    Регистрация
    27.11.2006
    Сообщений
    6
    Вес репутации
    37

    Thumbs up svchost.exe работает спам-почтальоном

    Та же самая история, что описано здесь http://forum.kaspersky.com/index.php?showtopic=20502&view=findpost&p=178333,
    радикального решения не найдено.
    В системе (XP SP2) установлены ZAPro, KAV5 (сейчас установлен KAV6)
    + железный firewall на рутере D-link. Локальная сеть из 4х PC.
    Была замечена повышенная сетевая активность одного компьютера.
    Программы, выходящие в интернет: svchost.exe(9 процессов), winlogon.exe (1 процесс), иногда KAV.
    Ни KAV, ни ZAP ничего подозрительного не видели, пока не была установлена проверка почтового трафика в ZA.
    Сразу были замечены KAV.exe и svchost.exe, отправляющие несанкционированную почту в драматическом объеме (более 5сообщ за 5сек. При установке блоков на вышеупомянутые программы, прекратился доступ в интернет.
    Первый мой шаг - я ограничил через рутер доступ в интернет только к самым необходимым сайтам.
    KAV6 поймал вирус один раз, опознал как
    Trojan program Trojan-Proxy.Win32.Dlena.an
    File: F:\WINDOWS\system32\59562502ld.exe ,
    удалил его. Потом, при явной активности Вируса, КАВ6 его не видел.
    И то, что он запустил "в своих интересах" несколько копий svchost.exe, не опознал. Причем, при загрузке КАВ6 спрашивает, что svchost пытается запуститься, как child приложение, но кем оно запускается, не видит. Если запуск запретить, то окошко появляестя вновь и вновь. Запрещаешь - нет доступа в интернет, разрешаешь - льется исходящий спам.
    В корне windows лежит около 30 файлов с названиями, похожими на 59562502ld.exe, у всех последние 2 символа ld:
    10145312ld.exe, 1124682ld.exe, 12162502ld.exe, 12520437.cpx, 12520850.cpx, 13274532ld.exe, 13435152ld.exe, 137622ld.exe, 14182342ld.exe, 1442812ld.exe
    15443432ld.exe, 15546712ld.exe, 16201872ld.exe, 1811712ld.exe, 18221712ld.exe, 20179532ld.exe, 20241252ld.exe, 22261092ld.exe, 22345782ld.exe, 2428152ld.exe
    24515152ld.exe, 26299372ld.exe, 267342ld.exe, 28318432ld.exe, 29339532ld.exe, 30337502ld.exe, (архив с этими файлами приложу по запросу)

    Процесс работы вируса (я далек от этой темы, поэтому сразу прошу прощения за неточности в терминологии): Он запускает svchost как child(Attempt to run process(svchost.exe) as a child of \\?\F:\WINDOWS\system32\winlogon.exe (PID: 732)), а тот в свою очередь лезет в интернет и рассылает спам. В качестве "подсадной утки" может выступать любой процесс, стоящий в автозагрузке. Сам Kav, ZA, winlogon. Активность работы вируса всегда разная, он может занять все 100% системных ресурсов, а может и тихонько шуршать на 10%. Если стоит InternetLock (опция ZA), он может попробиваться в интернет, потом успокоиться до следующего подключения.
    Последствия действия программы:
    http://600dpi.ru/out/virusmazafaka/z...ked-emails.gif (42кб)

    Еще несколько "веселых" картинок здесь:
    http://600dpi.ru/out/virusmazafaka/

    Итог лишь в том, что избавиться от заразы не получается,
    можно лишь избегать ее последствий, блокируя выход в интернет зараженных ресурсов или ограничивая доступ к минимуму сайтов.
    И еще, мой внешний ip-адрес, естественно, попал в глобальные спам-листы.
    Даже трудно представить, сколька спама от меня ушло...
    Машина тормозит катастрофически.

    Пока набирал это сообщение, вирус проявил себя (по крайней мере, показался):
    http://600dpi.ru/out/virusmazafaka/while-typing.jpg (70кб)
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Пришлите упомянутые файлы. Может, из их анализа что-нибудь прояснится.

    А что за файлы?
    Код:
    F:\WINDOWS\system32\rpcc.dll
    F:\WINDOWS\system32\rpccd.dll
    Похоже, что AVZ их числит безопасными.

    Да, а входящий трафик не смотрели? Если это спамбот, то он откуда-то должен получать материал.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    544
    Пришлите как написано в правилах
    -
    F:\WINDOWS\system32\59562502ld.exe
    *ld.exe

    Возьмите Avenger скрипт для удаления -
    Код:
    Files to delete:
    F:\WINDOWS\system32\rpcc.dll
    F:\WINDOWS\system32\rpccd.dll
    После перезагрузки пришлите ещё c:\avenger\backup.zip

    И повторите 2 последних лога из правил, посмотрим что получится.

  5. #4
    Junior Member Репутация
    Регистрация
    27.11.2006
    Сообщений
    6
    Вес репутации
    37
    Файлы (2шт.) отправил. Я на них уже обращал внимание (дата их создания совпадала +- пару минут с *ld.exe файлами), при попытке их просмотреть система выдавала "файл занят другим процессом".

    Насчет трафика:
    Сентябрь(и ранее, примерно столько же):
    Входящего 4,063.78
    Исходящего 1,027.05

    Октябрь (надо было начинать паниковать):
    Входящего 3,927.65
    Исходящего 5,383.69

    Ноябрь (о, ужас, представляю себе СЧЕТ от провайдера):
    Входящего 8,513.21
    Исходящего 10,432.44

  6. #5
    Junior Member Репутация
    Регистрация
    27.11.2006
    Сообщений
    6
    Вес репутации
    37
    Пришлите как написано в правилах
    -
    F:\WINDOWS\system32\59562502ld.exe
    *ld.exe
    59562502ld.exe AVZ не нашел, файл лежит в Бэкапе KAV6, восстановил, отправил через AVZ.

    *ld.exe получилось 93 файла, общий размер 2.5Мб, я не рискнул отправлять. Может, отправить только часть?

    После перезагрузки пришлите ещё c:\avenger\backup.zip
    выслал через форму

    Пока, за два часа активности компьютера в интернете - все тихо. Похоже, на самом деле - это rpcc.dll и rpccd.dll. По крайней мере, радует инфо по открытым портам через shell>netstat, ничего подозрительного (на первый взгляд). Вчера был ужас (<абракадабра>mail.всечтоугодно.везде, портов 10 было открытых точно)

    Но вирус может и через пять часов активизироваться....
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    544
    АВЗ - "Сервис" = > "Менеджер автозагрузки"
    Удалите регистрацию rpcc.dll и rpccd.dl, больше ничего подозрительного не видно.

  8. #7
    Junior Member Репутация
    Регистрация
    27.11.2006
    Сообщений
    6
    Вес репутации
    37

    Smile

    Вроде бы все тихо, спасибо большое.

    да, а что мне делать с *ld.exe файлами - удалять через эксплорер, или через карантин AVZ, или не трогать вообще?

    Хорошо, что есть умные люди...
    Чтоб вам всем было хорошо!

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Как хотите, так и удаляйте. Хотя пару - тройку штук, наверное, надо прислать для изучения. Вроде как спамботы, а не детектируются.

  10. #9
    Junior Member Репутация
    Регистрация
    27.11.2006
    Сообщений
    6
    Вес репутации
    37
    отправил 3 файла, как раз были 3 разных размера.

    Еще раз спасиббо.

  11. #10
    Junior Member Репутация
    Регистрация
    27.11.2006
    Сообщений
    6
    Вес репутации
    37
    Только сегодня КИС6 нашел на компьютере все тела вирусов.
    Прошло примерно два месяца с момента заражения, неделя с момента излечения.
    Trojan-Proxy.Win32.Dlena.an 44543112ld.exe
    Trojan-Proxy.Win32.Agent.lp 15546712ld.exe


    С чем связан такой большой срок идентификации вируса?
    ___
    [I]Чтоб вам всем было хорошо.[/I]
    [URL="http://saabnet.ru"]http://saabnet.ru[/URL]
    (СААБ - аЦЦтой)

  12. #11
    Geser
    Guest
    Цитата Сообщение от GSM
    Только сегодня КИС6 нашел на компьютере все тела вирусов.
    Прошло примерно два месяца с момента заражения, неделя с момента излечения.
    Trojan-Proxy.Win32.Dlena.an 44543112ld.exe
    Trojan-Proxy.Win32.Agent.lp 15546712ld.exe


    С чем связан такой большой срок идентификации вируса?
    Видимо кто-то из хелперов переслал им ваши файлы. Вот и добавили в базы

  • Уважаемый(ая) GSM, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. svchost рассылает спам
      От tseytnot в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 20.02.2010, 17:30
    2. Svchost рассылает спам
      От driverx в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 11.08.2009, 20:46
    3. svchost.exe, services.exe + спам-бот
      От Alvor в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 06.07.2009, 17:11
    4. svchost рассылает спам
      От Andrea в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 04:15
    5. Svchost спам
      От po3 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 26.09.2008, 21:44

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00295 seconds with 21 queries