svchost.exe работает спам-почтальоном

[B]Та же самая история, что описано здесь [/B][URL="http://forum.kaspersky.com/index.php?showtopic=20502&view=findpost&p=178333"][B]http://forum.kaspersky.com/index.php?showtopic=20502&view=findpost&p=178333[/B][/URL][B], [/B]
[B]радикального решения не найдено.[/B]
В системе (XP SP2) установлены ZAPro, KAV5 (сейчас установлен KAV6)
+ железный firewall на рутере D-link. Локальная сеть из 4х PC.
Была замечена повышенная сетевая активность одного компьютера.
Программы, выходящие в интернет: svchost.exe(9 процессов), winlogon.exe (1 процесс), иногда KAV.
Ни KAV, ни ZAP ничего подозрительного не видели, пока не была установлена проверка почтового трафика в ZA.
Сразу были замечены KAV.exe и svchost.exe, отправляющие несанкционированную почту в драматическом объеме (более 5сообщ за 5сек. При установке блоков на вышеупомянутые программы, прекратился доступ в интернет.
Первый мой шаг - я ограничил через рутер доступ в интернет только к самым необходимым сайтам.
KAV6 поймал вирус один раз, опознал как
Trojan program [B]Trojan-Proxy.Win32.Dlena.an[/B]
File: F:\WINDOWS\system32\59562502ld.exe ,
удалил его. Потом, при явной активности Вируса, КАВ6 его не видел.
И то, что он запустил "в своих интересах" несколько копий svchost.exe, не опознал. Причем, при загрузке КАВ6 спрашивает, что svchost пытается запуститься, как child приложение, но кем оно запускается, не видит. Если запуск запретить, то окошко появляестя вновь и вновь. Запрещаешь - нет доступа в интернет, разрешаешь - льется исходящий спам.
В корне windows лежит около 30 файлов с названиями, похожими на 59562502ld.exe, у всех последние 2 символа ld:
10145312ld.exe, 1124682ld.exe, 12162502ld.exe, 12520437.cpx, 12520850.cpx, 13274532ld.exe, 13435152ld.exe, 137622ld.exe, 14182342ld.exe, 1442812ld.exe
15443432ld.exe, 15546712ld.exe, 16201872ld.exe, 1811712ld.exe, 18221712ld.exe, 20179532ld.exe, 20241252ld.exe, 22261092ld.exe, 22345782ld.exe, 2428152ld.exe
24515152ld.exe, 26299372ld.exe, 267342ld.exe, 28318432ld.exe, 29339532ld.exe, 30337502ld.exe, (архив с этими файлами приложу по запросу)

Процесс работы вируса (я далек от этой темы, поэтому сразу прошу прощения за неточности в терминологии): Он запускает svchost как child(Attempt to run process(svchost.exe) as a child of [URL="file://\\?\F:\WINDOWS\system32\winlogon.exe"]\\?\F:\WINDOWS\system32\winlogon.exe[/URL] (PID: 732)), а тот в свою очередь лезет в интернет и рассылает спам. В качестве "подсадной утки" может выступать любой процесс, стоящий в автозагрузке. Сам Kav, ZA, winlogon. Активность работы вируса всегда разная, он может занять все 100% системных ресурсов, а может и тихонько шуршать на 10%. Если стоит InternetLock (опция ZA), он может попробиваться в интернет, потом успокоиться до следующего подключения.
Последствия действия программы:
[URL="http://600dpi.ru/out/virusmazafaka/za-blocked-emails.gif"]http://600dpi.ru/out/virusmazafaka/za-blocked-emails.gif[/URL] (42кб)

Еще несколько "веселых" картинок здесь:
[url]http://600dpi.ru/out/virusmazafaka/[/url]

Итог лишь в том, что избавиться от заразы не получается,
можно лишь избегать ее последствий, блокируя выход в интернет зараженных ресурсов или ограничивая доступ к минимуму сайтов.
И еще, мой внешний ip-адрес, естественно, попал в глобальные спам-листы.
Даже трудно представить, сколька спама от меня ушло...
Машина тормозит катастрофически.

Пока набирал это сообщение, вирус проявил себя (по крайней мере, показался):
[URL="http://600dpi.ru/out/virusmazafaka/while-typing.jpg"]http://600dpi.ru/out/virusmazafaka/while-typing.jpg[/URL] (70кб)

Пришлите упомянутые файлы. Может, из их анализа что-нибудь прояснится.

А что за файлы?
[code]F:\WINDOWS\system32\rpcc.dll
F:\WINDOWS\system32\rpccd.dll[/code]
Похоже, что AVZ их числит безопасными.

Да, а входящий трафик не смотрели? Если это спамбот, то он откуда-то должен получать материал.

Пришлите [color=red]как написано в правилах[/color]
-
F:\WINDOWS\system32\59562502ld.exe
*ld.exe

Возьмите [url=http://virusinfo.info/showthread.php?t=5757]Avenger[/url] скрипт для удаления -
[code]
Files to delete:
F:\WINDOWS\system32\rpcc.dll
F:\WINDOWS\system32\rpccd.dll
[/code]

После перезагрузки пришлите ещё c:\avenger\backup.zip

И повторите 2 последних лога из правил, посмотрим что получится.

Файлы (2шт.) отправил. Я на них уже обращал внимание (дата их создания совпадала +- пару минут с *ld.exe файлами), при попытке их просмотреть система выдавала "файл занят другим процессом".

[B]Насчет трафика:[/B]
Сентябрь(и ранее, примерно столько же):
Входящего 4,063.78
Исходящего 1,027.05

Октябрь (надо было начинать паниковать):
Входящего 3,927.65
Исходящего 5,383.69

[COLOR=red][B]Ноябрь (о, ужас, представляю себе СЧЕТ от провайдера):[/B][/COLOR]
Входящего 8,513.21
Исходящего 10,432.44

[QUOTE]Пришлите [COLOR=red]как написано в правилах[/COLOR]
-
F:\WINDOWS\system32\59562502ld.exe
*ld.exe[/QUOTE]

59562502ld.exe AVZ не нашел, файл лежит в Бэкапе KAV6, восстановил, отправил через AVZ.

*ld.exe получилось 93 файла, общий размер 2.5Мб, я не рискнул отправлять. Может, отправить только часть?

[QUOTE]
После перезагрузки пришлите ещё c:\avenger\backup.zip

[/QUOTE]
выслал через форму

Пока, за два часа активности компьютера в интернете - все тихо. Похоже, на самом деле - это rpcc.dll и rpccd.dll. По крайней мере, радует инфо по открытым портам через shell>netstat, ничего подозрительного (на первый взгляд). Вчера был ужас (<абракадабра>mail.всечтоугодно.везде, портов 10 было открытых точно)

Но вирус может и через пять часов активизироваться....

АВЗ - "Сервис" = > "Менеджер автозагрузки"
Удалите регистрацию rpcc.dll и rpccd.dl, больше ничего подозрительного не видно.

Вроде бы все тихо, спасибо большое.

да, а что мне делать с *ld.exe файлами - удалять через эксплорер, или через карантин AVZ, или не трогать вообще?

Хорошо, что есть умные люди...
[B]Чтоб вам всем было хорошо![/B]

Как хотите, так и удаляйте. Хотя пару - тройку штук, наверное, надо прислать для изучения. Вроде как спамботы, а не детектируются.

отправил 3 файла, как раз были 3 разных размера.

Еще раз спасиббо.

Только сегодня КИС6 нашел на компьютере все тела вирусов.
Прошло примерно два месяца с момента заражения, неделя с момента излечения.
[I]Trojan-Proxy.Win32.Dlena.an 44543112ld.exe
Trojan-Proxy.Win32.Agent.lp 15546712ld.exe[/I]

С чем связан такой большой срок идентификации вируса?

[QUOTE=GSM]Только сегодня КИС6 нашел на компьютере все тела вирусов.
Прошло примерно два месяца с момента заражения, неделя с момента излечения.
[I]Trojan-Proxy.Win32.Dlena.an 44543112ld.exe
Trojan-Proxy.Win32.Agent.lp 15546712ld.exe[/I]

С чем связан такой большой срок идентификации вируса?[/QUOTE]
Видимо кто-то из хелперов переслал им ваши файлы. Вот и добавили в базы :)