Процесс svchost.exe инициирует множество smtp-сессий

Printable View

13.12.2006, 14:27
garant

Вложений: 3

Процесс svchost.exe инициирует множество smtp-сессий

Здравствуйте!

Прикрыл файрволом исходящий трафик по smtp, антивирусы не помогают. Логи прилагаю.

С уважением,
Garant.
13.12.2006, 14:48
anton_dr

virusinfo_cure.zip - файл карантина АВЗ, его не следует прикреплять к сообщениям, а присылать через форму [url]https://virusinfo.info/upload_virus.php[/url]
по запросу.
В прикрепленном файле -

Complete scanning result of "avz00001.dta", received in VirusTotal at 12.13.2006, 12:38:39 (CET).

Antivirus Version Update Result
[B]AntiVir 7.3.0.15 12.13.2006 TR/Proxy.Dlena.W.4[/B]
Authentium 4.93.8 12.12.2006 no virus found
Avast 4.7.892.0 12.12.2006 no virus found
[B]AVG 386 12.13.2006 Proxy.ITU[/B]
BitDefender 7.2 12.13.2006 no virus found
CAT-QuickHeal 8.00 12.12.2006 no virus found
ClamAV devel-20060426 12.13.2006 no virus found
[B]DrWeb 4.33 12.13.2006 Trojan.Spambot[/B]
[B]eSafe 7.0.14.0 12.13.2006 suspicious Trojan/Worm[/B]
eTrust-InoculateIT 23.73.84 12.13.2006 no virus found
eTrust-Vet 30.3.3248 12.13.2006 no virus found
[B]Ewido 4.0 12.13.2006 Proxy.Dlena.w
Fortinet 2.82.0.0 12.13.2006 W32/Dlena.W!tr[/B]
F-Prot 3.16f 12.12.2006 no virus found
F-Prot4 4.2.1.29 12.12.2006 no virus found
[B]Ikarus T3.1.0.26 12.13.2006 Trojan-Proxy.Win32.Dlena.w
Kaspersky 4.0.2.24 12.13.2006 Trojan-Proxy.Win32.Dlena.w[/B]
McAfee 4917 12.12.2006 no virus found
Microsoft 1.1804 12.13.2006 no virus found
[B]NOD32v2 1919 12.13.2006 Win32/TrojanProxy.Dlena.NAE[/B]
Norman 5.80.02 12.12.2006 no virus found
Panda 9.0.0.4 12.13.2006 no virus found
[B]Prevx1 V2 12.13.2006 Trojan.RPCC.Payload[/B]
Sophos 4.12.0 12.13.2006 no virus found
Sunbelt 2.2.907.0 11.30.2006 no virus found
[B]TheHacker 6.0.3.131 12.10.2006 Trojan/Proxy.Dlena.w
UNA 1.83 12.13.2006 TrojanProxy.Win32.Dlena.2C7F
VBA32 3.11.1 12.12.2006 Trojan.Win32.TrojanProxy.Dlena.NAE[/B]
VirusBuster 4.3.15:9 12.12.2006 no virus found

Aditional Information
File size: 29696 bytes
MD5: 0040291f8eeece395fcf094b5c348d1c
SHA1: e0383cef7615a468228cfefbf92d9d87660b6d03
Prevx info: [url]http://fileinfo.prevx.com/fileinfo.asp?PXC=836658856550[/url]

Файл сохранён как 061213_064800_2006-12-13_457fe870c78d7.zip
Размер файла 28375
MD5 567ad5c9434ca8ea512c6a1c1882eae7
13.12.2006, 15:26
garant

Упс, сорри.

Что дальше делать с вирусами, как лечить?

P.S. При обращении к [URL]https://virusinfo.info/upload_virus.php[/URL] браузер пытается выдать сертификат с server307.com, что это?

[quote=anton_dr;87515]virusinfo_cure.zip - файл карантина АВЗ, его не следует прикреплять к сообщениям, а присылать через форму [URL]https://virusinfo.info/upload_virus.php[/URL]
по запросу.
В прикрепленном файле -

Complete scanning result of "avz00001.dta", received in VirusTotal at 12.13.2006, 12:38:39 (CET).

Antivirus Version Update Result
[B]AntiVir 7.3.0.15 12.13.2006 TR/Proxy.Dlena.W.4[/B]
[B]AVG 386 12.13.2006 Proxy.ITU[/B]
[B]DrWeb 4.33 12.13.2006 Trojan.Spambot[/B]
[B]eSafe 7.0.14.0 12.13.2006 suspicious Trojan/Worm[/B]
[B]Ewido 4.0 12.13.2006 Proxy.Dlena.w
Fortinet 2.82.0.0 12.13.2006 W32/Dlena.W!tr[/B]
[B]Ikarus T3.1.0.26 12.13.2006 Trojan-Proxy.Win32.Dlena.w
Kaspersky 4.0.2.24 12.13.2006 Trojan-Proxy.Win32.Dlena.w[/B]
[B]NOD32v2 1919 12.13.2006 Win32/TrojanProxy.Dlena.NAE[/B]
[B]Prevx1 V2 12.13.2006 Trojan.RPCC.Payload[/B]
[B]TheHacker 6.0.3.131 12.10.2006 Trojan/Proxy.Dlena.w
UNA 1.83 12.13.2006 TrojanProxy.Win32.Dlena.2C7F
VBA32 3.11.1 12.12.2006 Trojan.Win32.TrojanProxy.Dlena.NAE[/B][/quote]
13.12.2006, 15:37
anton_dr

[quote=garant;87521]P.S. При обращении к [URL]https://virusinfo.info/upload_virus.php[/URL] браузер пытается выдать сертификат с server307.com, что это?[/quote]
Так и должно быть. Его нужно принять.

c:\windows\system32\r_server.exe сами ставили?
13.12.2006, 15:47
anton_dr

Выполните в AVZ скрипт и пришлите карантин на анализ, согласно правилам
[CODE]begin
QuarantineFile('C:\WINDOWS\system32\rpcc.dll','');
QuarantineFile('c:\progra~1\common~1\target~1\tmagent\tmasrv.exe','');
QuarantineFile('c:\windows\system32\drwebsp.dll','');
QuarantineFile('c:\programs\stunnel\stunnel-4.03.exe','');
end.[/CODE]
13.12.2006, 17:06
garant

r_server - это radmin 2.1 - серверная часть
stunnel-4.03 - это враппер для связи с основным офисом

[quote=anton_dr;87525]Выполните в AVZ скрипт и пришлите карантин на анализ, согласно правилам
[code]begin
QuarantineFile('C:\WINDOWS\system32\rpcc.dll','');
QuarantineFile('c:\progra~1\common~1\target~1\tmagent\tmasrv.exe','');
QuarantineFile('c:\windows\system32\drwebsp.dll','');
QuarantineFile('c:\programs\stunnel\stunnel-4.03.exe','');
end.[/code][/quote]

Ок, сделал.
Только не совсем понятно, почему после выполнения данного скрипта в карантин ушли только
tmasrv.exe, stunnel-4.03.exe, rpcc.dll, а не все файлы.

begin
QuarantineFile('C:\WINDOWS\system32\rpcc.dll','');
QuarantineFile('c:\progra~1\common~1\target~1\tmagent\tmasrv.exe','');
QuarantineFile('c:\windows\system32\drwebsp.dll','');
QuarantineFile('c:\programs\stunnel\stunnel-4.03.exe','');
QuarantineFile('c:\windows\system32\r_server.exe','');
end.
13.12.2006, 19:11
anton_dr

Выполните в AVZ скрипт
[CODE]begin
SetAVZGuardStatus(true);
DeleteFile('c:\windows\system32\rpcc.dll');
DeleteFile('c:\progra~1\common~1\target~1\tmag ent\tmasrv.exe');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]

Пофиксите в HijackThis строку
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
O2 - BHO: IE Adapter Class - {35A6E2B1-27A9-47D2-913C-559E1EF1D034} - C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll