Что-то из области процесса svchost.exe активно рассылает спам. Два дня уже борюсь, ничего не могу сделать
Началось все числа 21-22 июля. ПОмню, что что-то качал и запускал, что точно не помню. Мой антивирус (eset 3) молчит как рыба, CureIt! который я запускал даже из ERD Commander тоже не находит никаких признаков вирусов. AVZ тоже говорит что все нормально, по ходу дела.
Проявляется это все у меня так: запускается система, ничего не лагает, ничего не блокируется (как иногда блокируется возможность смотреть скрытые и системные файлы) и т.д. Т.е. никаких признаков заражения. Потом, через определенное время (от 5 до 10 минут, что интересно, а не сразу после запуска системы) что-то начинает активно рассылать почтовый спам. Я сам, честно говоря, заметил эту штуку только когда мне заблокировали доступ в инет.
svchost не поддельный, процесс, который рассылает спам запускается из под настоящего svchost, под которым крутятся и другие нормальные службы (это я ProcessExplorer-ом посмотрел).
В общем, не знаю что делать, походу какой-то новый или малоизвестный вирус. Систему сейчас не хотелось бы грохать (да и плохой это выход, в общем то), поэтому прошу помощи у вас.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закачал.
Сразу снимаю подозрения с usbservice. Это часть пакета Labcenter Proteus. Я его пока удалил, чтоб не мешалось, поэтому в карантине его не будет.
Что дальше делать?
Добавлено через 9 часов 47 минут
Забыл сказать, vuhub.sys это тоже часть пакета Proteus
Последний раз редактировалось Dark Simpson; 27.07.2008 в 13:00.
Причина: Добавлено
Закачал.
Советую обратить внимание на rasmxs32.dll из прошлого карантина. Я его выковырил, распаковал. Походу дела это точно какой-то зловред. Удалять пока не буду чтобы не портить картину.
Я его попробовал дизасмить -- он по ходу дела выполняет функции подгрузки других компонентов. В нем достаточно часто вызывается LoadLibraryA, но названия подгружаемых библиотек посмотреть невозможно, т.к. все строки в файле зашифрованы. Алгоритм расшифровки там достаточно длинный, не простой xor, по этому с наскока разобраться у меня не получилось.
Интересно, что же он все-таки подгружает. И антивирусами не определяется, что самое интересное.
На этот файл я уже обратил внимание. На VirusTotal его некоторые антивирусы прямо детектят как троян. Но аналитики из ЛК сказали, что файл чистый (видимо, ошиблись). Я выясню, что к чему и отпишусь.
Даю на отсечение все, что выпирает у меня больше, чем на 2 см. от туловища -- это зловред. Я на него не обратил внимание тоже, но следует учесть КАК он запускается (как элемент Winlogon) и то, что он подделывается под системную библиотеку своим названием. И я не удивлюсь, что он при запуске (а может уже и не при запуске) тащит за собой еще кучу всякого г..на, судя по тому, что мне удалось увидеть в дизасме. Аналитики точно ошиблись.
Да, на вирустотале он детектится как троян, но я почитал про эти трояны -- это что-то совсем не то. Или ошибки антивирусов, или просто какая-то новая неизвестная модификация.
Больше всего меня настораживает, что это с большой вероятностью может оказаться только частью всей зловредной системы, т.к. в этом файле я не нашел никакого кода, который мог бы рассылать спам.
Скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.
Сделайте новый лог по пунтку 8 правил (перед тем как его будете делать, закройте все остальные программы, оставьте запущенным только IE). И еще лог HijackThis.
Проверьте, не исчезла ли проблема.
Последний раз редактировалось kps; 27.07.2008 в 22:44.
Карантин даже присылать не буду, не заморачивайтесь 5021EB7D.dll в карантине не существует, DeltaIITray это от драйвера звуковухи, BhAgent это агент ТВ-тюнера, ppbed это когда-то стояла программа от ИБП (теперь этого файла нету, остались только записи в регистре видимо).
rasmxs32.dll удалилась, проблема похоже исчезла. Подожду еще немного на всякий случай и пришлю логи.
Да, проблема похоже исчезла (хм, может затаилась? ). Огромное спасибо, я бы очень долго мутузился головой об стену, прежде чем обратил бы внимание на эту библиотеку. К стати, как там аналитики из Лаборатории? Что-нибудь прояснилось про механизм работы?
Удалить службу несуществующего файла можете таким скриптом в AVZ:
Код:
begin
BC_DeleteSvc('ppbed');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Про механизм работы библиотеки прояснилось, ее посмотрели эксперты нашего портала и выяснили, что она ведет себя странно, косит под библиотеку от MS, упакована и криптована.
Сообщение от Зайцев Олег
Детект упакованного файла объясняется вполне простой эвристикой - MS никогда не пакует свои файлы
UPX-ом ... поведение данной DLL весьма странное - она в момент загрузки создает поток, который ищет файл вида C:\WINDOWS\system32\5021EB7D.dll, а затем в папке TEMP создает DLL файл (имя другое - но опять-же бредокод) и пишет туда какой-то бред. Файл в папке TEMP быстро растет в размере, цикл не прерывается
Что касается файлов запрошенных для карантина, то бывают изредка разные случаи подмены, например есть червь Багл - он на зараженной системе смотрит, что прописано в автозапуске в ключе Run и подменяет легитимную программу своим файлом, это так к слову сказать
У Вас, похоже, уже чисто. Если будут проблемы - пишите. Если есть желание научиться лечить по нашему методу - то можете подать заявку в Студенты (через Мой кабинет - Членство в группах), обучение бесплатное.
Разделы в Tcpip содержат айпишнеги моих ДНСов (второго провайдера), долно быть все чисто.
ppbed я снес регедитом уже Но все равно спасибо. AVZ, оказывается, мощнейшая вещь, Зайцев -- монстр!
По поводу работы этой библиотеки. Очевидно, что кроме описанных Вами действий она еще, каким то образом, умудряется рассылать спам порнографического характера Судя по тому, что она несколько раз (судя по ее коду) подгружает разные дллки и вызывает из них какие-то функции, у меня, собственно, и возникло подозрение, что это только верхушка айсберга. Вполне возможно, что она сама подгружает библиотеку winsock или еще что-то и рассылает спам (строки-то зашифрованы, не посмотреть), но возможно, что она подгружает и еще какие-то компоненты (кроме 5021EB7D.dll, которой у меня небыло). Просто было бы интересно выстроить весь ряд и понять принцип работы этой зловредины. Вполне возможно, что она сначала выгружает спам с какого-нибудь сервера в интернетах, а потом начинает его рассылать (этим может объясняться задержка до массовой рассылки после запуска системы).
По поводу того, что некотрые зловредины подменяют файлы я слышал и проверил все, что запускается, так что в этих штуках я уверен.
А научиться лечить по вашему методу -- интересное предложение. Может осенью запишусь, если со временем все нормально будет
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: