Показано с 1 по 16 из 16.

Рассылается спам через svchost.exe (заявка № 27126)

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.07.2008
    Сообщений
    8
    Вес репутации
    92

    Thumbs up Рассылается спам через svchost.exe

    Что-то из области процесса svchost.exe активно рассылает спам. Два дня уже борюсь, ничего не могу сделать
    Началось все числа 21-22 июля. ПОмню, что что-то качал и запускал, что точно не помню. Мой антивирус (eset 3) молчит как рыба, CureIt! который я запускал даже из ERD Commander тоже не находит никаких признаков вирусов. AVZ тоже говорит что все нормально, по ходу дела.
    Проявляется это все у меня так: запускается система, ничего не лагает, ничего не блокируется (как иногда блокируется возможность смотреть скрытые и системные файлы) и т.д. Т.е. никаких признаков заражения. Потом, через определенное время (от 5 до 10 минут, что интересно, а не сразу после запуска системы) что-то начинает активно рассылать почтовый спам. Я сам, честно говоря, заметил эту штуку только когда мне заблокировали доступ в инет.
    svchost не поддельный, процесс, который рассылает спам запускается из под настоящего svchost, под которым крутятся и другие нормальные службы (это я ProcessExplorer-ом посмотрел).
    В общем, не знаю что делать, походу какой-то новый или малоизвестный вирус. Систему сейчас не хотелось бы грохать (да и плохой это выход, в общем то), поэтому прошу помощи у вас.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\wimfltr.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\SSHDRV86.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\SPT2Sp50.sys','');
     QuarantineFile('C:\DOCUME~1\CF9E~1\LOCALS~1\Temp\7zO237.tmp\PORTMSYS.SYS','');
     QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\hcdriver.sys','');
     QuarantineFile('C:\DOCUME~1\CF9E~1\LOCALS~1\Temp\Rar$EX00.297\Engine.sys','');
     QuarantineFile('C:\Program Files\PowerPanel Business Edition\bin\ppbed.exe','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\vuhub.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\arivsn82.SYS','');
     QuarantineFile('C:\WINDOWS\system32\rasmxs32.dll','');
     QuarantineFile('c:\windows\system32\usbservice.exe','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=27126 ).
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  4. #3
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.07.2008
    Сообщений
    8
    Вес репутации
    92
    Закачал.
    Сразу снимаю подозрения с usbservice. Это часть пакета Labcenter Proteus. Я его пока удалил, чтоб не мешалось, поэтому в карантине его не будет.

    Что дальше делать?

    Добавлено через 9 часов 47 минут

    Забыл сказать, vuhub.sys это тоже часть пакета Proteus
    Последний раз редактировалось Dark Simpson; 27.07.2008 в 12:00. Причина: Добавлено

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    847
    Выполните, пожалуйста, еще один скрипт:
    Код:
    begin
    clearquarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\Drivers\cvintdrv.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\aoo3yznm.SYS','');
    BC_ImportquarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Если, после перезагрузки, карантин AVZ будет не пустой, загрузите его по ссылке http://virusinfo.info/upload_virus.php?tid=27126 , как написано в прил.3 правил.

  6. #5
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.07.2008
    Сообщений
    8
    Вес репутации
    92
    Закачал.
    Советую обратить внимание на rasmxs32.dll из прошлого карантина. Я его выковырил, распаковал. Походу дела это точно какой-то зловред. Удалять пока не буду чтобы не портить картину.
    Я его попробовал дизасмить -- он по ходу дела выполняет функции подгрузки других компонентов. В нем достаточно часто вызывается LoadLibraryA, но названия подгружаемых библиотек посмотреть невозможно, т.к. все строки в файле зашифрованы. Алгоритм расшифровки там достаточно длинный, не простой xor, по этому с наскока разобраться у меня не получилось.
    Интересно, что же он все-таки подгружает. И антивирусами не определяется, что самое интересное.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    На этот файл я уже обратил внимание. На VirusTotal его некоторые антивирусы прямо детектят как троян. Но аналитики из ЛК сказали, что файл чистый (видимо, ошиблись). Я выясню, что к чему и отпишусь.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  8. #7
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.07.2008
    Сообщений
    8
    Вес репутации
    92
    Даю на отсечение все, что выпирает у меня больше, чем на 2 см. от туловища -- это зловред. Я на него не обратил внимание тоже, но следует учесть КАК он запускается (как элемент Winlogon) и то, что он подделывается под системную библиотеку своим названием. И я не удивлюсь, что он при запуске (а может уже и не при запуске) тащит за собой еще кучу всякого г..на, судя по тому, что мне удалось увидеть в дизасме. Аналитики точно ошиблись.

    Да, на вирустотале он детектится как троян, но я почитал про эти трояны -- это что-то совсем не то. Или ошибки антивирусов, или просто какая-то новая неизвестная модификация.

    Больше всего меня настораживает, что это с большой вероятностью может оказаться только частью всей зловредной системы, т.к. в этом файле я не нашел никакого кода, который мог бы рассылать спам.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

    P.S С библиотекой скоро разберемся.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  10. #9
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.07.2008
    Сообщений
    8
    Вес репутации
    92
    Прикрепляю Gmer.log
    Вложения Вложения
    • Тип файла: log Gmer.log (96.3 Кб, 8 просмотров)

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Отключите восстановление системы, как написано в правилах.

    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\5021EB7D.dll','');
     QuarantineFile('C:\WINDOWS\system32\DeltaIITray.exe','');
     QuarantineFile('C:\Program Files\BeholdTV\Agent\BhAgent.exe','');
     QuarantineFile('C:\Program Files\PowerPanel Business Edition\bin\ppbed.exe','');
     DeleteFile('C:\WINDOWS\system32\rasmxs32.dll');
    BC_ImportALL;
    ExecuteSysClean;
    DelWinlogonNotifyByKeyName('rasmxs32');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил.

    Сделайте новый лог по пунтку 8 правил (перед тем как его будете делать, закройте все остальные программы, оставьте запущенным только IE). И еще лог HijackThis.
    Проверьте, не исчезла ли проблема.
    Последний раз редактировалось kps; 27.07.2008 в 21:44.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  12. #11
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.07.2008
    Сообщений
    8
    Вес репутации
    92
    Карантин даже присылать не буду, не заморачивайтесь 5021EB7D.dll в карантине не существует, DeltaIITray это от драйвера звуковухи, BhAgent это агент ТВ-тюнера, ppbed это когда-то стояла программа от ИБП (теперь этого файла нету, остались только записи в регистре видимо).

    rasmxs32.dll удалилась, проблема похоже исчезла. Подожду еще немного на всякий случай и пришлю логи.

  13. #12
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.07.2008
    Сообщений
    8
    Вес репутации
    92
    Да, проблема похоже исчезла (хм, может затаилась? ). Огромное спасибо, я бы очень долго мутузился головой об стену, прежде чем обратил бы внимание на эту библиотеку. К стати, как там аналитики из Лаборатории? Что-нибудь прояснилось про механизм работы?

    Алсо, прикрепляю логи.
    Вложения Вложения

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Вот это Вам знакомо?:
    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{20A9669E-2165-4E1B-862E-7C9170483BFE}: NameServer = 195.225.130.2,195.225.131.2
    O17 - HKLM\System\CCS\Services\Tcpip\..\{259A9ACC-71A1-47FE-9A0F-B13D68EAA25A}: NameServer = 195.225.130.2,195.225.131.2
    Если незнакомо, то пофиксите в HijackThis эти строчки.

    Удалить службу несуществующего файла можете таким скриптом в AVZ:
    Код:
    begin
    BC_DeleteSvc('ppbed');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Про механизм работы библиотеки прояснилось, ее посмотрели эксперты нашего портала и выяснили, что она ведет себя странно, косит под библиотеку от MS, упакована и криптована.
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Детект упакованного файла объясняется вполне простой эвристикой - MS никогда не пакует свои файлы
    UPX-ом ... поведение данной DLL весьма странное - она в момент загрузки создает поток, который ищет файл вида C:\WINDOWS\system32\5021EB7D.dll, а затем в папке TEMP создает DLL файл (имя другое - но опять-же бредокод) и пишет туда какой-то бред. Файл в папке TEMP быстро растет в размере, цикл не прерывается
    Что касается файлов запрошенных для карантина, то бывают изредка разные случаи подмены, например есть червь Багл - он на зараженной системе смотрит, что прописано в автозапуске в ключе Run и подменяет легитимную программу своим файлом, это так к слову сказать

    У Вас, похоже, уже чисто. Если будут проблемы - пишите. Если есть желание научиться лечить по нашему методу - то можете подать заявку в Студенты (через Мой кабинет - Членство в группах), обучение бесплатное.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  15. #14
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.07.2008
    Сообщений
    8
    Вес репутации
    92
    Разделы в Tcpip содержат айпишнеги моих ДНСов (второго провайдера), долно быть все чисто.

    ppbed я снес регедитом уже Но все равно спасибо. AVZ, оказывается, мощнейшая вещь, Зайцев -- монстр!

    По поводу работы этой библиотеки. Очевидно, что кроме описанных Вами действий она еще, каким то образом, умудряется рассылать спам порнографического характера Судя по тому, что она несколько раз (судя по ее коду) подгружает разные дллки и вызывает из них какие-то функции, у меня, собственно, и возникло подозрение, что это только верхушка айсберга. Вполне возможно, что она сама подгружает библиотеку winsock или еще что-то и рассылает спам (строки-то зашифрованы, не посмотреть), но возможно, что она подгружает и еще какие-то компоненты (кроме 5021EB7D.dll, которой у меня небыло). Просто было бы интересно выстроить весь ряд и понять принцип работы этой зловредины. Вполне возможно, что она сначала выгружает спам с какого-нибудь сервера в интернетах, а потом начинает его рассылать (этим может объясняться задержка до массовой рассылки после запуска системы).

    По поводу того, что некотрые зловредины подменяют файлы я слышал и проверил все, что запускается, так что в этих штуках я уверен.

    А научиться лечить по вашему методу -- интересное предложение. Может осенью запишусь, если со временем все нормально будет

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Ок Буду рад, если запишитесь к нам - нам такие люди, умеющие анализировать, нужны.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 54
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\rasmxs32.dll - Trojan-Proxy.Win32.Glukelira.gen


  • Уважаемый(ая) Dark Simpson, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Рассылается спам через аську.
      От Pest в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 25.01.2010, 16:15
    2. рассылается спам
      От Greyhawk в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 25.03.2009, 17:52
    3. Рассылается спам
      От kerom в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.01.2009, 16:37
    4. рассылается спам
      От tohash в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 06.08.2008, 21:40

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01516 seconds with 17 queries