Та же самая история, что описано здесь http://forum.kaspersky.com/index.php?showtopic=20502&view=findpost&p=178333, радикального решения не найдено.
В системе (XP SP2) установлены ZAPro, KAV5 (сейчас установлен KAV6)
+ железный firewall на рутере D-link. Локальная сеть из 4х PC.
Была замечена повышенная сетевая активность одного компьютера.
Программы, выходящие в интернет: svchost.exe(9 процессов), winlogon.exe (1 процесс), иногда KAV.
Ни KAV, ни ZAP ничего подозрительного не видели, пока не была установлена проверка почтового трафика в ZA.
Сразу были замечены KAV.exe и svchost.exe, отправляющие несанкционированную почту в драматическом объеме (более 5сообщ за 5сек. При установке блоков на вышеупомянутые программы, прекратился доступ в интернет.
Первый мой шаг - я ограничил через рутер доступ в интернет только к самым необходимым сайтам.
KAV6 поймал вирус один раз, опознал как
Trojan program Trojan-Proxy.Win32.Dlena.an
File: F:\WINDOWS\system32\59562502ld.exe ,
удалил его. Потом, при явной активности Вируса, КАВ6 его не видел.
И то, что он запустил "в своих интересах" несколько копий svchost.exe, не опознал. Причем, при загрузке КАВ6 спрашивает, что svchost пытается запуститься, как child приложение, но кем оно запускается, не видит. Если запуск запретить, то окошко появляестя вновь и вновь. Запрещаешь - нет доступа в интернет, разрешаешь - льется исходящий спам.
В корне windows лежит около 30 файлов с названиями, похожими на 59562502ld.exe, у всех последние 2 символа ld:
10145312ld.exe, 1124682ld.exe, 12162502ld.exe, 12520437.cpx, 12520850.cpx, 13274532ld.exe, 13435152ld.exe, 137622ld.exe, 14182342ld.exe, 1442812ld.exe
15443432ld.exe, 15546712ld.exe, 16201872ld.exe, 1811712ld.exe, 18221712ld.exe, 20179532ld.exe, 20241252ld.exe, 22261092ld.exe, 22345782ld.exe, 2428152ld.exe
24515152ld.exe, 26299372ld.exe, 267342ld.exe, 28318432ld.exe, 29339532ld.exe, 30337502ld.exe, (архив с этими файлами приложу по запросу)
Процесс работы вируса (я далек от этой темы, поэтому сразу прошу прощения за неточности в терминологии): Он запускает svchost как child(Attempt to run process(svchost.exe) as a child of \\?\F:\WINDOWS\system32\winlogon.exe (PID: 732)), а тот в свою очередь лезет в интернет и рассылает спам. В качестве "подсадной утки" может выступать любой процесс, стоящий в автозагрузке. Сам Kav, ZA, winlogon. Активность работы вируса всегда разная, он может занять все 100% системных ресурсов, а может и тихонько шуршать на 10%. Если стоит InternetLock (опция ZA), он может попробиваться в интернет, потом успокоиться до следующего подключения.
Последствия действия программы: http://600dpi.ru/out/virusmazafaka/z...ked-emails.gif (42кб)
Итог лишь в том, что избавиться от заразы не получается,
можно лишь избегать ее последствий, блокируя выход в интернет зараженных ресурсов или ограничивая доступ к минимуму сайтов.
И еще, мой внешний ip-адрес, естественно, попал в глобальные спам-листы.
Даже трудно представить, сколька спама от меня ушло...
Машина тормозит катастрофически.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Файлы (2шт.) отправил. Я на них уже обращал внимание (дата их создания совпадала +- пару минут с *ld.exe файлами), при попытке их просмотреть система выдавала "файл занят другим процессом".
Насчет трафика:
Сентябрь(и ранее, примерно столько же):
Входящего 4,063.78
Исходящего 1,027.05
Октябрь (надо было начинать паниковать):
Входящего 3,927.65
Исходящего 5,383.69
Ноябрь (о, ужас, представляю себе СЧЕТ от провайдера):
Входящего 8,513.21
Исходящего 10,432.44
Пришлите как написано в правилах
-
F:\WINDOWS\system32\59562502ld.exe
*ld.exe
59562502ld.exe AVZ не нашел, файл лежит в Бэкапе KAV6, восстановил, отправил через AVZ.
*ld.exe получилось 93 файла, общий размер 2.5Мб, я не рискнул отправлять. Может, отправить только часть?
После перезагрузки пришлите ещё c:\avenger\backup.zip
выслал через форму
Пока, за два часа активности компьютера в интернете - все тихо. Похоже, на самом деле - это rpcc.dll и rpccd.dll. По крайней мере, радует инфо по открытым портам через shell>netstat, ничего подозрительного (на первый взгляд). Вчера был ужас (<абракадабра>mail.всечтоугодно.везде, портов 10 было открытых точно)
Но вирус может и через пять часов активизироваться....
Только сегодня КИС6 нашел на компьютере все тела вирусов.
Прошло примерно два месяца с момента заражения, неделя с момента излечения. Trojan-Proxy.Win32.Dlena.an 44543112ld.exe
Trojan-Proxy.Win32.Agent.lp 15546712ld.exe
С чем связан такой большой срок идентификации вируса?
___
[I]Чтоб вам всем было хорошо.[/I]
[URL="http://saabnet.ru"]http://saabnet.ru[/URL]
(СААБ - аЦЦтой)
Только сегодня КИС6 нашел на компьютере все тела вирусов.
Прошло примерно два месяца с момента заражения, неделя с момента излечения. Trojan-Proxy.Win32.Dlena.an 44543112ld.exe
Trojan-Proxy.Win32.Agent.lp 15546712ld.exe
С чем связан такой большой срок идентификации вируса?
Видимо кто-то из хелперов переслал им ваши файлы. Вот и добавили в базы
Уважаемый(ая) GSM, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: