Показано с 1 по 7 из 7.

Процесс svchost.exe инициирует множество smtp-сессий (заявка № 7121)

  1. #1
    Junior Member Репутация
    Регистрация
    13.12.2006
    Сообщений
    3
    Вес репутации
    41

    Question Процесс svchost.exe инициирует множество smtp-сессий

    Здравствуйте!

    Прикрыл файрволом исходящий трафик по smtp, антивирусы не помогают. Логи прилагаю.

    С уважением,
    Garant.
    Вложения Вложения
    Последний раз редактировалось anton_dr; 13.12.2006 в 14:36.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2269
    virusinfo_cure.zip - файл карантина АВЗ, его не следует прикреплять к сообщениям, а присылать через форму https://virusinfo.info/upload_virus.php
    по запросу.
    В прикрепленном файле -


    Complete scanning result of "avz00001.dta", received in VirusTotal at 12.13.2006, 12:38:39 (CET).

    Antivirus Version Update Result
    AntiVir 7.3.0.15 12.13.2006 TR/Proxy.Dlena.W.4
    Authentium 4.93.8 12.12.2006 no virus found
    Avast 4.7.892.0 12.12.2006 no virus found
    AVG 386 12.13.2006 Proxy.ITU
    BitDefender 7.2 12.13.2006 no virus found
    CAT-QuickHeal 8.00 12.12.2006 no virus found
    ClamAV devel-20060426 12.13.2006 no virus found
    DrWeb 4.33 12.13.2006 Trojan.Spambot
    eSafe 7.0.14.0 12.13.2006 suspicious Trojan/Worm
    eTrust-InoculateIT 23.73.84 12.13.2006 no virus found
    eTrust-Vet 30.3.3248 12.13.2006 no virus found
    Ewido 4.0 12.13.2006 Proxy.Dlena.w
    Fortinet 2.82.0.0 12.13.2006 W32/Dlena.W!tr

    F-Prot 3.16f 12.12.2006 no virus found
    F-Prot4 4.2.1.29 12.12.2006 no virus found
    Ikarus T3.1.0.26 12.13.2006 Trojan-Proxy.Win32.Dlena.w
    Kaspersky 4.0.2.24 12.13.2006 Trojan-Proxy.Win32.Dlena.w

    McAfee 4917 12.12.2006 no virus found
    Microsoft 1.1804 12.13.2006 no virus found
    NOD32v2 1919 12.13.2006 Win32/TrojanProxy.Dlena.NAE
    Norman 5.80.02 12.12.2006 no virus found
    Panda 9.0.0.4 12.13.2006 no virus found
    Prevx1 V2 12.13.2006 Trojan.RPCC.Payload
    Sophos 4.12.0 12.13.2006 no virus found
    Sunbelt 2.2.907.0 11.30.2006 no virus found
    TheHacker 6.0.3.131 12.10.2006 Trojan/Proxy.Dlena.w
    UNA 1.83 12.13.2006 TrojanProxy.Win32.Dlena.2C7F
    VBA32 3.11.1 12.12.2006 Trojan.Win32.TrojanProxy.Dlena.NAE

    VirusBuster 4.3.15:9 12.12.2006 no virus found

    Aditional Information
    File size: 29696 bytes
    MD5: 0040291f8eeece395fcf094b5c348d1c
    SHA1: e0383cef7615a468228cfefbf92d9d87660b6d03
    Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=836658856550



    Файл сохранён как 061213_064800_2006-12-13_457fe870c78d7.zip
    Размер файла 28375
    MD5 567ad5c9434ca8ea512c6a1c1882eae7

  4. #3
    Junior Member Репутация
    Регистрация
    13.12.2006
    Сообщений
    3
    Вес репутации
    41
    Упс, сорри.

    Что дальше делать с вирусами, как лечить?

    P.S. При обращении к https://virusinfo.info/upload_virus.php браузер пытается выдать сертификат с server307.com, что это?

    Цитата Сообщение от anton_dr Посмотреть сообщение
    virusinfo_cure.zip - файл карантина АВЗ, его не следует прикреплять к сообщениям, а присылать через форму https://virusinfo.info/upload_virus.php
    по запросу.
    В прикрепленном файле -

    Complete scanning result of "avz00001.dta", received in VirusTotal at 12.13.2006, 12:38:39 (CET).

    Antivirus Version Update Result
    AntiVir 7.3.0.15 12.13.2006 TR/Proxy.Dlena.W.4
    AVG 386 12.13.2006 Proxy.ITU
    DrWeb 4.33 12.13.2006 Trojan.Spambot
    eSafe 7.0.14.0 12.13.2006 suspicious Trojan/Worm
    Ewido 4.0 12.13.2006 Proxy.Dlena.w
    Fortinet 2.82.0.0 12.13.2006 W32/Dlena.W!tr

    Ikarus T3.1.0.26 12.13.2006 Trojan-Proxy.Win32.Dlena.w
    Kaspersky 4.0.2.24 12.13.2006 Trojan-Proxy.Win32.Dlena.w

    NOD32v2 1919 12.13.2006 Win32/TrojanProxy.Dlena.NAE
    Prevx1 V2 12.13.2006 Trojan.RPCC.Payload
    TheHacker 6.0.3.131 12.10.2006 Trojan/Proxy.Dlena.w
    UNA 1.83 12.13.2006 TrojanProxy.Win32.Dlena.2C7F
    VBA32 3.11.1 12.12.2006 Trojan.Win32.TrojanProxy.Dlena.NAE
    Последний раз редактировалось anton_dr; 13.12.2006 в 15:37.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2269
    Цитата Сообщение от garant Посмотреть сообщение
    P.S. При обращении к https://virusinfo.info/upload_virus.php браузер пытается выдать сертификат с server307.com, что это?
    Так и должно быть. Его нужно принять.

    c:\windows\system32\r_server.exe сами ставили?

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2269
    Выполните в AVZ скрипт и пришлите карантин на анализ, согласно правилам
    Код:
    begin
     QuarantineFile('C:\WINDOWS\system32\rpcc.dll','');
     QuarantineFile('c:\progra~1\common~1\target~1\tmagent\tmasrv.exe','');
     QuarantineFile('c:\windows\system32\drwebsp.dll','');
     QuarantineFile('c:\programs\stunnel\stunnel-4.03.exe','');
    end.

  7. #6
    Junior Member Репутация
    Регистрация
    13.12.2006
    Сообщений
    3
    Вес репутации
    41
    r_server - это radmin 2.1 - серверная часть
    stunnel-4.03 - это враппер для связи с основным офисом

    Цитата Сообщение от anton_dr Посмотреть сообщение
    Выполните в AVZ скрипт и пришлите карантин на анализ, согласно правилам
    Код:
    begin
     QuarantineFile('C:\WINDOWS\system32\rpcc.dll','');
     QuarantineFile('c:\progra~1\common~1\target~1\tmagent\tmasrv.exe','');
     QuarantineFile('c:\windows\system32\drwebsp.dll','');
     QuarantineFile('c:\programs\stunnel\stunnel-4.03.exe','');
    end.

    Ок, сделал.
    Только не совсем понятно, почему после выполнения данного скрипта в карантин ушли только
    tmasrv.exe, stunnel-4.03.exe, rpcc.dll, а не все файлы.

    begin
    QuarantineFile('C:\WINDOWS\system32\rpcc.dll','');
    QuarantineFile('c:\progra~1\common~1\target~1\tmag ent\tmasrv.exe','');
    QuarantineFile('c:\windows\system32\drwebsp.dll',' ');
    QuarantineFile('c:\programs\stunnel\stunnel-4.03.exe','');
    QuarantineFile('c:\windows\system32\r_server.exe', '');
    end.
    Последний раз редактировалось garant; 13.12.2006 в 17:18.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2269
    Выполните в AVZ скрипт
    Код:
    begin
      SetAVZGuardStatus(true);
      DeleteFile('c:\windows\system32\rpcc.dll');
      DeleteFile('c:\progra~1\common~1\target~1\tmag ent\tmasrv.exe');
      ExecuteSysClean;
      RebootWindows(true);
    end.
    Пофиксите в HijackThis строку
    O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
    O2 - BHO: IE Adapter Class - {35A6E2B1-27A9-47D2-913C-559E1EF1D034} - C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll

  • Уважаемый(ая) garant, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Куча SMTP сессий на разные IP адреса
      От DmitriyE в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 28.07.2010, 07:28
    2. Ответов: 14
      Последнее сообщение: 22.02.2009, 07:02
    3. Троян запускает SMTP Сессии под SVCHost
      От Loki3d в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 04:21
    4. Ответов: 5
      Последнее сообщение: 22.02.2009, 01:33
    5. Ответов: 13
      Последнее сообщение: 26.10.2007, 19:15

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01363 seconds with 17 queries