Services.EXE sendet Massenmails

Bullabeisser

assimiliert
Ich hab hier in der Firma einen PC, der sich als Spam-Schleuder herausgestellt hat. Gemerkt hat das nicht mal der Virenscanner (Kasperky für Clients). Inzwischen hab ich alles mögliche drübergejagt (Spybot, Antimalware, Hijack und Kollegen). Keiner findet was bzw. die Log-Files sind unauffällig.
Dieser Massenmailer bedient sich der Systemdatei von XP mit der Bezeichnung "Services.exe", von der wiederum Lsass.ese und Svchost.exe abhängen.
Der "neue Virenscanner" merkt, dass Services.exe sich als Massenmailer betätigen möchte und blockt nur kurz. Abhängen kann er die Systemdatei natürlich nicht.

Ich weiß, dass ich die Kiste plätten muss - was auch passieren wird. Ich möchte nur vorher diesen "Sauhund" finden. Sysinternals Prozessexplorer zeigt aber keinerlei Auffälligkeit.

Hat jemand noch ne Idee, wie ich das Mistvieh kriegen kann?
 
Mit einer Boot-CD scannen vielleicht?
Dann kann der Prozeß sich bestimmt ETWAS weniger tarnen.

Nur mal ein Gedanke, ob es klappt, weiß ich nicht.
 
Hatte ich schon durch (Avira Rescue CD). Auch Part-PE mit Kasperky drauf hat nichts gefunden.
Fündig wurde der Rootkit-Jäger "Gmer" - ein versteckter "Service" mit Bezeichnung "Root". Habe diesen Service schlicht gekillt - und es herrscht bis jetzt Ruhe. Mußte dazu die Systemwiederherstellung abklemmen und Gmer 2x laufen lassen (im 1. Durchlauf konnte Gmer den Service nur stoppen).

Reingerauscht ist der Sauhund wohl per "Loch" im Firefox - soweit ich das bisher nachvollziehen konnte.

Montag mach ich weiter. Jetzt ist erst mal Weihnachtsfeier angesagt.

Gruß
Bullabeisser
 
Uiii....

Das kann sehr sehr hart werden - mit ein wenig Glück ist es "nur" eine DLL, die sich hinzuläd bzw. in den Prozess injeziert, aber mit ein wenig Pech ist es z.B. so etwas wie das hier (Rustoc.* bzw SPAM-Mailbot.c) und das hat weitere Hintertüren aufgerissen, die kein Virenscanner entdecken kann, da sie keine Viren, Trojaner etc.pp. sind, sondern nur Türchen geöffnet haben, durch die später ein erneuter Angriff erfolgen kann.

Um das heraus zu finden, muss man extern bei nicht laufendem System mit einem Scanner scannen, der auch ADS lesen kann und Rootkits entdeckt, da sich so etwas wie das Rootkit ansonsten vor so ziemlich allem verstecken kann, was derzeit so herum scannt. Glück gehabt dass Gmer etwas gefunden hat - aber das muss nicht alles gewesen sein ;)

Ich hab mit gerade mal die vollständige Funktionsanalyse zu den Teilen durchgelesen und sehe bei so einem "guten" Teil wirklich nur eine Möglichkeit: Alle Dateien in anderen Formalen sichern, die gesichert werden müssen und neu aufsetzen.

Alles andere ist gerade bei einem Firmenrechner unverantwortlich und kann die Reputation und somit Kunden kosten.
 
Zuletzt bearbeitet:
Danke für den Link. Die Beschreibung passt zu 100%. Ich werde Montag mal danach suchen - nur weil ich es wissen will.
Danach wird die Kiste eh geplättet.

Gruß
Bullabeisser

Edit 22.12.09:
Scanner für alternate Data-Streams besorgt. Kein Fund. Ich finde inzwischen auch sonst nichts mehr, obwohl was in mir sagt "da ist noch was faul".
Kiste wird geplättet - habe fertig.
 
Zuletzt bearbeitet:
Oben