Netbeui - обращение к сайтам

[kdv]

Хакнули у меня некоторые сайты, решил проверить систему.
Оказалось что хак обнаруживается как Trojan.DownLoader.33840 только DrWeb-ом. Что хак - однозначно, т.к. в страницы на сайте дописывается даунлоадер через iframe.
В общем, неважно, вернемся к моему компу.

Я до кучи к ДРВеб установил еще последний Outpost Firewall Pro.
И вдруг сегодня обнаружил, что нечто лезет на тучу разных ip по udp на netbios_ns - все это блокируется аутпостом как запрет netbios-соединений.
После обнаружения этого я вырубил все программы, оставил аутпост, и оставил комп включенным на 3 часа. Активности по netbios - ноль.

Сканирование системы антивирусами ничего не выявляет. Но, аутпост иногда сообщает что Explorer пытался модифицировать его файлы.

Вот пример журнала аутпоста:

время процесс, направление, протокол, удаленный адрес, удаленный порт
17:25:31 NETBIOS ИСХ БЛОКИРОВАНО UDP www.macromedia.com NETBIOS_NS
17:25:27 NETBIOS ИСХ БЛОКИРОВАНО UDP 81.176.70.200 NETBIOS_NS
17:25:22 NETBIOS ИСХ БЛОКИРОВАНО UDP 80.254.160.182 NETBIOS_NS
17:25:18 NETBIOS ИСХ БЛОКИРОВАНО UDP 212.24.63.65 NETBIOS_NS
17:25:13 NETBIOS ИСХ БЛОКИРОВАНО UDP 209.170.96.102 NETBIOS_NS
17:25:08 NETBIOS ИСХ БЛОКИРОВАНО UDP 64.86.106.99 NETBIOS_NS
17:25:04 NETBIOS ИСХ БЛОКИРОВАНО UDP 64.86.106.89 NETBIOS_NS
17:24:59 NETBIOS ИСХ БЛОКИРОВАНО UDP 205.188.9.62 NETBIOS_NS
17:24:54 NETBIOS ИСХ БЛОКИРОВАНО UDP 207.46.196.104 NETBIOS_NS
17:24:49 NETBIOS ИСХ БЛОКИРОВАНО UDP 207.46.248.240 NETBIOS_NS
17:24:45 NETBIOS ИСХ БЛОКИРОВАНО UDP 217.73.202.4 NETBIOS_NS
17:24:40 NETBIOS ИСХ БЛОКИРОВАНО UDP 217.73.202.6 NETBIOS_NS
17:24:34 NETBIOS ИСХ БЛОКИРОВАНО UDP 203.223.158.12 NETBIOS_NS
17:24:26 NETBIOS ИСХ БЛОКИРОВАНО UDP 69.28.156.250 NETBIOS_NS

За 8 минут обращения были примерно к 30-ти разным IP. Аутпост их не опознает (кроме процитированной макромедии), и если на конкретный ip дать tracert, то имя также не показывается, и на двух предпоследних хопах выводятся звездочки.

кстати, вот сейчас опять похожие ip полезли уже от system, точно также - udp, netbios_ns

Что интересно - за день я наблюдаю три таких "пакета" обращений на разные ip, все в течение 7-8 минут с hh:20 минут до hh:27 минут - в 13, 17 и 23 часа.
Я вот сейчас подумал - возможно это как-то связано с перезагрузками компа... Т.е. нечто запускается при старте?

логи как положено прицеплены (кроме virusinfo_cure.zip, который у меня 1.2 мб и не пропускается форумом).

Вопрос - что это может быть?

[AndreyKa]

Не хватает файла virusinfo_syscure.zip

[V_Bond]

выполните скрипт..

Код:

begin
 QuarantineFile('D:\WINDOWS\system32\cpwmon2k.dll','');
 QuarantineFile('D:\TEMP\YAJC.exe','');     
 BC_ImportQuarantineList;
 BC_Activate;
 RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
нужен третий лог ... который virusinfo_syscure

[kdv]

я уже 4 или пять раз проверял - согласно правил пункт 8, выполнение скрипта "Скрипт лечения/карантина...." в AVZ скачанной мной позавчера с оригинального сайта, производит только файл
virusinfo_cure.zip
и больше ничего. Никаких файлов virusinfo_syscure.* не наблюдаю, нигде.
avz 4.27.0.1. Скачивал обновления первого октября.

Добавлено через 27 минут

to V_Bond:
почему-то BootCleaner некорректно записывает путь к файлам, и получается нечто вида \??\D:\TEMP\YAJC.exe.
соответственно, в архив эти файлы не попадают.
я взял их из карантина от предыдущего скана, они идентичны.
файл virus.zip закачал.
071002_173828_virus_4702c8641e97a.zip

p.s. возможно, yajc.exe - от RootkitRevealer Руссиновича. я тут по ходу пробую все, что можно...

[Bratez]

Присланные файлы чистые.
Если лог syscure так и не получается, сделайте вот такой:
http://virusinfo.info/showthread.php?t=10387
только в обычном режиме.

[AndreyKa]

Вполне возможно, что на компьютере уже ничего нет вредоносного. Троян мог собрать все пароли и самоликвидироваться. Так что, вам следует уже сейчас поменять все пароли: почта, ICQ, доступ к сайтам, ftp и т.д.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены