Кто-то пытается прорваться в интернет через прокси. Похоже на дыру в защите...

[KonstS]

На компьютере установлен прокси на основе WinGate, файрвол Outpost FireWall. Подключение по DialUp.
Вчера что-то пробилось сквозь защиту. Признак заражения такой - время от времени делаются попытки (не проходят, режутся на компе) отослать что-то на 25 порт разных серверов в инете, причем судя по логам отправители не внутри сети, а внешние.
Вот пример логов:
10/03/07 16:38:15 122.126.104.124 Guest 0000007049 Failed authorisation: http://
10/03/07 16:38:15 122.126.104.124 Guest 0000007049 Failed authorisation: SSL://mail2.xps.idv.tw:25
10/03/07 16:38:15 122.126.104.124 Guest 0000007049 Requested: SSL://mail2.xps.idv.tw:25
10/03/07 16:38:15 122.126.104.124 Guest 0000007049 Traffic 304 40 0 0 0s
10/03/07 16:38:23 122.124.134.182 Guest 0000007050 Failed authorisation: http://
10/03/07 16:38:23 122.124.134.182 Guest 0000007050 Failed authorisation: SSL://ms1.hinet.net:25
10/03/07 16:38:23 122.124.134.182 Guest 0000007050 Requested: SSL://ms1.hinet.net:25
10/03/07 16:38:23 122.124.134.182 Guest 0000007050 Traffic 304 37 0 0 0s
10/03/07 16:39:27 74.222.2.208 Guest 0000007062 Failed authorisation: http://
10/03/07 16:39:34 74.222.2.208 Guest 0000007062 Traffic 0 9 0 0 7s
10/03/07 16:47:00 122.126.121.98 Guest 0000007170 Failed authorisation: http://
10/03/07 16:47:00 122.126.121.98 Guest 0000007170 Failed authorisation: SSL://mail3.xps.idv.tw:25
10/03/07 16:47:00 122.126.121.98 Guest 0000007170 Requested: SSL://mail3.xps.idv.tw:25
10/03/07 16:47:00 122.126.121.98 Guest 0000007170 Traffic 304 40 0 0 0s
10/03/07 16:51:49 206.251.72.42 Guest 0000007221 Failed authorisation: http://
10/03/07 16:51:56 206.251.72.42 Guest 0000007221 Traffic 0 9 0 0 7s
10/03/07 16:52:12 74.222.2.208 Guest 0000007225 Failed authorisation: http://
10/03/07 16:52:21 74.222.2.208 Guest 0000007225 Traffic 0 9 0 0 9s

Не понятно, то-ли на компе в сети сидит какой-то вырь, который маскируется и под разными IP пытается осуществить рассылку, то-ли где-то в системе брешь, через которую внешние зараженные компы пытаются что-то разослать.
CureIt на компе ничего подозрительного не нашел (кроме нескольких троянов в кэше WinGate).

[Bratez]

Вместо virusinfo_cure.zip должен быть virusinfo_syscure.zip.

[KonstS]

Вместо virusinfo_cure.zip должен быть virusinfo_syscure.zip.

Не получается
AVZ 4.27 от 30.08.07, базы обновлены.
Запускаю "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" (№ 3), формирует virusinfo_cure.zip, а не virusinfo_syscure.zip
Я сегодня с утра специально заново скачал и установил AVZ, обновил базы. Результат тот же.
Может быть, проблема в том, что при работе скрипта выдается сообщение:
Ошибка в работе антируткита [Access violation at address 00404D1F in module 'avz.exe'. Read of address 80000007], шаг [11]
Протоколы работы при выполнении третьего и второго скрипта прилагаю.
Заодно прилагаю заново сфрмированные логи (кроме virusinfo_cure.zip, он пустой и не нужен).

[V_Bond]

сделайте лог http://virusinfo.info/showthread.php?t=10387

[KonstS]

сделайте лог http://virusinfo.info/showthread.php?t=10387

Сделал в защищенном (safemode.rar) и обычном (standmode.rar)

[Bratez]

Ничего подозрительного не видно.

[KonstS]

Ничего подозрительного не видно.

Похоже, что это кто-то в сети подцепил. Когда вчера CureIt проверял, выгреб из кэша WinGate несколько штук VBS.PackFor и еще что-то.
Пользователи вчера прогнали на своих компах CureIt, наверное, вылечили. По крайней мере сегодня не было еще ни одной попытки выхода с внешними адресами.
Немного смущает, что в логах протокола работы AVZ (avz_log1.txt) есть что-то:
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:CreateProcessA (99) перехвачена, метод APICodeHijack.JmpTo[1005D5D6]
Функция kernel32.dll:CreateProcessW (103) перехвачена, метод APICodeHijack.JmpTo[1005D5AE]
....
Функция user32.dll:SetWindowsHookExA (651) перехвачена, метод APICodeHijack.JmpTo[1005DD32]
Функция user32.dll:SetWindowsHookExW (652) перехвачена, метод APICodeHijack.JmpTo[1005DD0A]

Может быть, это какие-то хвосты от Outpost? Хотя я его отключил (по крайней мере, в списка задач Outpost не ббыло видно), но видимо, что-то осталось, поскольку далее идет:
Функция NtAssignProcessToJobObject (13) перехвачена (805D4DD0->9E3F0C10), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtClose (19) перехвачена (805BAEB4->9E3DDAD0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
...
Функция NtUnloadDriver (106) перехвачена (80582F92->9E3EAF90), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtWriteVirtualMemory (115) перехвачена (805B2D5C->9E3F1350), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

И вот это немного смущает (из avz_log.txt):
Ошибка в работе антируткита [Access violation at address 00404D1F in module 'avz.exe'. Read of address 80000007], шаг [11]

[Bratez]

Насчет перехватов - это нормально, файрвол вы отключили, но его драйвер по-прежнему загружается и действует, тут страху нет. А вот ошибка антируткита - это странно, по идее так быть не должно.

[PavelA]

А вот ошибка антируткита - это странно, по идее так быть не должно.

Что-то это нас преслодовать стало. Не первая тема, в которой такое происходит.

[KonstS]

Что-то это нас преслодовать стало. Не первая тема, в которой такое происходит.

Может, статистику какую собрать? Железо, софт...
У меня Core2Duo (E4400).

[V_Bond]

во всех темах с ошибкой работы антирукита ...Outpost Firewal