вирус , не определяется ни одной антивирусной программой , не виден в процессах

[acronis2000]

Внимание - проблема с вирусом , огромная сетевая активность.

Есть локальная сеть с выходом в интернет через сервер по ADSL с раздачей через прокси TrafficInspector.

У всех компьютеров нормально , но у одного из них появилась сетевая активность - это видно и через TrafficInspector на сервере и через сетевое подключение на самом компьютере . Компьютер был проверен антивирусами : NOD32 , DrWEB , Panda , BitDefender , RemoveIt , Kaspersky и т.д.
НИ одна из них ничего не видит !!!
Более того - смотрю на компьютере при помощи TCPView , taskinfo, commview - тишина - все молчат и ничего не показывают типа нет сетевых подключений , хотя сетевое подключение в нижнем правом углу не затыкается и в trafficinspectore показываются все подключения данного компьютера и адреса !
В приложенных скринах вся информация
1.jpg - taskinfo
2.jpg - tcpview
3.jpg - окно Trafficinspectora с сервера.

Подскажите пожалуйста - какую программу монитор типа taskinfo использовать - чтобы отследить какой процесс и по какому порту все это делает , мне срочно нужно отловить эту нечисть , переустановку винды и установку экрана на компьютер просьба не предлагать.
Очень надеюсь на ВАШУ помошь !

[Numb]

Пожалуйста, сделайте логи AVZ и Hijackthis с данной машины ( п.п. 3-14 правил раздела "Помогите") и прикрепите их к теме

[acronis2000]

hijackthis.log

[V_Bond]

пофиксите

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe

выполните скрипт...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\system32\_svchost.exe','');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('C:\WINDOWS\system32\_svchost.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил....
сделайте все новые логи...

[SuperBrat]

Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
O23 - Service: Microsoft Internet Explorer - Unknown owner - C:\WINDOWS\system32\_svchost.exe (file missing)

[acronis2000]

ВАУ - спасибо большое за мгновенные ответы !
Файла ntos.exe нету , я его уже давно отследил и удалил.

скрипт "Скрипт сбора информации для раздела "Помогите!" virusinfo.info во вложении.

скрипт Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info сделать неудается - система через какое-то время проверки скриптом впадает в синий экран смерти - пробовал несколько раз - одно и тоже.

Кстати даже при синем экране идет сетевая активность - видно по индикатору на сетевой карте и на сервере по TrafficInspectoru !

[SuperBrat]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 // Очистка файла Hosts
 ClearHostsFile;
end.

[PavelA]

Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('Fni48.sys','');
QuarantineFile('F818ECBAFni48.sys','');
 DeleteFile('Fni48.sys');
DeleteFile('F818ECBAFni48.sys');
BC_DeleteFile('F818ECBAFni48.sys');
 BC_DeleteFile('Fni48.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Загрузить карантин.

Сделать лог в защищ. режиме:http://virusinfo.info/showthread.php?t=10387

[acronis2000]

файла _svchost - тоже не оказалось , видно был ранее и я его уже удалил.

Нашел только файл userinit , удалил его и вроде все стало ОК !!!

Numb - V_Bond - SuperBrat - всем гигантское спасибо !!!

Теперь очень хочеться узнать что это за вирус - я его кинул во вложенный файл - пароль 123 - если нельзя выкладывать - удалите пожалуйста - если можно - скажите что за зверь !!!

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\windows\system32\drivers\Fni48.sys','');
 DeleteFile('C:\windows\system32\drivers\Fni48.sys');
 RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'userinit');
BC_ImportALL;
ExecuteSysClean;
ClearHostsFile;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи (все три). Ждём-с.

Добавлено через 2 минуты

И вот это мне показалось странным:
c:\program files\common files\acronis\Служба защиты\psh_svc.exe
Пришлите по правилам на всякий случай.

[SuperBrat]

Нашел только файл userinit , удалил его и вроде все стало ОК !!!
Теперь очень хочеться узнать что это за вирус - я его кинул во вложенный файл - пароль 123 - если нельзя выкладывать - удалите пожалуйста - если можно - скажите что за зверь !!!

Это не вирус. Вы удалили один из файлов Windows.

[acronis2000]

Спасибо за советы - завтра продолжим , так как сегодня рабочий день закончился !
Кстати потратил полных два дня - даже обидно что не смог победить - раньше всегда разбирался сам - даже когда ни один антивирус не находил - искал через TASKINFO процессы , DLL ки и т.д. а на этот раз ни одна программа не показывает об активности какого либо процесса и меня это очень сильно смущает !!! А трафик все прет и прет !!!

из всех советов проделал это
профиксил
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\ntos.exe,
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
O23 - Service: Microsoft Internet Explorer - Unknown owner - C:\WINDOWS\system32\_svchost.exe (file missing)

и

удалил зачемто файл userinit.exe

[acronis2000]

Файла 'Fni48.sys' нет в системе , файл psh_svc.exe стоит на всех компах - это служба Acronis.

скрипт Скрипт сбора информации для раздела "Помогите!" virusinfo - выполняется нормально

скрипт - Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo - удалось сделать только в безопасном режиме , в обычном режиме вызывает через какое то время синий экран.

[acronis2000]

Да забыл - после перезагрузки из безопасного режима в обычный - вылетает табличка - система восстановлена после серьезной ошибки - хотя я отключил восстановление системы

Добавлено через 6 минут

вот еще на сервере вижу активность с данного компьютера к адресу 208.72.169.136 TCP 4099

[SuperBrat]

Да забыл - после перезагрузки из безопасного режима в обычный - вылетает табличка - система восстановлена после серьезной ошибки - хотя я отключил восстановление системы

Это не связано, "восстановление системы" и "система восстановлена" - разные вещи.

Добавлено через 3 минуты

Пост http://virusinfo.info/showpost.php?p=143577&postcount=7 не выполнен.
А эти?
http://virusinfo.info/showpost.php?p=143578&postcount=8
http://virusinfo.info/showpost.php?p...1&postcount=10
Забыли?