Исходящий траффик от неотображаемого процесса

[Glory]

с машины идет непонятный исходящий траффик.
зафиксированны попытки сканирования локального сервера
попытки соединиться с 204.13.249.70 по различным портам
все запросы IE идут через 127.0.0.1:1266 , а на машине никаких прокси-иммитаторов нет и не было.

на машине оказался полностью отрублен Антивирус

Проверка CureIt в сейф-моде произведена, найдено несколько троянов, но картина не изменилась

далее - выполнены процедуры согласно правил

[rubin]

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\DLGPC.DLL','');
 QuarantineFile('\??\C:\WINDOWS\system32\drivers\nltdi.sys','');
 QuarantineFile('C:\WINDOWS\System32\DRIVERS\ati2mtag.sys','');
 QuarantineFile('\??\C:\WINDOWS\system32\Drivers\uze0nje1.sys','');
 QuarantineFile('C:\WINDOWS\system32\ntkrnlpa.exe','');
 QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
 QuarantineFile('C:\WINDOWS\system32\Ati2evxx.dll','');      
 BC_ImportQuarantineList;
 BC_Activate;
 RebootWindows(true);
end.

Выполните скрипт и пришлите карантин

Добавлено через 2 минуты

Поищите через AVZ файл arm32.dll - если найдёте, то закарантиньте, и также прикрепите по приложению 3 Правил

[Glory]

Файл сохранён как071106_041607_virus_47303ee7bbca9.zip
Размер файла4059
MD50854c3c7c030f5366d90904d8089681e

arm32.dll - не берется: "ошибка чтения", "ошибка прямого чтения".

[rubin]

А где он лежал?

[Glory]

Ошибка карантина файла, попытка прямого чтения (arm32.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\arm32.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\arm32.dll)
Карантин с использованием прямого чтения - ошибка

[Bratez]

Да нет там arm32.dll...
Выполните еще такой скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sysdrv1.exe','');
QuarantineFile('C:\WINDOWS\3.exe','');
QuarantineFile('C:\temp\winAPI.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки пришлите новый карантин по правилам.

Добавлено через 3 минуты

Минутку, извиняюсь! Первый карантин-то пуст!! Одни ини-файлы...

Добавлено через 1 минуту

Выполните еще раз скрипт rubin'a, затем мой, при отключенном антивирусе, после этого пришлите весь карантин.

[Glory]

Файл сохранён как 071106_050513_virus_1_47304a6973923.zip

Размер файла 3132523

MD5 b4f2433d2aac2d02925354357df6dbd3


это по скрипту Рубин`а

Добавлено через 8 минут

Файл сохранён как 071106_051352_virus_3_47304c7068db5.zip
Размер файла 2609
MD5 58c09012a3c0b1e6bf924929df659e9e

но во втором архиве опять получились одни ini
три раза пробую - тот же результат.

[rubin]

Trojan.Win32.Patched.au - C:\WINDOWS\system32\ntkrnlpa.exe
Trojan.Win32.Patched.au - C:\WINDOWS\system32\ntoskrnl.exe

Остальное сейчас на ВирусТотале погоняю...

[Bratez]

ntkrnlpa.exe и ntoskrnl.exe - Trojan.Win32.Patched.au
Их надо либо заменить чистыми из дистрибутива, либо вылечить - это умеют например KAV 7.0 и DrWeb 4.44.

[Glory]

попробую заменить чистыми, дистрибутив есть.

[rubin]

C:\WINDOWS\system32\DLGPC.DLL
C:\WINDOWS\system32\drivers\nltdi.sys
C:\WINDOWS\system32\Ati2evxx.dll
C:\WINDOWS\System32\DRIVERS\ati2mtag.sys
Все файлы чисты...

Пофиксьте в HiJackThis:

Код:

O20 - Winlogon Notify: arm32reg - C:\WINDOWS\

После того, как замените файлы - повторите лог

[Glory]

файлы заменил...

теперь пишу с другого компа: пристарте выдает, что C:\WINDOWS\system32\ntoskrnl.exe поврежден или отсутсвует.

подключил хард на другую машину, как внешний USB, антивирь активен.

просмотр фалов в C:\WINDOWS\system32\
дал "интересные" результаты:
ntkrnlmp.exe - 0 байт
ntkrpamp.exe - 0 байт

Добавлено через 4 минуты

заменил все 4ре
ntkrnlmp.exe
ntkrpamp.exe
ntkrnlpa.exe
ntoskrnl.exe

[rubin]

Вы заражённые файлы как с дистрибутива устанавливали?

[Glory]

...вылил из Sp2.cab требуемые файлы на флешку на чистой машине

отправил больную в ребут. стартовал с CD, залил файлы с флешки вместо имеющихся (т.е. получил запросы на Overwrite и подтвердил).

затем ребут - машина не стартует.

___________________________

после замены 4х файлов - машина нормально стартовала, сейчас идет сканирование.

при активировании фаервола видно, что эксплорер опять "ходит" через 127.0.0.1:1102 (1174)

кроме того - попытке перейти по ссылке, содержащейся в письме (ссылка чистая, на www.adobe.com) - пишет, что "запрещено политикой"

[Bratez]

Попробуйте вручную собрать файлы, упомянутые в скрипте из сообщения #6.

[rubin]

Код:

 begin
 ExecuteRepair(6);
 ExecuteRepair(2);
 end.

Попробуйте это

[Glory]

скинул на флешку, стал запаковывать (на чистой машине), получил отлуп от NOD32:

F:\1111\WINAPI.EXE Win32/Haxdoor троян
F:\1111\3.EXE Win32/TrojanDropper.Agent.NCZ троян
F:\1111\SYSDRV1.EXE Win32/PSW.LdPinch.NEL троян

...похоже. я туплю...
надо было просто хард к себе вцепить и прогнать его сканером...

на всякий случай - высылаю.

Файл сохранён как 071106_064804_1111_47306284091c9.zip
Размер файла 94993
MD5 877f5f5fdfc4c636d4271c3dfebb143b

[rubin]

LdPinch - придется менять пароли

[Bratez]

Все ясно. Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\sysdrv1.exe');
DeleteFile('C:\WINDOWS\3.exe');
DeleteFile('C:\temp\winAPI.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

и давайте новые логи.

[Glory]

Прошу прощения за заминку - с работы просто уже выгнали вчера...

вот логи после всех проведенных действий.

...в логах, насколько вижу, все чисто, но исходящий траффик - продолжает капать...

Експлорер держит коннект на 127.0.0.1 с различными нестандартными портами.

в C:\WINDOWS\system32 лежат 2 файла:
sysdrv2.exe - 8,5 кБ
sysdrv5.exe - 3,4 кБ

проверка ничего в них не обнаруживает, но они мне, простите, не нравятся.

При включении фаервола (NetLimiterPro) видно, что любой запрос IE происходит дважды: на требуемый IP, а затем - на 127.0.0.1 с портом, на котором "висит" IE