netstat и SYN_SENT и smtp

[scarev]

С недавнего времени появилась постоянная сетевая активность, выполнил netstat в командной строке и вот что обнаружил

Код:

 TCP    GURU:1372              216.195.56.19:2516     SYN_SENT
 TCP    GURU:1376              mega4.z8.ru:http       SYN_SENT
 TCP    GURU:1377              mega4.z8.ru:http       SYN_SENT
 TCP    GURU:1378              mega4.z8.ru:http       SYN_SENT
 TCP    GURU:1380              mega4.z8.ru:http       SYN_SENT
 TCP    GURU:1382              mega4.z8.ru:http       SYN_SENT
 TCP    GURU:1025              mega4.z8.ru:http       SYN_SENT
 TCP    GURU:1030              mx1.rtl2.de:smtp       TIME_WAIT
 TCP    GURU:1034              cst5.belwue.de:smtp    TIME_WAIT
 TCP    GURU:1045              mega4.z8.ru:http       SYN_SENT
 TCP    GURU:1045              anchor-relay-1.mail.thus.net:smtp  TIME_WAIT
 TCP    GURU:1047              mx21.stratoserver.net:smtp  TIME_WAIT
 TCP    GURU:1049              mailin.rzone.de:smtp   TIME_WAIT
 TCP    GURU:1052              mail.g-bag.baycix.de:smtp  TIME_WAIT
 TCP    GURU:1057              listen.asamnet.de:smtp  TIME_WAIT
 TCP    GURU:1059              jacksonstops.netplan.co.uk:smtp  TIME_WAIT
 TCP    GURU:1061              mail.arcor-ip.de:smtp  TIME_WAIT
 TCP    GURU:1067              83.138.64.194:smtp     TIME_WAIT
 TCP    GURU:1070              usmtp02.venaria.marelli.it:smtp  TIME_WAIT
 TCP    GURU:1071              mail4.worldserver.net:smtp  TIME_WAIT
 TCP    GURU:1077              mx-b.kundenserver.de:smtp  TIME_WAIT
 TCP    GURU:1082              ngcobalt07.manitu.net:smtp  TIME_WAIT
 TCP    GURU:1087              boys-only.de:smtp      SYN_SENT

Первая мысль - завелась дрянь, лечил пару дней компутер, в итоге находил периодически какие то трояны, но итог один сетевая активность и SYN_SENT остались.
Ранее еще смотрел от какого процесса идет SYN_SENT, выяснилось что след идет к winlogon, так же откидывал сетку, после подключения сетки обратно и попытки помотретьс сетевое окружение дрянь активизировалась. Вот собсно и боримся.
Файлики прилагаются

[Rene-gad]

Удалите либо Симантека либо Есет: 2 АВ в одной системе не приносят пользы, только проблемы!!!
Пофиксите

Код:

O16 - DPF: {7d0314a8-7851-11d4-a3e1-00c04fa32518} -
O16 - DPF: {CAFECAFE-0013-0001-0009-ABCDEFABCDEF} -
O20 - Winlogon Notify: pmnnnoo - pmnnnoo.dll (file missing)
O20 - Winlogon Notify: MSSYCLM - C:\WINDOWS\
O20 - Winlogon Notify: sysfldr - C:\WINDOWS\SYSTEM32\sysfldr.dll
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\ServicePackFiles\winlogon.exe','');
 QuarantineFile('pmnnnoo.dll','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\sysfldr.dll','');
 QuarantineFile('winntn32.dll','');
 QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\system32\sysfldr.dll','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Bog35.sys','');
 DeleteFile('C:\WINDOWS\system32\sysfldr.dll');
 DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
 DeleteFile('winntn32.dll');
 DeleteFile('pmnnnoo.dll');
 DeleteFile('C:\WINDOWS\ServicePackFiles\winlogon.exe');
 StopService('Bog35'); 
 DeleteService('Bog35');
 DeleteFile('C:\WINDOWS\System32\drivers\Bog35.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки повторите логи. Карантин закачайте по правилам.

[scarev]

Все сделал как сказали.
кстати, Симантек снес вчера, остался Есет, видимо какие то хвосты просто от Симантека остались
И еще, на настоящий момент сетевая активность левая пропала, netstat ничего левого вроде как не выдает :-)

[Гриша]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('WLCtrl32.dll');
DeleteFile('sysfldr.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Пофиксить

Код:

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O20 - Winlogon Notify: MSSYCLM - C:\WINDOWS\
O20 - Winlogon Notify: pmnnnoo - C:\WINDOWS\
O20 - Winlogon Notify: sysfldr - sysfldr.dll (file missing)
O20 - Winlogon Notify: winntn32 - C:\WINDOWS\
O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)

Повторите логи.

[Rene-gad]

Проверьте реестр.
Если не убиты ключи, содержащие

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sysfldr

удалите их вручную. Потом повторите логи.

[scarev]

вот

[V_Bond]

выполните скрипт. ...

Код:

begin
 BC_DeleteSvc('fwdrv.sys');
 QuarantineFile('fwdrv.sys','');
 DeleteFile('fwdrv.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

повторите лог virusinfo_syscheck.zip

[scarev]

Сделал

[Гриша]

Чисто.

[scarev]

Чисто.

Спасибо всем за помощь

[Гриша]

Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.

Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 5
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\drivers\\bog35.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.DownLoader.50037)
  2. c:\\windows\\system32\\sysfldr.dll - Trojan.Win32.Pakes.clw (DrWEB: Trojan.Proxy.3057)
  3. c:\\windows\\system32\\wlctrl32.dll - Trojan-Downloader.Win32.Mutant.ci (DrWEB: Trojan.DownLoad.5309)