Кто-то пытается прорваться в интернет через прокси. Похоже на дыру в защите...

На компьютере установлен прокси на основе WinGate, файрвол Outpost FireWall. Подключение по DialUp.
Вчера что-то пробилось сквозь защиту. Признак заражения такой - время от времени делаются попытки (не проходят, режутся на компе) отослать что-то на 25 порт разных серверов в инете, причем судя по логам отправители не внутри сети, а внешние.
Вот пример логов:
10/03/07 16:38:15 122.126.104.124 Guest 0000007049 Failed authorisation: http://
10/03/07 16:38:15 122.126.104.124 Guest 0000007049 Failed authorisation: SSL://mail2.xps.idv.tw:25
10/03/07 16:38:15 122.126.104.124 Guest 0000007049 Requested: SSL://mail2.xps.idv.tw:25
10/03/07 16:38:15 122.126.104.124 Guest 0000007049 Traffic 304 40 0 0 0s
10/03/07 16:38:23 122.124.134.182 Guest 0000007050 Failed authorisation: http://
10/03/07 16:38:23 122.124.134.182 Guest 0000007050 Failed authorisation: SSL://ms1.hinet.net:25
10/03/07 16:38:23 122.124.134.182 Guest 0000007050 Requested: SSL://ms1.hinet.net:25
10/03/07 16:38:23 122.124.134.182 Guest 0000007050 Traffic 304 37 0 0 0s
10/03/07 16:39:27 74.222.2.208 Guest 0000007062 Failed authorisation: http://
10/03/07 16:39:34 74.222.2.208 Guest 0000007062 Traffic 0 9 0 0 7s
10/03/07 16:47:00 122.126.121.98 Guest 0000007170 Failed authorisation: http://
10/03/07 16:47:00 122.126.121.98 Guest 0000007170 Failed authorisation: SSL://mail3.xps.idv.tw:25
10/03/07 16:47:00 122.126.121.98 Guest 0000007170 Requested: SSL://mail3.xps.idv.tw:25
10/03/07 16:47:00 122.126.121.98 Guest 0000007170 Traffic 304 40 0 0 0s
10/03/07 16:51:49 206.251.72.42 Guest 0000007221 Failed authorisation: http://
10/03/07 16:51:56 206.251.72.42 Guest 0000007221 Traffic 0 9 0 0 7s
10/03/07 16:52:12 74.222.2.208 Guest 0000007225 Failed authorisation: http://
10/03/07 16:52:21 74.222.2.208 Guest 0000007225 Traffic 0 9 0 0 9s

Не понятно, то-ли на компе в сети сидит какой-то вырь, который маскируется и под разными IP пытается осуществить рассылку, то-ли где-то в системе брешь, через которую внешние зараженные компы пытаются что-то разослать.
CureIt на компе ничего подозрительного не нашел (кроме нескольких троянов в кэше WinGate).

Вместо virusinfo_cure.zip должен быть [b]virusinfo_syscure.zip[/b].

[QUOTE=Bratez;139741]Вместо virusinfo_cure.zip должен быть [b]virusinfo_syscure.zip[/b].[/QUOTE]
Не получается :(
AVZ 4.27 от 30.08.07, базы обновлены.
Запускаю "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" (№ 3), формирует virusinfo_cure.zip, а не virusinfo_syscure.zip
Я сегодня с утра специально заново скачал и установил AVZ, обновил базы. Результат тот же.
Может быть, проблема в том, что при работе скрипта выдается сообщение:
Ошибка в работе антируткита [Access violation at address 00404D1F in module 'avz.exe'. Read of address 80000007], шаг [11]
Протоколы работы при выполнении третьего и второго скрипта прилагаю.
Заодно прилагаю заново сфрмированные логи (кроме virusinfo_cure.zip, он пустой и не нужен).

сделайте лог [url]http://virusinfo.info/showthread.php?t=10387[/url]

[QUOTE=V_Bond;139883]сделайте лог [url]http://virusinfo.info/showthread.php?t=10387[/url][/QUOTE]

Сделал в защищенном (safemode.rar) и обычном (standmode.rar)

Ничего подозрительного не видно.

[QUOTE=Bratez;139941]Ничего подозрительного не видно.[/QUOTE]

Похоже, что это кто-то в сети подцепил. Когда вчера CureIt проверял, выгреб из кэша WinGate несколько штук VBS.PackFor и еще что-то.
Пользователи вчера прогнали на своих компах CureIt, наверное, вылечили. По крайней мере сегодня не было еще ни одной попытки выхода с внешними адресами.
Немного смущает, что в логах протокола работы AVZ (avz_log1.txt) есть что-то:
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:CreateProcessA (99) перехвачена, метод APICodeHijack.JmpTo[1005D5D6]
Функция kernel32.dll:CreateProcessW (103) перехвачена, метод APICodeHijack.JmpTo[1005D5AE]
....
Функция user32.dll:SetWindowsHookExA (651) перехвачена, метод APICodeHijack.JmpTo[1005DD32]
Функция user32.dll:SetWindowsHookExW (652) перехвачена, метод APICodeHijack.JmpTo[1005DD0A]

Может быть, это какие-то хвосты от Outpost? Хотя я его отключил (по крайней мере, в списка задач Outpost не ббыло видно), но видимо, что-то осталось, поскольку далее идет:
Функция NtAssignProcessToJobObject (13) перехвачена (805D4DD0->9E3F0C10), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtClose (19) перехвачена (805BAEB4->9E3DDAD0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
...
Функция NtUnloadDriver (106) перехвачена (80582F92->9E3EAF90), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtWriteVirtualMemory (115) перехвачена (805B2D5C->9E3F1350), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

И вот это немного смущает (из avz_log.txt):
Ошибка в работе антируткита [Access violation at address 00404D1F in module 'avz.exe'. Read of address 80000007], шаг [11]

Насчет перехватов - это нормально, файрвол вы отключили, но его драйвер по-прежнему загружается и действует, тут страху нет. А вот ошибка антируткита - это странно, по идее так быть не должно.

[QUOTE=Bratez;139977]А вот ошибка антируткита - это странно, по идее так быть не должно.[/QUOTE]
Что-то это нас преслодовать стало. Не первая тема, в которой такое происходит.

[QUOTE=PavelA;139992]Что-то это нас преслодовать стало. Не первая тема, в которой такое происходит.[/QUOTE]
Может, статистику какую собрать? Железо, софт...
У меня Core2Duo (E4400).

во всех темах с ошибкой работы антирукита ...Outpost Firewal