Возможный троян

Во время сёрфинга по интернету, были скачены и запущены файлы "media_codec_install_wizard_3912935.exe" и "VideoAccessCodecInstall.exe". AVZ и Kaspersky Antivirus 7.0 не считают файлы вирусами. Полное сканирование диска C антивирусами Kasperksy Antivirus, Dr.Web CureIt!, AVZ не показала наличие чего-либо подозрительного. При загрузке системы Jetico Personal Firewall выдаёт окно о попытке процесса svchost.exe создать исходящее соединение на 81.29.248.50:80 ([url]http://thenetworkcom.com/[/url]) и 81.29.248.58:80. При дальнейшей работе системы запросы на исходящие соединения на эти адреса не поступают, только при перезагрузке Windows XP. По этому адресу _http://endellion.me.uk/virus/VideoAccessCodec.html человек высказывает своё мнение об этом вирусе, но к сожалению на английском языке. Логи прилагаю к сообщению.

выполните скрипт...
[code]
begin
QuarantineFile('\SystemRoot\system32\DRIVERS\tcpip.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...

Выполнил. Сразу скажу, что tcpip.sys пропатчен на 100 half-open соединений (вместо 10 стандартных). И если не трудно, объясните зачем нужна строчка "RebootWindows(true);" в случае перемещения файлов на карантин, т.е. зачем перезагрузка системы?

tcpip.sys- по вирустотал чистый ... подождем что скажет вирлаб ...
попробуйте поискать на диске ... AVZ - сервис- поск файлов на диске ...
wmpenv.dll, duocore.dll ,wmpconf.dll если найдутся пришлите по правилам

Поиск по всем локальным дискам и флэшке не дал результата - файлы не найдены.

Ничего подозрительного в логах не видно.
Попробуйте временно убрать из автозапуска эти две программы:
[code]
O4 - HKCU\..\Run: [µTorrent] "C:\Program Files\uTorrent\utorrent.exe"
O4 - HKCU\..\Run: [USDownloader] "E:\E\R\USDownloader-Lite\USDownloader.exe"
[/code]
и пронаблюдайте, изменится ли ситуация.

media_codec_install_wizard_3912935.exe" и "VideoAccessCodecInstall.exe"сколько весят? можно их тоже прислать как полагается ;)

[QUOTE=Neo;141993][b][color=#808080]Выполнил. Сразу скажу, что tcpip.sys пропатчен на 100 half-open соединений (вместо 10 стандартных). И если не трудно, объясните зачем нужна строчка "RebootWindows(true);" в случае перемещения файлов на карантин, т.е. зачем перезагрузка системы?[/color][/b][/QUOTE]

Нужна потому что в начале стоит команда: searchrootkit().
Она нарушает работу антивирусных и не только программ.

uTorrent и USDownloader с автозагрузки убирал, всё равно есть попытка доступа в сеть. Требуемые файлы прислал как полагается.
Файлы пришли?
Пишу сообщение, чтобы напомнить, может найдено решение.
Наверное, троян помрёт только с Windows :).

Куда прислали? По правилам надо сюда: [url]http://virusinfo.info/upload_virus.php?tid=13201[/url]
Я что-то не вижу ваших файлов.
[QUOTE=drongo;142134]media_codec_install_wizard_3912935.exe" и "VideoAccessCodecInstall.exe"сколько весят? можно их тоже прислать как полагается ;)[/QUOTE]

Файл virus.zip прислал.

media_codec_install_wizard_3912935.exe - Trojan.DownLoader.35770 или Trojan-Downloader.Win32.Delf.cmz
VideoAccessCodecInstall.exe - Trojan.DownLoader.35813 или Trojan-Downloader.Win32.Zlob.gen

Вывод: если файл не детектируется антивирусом это не значит, что он безопасен.

Это Я понял :). Вопрос другой, какая пакость у Меня пытается лезть в инет. В общем вопрос тот же, что и в первом сообщении.

Trojan.DownLoader -работа у него такая в интернет лезть ... ;)

Знаете что за программа E:\E\R\TrayIt\TrayIt!.exe?
Remote Administrator сами установили?
А вобщето, нужны новые логи.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] media_codec_install_wizard_3912935.exe - [B]Trojan-Downloader.Win32.Delf.cmz[/B] (DrWEB: Trojan.DownLoader.35770)[*] videoaccesscodecinstall.exe - [B]Trojan-Downloader.Win32.Zlob.gen[/B] (DrWEB: Trojan.DownLoader.35813)[/LIST][/LIST]