Система открывает очень много портов

[COLOR=black][COLOR=black]Здравствуйте.[/COLOR]

[COLOR=black]2 дня назад столкнулся с проблемой:[/COLOR]
[COLOR=black]подойдя утром к компьютеру я обнаружил, что пк не видит сети. [/COLOR][COLOR=black]Firewall [/COLOR][COLOR=black]показывал, что системой процессом было открыто около 1200 портов. После перезагрузки пк увидел сеть, но Firewall дал запрос на создание правила для системного процесса. Вот это правило:[/COLOR]
[quote]
[COLOR=black][COLOR=black]Где протокол [COLOR=blue]TCP[/COLOR][/COLOR]
[COLOR=black]и направление [COLOR=blue]Исходящее[/COLOR][/COLOR]
[COLOR=black][COLOR=black]и удалённый адрес [/COLOR][COLOR=blue]localhost (127.0.0.1)[/COLOR][/COLOR]
[COLOR=black]и удалённый порт [COLOR=blue]19780[/COLOR][/COLOR]
[COLOR=black][COLOR=blue]Разрешать[/COLOR][/COLOR]
[/COLOR][/quote]
[COLOR=black]После разрешения данного правила Firewall фиксирует, что с каждым открытым сайтом или обновлённой страницей увеличивается количество соединений вида:[/COLOR]
[COLOR=black][quote]<SYSTEM> localhost:loopback *Разрешать Исходящее TCP на 19780 OUT TCP 19780 1133[/quote][/COLOR]
[COLOR=black]Process Explorer показал, что у каждого соединения "Thread Stack" вида:[/COLOR]
[quote]afw.sys+0xcad2
ntkrnlpa.exe+0x170ef
ntkrnlpa.exe+0x6d17d
ntkrnlpa.exe+0x2fb5a
ntkrnlpa.exe!MmProbeAndLockPages
ntkrnlpa.exe!ExWindowStationObjectType+0x100
[/quote]
[COLOR=black]Сами сайты при этом грузятся очень медленно, не открываются полностью или вообще не открываются.[/COLOR]

[COLOR=black]Согласно правилам, я выполнил полную проверку антивирусом KAV7 и [/COLOR]
[B][COLOR=black]утилитой от DrWeb - CureIT!. [/COLOR][/B]
[COLOR=black]После этого я запустил AVZ[B] "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info", [/B]но, перед этим я забыл отключить восстановление системы. Я остановил выполнение скрипта и отключил восстановление системы. Но, как мне показалось, AVZ уже успел что-то поместить в карантин. После отключения системы я запустил AVZ[B] "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info".[/B][/COLOR]
[COLOR=black]После этого, согласно правилам, я перезагрузил компьютер. Автоматически запустились антивирус и firewall. Но, при попытке повторного отключения антивируса, загорался синий экран с каким-то кодом и система перезагружалась. Это повторилось несколько раз. Я выполнил пункты 10-13 с включёнными антивирусом и firewall. После этого я ещё 2 раза попробовал отключить антивирус: [/COLOR]
[COLOR=black]первый раз, сразу после проверок AVZ и HiJackThis, появился синий экран с кодом и пк перезагрузился; [/COLOR]
[COLOR=black]сразу после перезагрузки антивирус отключился корректно и я повторно выполнил пункты 10-13.[/COLOR]

[COLOR=black]Логи последних проверок прикреплены к теме.[/COLOR]

[COLOR=black]Я использую: Windows XP+SP2, Антивирус Касперского 7.0.1.325, Outpost Firewall Pro 6.0.2225[/COLOR]
[/COLOR]

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\Illustrate\dBpoweramp\GetPopupInfo.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\ntkrnlpa.exe','');
QuarantineFile('c:\windows\system32\ctfmon.exe','');
QuarantineFile('c:\program files\internet explorer\iexplore.exe','');
DeleteFile('C:\autorun.inf');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=18960[/url]

2.ProxyServer = 82.114.150.117:8080 - Ваше прокси?

В архив попало всё, что было в карантине AVZ.
[quote]
Результат загрузки
Файл сохранён как 080301_152738_virus_47c9ca4ab9d87.zip
Размер файла 1491808
MD5 184596b5b954f6695b695f19ab8d30d7
[/quote]
[quote]
2.ProxyServer = 82.114.150.117:8080 - Ваше прокси?
[/quote]
Нет.

autorun.inf, ctfmon.exe, fssync.dll, GetPopupInfo.exe, iexplore.exe, miscr3.dll, ntkrnlpa.exe

Вредоносный код в файлах не обнаружен.

Пофиксьте в HiJackThis:
[code]R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 82.114.150.117:8080[/code]
Больше плохого не вижу...

К сожалению проблема осталась
[quote]<SYSTEM> ... (открыто 34 соединений) ... ... ...[/quote]

[quote]<SYSTEM> localhost:loopback *Разрешать Исходящее TCP на 19780 OUT TCP 19780 1039
<SYSTEM> localhost:loopback *Разрешать Исходящее TCP на 19780 OUT TCP 19780 1041
<SYSTEM> localhost:loopback *Разрешать Исходящее TCP на 19780 OUT TCP 19780 1045
<SYSTEM> localhost:loopback *Разрешать Исходящее TCP на 19780 OUT TCP 19780 1049
<SYSTEM> localhost:loopback *Разрешать Исходящее TCP на 19780 OUT TCP 19780 1055
<SYSTEM> localhost:loopback *Разрешать Исходящее TCP на 19780 OUT TCP 19780 KPOP
<SYSTEM> localhost:loopback *Разрешать Исходящее TCP на 19780 OUT TCP 19780 1117
и т.д.[/quote]

а если это правило сделать запретным...
[quote]Где протокол [COLOR=blue]TCP[/COLOR]
[COLOR=black]и направление [COLOR=blue]Исходящее[/COLOR][/COLOR]
[COLOR=black][COLOR=black]и удалённый адрес [/COLOR][COLOR=blue]localhost (127.0.0.1)[/COLOR][/COLOR]
[COLOR=black]и удалённый порт [COLOR=blue]19780[/COLOR][/COLOR]
[COLOR=black][COLOR=blue]Разрешать[/COLOR][/COLOR][/quote]
...то ни один сайт больше не открывается.

В AVZ
Сервис - Открытые порты TCP\UDP

Сохранить и приложить..

Готово

c:\program files\bonjour\mdnsresponder.exe

Пришлите по правилам

[quote=rubin;195863]c:\program files\bonjour\mdnsresponder.exe
Пришлите по правилам[/quote]

Не получилось.
Я пытался добавить файл в карантин согласно правилам "[B]Как правильно искать и присылать запрошенные файлы?" - [/B][URL]http://virusinfo.info/showthread.php?t=4567[/URL]
Вот отчёт протокола:
[quote]
[SIZE=2]Поиск файлов по маске *.exe[/SIZE]
[SIZE=2]C:\Program Files\Bonjour\mDNSResponder.exe[/SIZE]
[SIZE=2]Поиск файлов завершен[/SIZE]
[SIZE=2]Просмотрено 2, найдено 1[/SIZE]
[SIZE=2]Файл C:\Program Files\Bonjour\mDNSResponder.exe скопирован в карантин[/SIZE][/quote]
Но в меню "Файл" > "Просмотр карантина" есть только одна папка "2008-03-01" в которой нет файла c:\program files\bonjour\mdnsresponder.exe.

Ну запакуйте вручную... с архивом virus.
На время карантина антивирус выключали?

[quote=rubin;195885]На время карантина антивирус выключали?[/quote]
Я пробовал с включённым и выключенным антивирусом.

Файл упаковал вручную с паролем virus и выслал:
[quote]Результат загрузки
Файл сохранён как 080302_095134_virus_47cacd061daaa.zip
Размер файла 122784
MD5 58811efb8b8041e9eda2543b2987c4f1[/quote]

[size="1"][color="#666686"][B][I]Добавлено через 7 часов 35 минут[/I][/B][/color][/size]

Нашёл эту тему - [URL]http://virusinfo.info/showthread.php?t=17605&page=3[/URL] (и ещё несколько подобных на других сайтах)
Как я писал ранее:
[QUOTE]Я использую: Windows XP+SP2, Антивирус Касперского 7.0.1.325, Outpost Firewall Pro 6.0.2225[/QUOTE]
Оказывается проблема в сборках KAV7 выше 7.0.0.125 - они каким-то образом конфликтуют с Agnitum Outpost Firewall (ище какими-то сетевыми экранами).
Я вернулся на эту сборку антивируса (KAV7 7.0.0.125) и проблема решилась.

Не ругайтесь сильно - я искал вирус и не думал, что эту свинью может подкинуть ЛК.

Большое спасибо за оказанную помощь.

PS: Если вы успели проверить mDNSResponder.exe, то скажите всё ли в порядке с этим файлом ?

Файл чистый.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]18[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]