Неизвестный пожиратель трафика...

Доброе утро ... :-)

При установлении подключения к интернету (Dial-Up модемное соединение) сразу начинаеться резвая передача и приём байтов,
даже ещё до того, как начинаю ходить по инету...
Нод32 находит периодически файлы формата Win??DD.sys, где ?? - любые латинские символы, а DD - любые цифры...

Вот например одна из последних проверок:
Bpeмя Moдуль Oбъeкт Имя Bиpуc Дeйcтвиe Пoльзoвaтeль Инфopмaция
13.07.2008 4:16:03 Ядро файл C:\WINDOWS\system32\drivers\winfl17.sys Win32/Wigon.CK троян Обнаружена инфекция при проверке файлов, запускаемых при старте системы
Bpeмя Moдуль Oбъeкт Имя Bиpуc Дeйcтвиe Пoльзoвaтeль Инфopмaция
13.07.2008 4:16:08 Ядро файл C:\WINDOWS\system32\activedsq.dll Win32/Spy.Agent.NHN троян Обнаружена инфекция при проверке файлов, запускаемых при старте системы
Bpeмя Moдуль Oбъeкт Имя Bиpуc Дeйcтвиe Пoльзoвaтeль Инфopмaция
13.07.2008 4:19:06 AMON файл C:\WINDOWS\System32\drivers\Winnt30.sys Win32/Wigon.CK троян изолирован - удален NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINDOWS\TEMP\BN2.tmp. Файл был перемещен в карантин. Вы можете закрыть это окно.
Bpeмя Moдуль Oбъeкт Имя Bиpуc Дeйcтвиe Пoльзoвaтeль Инфopмaция
13.07.2008 4:24:57 AMON файл C:\WINDOWS\system32\drivers\Winnt30.sys Win32/Wigon.CK троян изолирован - удален NT AUTHORITY\SYSTEM Событие произошло в модифицированном файле. Файл был перемещен в карантин. Вы можете закрыть это окно.

И после НОДа этого CureIT в безопасном режиме находит вот это:
[Шлях, що перевіряється] c:\windows\system32\drivers\winnt30.sys
c:\windows\system32\drivers\winnt30.sys інфікований Trojan.Rntm.10 - видалений
[Шлях, що перевіряється] c:\windows\system32\winctrl32.dll
c:\windows\system32\winctrl32.dll інфікований Trojan.DownLoader.63553 - видалений

В общем сделал логи согласно Вашей инструкции, посмотрите пож-та, может Вы найдёте, где этот неизвестный пожиратель трафика прячеться... :-)

Отключите антивирус и интернет!

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winpv28');
DeleteService('Winlr28');
DeleteService('Winkq85');
DeleteService('Winfl17');
DeleteService('Winci17');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winpv28.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winlr28.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winkq85.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winfl17.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winci17.sys','');
QuarantineFile('srv.exe','');
DeleteFile('srv.exe');
DeleteService('XCOMM');
DeleteService('VSSHidServ');
DeleteService('UMWdfseclogon');
DeleteService('TrkWksMSDTC');
DeleteService('TermServiceNtmsSvc');
DeleteService('SharedAccessAppMgmt');
DeleteService('RemoteRegistryClipSrv');
DeleteService('RDSessMgrALG');
DeleteService('PolicyAgentose');
DeleteService('PlugPlayPlugPlayNtLmSsp');
DeleteService('PlugPlayNtLmSsp');
DeleteService('NetDDETlntSvrUMWdfseclogon');
DeleteService('NetDDETlntSvr');
DeleteService('McNASvcATKKeyboardServiceCryptSvc');
DeleteService('LIVESRVTrkWksMSDTC');
DeleteService('LIVESRV');
DeleteService('IDriverTupnphost');
DeleteService('ERSvcWZCSVC');
DeleteService('CiSvcLmHosts');
DeleteService('ATKKeyboardServiceCryptSvc');
DeleteService('aspnet_stateNetman');
DeleteService('ALGDnscache');
DeleteFile('C:\WINDOWS\System32\Drivers\Winci17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfl17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkq85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlr28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpv28.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:[url]http://virusinfo.info/upload_virus.php?tid=26405[/url]

Повторите логи...

После выполнения скрипта компьютер начал было перезагружаться и повис (иконки исчезли, осталась голая картинка десктопа). Пришлось помочь княпкой RESET.

Вот новые логи:

ваполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\~.exe','');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\I9L2VAL0\load[1].exe','');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\5R33TXKE\load[1].exe','');
BC_DeleteSvc('Winta41');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winta41.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('c:\docume~1\user\locals~1\temp\winympivpi.exe','');
DeleteFile('c:\docume~1\user\locals~1\temp\winympivpi.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winta41.sys');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\5R33TXKE\load[1].exe');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\I9L2VAL0\load[1].exe');
DeleteFile('C:\WINDOWS\system32\~.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...

Перезагрузка прошла в этот раз нормально.
Вот новые логи:

пофиксите ...
[code]
O2 - BHO: (no name) - {e3a729da-eabc-df50-1842-dfd682644311} - (no file)
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O20 - Winlogon Notify: reset6 - AUHook.dll (file missing)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
[/code]
что с вашими проблемами ?

Пока от Вас разрешения подключаться к инету не получил, потому ещё пока не знаю... :-(
Сейчас пофиксю и попробую подключиться, ок ?

Профиксил, подключился к инету с помощью модемного соединения, вроде бы пока тишина... Отключился от модема, подключился по локалке к инету. Что-то идёт, но не могу понять что... %(
IMON НОДа постояно сканит следующее: [url]http://192.168.0.1:2869/upnphost/udhisapi.dll[/url] , т.е. кол-во проверенных фалов каждую секунду постоянно растёт, но инфицированных - 0,
а AMON тоже каждую секунду сканит какие tmp файлы (типа вот такого IH1FD.tmp)/ Но может это фон сетки внутренней, потому как на машинке, кот. раздаёт инет в локалку вход.и исходящий трафик стоят на месте когда по инету не лазишь... Вот такая вот ситуация...

Высылаю итоговые логи для контрольного выстрела ... ;-):

пофиксите ...
[code]
O3 - Toolbar: (no name) - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - (no file)
[/code]
плохого ничего не вижу ...

Понял, ок, проблема ушла, надеюсь надолго,
по крайней мере сеёчас уже нету того постоянного приёмо-передающего шпиёна... :-)
Огромное Вам Человеческое Спасибо за помощь!!!
Здорово вы всё таки разбираетесь в этом всём...
Молодцы ребята, хэлперы!!!

А если не секрет, что ж это был за обжора инет траффика ?

Это был руткит-спамбот Bulknet.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]32[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\user\\local settings\\temporary internet files\\content.ie5\\i9l2val0\\load[1].exe - [B]Trojan-Downloader.Win32.Mutant.amd[/B] (DrWEB: Trojan.DownLoad.932)[*] c:\\documents and settings\\user\\local settings\\temporary internet files\\content.ie5\\5r33txke\\load[1].exe - [B]Trojan-Downloader.Win32.Mutant.amd[/B] (DrWEB: Trojan.DownLoad.932)[*] c:\\documents and settings\\user\\local settings\\temp\\winympivpi.exe - [B]Trojan-Downloader.Win32.Mutant.amd[/B] (DrWEB: Trojan.DownLoad.932)[*] c:\\docume~1\\user\\locals~1\\temp\\winympivpi.exe - [B]Trojan-Downloader.Win32.Mutant.amd[/B] (DrWEB: Trojan.DownLoad.932)[*] c:\\windows\\system32\\~.exe - [B]Trojan-Downloader.Win32.Mutant.amd[/B] (DrWEB: Trojan.DownLoad.932)[*] c:\\windows\\system32\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.aml[/B] (DrWEB: Trojan.DownLoader.63553)[/LIST][/LIST]