мой комп часть БотНет?

Есть большое подозрение на вирусы, да не только подозрение, но и доказательсво :)
если не запрещать (фаерволом. стоит Outpost 4.0.1025) процессу svchost 80 и 25 потры - то он начинает ддосить сайты или слать спам (я так подозреваю. судя по количеству обращейний к сайтам и активности на 25 порту).

подозреваю что комп часть ботнета. делал полное сканирование, но ничего не находил:
[URL="ftp://ftp.drweb.com/pub/drweb/cureit/setup.exe"]DrWeb - CureIT![/URL]
утилиткой от [URL="http://downloads5.kaspersky-labs.com/devbuilds/AVPTool/"]Касперского[/URL].
ставил BitDefinder (но на уже разаженный правда комп).
постоянно стоит Nod32. на время установки BitDef. удалял его (чтобы не возникало лишних вопросов). обновление каждый час.

hijackthis поругался на файл chtbrkr32.dll
вот что сказала проверка его в [URL="http://www.virustotal.com/ru/analisis/8a4802e3d952760ce28b4a997299cc39"]VirusTotals[/URL]: 14/36 :(

но нашел так же [URL="http://www.runscanner.net/filelibrary/chtbrkr32.dll.html"]это[/URL]я в замешательстве.

PS: virusinfo_syscure.zip не создался. есть только virusinfo_cure.zip - 8 Мег.

PPS: Project1.exe - програмка просто считает сумму цифр из лога.

[url]http://virusinfo.info/upload_virus.php?tid=28285-[/url] у нас карантин и подозрительные файлы грузят по правилам или вообще никак :)

[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]
Выполнить скрипт @ avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);

QuarantineFile('c:\windows\system32\r_server.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\chtbrkr32.dll','');
QuarantineFile('C:\WINDOWS\system32\CTFMON.EXE','');
QuarantineFile('C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe','');
QuarantineFile('C:\Documents and Settings\1\Рабочий стол\PORTMSYS.SYS','');
QuarantineFile('C:\WINDOWS\system32\Drivers\iqvw32.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\DgiVecp.sys','');
QuarantineFile('C:\WINDOWS\system32\appsec.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/code]
[color=red]Прислать запрошенный карантин[/color]- > [url]http://virusinfo.info/upload_virus.php?tid=28285[/url]

P.S. virusinfo_syscure.zip не создался из-за вашего оутпоста- они не дружат ;)

Хочется сказать что я не хочу просто убить все подозрительное.
про то что у меня есть программы, распознаваемые антивирусниками "Возможно вирус" я знаю. половина утилит от nirsoft.net и systernals парочка считаются подозрительными. но они очень в работе помагают и хочется их оставить.


'c:\windows\system32\r_server.exe'
радмин мне нужен. я знаю что это.

'C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe'
это мне нужно. я знабю что это. скачано с оф сайта.

'c:\windows\system32\drivers\iqvw32.sys' [URL="http://www.virustotal.com/ru/analisis/46ca60a57b95303673bedc5053f7f4f0"]VirusTotal[/URL]
[CODE]NALIntel(R) Network Adapter Diagnostic Driver Intel Corporation[/CODE]

'C:\WINDOWS\system32\Drivers\DgiVecp.sys' [URL="http://www.virustotal.com/ru/analisis/9c07672cca726da63acb011009c205be"]VirusTotal[/URL]
[CODE]
DgiVecp C:\WINDOWS\system32\Drivers\DgiVecp.sys автоматически Windows 2k,XP IEEE-1284 parallel class driver for ECP, Byte, and Nibble modes 1.1.2.40 Samsung Electronics Co., Ltd. Samsung Electronics Co., Ltd. VECP for Windows 2000, XP
[/CODE]
точно? есть смутное подозрение что это драйвера. мне хочется сохранить работоспособность.


'C:\Documents and Settings\1\Рабочий стол\PORTMSYS.SYS'
ок. файла давно нет.

'C:\WINDOWS\system32\appsec.dll'
не нашел вообще упоминаний о нем. нигде ни autoruns от Systernals, ни ServWwin,ShelExView,ShelMenuView,RegDllView от Nirsoft.net.
processmon висит уже час тоже ниодного упоминания.
[URL="http://www.virustotal.com/ru/analisis/3d2e7eb4c1f8d95a9ebb81832689590d"]VirusTotal[/URL] молчит

'C:\WINDOWS\SYSTEM32\chtbrkr32.dll'
вообще в офисе установлена потдержка универсального шрифта. тоесть библиотекой для китайского то оно может быть (ссылку я выше кинул). но почему 14/36 висуом ее посчитали?

'C:\WINDOWS\system32\CTFMON.EXE'
это что от [URL="http://support.microsoft.com/kb/282599/r"]мелкомягких[/URL]. давно удалил (не понравилось что висит всегда. не восстанровилось. стало быть было правда "Альтернативный ввод данных" :)

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

[QUOTE=drongo;269211][url]http://virusinfo.info/upload_virus.php?tid=28285-[/url] у нас карантин и подозрительные файлы грузят по правилам или вообще никак :)

[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]
Выполнить скрипт @ avz

[color=red]Прислать запрошенный карантин[/color]- > [url]http://virusinfo.info/upload_virus.php?tid=28285[/url]
[/QUOTE]
вот тут по моему тупанул и прислал старый файл *8 метровый а не тот что должен был создать этот скрипт (как я полагаю). скрипт закончился с ошибкой: Failed to set data for "DisplayName"

то что было в окне AVZ в приложении.
что то не прикрепляется :(

сейчас вручную файлы эти достану и вышлю. файл virusinfo.info.zip пароль virusinfo.info

[QUOTE=Deez;269261]Хочется сказать что я не хочу просто убить все подозрительное. [/QUOTE]А мы еще ничегошеньки не пытались убивать: Выполните скрипт и закачайте карантин - больше от Вас ничего не требуется.
Ну и немного терпения пока ответ из Вирлаба получим.

лучше не надо:или по правилам или никак.



не мудрите с паролем- пароль ставиться автоматом с AVZ- никто не собирается другой пароль подбирать, иначе ответ будет от лаба - "пароль не подходит ;)"

данный скрипт ничего не меняет в системе- только копирует файлы, и если файлов нет говорит об этом ;)

[QUOTE]
А мы еще ничегошеньки не пытались убивать: Выполните скрипт и закачайте карантин - больше от Вас ничего не требуется.
Ну и немного терпения пока ответ из Вирлаба получим.
[/QUOTE]
вот в этом и пробелма ) он не выполняется ))) Failed to set data for "DisplayName"

[QUOTE=drongo;269284]лучше не надо:или по правилам или никак.
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

не мудрите с паролем- пароль ставиться автоматом с AVZ- никто не собирается другой пароль подбирать, иначе ответ будет от лаба - "пароль не подходит ;)"[/QUOTE]

как я сказал выше - AVZ завершился с ошибкой. никакого архива не создав. я руками (ну почти руками. bat файлом :)) эти файлы собирал, и архивировал. скажите какой должен быть пароль я переархивирую.

вероятно из-за outpost такая проблема...
архив только zip
пароль: virus

[QUOTE=drongo;269295]вероятно из-за outpost такая проблема...
архив только zip
пароль: virus[/QUOTE]

перед запуском скрипта выгружать все драйвера outpost?

Попробуйте выгрузить. Может, даже деинсталлировать его навовсе.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]30[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\chtbrkr32.dll - [B]Trojan.Win32.Agent.ajhh[/B][*] \\r_server.exe - [B]not-a-virus:RemoteAdmin.Win32.RAdmin.21[/B] (DrWEB: Program.RemoteAdmin)[/LIST][/LIST]