Поймал троянчик :(

Поймал каких-то троянов - при нахождении в Инете идет отправка информации (netstat-n.png - результат команды netstat -n, netstat-a.png - результат команды netstat -a). Проверил частично систему DrWeb'ом (все папки, которые использовались за последнее время + диск С полностью) - нашел 3 архива с 13-ю вирусами (vir01.png). Удалил. Но троянчик жив, уже успел пробраться куда-то.. В реестре в hkey_local_machine и hkey_current_user в run, runonce и runonceex ничего нет (кроме стандартных ctfmon.exe и т.п.
HijackThis ничего подозрительного (на мой взгляд) не показывает (лог-айл).
Сейчас качаю vbz, посмотрю что он скажет...

Скрины и лог hijackthis находятся здесь: [URL="http://www.aleksey3.net.ru/vir/"]www.aleksey3.net.ru/vir[/URL] (прошу прощения, что в таком виде, у меня очпень медленный и жутко дорогой инет, надеюсь, вы не сильно рассердитесь :embarasse).

upd: командой netstat -b также не удается выявить источник.. в лучшем случае пишет "--неизвестный процесс--"

ps: посоветуйте хороший и простой в настройке файервол..

Проверил скриптами AVZ - при подключении к Инету открыто много портов, причем это происходит сразу же как запускаю IE. Даже если его потом закрыть - подключения останутся..

ps: Far, cd slow - 100% не трояны :)

[QUOTE=Alex39_rus]Проверил скриптами AVZ - при подключении к Инету открыто много портов, причем это происходит сразу же как запускаю IE. Даже если его потом закрыть - подключения останутся..

ps: Far, cd slow - 100% не трояны :)[/QUOTE]
Для начала согласно правилам нужно прислать файл C:\WINDOWS\system\ctldlg32.dll
system32\DRIVERS\basic2.sys
system32\DRIVERS\v124nt.sys
Скорее всего проблема именно в ctldlg32.dll ... остальные два драйвера не значатся в моих базах данных, интересно на них посмотреть

[QUOTE=Зайцев Олег]
Скорее всего проблема именно в ctldlg32.dll ... [/QUOTE]
Угу -
[quote]Proxy-Agent.aj Proxy Trojan. A PT is a backdoor trojan which allows a remote hacker to connect to other computers via the compromised system. [/quote]

1. C:\WINDOWS\system\ctldlg32.dll
Пришлите как написано в правилах.

2. Из AVZ файл->Отложенное удаление выберите C:\WINDOWS\system\ctldlg32.dll и перезагрузитесь.

3. В логе Hijack пометьте строку
O2 - BHO: Acrobat IE Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE083} - C:\WINDOWS\system\ctldlg32.dll
и нажмите FIX.

4. Логи начиная с п. 11 правил - на проверку.

У C:\WINDOWS\system\ctldlg32.dll дата создания 11.03.2006 - это когда я подцепил эту заразу. Указанные файлы прикрепляю в архивах с паролем virus. Эти же файлы отправил в лабораторию DrWeb.
Сделаю как говорите и, как только смогу подключиться к инету - выложу новые логи.
Спасибо!
Кстати, что он делает? Случайно не спам рассылает через меня? Или что-то у меня ворует? :?

ps: system32\DRIVERS\v124nt.sys не вмещается на форуме. выложил по вышеуказанной ссылке (в первом сообщении).

Сделал как и говорили - вот результаты.
(offline - без Инета, online - при подключенном Инете)

Что еще нужно сделать? Он полностью исчез?

[QUOTE=Alex39_rus]Что еще нужно сделать? Он полностью исчез?[/QUOTE]
Исчез, хвостов тоже не наблюдается.
Ещё я бы рекомендовал заглянуть в [url=http://virusinfo.info/showthread.php?t=3721]этот[/url] топик и подобрать себе что-нибуть по вкусу :)
Так-же желательно регулярно посещать [url]http://windowsupdate.microsoft.com[/url] как минимум поставить вот [url=http://www.microsoft.com/downloads/details.aspx?FamilyID=0c1b4c96-57ae-499e-b89b-215b7bb4d8e9&DisplayLang=ru]эту[/url] заплатку.
(Список полезных заплаток ещё можно найти [url=http://virusinfo.info/showthread.php?t=1342]здесь[/url])

PS: На будующее - попрошу заразу больше на форум не выкладывать :)

WU качает в автоматическом режиме.
Я не знал, что нельзя, раз просили - выложил :)

еще раз спасибо!

[QUOTE=Alex39_rus]WU качает в автоматическом режиме.
Я не знал, что нельзя, раз просили - выложил :)[/QUOTE]
В правилах этого раздела написано куда её девать :)

[QUOTE=Alex39_rus]еще раз спасибо![/QUOTE]
Пожалуйста.

basic2 - 99.99% Simple basic rootkit #2 (c) ro__kit.com..

[QUOTE=Sanja]basic2 - 99.99% Simple basic rootkit #2 (c) ro__kit.com..[/QUOTE]
[url]http://drivers.on-line.net.nz/p/nph-detail.php?a=2174[/url]
Это дрова от модема.
Conexant похоже Sample спёр и даже переименовать поленился.