Не ловится вирус. Компьютер ломится в И-нет по 80 порту.

Доброе время суток.

С моей машины устанавливаются соединения с интернетом. Это видно на шлюзе, в логах НАТа.

Машину прогнал SAV10, AVZ, RootkibBuster (Trend), TCPView, - абсолютно ничего. Sysinternal PE тоже, ничего подозрительного не показывает. В автозапуске ничего сверхподозрительного. На всякий случай почистил до минимума.
Пришлось поставить Аутпост.
Сначала вроде отловилось соединение от msgsys.exe xfr.exe по указанным сайтам. Заблокировал. Отправил на virustotal: services, csrss, msgsys, xfr.
Ничего.
Примечательно, что перед установлением соединения services.exe ДНСил и пинговал сайты flb.com blackhole-1.iana.org blackhole-2.iana.org prisoner.iana.org. сам он (services) по данным virustotal чист.
Самое интересное. С включеным блокированием сетевой активности кроме ДНС в режиме обучения- эта машина перестает коннектиться. Но стоит мне разрешить соединение по RDP к шлюзу, опять туева хуча коннектов. И в процессах Аутпоста НИЧЕГО! Кроме коннекта по РДП разумеется...
Проделал все то, что полагалось в правилах постинга.
Сейчас все еще servises пытается резолвить blackhole-1.iana.org, аутпост блокирует.... Если разрешить - ломится на 200.39.9.0...
Что еще можно предпринять? В смысле зверька поймать. Форматнуть всегда успеется.

PS
Забавно, но другие машины в этой сетке не ломятся в интернет, молчат. ОС проблемной машины W2000, остальных - XP.

PPS
[url]http://www.virustotal.com/vt/en/resultadof?c703047befd13fdd0e7b7bb974dd2bc2[/url]
Может просто вирус новый? Однако он в карантине, а чудеса не кончились.

А что такое Gene6 FTP Server?
Сделайте так.
AVZ - AVZPM - Установить драйвер расширенного мониторинга. Перезагрузитесь и повторите логи.

G6 - у меня находится уже больше года. Работает только внутри локалки. Правда один единственный раз на него заходили ивне, но через ВПН. Убрал из автозагрузки и его тоже.

Странно, драйвер не устанавливается. Я так полагаю, потому что менюшка не меняется.

Тут еще кое-что обнаружилось. Оказалось что файл msvcrtd.exe не удалился из систем32. Он был заблокирован процессом svchost. ручками удалил этот файл, отключил Аутпост. Перезагрузился.
И о чудо! Пока в инет не ломится машина. Однако что-то мне подсказывает что это не все. Как удостовериться что этот \system32\msvcrtd.exe был единственный зверек на машиен и теперь можно спать спокойно?

PS
Почему этот файлик не обнаружился, когда я вручную запускал сканирование системы, и нашелся только тогда, когда выполнялся скрипт "Вылечить и отправить лог на вирусинфо"? Что за настройси сканирования вы применяете?

PPS Логи Высылать? Есть логи "до того как..." и можно сделать те, что сейчас.

Пришли лучше имеющийся карантин сюда. Загружать через форму, ссылка сверху.

Пожалуйста, выслал.

Кстати, машина работает, аутпост отключен, G6 снова включил. Пока все в норме. По всей видимости зверь повержен.

Спасибо за помощь.
И также отдельное спасибо авторам утилиты AVZ.

Это описание зверька.

AhnLab-V3 2007.4.3.1 04.03.2007 no virus found
AntiVir 7.3.1.48 04.03.2007 HEUR/Malware
Authentium 4.93.8 03.31.2007 no virus found
Avast 4.7.936.0 04.03.2007 no virus found
AVG 7.5.0.447 04.03.2007 BackDoor.Agent.EVH
BitDefender 7.2 04.03.2007 no virus found
CAT-QuickHeal 9.00 04.02.2007 (Suspicious) - DNAScan
ClamAV devel-20070312 04.03.2007 no virus found
DrWeb 4.33 04.03.2007 no virus found
eSafe 7.0.15.0 04.02.2007 Win32.Agent.alm
eTrust-Vet 30.6.3536 04.03.2007 Win32/Scynaud.A
Ewido 4.0 04.02.2007 Backdoor.Agent.alm
FileAdvisor 1 04.03.2007 no virus found
Fortinet 2.85.0.0 04.02.2007 suspicious
F-Prot 4.3.1.45 03.30.2007 no virus found
F-Secure 6.70.13030.0 04.03.2007 Backdoor.Win32.Agent.alm
Ikarus T3.1.1.3 04.03.2007 Trojan-Downloader.Win32.Agent.azg
Kaspersky 4.0.2.24 04.03.2007 Backdoor.Win32.Agent.alm
McAfee 4998 04.02.2007 New Malware.n
Microsoft 1.2306 04.03.2007 no virus found
NOD32v2 2165 04.03.2007 no virus found
Norman 5.80.02 04.02.2007 no virus found
Panda 9.0.0.4 04.02.2007 no virus found
Prevx1 V2 04.03.2007 no virus found
Sophos 4.16.0 03.30.2007 Mal/Packer
Sunbelt 2.2.907.0 04.03.2007 VIPRE.Suspicious
Symantec 10 04.03.2007 no virus found
TheHacker 6.1.6.084 04.02.2007 Backdoor/Agent.alm
VBA32 3.11.3 04.02.2007 no virus found
VirusBuster 4.3.7:9 04.02.2007 Packed/Upack
Webwasher-Gateway 6.0.1 04.03.2007 Heuristic.Malware

Надо повторно сделать логи с п.10 Да, и outpost включить.

Пожалуста.

Ничего плохого не вижу.

Только в сетевых настройках многовато DNS-серверов прописано.

217.199.222.33 - знаете, что это такое. Просто много портов на этот адрес открыто.

опять 25!
На этот адрес TCPView не видит коннектов, OutPost тоже, в журнале не покзывает соединения по указанному адресу, хотя в кеше ДНС видно, что адрес только что разрешился.

Формат с: надеюсь поможет!

Разберитесь с DNS

h10001.cust.quickhost.ru (217.199.222.33)

217.199.222.0 - 217.199.222.255
Co-located servers


Dmitry A. Nikitin
4 korp 1, 1st Avtozavodskiy pr.
Moscow, 115280
Russia
[email][email protected][/email]
[email][email protected][/email]
+74957400047


Sergey B. Veltistov
4 korp 1, 1st Avtozavodskiy pr.
Moscow, 115280
Russia
[email][email protected][/email]
[email][email protected][/email]
+74957400047

Это Вашего провайдера сетка? Если нет, то надо попробовать заблокировать этот адрес в Outpost. Увидите, что туда ломится будет.

Нет, не наш провайдер.
Можно так сказать - принцип понял, но воевать со злом устал. Отформатировал.
Тем более что давно пора уже с 2000 на ХР пересесть.

Еще раз благодарю за помощь.
:druzja:

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\winnt\\system32\\msvcrtd.exe - [B]Backdoor.Win32.Agent.alm[/B] (DrWEB: DDoS.Carvan)[/LIST][/LIST]