коннект на порт: http, smtp; dll: user32.dll; исп.файл: svchost.exe

[a13xey]

Если возможно помогите пожалуйста, устал уже бороться с этим вирусом\трояном. через какое то время после загрузки компа начинают с меня идти подключения ко всяким серверам на http порт, файл который это делает svchost, через process explorer удалость также выяснить библиотеки которые причастны к этой фигне (user32.dll). думаю замена файла тут не поможет, какая то гадость наверняка сидит в реестре, своими силами решить проблему не могу прикрепляю необходимые лог файлы

сам я не первый год за компом, встречал разного рода вирусы и трояны, но тут никакх левых длл библиотек нет, антивирусы (cureit, nod32) ничего не видят.

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\SYSTEM32\dpserial32.dll','');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=18422).

Добавлено через 1 минуту

start.cmd и ярлык для SL в папке автозагрузки ваши?

[a13xey]

Файл сохранён как080221_081842_Quarantine_47bd8842ed788.zip
да, ярлык и cmd файл мои.
пароль не поставил на архив это не страшно?

[Bratez]

В карантине - Trojan.Win32.Agent.dwg

Отключите восстановление системы!
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\SYSTEM32\dpserial32.dll');
DelWinlogonNotifyByKeyName( 'dpserial32');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Обновите базы AVZ и сделайте новые логи.

[a13xey]

фух...спасибо вам большое, кажется всё стало зашибись! вы лучшие! и как я так просмарел этот файл меня это слово Winlogon смутило, но т.к. винда лицензия то подумал может от апдейта какого нить... вобщем спасибо!

а ничего что вот этот код остался?
Функция user32.dllrawIconEx (184) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:GetIconInfo (283) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:SetWindowPos (644) перехвачена, метод CodeHijack (метод не определен)

[Bratez]

Больше ничего подозрительного не вижу.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 5
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\dpserial32.dll - Trojan.Win32.Agent.dwg (DrWEB: Trojan.DownLoader.49030)
  2. \\quarantine\\2008-02-21\\bcqr00001.dta - Trojan.Win32.Agent.dwg (DrWEB: Trojan.DownLoader.49030)
  3. \\quarantine\\2008-02-21\\bcqr00002.dta - Trojan.Win32.Agent.dwg (DrWEB: Trojan.DownLoader.49030)