Компьютер самопроизвольно корректно перезагружается.

[andygreen]

Здравствуйте!
Прошу Вас оказать мне помощь, так как нахожусь в тупике.
Один из ПК, включенных в локальную сеть начал самопроизвольно перегружаться. При этом перезагрузка происходила таким образом:
- После загрузки и входа в систему в течении небольшого промежутка времение появлялось сообщение о найденом вирусе (лицензионый NOD)
- корректно закрывались открытые программы
- машина уходила в корректную перезагрузку.
При отключеном сетевом кабеле перезагрузок не было. NOD молчал.

Я перенес машину для эксперементов в другую локалку.
Сообщение NOD появилось при подключении сетевого кабеля.
Перезагрузки прекратились, но стал заметен большой трафик (DNS, SMTP).
Востановление системы не помогло. Запуск NODa при выключеном востановлении системы ничего не изменил. CureIt обнаружил и удалил несколько вирусов но ситуация осталась прежней.
Заранее благодарен
Andy Green

[V_Bond]

скачайте C:\WINDOWS\system32\Drivers\Winwi42.sys - force delete
выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\~.exe/r','');
 QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
 BC_DeleteSvc('Winyt05');
 BC_DeleteSvc('Winxx57');
 BC_DeleteSvc('Winxl52');
 BC_DeleteSvc('Wintu01');
 BC_DeleteSvc('Winsb10');
 BC_DeleteSvc('Winox43');
 BC_DeleteSvc('Winnp13');
 BC_DeleteSvc('Winkb15');
 BC_DeleteSvc('Winha37');
 BC_DeleteSvc('Wingr86');
 BC_DeleteSvc('Winfc75');
 BC_DeleteSvc('Winet67');
 BC_DeleteSvc('Winec57');
 BC_DeleteSvc('Windq67');
 BC_DeleteSvc('Windg13');
 BC_DeleteSvc('Wincs13');
 BC_DeleteSvc('Wincj43');
 BC_DeleteSvc('Wincj25');
 BC_DeleteSvc('Winbv63');
 BC_DeleteSvc('Winbl82');
 BC_DeleteSvc('Winay86');
 BC_DeleteSvc('Winwi42');
 BC_DeleteSvc('W32TimeNtLmSsp');
 BC_DeleteSvc('UPSoseclr_optimization_v2.0.50727_32');
 BC_DeleteSvc('ThemesRasAuto');
 BC_DeleteSvc('stisvcWmi');
 BC_DeleteSvc('srservicewuauserv');
 BC_DeleteSvc('seclogonRpcLocatorRemoteAccessThemes');
 BC_DeleteSvc('seclogonRpcLocator');
 BC_DeleteSvc('RemoteRegistrystisvc');
 BC_DeleteSvc('RemoteRegistry BackItUp Scheduler 3');
 BC_DeleteSvc('RemoteAccessThemes');
 BC_DeleteSvc('RDSessMgrNetDDE');
 BC_DeleteSvc('RasAuto Driver HPZ12');
 BC_DeleteSvc('oseclr_optimization_v2.0.50727_32');
 BC_DeleteSvc('NtmsSvcShellHWDetection');
 BC_DeleteSvc('NtLmSspSharedAccess');
 BC_DeleteSvc('NlaRDSessMgr');
 BC_DeleteSvc('EhttpSrvdmadmin');
 BC_DeleteSvc('dmservermnmsrvc');
 BC_DeleteSvc('BITSVSS');
 BC_DeleteSvc('AudioSrvBrowser');
 BC_DeleteSvc('aspnet_stateSwPrv');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Winwi42.sys','');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\system32\Drivers\Winwi42.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winay86.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winbl82.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winbv63.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wincj25.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wincj43.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wincs13.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Windg13.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Windq67.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winec57.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winet67.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winfc75.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wingr86.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winha37.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winkb15.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winnp13.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winox43.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winsb10.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wintu01.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winxl52.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winxx57.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winyt05.sys');
 DeleteFile('C:\WINDOWS\system32\braviax.exe');
 DeleteFile('C:\WINDOWS\system32\~.exe/r');
 DeleteFile('WinCtrl32.dll');
 DeleteFile('C:\Documents and Settings\All Users\Documents\sys\keyfinder.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
повторите логи

[andygreen]

Сетевая активность пропала.
Карантин загрузил.

[V_Bond]

выполните скрипт

Код:

begin
 QuarantineFile('C:\WINDOWS\TWAIN_32\S6U12BX\SBSpi_T.dll','');
end.

пришлите карантин согласно приложения 3 правил

[andygreen]

Карантин отправлен

Добавлено через 1 час 33 минуты

Добрался до логов сервера и обнаружил незначительную по трафику сетевую активность по протоколу SNMP.

Код:

10:58:31.546167 IP 192.168.1.153.1025 > 10.10.8.20.snmp:  GetRequest(62)  25.3.2.1.5.1 25.3[|snmp]
10:58:31.600334 IP 10.10.8.20.snmp > 192.168.1.153.1025:  GetResponse(62)  noSuchName@1 25.3.2.1.5.1= 25.3[|snmp]

Машина 10.10.8.20 находится не в моей сети.

Код:

Трассировка маршрута к 10.10.8.20 с максимальным числом прыжков 30
  1    <1 мс    <1 мс    <1 мс  backup [192.168.1.2]
  2    <1 мс    <1 мс    <1 мс  192.168.3.1
  3    40 ms    39 ms    39 ms  10.36.32.1
  4    39 ms    39 ms    40 ms  195.131.253.65
  5    35 ms    34 ms    35 ms  195.131.253.52
  6    42 ms    44 ms    44 ms  192.168.151.10
  7    50 ms    52 ms    52 ms  10.10.8.20

Обмен пакетами происходит с четкой периодичностью - 4 минуты.

[PavelA]

В 1-ом карантине было вот это:
WinCtrl32.dll - Trojan-Downloader.Win32.Mutant.bnw - уже удалено.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.bnw (DrWEB: BackDoor.Bulknet.225)