Подозрение на вирусы

[alex1752]

С компьютером творится следующая проблема:
- не всегда открывает страницы ( к примеру, при отправке письма с вэб интерфейса маил ру, при нажатии "прикрепить файл" или "отправить письмо" выдается Невозможно найти удаленный сервер

- Часто загрузка CPU составляет 85 - 100 % , при этом выгружено все, кроме апача и мускула. В диспетчере процессов ниодного процесса нет с загрузкой более 15 % ( чаще максимальное 8 - 12 % ) один-два процесса , а остальные 0-2 %

- KIS часто ругается на ДДоС атаку с айпи 192.168.100.1 ( это айпи данного компа внутри сети ) на порт 4554 и 4371 , а так же часто на

23.02.2009 10:01:25 Intrusion.Win.MSSQL.worm.Helkern! IP-адрес атакующего: 127.0.0.1. Протокол/сервис: UDP на локальный порт 1434. Время: 23.02.2009 10:01:25

[alex1752]

Забыл еще упомянуть о дефрагментации:
Он порой пишет, что програма дефрагментации не установлена, то, что доступ закрыт админом, то дефрагментирует , но вываливает ошибку "не возможно дефрагментировать некоторые файлы на данном томе"

Плюс на диске E ( не системном ) висит папочка

3409680362eefbc2dab379e24d

, в которую можно зайти , но в ней еще папка update , в которую доступа нет никакого. И запрещена она для всех групп, кроме непонятной группы наподобии DbA7frAZkkStW-NpRty15Hhnts-RfddAAas ( это примерное написание группы , которая есть в списке на разрешение ) , а такой на компе нет вообще.

Пока писал мессагу, каспер написал о IE, который чтото пытался изменить, в том числе и в реестре :

Перехвачена попытка записи значения в ключе системного реестра, который входит в группу Internet Explorer Plugins. Эти ключи контролируют параметры работы плагинов браузера Microsoft Internet Explorer.

Рекомендуется разрешить доступ к этим параметрам только в том случае, если вы действительно хотите их изменить. В остальных случаях рекомендуется запретить доступ.

Ключ: HKEY_USERS\S-1-5-21-2000478354-813497703-682003330-500\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser

Значение: ITBarLayout

Старые данные(Free form binary):
11 00 00 00 4c 00 00 00 00 00 00 00 34 00 00 00 1f 00 07 00 a3 00 00 00 01 00 00 00 20 07 00 00 a0 0f 00 00 05 00 00 00 62 05 00 00 26 00 00 00 02 00 00 00 21 07 00 00 a0 0f 00 00 04 00 00 00 21 01 00 00 a0 0f 00 00 03 00 00 00 20 03 00 00 00 00 00 00 07 00 00 00 21 07 00 00 81 00 00 00 06 00 00 00 20 05 00 00 00 00 00 00 08 00 00 00 21 05 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 02 ba f2 eb 94 90 5a 4c 85 8b bb 19 8f 3d 8d e2 f7 d7 ff 3a 3d fd 9d 4c 8f 83 03 29 6a 1a 88 40 e8 0d 90 09 ca 1d 3f 44 92 43 26 ff 58 14 38 af 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

Новые данные(Free form binary):
11 00 00 00 4c 00 00 00 00 00 00 00 34 00 00 00 1f 00 07 00 a3 00 00 00 01 00 00 00 20 07 00 00 a0 0f 00 00 05 00 00 00 62 05 00 00 26 00 00 00 02 00 00 00 21 07 00 00 a0 0f 00 00 04 00 00 00 21 01 00 00 a0 0f 00 00 03 00 00 00 20 03 00 00 00 00 00 00 07 00 00 00 21 03 00 00 81 00 00 00 06 00 00 00 20 05 00 00 00 00 00 00 08 00 00 00 21 05 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 02 ba f2 eb 94 90 5a 4c 85 8b bb 19 8f 3d 8d e2 f7 d7 ff 3a 3d fd 9d 4c 8f 83 03 29 6a 1a 88 40 e8 0d 90 09 ca 1d 3f 44 92 43 26 ff 58 14 38 af 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

Не могу копирнуть основное из логов ( каспер виснуть начал ) , но перед этим написал об изменении от Frontpage.exe и от excel.exe ( а все эти приложения сейчас не запущены )

Добавлено через 3 часа 58 минут

Обо мне забыли ?

[Гриша]

Установите AVZPM и повторите логи...

[alex1752]

Пока делал новые логи, как ненормальный пытался подключиться интернет ( соединение PPPoE )

[Гриша]

В логах чисто, установите SP3+all updates...

[alex1752]

А меня еще смущает файл hosts ... Чтото в нем вроде лишнее прописано. Подтереть ?

Добавлено через 27 минут

Вспомнил еще старую програмку ( Trojan Remover ), он вот на что ругается:

C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\ShellExecuteHooks\"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"

А каспер начал орать про червя SQL но уже другие сервера:

25.02.2009 0:48:45 Intrusion.Win.MSSQL.worm.Helkern! IP-адрес атакующего: 58.20.222.30. Протокол/сервис: UDP на локальный порт 1434. Время: 25.02.2009 0:48:45
25.02.2009 0:50:04 Intrusion.Win.MSSQL.worm.Helkern! IP-адрес атакующего: 211.24.8.183. Протокол/сервис: UDP на локальный порт 1434. Время: 25.02.2009 0:50:04

[alex1752]

Спасибо всем за помощь. Всетаки комп был завирусован . Вылечилось все чисткой нодом и перестановкой винды ( переставлял с очисткой папки виндоус без форматирования харда )
Все , теперь загрузка CPU со всеми серверами не более 50 % ... Осталось только G6FTP восстановить

[alex1752]

Мда, рано обрадовался. Понеслась ***** по кочкам. Комп начал сам перезагружаться, при этом kis 2009 ругается на:
Intrusion.Win.HTTPD.GET.buffer-overflow.exploit
и
Scan.Generic.UDP

И все это с IP 192.168.150.2 ( а этот IP моего ноута )
На ноуте стоит НОД32 смарт секюрити , проверил куреАЙТИ. Вроде все чисто. Откуда логи кидать ? С компа который показывает эти атаки, или с ноута ?

[Alex_Goodwin]

С ноута, в отдельную тему.

[pig]

А на эту систему заплатки ставить.