большой исходящий трафик + проблемы с некоторыми файлами

[RussianThug]

Здравствуйте!

Впечатление такое, что некий вирус (руткит?) шлет с моего компьютера мегабайты инфы. Смотрел на соединения через TCPview - кажется, в определнный момент некий процесс заставляет какой-либо из рабочих процессов (любое работающее приложение) слушать порт по TCP. Потом это приложение устанавливает соединение с сервером reverse.layeredtech.com (протокол http). Затем уже (не обязательно сразу) в Task Maanger появляется пара чужих процессов (названия начинаются с win... - причем файлы этих процессов создаются во временной папке текущего, как я понимаю, пользователя - например, C:\Documents and Settings\Администратор\Local Settings\Temp примеры названия этих файлов: winujvgh.exe, winbwarfg.exe). После этого начинался веер соединений, коротких, но очень много (один сменялись другими). Насколько я понял, протокол smtp. Дальше приходится убивать процессы/разрывать соединение (диал-ап).

Несколько примечаний
1. По ходу, оно сразу убило экзешник KAV. Монитор больше не загружался и вообще экзешник пропал.
2. Задело Total Commander - пишет, что файл повреджен, возможно, вирус, сейчас закроюсь.
3. Дозвонщик MuxaSoft Dialer пропал (но это уже после проверки DrWebCureIt - он его вроде как излечивал).
4. Активность начинается без видимой системы... Т.е. только если подключен Интернет, конечно, но не обязательно сразу (каждый из следующих шагов, описанных выше тоже не обязательно начанались сразу после предыдущего).
5. Да, CureIt нашел единственную заразу вроде Win.HHPP... или как-то так. Ее он и лечил, но результата не заметно.

ПС - Все сделал, как написано в правилах. Сам далеко не компьютерщик, хотя и работаю на нем плотно... Так что если что не так, извиняйте

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

RussianThug.

[Numb]

Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  QuarantineFile('E:\Program Files\Common Files\KAV Shared Files\avp32Loc.dll','');
 QuarantineFile('E:\WINDOWS\system32\systemuser\sys2.dll' ,'');
 QuarantineFile('E:\WINDOWS\system32\drivers\ddnt.sys','');
 QuarantineFile('E:\WINDOWS\System32\wmdconf32.dll','');
 QuarantineFile('E:\WINDOWS\System32\win65121.dll','');
 QuarantineFile('E:\WINDOWS\System32\vcmgcd32.dll','');
RebootWindows(true);
end.

Cистема будет перезагружена. После перезагрузки, пришлите карантин AVZ, как написано в прил.2 правил Ссылка на вашу тему - http://virusinfo.info/showthread.php?t=8298 . Вот такого:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

я давно не видел. Крайне рекомендуется поставить SP2 для Windows XP + все последующие обновления. И поясните, пожалуйста: файл hosts сами правили?

[RussianThug]

Архив с файлами отправил.

Насчет кофигурации. Ставил я Винды давно, те, что еще не SP2, но потом ставил патчи, так что вот уже пару-тройку лет никаких проблем не было. Компьютер совсем не новый и давно используется только для работы, так что на нем все так мило заточено поэтому очень не хотелось бы сейчас переустанавливать Винды.

MSIE вроде бы больше часть системы даже, а не просто браузер, но, на всякий случай, как браузером я им не пользуюсь Пользуюсь Опера 8.51.

Насчет этого случая. Обычно я на нем ничего потенциально опасного не запускаю, а тут по глупости скачал несколько экзешников с чужого винта и запустил. Сначала заметил исходящий трафик, потом посмотрел его в tcpview. Попробовал поискать что-нибудь в Интернете, самое близкое (и практически единственное), что нашел - http://forum.ixbt.com/topic.cgi?id=7:29680 Оказалось, вроде, не совсем то. Потом нашел тему про большой исходящий трафик здесь, решил обратиться.

Насчет файла hosts. Я его посмотрел: то, что там сейчас, - это точно не я правил. Я мог его править давно, когда не резолвились или неправильно резолвились пара адресов, которые мне были нужны, но сейчас там знакомых мне адресов нет (по-моему, я их сам оттуда удалил, когда проблемы с теми адресами решились).

Кстати, сейчас пока это писал и был онлайн, никакой активности не происходило...

[Muffler]

В присланых вами файлах:
- not-a-virus:Monitor.Win32.ActualSpy.a
- Trojan-Spy.Win32.Goldun.lm
- Virus.Win32.Sality.q

AVZ их всех удалил.

Чтобы почистить файл hosts, выполните вот такой скрипт в AVZ

AVZ -> Файл -> Выполнить скрипт:

Код:

begin
 ExecuteRepair(13);
end.

Плюс, зделайте два последних лога из правил, для контроля.

[Кто?]

Насчет кофигурации. Ставил я Винды давно, те, что еще не SP2, но потом ставил патчи, так что вот уже пару-тройку лет никаких проблем не было. Компьютер совсем не новый и давно используется только для работы, так что на нем все так мило заточено поэтому очень не хотелось бы сейчас переустанавливать Винды.

Вам никто Windows переставлять не рекомендовал. Просто установку "сервис-паков" и дальнейших обновлений. При этом слетает "левая" активация.

[Numb]

На всякий случай: программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:

Код:

begin
ClearHostsFile;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('E:\WINDOWS\system32\drivers\ddnt.sys');
 DeleteFile('E:\WINDOWS\system32\systemuser\sys2.dll');
 DeleteFile('E:\WINDOWS\System32\vcmgcd32.dll');
 DeleteFile('E:\WINDOWS\System32\wmdconf32.dll');
 DeleteFile('E:\WINDOWS\System32\win65121.dll');
ExecuteSysClean;
RebootWindows(true);
end.

Система будет перезагружена. После перезагрузки сделайте, пожалуйста, новые логи. И еще: файл

Код:

E:\WINDOWS\system32\systemuser\sys2.dll

Детектится, как not-a-virus:Monitor.Win32.ActualSpy.a Не имел близко дела с ActualSpy, но, в принципе, он - коммерческий продукт, который мог быть установлен и вами. Приведенный скрипт удаляет данный файл. И еще - все из присланного, что явно детектится, - программы-шпионы. Думаю, есть смысл поменять все пароли на данной машине.
UPD: пришел ответ от лаборатории Касперского: E:\WINDOWS\system32\drivers\ddnt.sys - Rootkit.Win32.Agent.ec. Скрипт поправлен с учетом удаления и этого файла. Теперь, думаю, выполнять обязательно.

[RussianThug]

Спасибо за помощь! Я тут попытался сам вылечить. Причиной трафика, судя по всему, был вот этот гад - Virus.Win32.Sality.q . Перезаражал чуть ли не все экзешники. Вроде бы вылечил, не без помощи AVZ Насчет ddnt - он точно не имеет отношения к такой штуке как trados? Это специфическая прога для переводчиков... sys2.dll - не знаю, может и правда устанавливал, вроде никакой активности от него не видно.

Остальные три удалил руками. Вот этот - vcmgcd32.dll - был основной win*.dll он создавал (загружал ил инета?). wmdconf32 - вроде троян какой-то, я его тоже прибил. Пока все спокойно

Еще раз, спасибо за помощь!

[pig]

Сделайте новые логи для очистки нашей совести.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 6
• В ходе лечения обнаружены вредоносные программы:
  
  1. e:\\windows\\system32\\systemuser\\sys2.dll - not-a-virus:Monitor.Win32.ActualSpy.a (DrWEB: Program.ActulSpy)
  2. e:\\windows\\system32\\vcmgcd32.dll - Virus.Win32.Sality.q (DrWEB: Win32.HLLP.Sector)
  3. e:\\windows\\system32\\win65121.dll - Trojan-Proxy.Win32.Agent.ll (DrWEB: Trojan.Proxy.1752)
  4. e:\\windows\\system32\\wmdconf32.dll - Trojan-Spy.Win32.Goldun.lm (DrWEB: Trojan.PWS.GoldSpy)