Уходит трафик

[majestick]

Антивирус НОД 32 свежий ничего не фиксирует а пакеты уходят. Что делать?

Вот лог HijackThis

hijackthis.log

hijackthis.log

[ser208]

Правила чуть изменились.

Тем более что лог Hijack половинчатый. Malware не дает полноценный лог получить.

Изменено 30 августа, 2008 пользователем ser208

[majestick]

Вот что АВЗ выдал

Внимание !!! База поcледний раз обновлялась 06.04.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Протокол антивирусной утилиты AVZ версии 4.30

Сканирование запущено в 30.08.2008 20:24:30

Загружена база: сигнатуры - 157571, нейропрофили - 2, микропрограммы лечения - 55, база от 06.04.2008 17:09

Загружены микропрограммы эвристики: 370

Загружены микропрограммы ИПУ: 9

Загружены цифровые подписи системных файлов: 70476

Режим эвристического анализатора: Средний уровень эвристики

Режим лечения: включено

Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора

Восстановление системы: Отключено

1. Поиск RootKit и программ, перехватывающих функции API

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Анализ user32.dll, таблица экспорта найдена в секции .text

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.2 Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

SDT найдена (RVA=082B80)

Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000

SDT = 80559B80

KiST = 804E2D20 (284)

Проверено функций: 284, перехвачено: 0, восстановлено: 0

1.3 Проверка IDT и SYSENTER

Анализ для процессора 1

Проверка IDT и SYSENTER завершена

>>>> Обнаружена маскировка процесса 196 c:\windows\system32\svchost.exe

1.4 Поиск маскировки процессов и драйверов

Проверка не производится, так как не установлен драйвер мониторинга AVZPM

Драйвер успешно загружен

1.5 Проверка обработчиков IRP

Проверка завершена

2. Проверка памяти

Количество найденных процессов: 21

Количество загруженных модулей: 265

Проверка памяти завершена

3. Сканирование дисков

[Matias]

Вы невнимательно прочитали правила. Логи AVZ необходимо прикрепить к сообщению.

[majestick]

Нашел :) В логах который я выложил

Строка

O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\mssrv32.exe

Это и есть вирус. "mssrv32.exe"

Снес его и все заработало как надо. Огорчает одно что НОД оказался дырявым :)

[akoK]

majestick: вы уверенны, что зловред один был?

[majestick]

Не уверен конечно, но по крайней мере перестал в инет вещать. Сейчас буду укреплять оборону и вдумчиво прочитаю рекомендации по проверке в шапке. А то сразу не мог по понятным причинам. :)