кто то просится в инет

[Sam novoros]

Добый день!

У меня возникла проблемка!

При каждом подключении к инету выскакивает до 10 сообщений о блокировании исходящего трафика.

Непонятно кто просится в инет. Правада в 2 случаях из 8 постоянно проскакивает то же сообщение, только указано там что svhost рвется на свободу. Системе всего 2 недели свежие антивир базы аваста проверки ничего не выявили и в трее незнакомцев вроде не видно.

Помогите разобраться!

выкладываю log

Logfile of HijackThis v1.99.1

Scan saved at 15:29:25, on 20.06.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.20978)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\D-Link\Программное обеспечение Bluetooth\bin\btwdins.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\VistaDriveIcon\VistaDrv.exe

C:\Program Files\Punto Switcher\punto.exe

C:\Program Files\louderit\LouderIt.exe

C:\Program Files\LClock\LClock.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\D-Link\Программное обеспечение Bluetooth\BTTray.exe

C:\Program Files\AVerTV\QuickTV.exe

C:\Program Files\USBGuard\USBGuard.exe

C:\PROGRA~1\D-Link\BLUETO~1\BTSTAC~1.EXE

C:\Program Files\Winamp\winamp.exe

C:\Program Files\QIP Infium\infium.exe

C:\Program Files\Opera 10 Beta\opera.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Documents and Settings\Admin\Рабочий стол\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.zvercd.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll

O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [VistaIcon] C:\Program Files\VistaDriveIcon\VistaDrv.exe

O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\punto.exe

O4 - HKCU\..\Run: [louderit.exe] C:\Program Files\louderit\LouderIt.exe

O4 - HKCU\..\Run: [LClock] C:\Program Files\LClock\LClock.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: QuickTV.lnk = C:\Program Files\AVerTV\QuickTV.exe

O4 - Startup: USBGuard.lnk = C:\Program Files\USBGuard\USBGuard.exe

O4 - Global Startup: BTTray.lnk = ?

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm

O8 - Extra context menu item: Отправить через &Bluetooth - C:\Program Files\D-Link\Программное обеспечение Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [iNTERNATIONAL] International*

O17 - HKLM\System\CCS\Services\Tcpip\..\{93EBE50A-86F5-4AB7-BDB8-C7AD741B3A49}: NameServer = 217.74.244.2 217.74.241.10

O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Program Files\D-Link\Программное обеспечение Bluetooth\bin\btwdins.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Program Files\Java\jre6\bin\jqs.exe" -service -config "C:\Program Files\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

[thyrex]

Здравствуйте.

Прочтите, пожалуйста, и выполните правила http://www.softboard.ru/index.php?showtopic=51343

Дополнительно сделайте

Загрузите GMER по одной из указанных ссылок

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
  
• IAT/EAT
  
• Show all
  

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

[Sam novoros]

Выкладываю логи.

Все еще кто то рвется!

virusinfo_syscure.zip

virusinfo_syscheck.zip

rsit.rar

gmer_log.rar

virusinfo_syscure.zip

virusinfo_syscheck.zip

rsit.rar

gmer_log.rar

[thyrex]

Выполните скрипт в AVZ

beginSearchRootkit(true, true);SetAVZGuardStatus(True);DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll','');QuarantineFile('srescan.sys','');DeleteFile('srescan.sys');DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. 

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сделать новые логи. Лог gmer не нужно (он чист)

[Sam novoros]

Сделал все как указано, но проблема осталась.

AskBarDis - я как понимаю это какой то тулбар от zone alarm - не думаю что файрвол своих же не пускает. Я на всякий случай грохнул всю папку AskBarDis, но как уже написал выше - без изменений, так что скорее всего рвется на свободу что то другое. Для чистоты эксперимента карантинный архив отправил на проверку касперскому.

Выкладываю новые логи.

virusinfo_syscure.zip

virusinfo_syscheck.zip

rsit.rar

virusinfo_syscure.zip

virusinfo_syscheck.zip

rsit.rar

[Sam novoros]

Получил ответ от Касперского:

Здравствуйте,

В присланном Вами файле не найдено ничего вредоносного.

-----------------

С уважением, Гашкин Алексей

Вирусный аналитик

ЗАО "Лаборатория Касперского"

так что AskBarDis тут не причем однозначно!

[ТроПа]

Это кто-то вас из-вне хочет, насколько я понял, по скрину. В логах подозрительного ничего не видно.

[Sam novoros]

Нет нет!

первый IP мой! - кто то от меня рвется, кога ломятся ко мне сообщение выглядит немного подругому

[Sam novoros]

дело в том что у этого компьютера выходи в инет через gprs и конечный ip в сообщении ZA всегда будет ip MTC (сотовый оператор как прокси сервер) проверил по базе:

217.74.244.2

Город: Краснодар

Регион:

Страна: Россия

Код страны: RU

Сеть: 217.74.240.0 - 217.74.247.255

Описание сети: KUBANGSM-NET

поэтому к сожалению узнать куда конкретно ломится шпион не узнать

[ТроПа]

У вас точно не настроины? 217.74.244.2 217.74.241.10 Они меня с толку сбили.

Если нет, тогда пофиксите в HJT

O17 - HKLM\System\CCS\Services\Tcpip\..\{93EBE50A-86F5-4AB7-BDB8-C7AD741B3A49}: NameServer = 217.74.244.2 217.74.241.10

Изменено 24 июня, 2009 пользователем wise-wistful

[Sam novoros]

А зачем их фиксить? они динамические - как мой ip так и ip сервера при каждом подключении разные, но в рамках указанного диапазона.

[Sam novoros]

Никто ничего в логах не видит? проблема прорыва в инет не исчезла!

[Sam novoros]

Помощи мне не ждать? Можно смело переустанавливать, или есть варианты?