А вот и вирус!

Арс: Это где я такое писал?
Оказывается, давний пост, меня еще в форуме не было я на дату внимания не обратил.

Да, я уже и забыл, почти 4 года прошло
Ну тогда понятно, апдейты там наверняка давно уже поменялись.

Меня поразил злобный вирус

На днях меня отключили от локальной сети. Позвонил в службу поддержки и мне сказали, что у меня завелся вирус. После общения с админом, он сказал, что мой ПК активно рассылал широковещательные пакеты.
Я первым делом проверил весь ПК DrWEBом (со свежими базами) и NОD32. Но ни малейших подозрений у них не возникло. Далее в настройках фаервола ZоneAlаrm я нашел «птичку» блокирования широковещательных пакетов и уведомления об этих блокировках.
После этого фаервол начал постоянно выдавать сообщения о заблокированных попытках рассылки широковещательных пакетов. Но появились и сообщения о заблокированных входящих пакетах с IP 0.0.0.0 (т.е. с сервера на моем ПК), т.к. сейчас напротив сетевого подключения стоит желтый восклицательный знак (значит входящего трафика не должно быть).
Перелопатил я автозагрузку и службы, но ничего подозрительного не нашел. Попробовал поотключать лишние сетевые службы – но фаервол продолжает блокировать широковещательные пакеты из моего ПК.
Пробовал делать откат системы на неделю назад – это тоже не дало положительного результата.
Служба поддержки советует отформатировать жесткий диск. Но это крайняя мера, т.к. в системе установлено множество настроенных программ и переустанавливать все нету никакого желания.
Дело в том, что в нашей локалке сейчас эпидемия такого вируса и отключили больше 40 ПК. Искал в Интернете, но ничего подобного не нашел. Может кто слышал про этого зверя? Как его можно отловить.
P.S. Ввиду отсуствия локалки – нет возможности скачать «большие» программы, только до 1…2 Мбайт через ДиалУп.

Возможно это троян.Проверь комп программой Spybot - Search & Destroy или ей подобной.

проверил (и скачал обновления) - все чисто

А файервол, разве не определяет процесс инициализирующий соединение? Если это что-то легальное, типа svchost, то его тоже кто-то запустил. Смотрите дерево процессов, например, Process Explorer-ом.
Чем смотрели автозагрузку? Попробуйте autoruns - имхо лучшая для этого программа.

Сергей К, попробуйте воспользоваться avz4: http://z-oleg.com/secur/avz.htm .

"Антивирусная утилита AVZ предназначена для обнаружения и удаления:
SpyWare и AdWare модулей - это основное назначение утилиты
Dialer (Trojan.Dialer)
Троянских программ
BackDoor модулей
Сетевых и почтовых червей
TrojanSpy, TrojanDownloader, TrojanDropper
Утилита является прямым аналогом программ TrojanHunter и LavaSoft Ad-aware 6. Первичной задачей программы является удаление SpyWare и троянских программ. "

Присоединяюсь к совету "Мелкий".Неоднократно выручала программа Зайцева.

Говорят - что это новая уязвимость. Антивирусы пока ее не ловят (из 40 чел, никто не поймал)

Allex: А файервол, разве не определяет процесс инициализирующий соединение? Если это что-то легальное, типа svchost, то его тоже кто-то запустил svchost в основном рассылает...

Вот я на провайдерский форум писал (вырезать и оформить не успеваю, DialUp ):
---------------------------
да, ZоneAlаrm теперь отлавливает и блокирует такие запросы:

[quote]…
FWOUT,2007/04/22,12:59:02 +3:00 GMT,169.254.85.244:137,169.254.255.255:137,UDP
FWOUT,2007/04/22,12:59:10 +3:00 GMT,169.254.85.244:138,169.254.255.255:138,UDP
FWOUT,2007/04/22,13:04:00 +3:00 GMT,169.254.85.244:137,169.254.255.255:137,UDP
FWOUT,2007/04/22,13:04:02 +3:00 GMT,169.254.85.244:0,224.0.0.22:0,IGMP (type:34) -???
FWOUT,2007/04/22,13:04:06 +3:00 GMT,169.254.85.244:138,169.254.255.255:138,UDP
…[/quote]
но есть и такие (входящие):

[quote]FWIN,2007/04/22,13:04:00 +3:00 GMT,0.0.0.0:68,255.255.255.255:67,UDP
FWIN,2007/04/22,13:15:26 +3:00 GMT,0.0.0.0:68,255.255.255.255:67,UDP
…
PE,2007/04/22,13:35:52 +3:00 GMT,Generic Host Process for Win32 Services,C:\WINDOWS\system32\svchost.exe,255.255.255.255:67,N/A[/quote]
и как я понимаю, их посылает мой ПК (IP - 0.0.0.0).

[quote]Не все широковещательные пакеты вредны. Например служба DHCP работает на портах 67/68 протокола UDP.[/quote]
Выходит, что на это (67 и 68 порты) можно не обращать внимание.

Есть также другие заблокированные попытки доступа:

[quote]…
ACCESS,2007/04/23,09:51:26 +3:00 GMT,Generic Host Process for Win32 Services was denied Internet access because of one or more modules (239.255.255.250:Port 1900).,N/A,N/A
ACCESS,2007/04/23,09:51:32 +3:00 GMT,Generic Host Process for Win32 Services was denied Internet access because of one or more modules (255.255.255.255:DHCP).,N/A,N/A
ACCESS,2007/04/23,09:51:34 +3:00 GMT,Generic Host Process for Win32 Services was denied Internet access because of one or more modules (127.0.0.1:Port 1030).,N/A,N/A
ACCESS,2007/04/23,09:51:34 +3:00 GMT,Generic Host Process for Win32 Services was denied Internet access because of one or more modules (127.0.0.1:Port 1031).,N/A,N/A
…[/quote]
часто эти 4 записи идут подряд, в таком же порядке, причем порты (127.0.0.1:Port ****) разные, и обычно каждый раз номер увеличивается. Период повтора – от 2х минут.

Сделал откат на 2 недели назад и поковырялся в службах. Вроде бы количество всплываний фаервола заметно сократилось (в основном всплывает сразу после загрузки). За последние минут 50 работы не выскочило ни одного предупреждения (система работает немного больше часа)

[quote]Так же признаком заражения является массовая (20-200 запросов/с) хаотическая рассылка ARP запросов на весь диапазон адресов подсети.[/quote]
а как это в логах распознать? Отправка на 255.255.255.255?
---------------------------

Allex: Чем смотрели автозагрузку?
msconfig. Ну и списк процессов проверял.

Сейчас качаю Зайцева затем поставлю всторую ось... затем... возможно... del c:\windows...

А пока svchost.exe беспокоили следующие библиотеки (сгруппированы по одновременным запросам):
credui.dll
netshell.dll
---------------
dhcpcsvc.dll
esent.dll
wmi.dll
wzcsvc.dll
---------------
cabinet.dll
--------------
licdll.dll