Завёлся дружок на компе Libsysmgr.exe. Инициализирует огромный исходящий траффик(когда в инете), закрывает regedit, msconfig, KAV, инсталлятор DrWeb, ZA. Больше ничего не замечено. В безопасно режиме такого нет. В нём установил зоналарм, доктор вебер. Антивирус ничего не нашёл, а зоналарм при блокировке позывов в инет этого друга снимает проблему исходящего трафика. Опознайте чудо и как с ним эффективней бороться?

Вирус, как вирус. :upside:

Здесь (http://securityresponse.symantec.com/avcenter/venc/data/w32.donk.s.html) полное описание и методы борьбы.

Murder7
Для подобных случаев, я таки повесил объявление (http://forum.oszone.net/announcement.php?f=20&announcementid=18) в ИБ по on-line проверке файлов на вирусы.

Сегодня он вообще блокировал траффик. Вобщем грохнул я этот файл в безопасном режиме. И немного из реестра выкинул, но меня насторожила строк NT Loggin sevice.

А ссылка дохлая, но по ней я понял, что вирус этот - w32.donk.s

Murder7А ссылка дохлая
Сcылка живая.
Кратко процитирую:
W32.Donk.S is a network-aware worm that propagates through open network shares and allows a remote attacker to have unauthorized access to the infected computer through a backdoor. The worm also attempts to spread by exploiting several system vulnerabilities
...
Once W32.Donk.S is executed, it performs the following actions:
...
Prevents access to several security related Web sites by modifying the hosts file in %System%\drivers\etc and adding the following lines:
...
127.0.0.1 customer.symantec.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 updates.symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 www.nai.com
127.0.0.1 nai.com
127.0.0.1 secure.nai.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 my-etrust.com
127.0.0.1 mast.mcafee.com
127.0.0.1 ca.com
127.0.0.1 www.ca.com
127.0.0.1 networkassociates.com
127.0.0.1 www.networkassociates.com
127.0.0.1 avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 kaspersky.com
127.0.0.1 www.f-secure.com
127.0.0.1 f-secure.com
127.0.0.1 viruslist.com
127.0.0.1 www.viruslist.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mcafee.com
127.0.0.1 www.mcafee.com
127.0.0.1 sophos.com
127.0.0.1 www.sophos.com
127.0.0.1 symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 www.symantec.com

Murder7но меня насторожила строк NT Loggin sevice Гы... На заборе тоже написано. Если в информации о версии такого подозрительного файла буде написано "Windows NT BASE API Client DLL by Microsoft Corporation" (АКА kernel32.dll) ты тоже просто так поверишь? Для этого и существует проверка на вредоносное ПО (в том числе вирусы и шпионы).
Сcылка живая.
Подтверждаю. Ну а причину того, что она у тебя не работала Oaxa тебе уже указал (про "hosts")...

На заборе тоже написано
Не я в курсе про то что вирусы так маскируются, сам лог кейлоггера у другана за драйвер клавиатуры выдавал, но рисковать не хотелось.
Я только имя файла не нашёл, который убрать нужно. На ссылку до сих пор не заходит. Сейчас реестр от остатков вычищу, попробую. На касперского пускает. В инет пока левый никто не ломится.

Вроде бы всё: были Trojan.Dyfuca/ Trojan-Spy.Win32.Qukart/ Trojan-Downloader.Win32.ISTBar/ Net-Worm.Win32.Padobot/ Trojan.Win32.Qhost
Откуда подцепил - с кряк сайтов и от знакомого (с винчем приходил).
По первому линку получил доп. сведения по очистке от вирька. Буду искать описания других.

Trojan-Spy.Win32.Qukart
Осталась часть этого виря. АВП сканер ничего не находит, а монитор находит заражённый файл Hfcogmqi.exe в System32, но на самом деле его не существует. Базы для АВП сотят вчерашние (16-фев-2005), но это не помогает. Монитор пишет об ошибке лечения. Что делать?

Это мне поможет? http://securityresponse.symantec.com/avcenter/venc/data/backdoor.berbew.p.html

Murder7Что делать?А проверить винт, подключив его к другой чистой машине с установленным антивирусом и всежими базами, возможности нет? ИМХО это оптимальный вариант. Можно еще загрузиться с чистого носителя (дискета, компакт, флешка), но при этом необходимо иметь антивирус, работающий в DOS-режимеи возможно с защищенного от записи насителя (АКА компакт диск). Однако минус готовых решений - определенная "старость" имеющихся баз. А делать подобный носитель имея зараженную систему - "мертвому припарки".
Ну а как вариант - максимум почистить ручками все подозрительное автозагружаемое (включая службы), как вариант - вообще временно отключить все, что не нужно для обязательной работы машины. Потом снести антивирус (начисто, включая из реестра) и поставить заново (в идеале - другой, хотя бы временно).

и всежими базами, возможности нет?
Базы вчерашние, возможности нет, т.к винт опломбирован по гарантии.
максимум почистить ручками все подозрительное автозагружаемое (включая службы)
Нашёл я всё-таки этот Hfcogmqi.exe и из дос гронул, да ещё по линку ветки реестра вычистил.
Однако остаётся последнее, ранее мной не замеченное. Есть ли служба у вас в процессах WDFMGR. В реестре есть в 4 местах, пишет что: Включение драйверов пользовательского режима Windows. Windows User Mode Driver Framework. C:\WINDOWS\System32\wdfmgr.exe
Сидит в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UMWdf