Есть два компа, завязанные в локалку. Один из них, далее №1, ходит в Сеть (через EDGE-модем).
При подключении в Интернет комп №1 (в то время как комп №2 выключен) сам по себе отсылает куда-то около 3 кБ траффика (при этом принятый траффик - где-то в р-не 200 Б), на этом всё заканчивается.
Когда включается комп №2, он начинает вести себя значительно злокачественнее, а именно - автоматически подсоединяется в Сеть (через комп №1) и начинает отсылает куда-то траффик в неограниченных кол-вах. Да и принимает тоже неслабо, однако кол-во исходящего трафика - совершенно неадекватное.
Пробовал лечить и AVZ, и свежим CureIT - нашлось довольно прилично всякого дерьма, но проблема так и не устранена.
Работать невозможно. Помогите, пожалуйста.
Антон
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
begin
QuarantineFile('C:\WINXP\system32\fpmon4.dll','');
QuarantineFile('C:\WINXP\System32\spool\DRIVERS\W32X86\2\fpdisp4.exe','');
QuarantineFile('c:\winxp\system32\drivers\port_nt.sys','');
end.
Всё сделал, только вот файлы Fp.... карантинировать не стал - это виртуальный принтер у меня, FinePrint называется.
Похоже также, что третья файлина, упомянутая Максимом - это какой-то кусок FreeDownloadManager'a (кхмммм.... да, я помню, что меня попросили закрыть все программы перед выполнением скриптов. Извините).
Логи со второго компа вот (нужно ли повторять их на первом? Просто он у меня не в пример больше).
больше ничего зловредного в присланных логах
стоит разобраться с этим ...
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Змий повержен, трафик лишний действительно пропал, "небезопасные" службы я поотключал (теперь бы вот только узнать, когда какую из них придётся включить, ну да это уже - совсем другая история :-))
"Бутылка" сформировалась и отсылается, но как-то криво: половина сообщений - красненькие, при том, что восстановление системы я пока не включал. Никакого другого защитного софта у меня не стоит вообще. Пока.
Потратился на лицензионного Касперского - не то, чтобы денег жалко было, а просто очень уж сильно он компьютер грузит. Мне как правило не хватает ресурсов ЦП (3D-дизайн). Как вы считаете - стоит оно того?
Всем огромное спасибо за помощь и за то, что такое замечательное место вообще в Сети есть!
Искренне,
Антон
P.S. А можно напоследок дурааацкий такой и СОВЕРШЕННО ОФФТОПИЧНЫЙ вопрос? Как мне убить папки с предыдущими инсталляциями Винды? Я пробовал через Bart's PE, но ничего не вышло.... Там вообще названия папок корректно не отображались.
Я спрашиваю не из желания злостно пофлудить, а оттого, что у Яндекса уже спрашивал неоднократно. И ничего не нашёл.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: