Помогите! Компьютер постоянно что-то шлет в сеть.

[Danila]

С компьютера уходят огромное количество пакетов. Пакетов настолько много, что даже подвисает свич и компьютеры в локалькой сети остаются без инета, пока не выключишь этот копьютер. Антивирусы ничего не находят, файрволлы вообще не видят этих пакетов. AVZ обнаружил перехваченные функции, но каким процессом - непонятно. Помогите, пожалуйста, решить проблему!

[V_Bond]

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
 QuarantineFile('C:\DOCUME~1\E25D~1\LOCALS~1\Temp\_uninstop.exe','');
 QuarantineFile('C:\WINDOWS\services.exe','');
 QuarantineFile('C:\WINDOWS\iexplorer.exe','');
 DeleteService('Wrm76');
 DeleteService('Winyo66');
 DeleteService('Winww11');
 DeleteService('Winuf66');
 DeleteService('Winql53');
 DeleteService('Winoj78');
 DeleteService('Winmw17');
 DeleteService('Winii30');
 DeleteService('Winhw06');
 DeleteService('Wincr10');
 DeleteService('tcpsr');
 QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
 DeleteService('smtpdrv');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\protect.sys','');
 DeleteService('protect');
 DeleteService('poof');
 QuarantineFile('C:\WINDOWS\system32\poof','');
 QuarantineFile('C:\WINDOWS\system32\kprof','');
 DeleteService('kprof');
 DeleteService('kohzrbow');
 QuarantineFile('C:\WINDOWS\system32\drivers\teghfixn.dat','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Jjj65.sys','');
 DeleteService('Jjj65');
 DeleteService('Ixd44');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Ixd44.sys','');
 QuarantineFile('E:\Fxdrv.sys','');
 QuarantineFile('C:\fwdrv.sys','');
 DeleteService('FXDRV');
 DeleteService('fwdrv.sys');
 DeleteService('Ftej59');
 QuarantineFile('Ftej59.sys','');
 DeleteService('Fau65');
 QuarantineFile('C:\WINDOWS\System32\drivers\Fau65.sys','');
 DeleteService('docker19');
 QuarantineFile('C:\WINDOWS\system32\drivers\docker19.sys','');
 DeleteService('Ddd10');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Ddd10.sys','');
 DeleteService('ctl_w32');
 QuarantineFile('C:\WINDOWS\System32\drivers\ctl_w32.sys','');
 DeleteService('NtmsSvc');
 DeleteService('NetmanWmiApSrv');
 DeleteService('MicrosoftWmi');
 DeleteService('Microsoft Internet Explorer');
 DeleteService('MDM');
 QuarantineFile('c:\sysybhp.exe','');
 DeleteService('HidServSSDPSRV');
 DeleteService('FCI');
 DeleteService('BITSlanmanworkstation');
 DeleteService('AlerterRemoteRegistryTapiSrv');
 DeleteService('AlerterRemoteRegistry');
 QuarantineFile('srv.exe','');
 DeleteFile('srv.exe');
 DeleteFile('c:\sysybhp.exe');
 DeleteFile('C:\WINDOWS\System32\drivers\ctl_w32.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Ddd10.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\docker19.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Fau65.sys');
 DeleteFile('Ftej59.sys');
 DeleteFile('C:\fwdrv.sys');
 DeleteFile('E:\Fxdrv.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Ixd44.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Jjj65.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\teghfixn.dat');
 DeleteFile('C:\WINDOWS\system32\kprof');
 DeleteFile('C:\WINDOWS\system32\poof');
 DeleteFile('C:\WINDOWS\system32\drivers\protect.sys');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wincr10.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winhw06.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winii30.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winjj74.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winmw17.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winoj78.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winql53.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winuf66.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winww11.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winyo66.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wrm76.sys');
 DeleteFile('C:\WINDOWS\iexplorer.exe');
 DeleteFile('C:\WINDOWS\services.exe');
 DeleteFile('C:\DOCUME~1\E25D~1\LOCALS~1\Temp\_uninstop.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите крантин согласно приложения 3 правил ...
повторите логи ...

[Danila]

Проблема так и осталась. Карантин и новые логи прикрепил.

[V_Bond]

Проблема так и осталась.

весь ваш зоопарк одним ударом не убился паочка выжила ....
выполните скрипт ....

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\ndisio.sys','');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\ndisio.sys');
 DeleteFile('C:\WINDOWS\system32\svshost.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ....
повторите логи ...

[Danila]

Высылаю новый карантин и логи. После чистки пропала сеть, восстановил переустановкой драйверов на сетевую карту.

[Danila]

Похоже проблема решена! Огромное спасибо за быструю и грамотную помощь!!!

[V_Bond]

пофиксите ...

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe

больше ничего подозрительного ...

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 10
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\drivers\\ndisio.sys - Rootkit.Win32.Agent.cva (DrWEB: Trojan.Spambot.3554)