Был вирус - нужна консультация.

[wardim]

Доброе время суток. Суть проблемы: обнаружил на одном из сетевых компов "левый" исходящий трафик, как оказалось генерировался неизвестными мне приложениями с именами *001.exe, где *- разные буквы латинского алфавита. С помощью сетевого монитора НОДа вычислил их местоположение, удалил, перегрузился в сейфмоде и прогнал куреитом- вроде все чисто, больше трафика нет, процессов пока не появлялось... но для пущей уверенности решил проконсультироваться с Вами.

[V_Bond]

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('Wixxsfsguzd');
 QuarantineFile('C:\WINDOWS\system32\guzd.exe','');
 DeleteService('kJSwpGGG');
 QuarantineFile('C:\WINDOWS\system32\iSql\G002.exe','');
 QuarantineFile('C:\WINDOWS\system32\iSql\H001.exe','');
 DeleteService('jPBLooiR');
 QuarantineFile('C:\WINDOWS\system32\iSql\E003.exe','');
 DeleteService('grft');
 QuarantineFile('C:\WINDOWS\system32\iSql\F001.exe','');
 DeleteService('asOQWYZN');
 DeleteFile('C:\WINDOWS\system32\iSql\F001.exe');
 DeleteFile('C:\WINDOWS\system32\iSql\E003.exe');
 DeleteFile('C:\WINDOWS\system32\iSql\H001.exe');
 DeleteFile('C:\WINDOWS\system32\iSql\G002.exe');
 DeleteFile('C:\WINDOWS\system32\guzd.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
повторите логи

[wardim]

Скрипт выполнил, карантин пуст (увы или к радости) так что пересылать нечего.
Повторил проверку даю новые логи:

Я так понимаю раз больше нет постов значит все чисто?? или я что то сделал не так?

[thyrex]

Сделайте лог ComboFix