Никак не получается...

[doom]

Никак не получается найти гадость виновную в постоянном исходящем трафике.. За час набегает около 200 Мб.

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
 BC_DeleteSvc('pe386');
 BC_DeleteFile('C:\WINDOWS\system32:lzx32.sys');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки сделайте новые логи.

[Rene-gad]

@doom

Выполните скрипт в AVZ:

... и подумайте, может, всё-таки установите какую-нибудь антивирусную программу с монитором .

[doom]

Антивирус есть, просто все поудаляли в процессе поиска
А логи ща сделаем

[Alex Plutoff]

-я ещё добавил бы:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\HJTsetup1\1.exe','');
RebootWindows(true);
end.

...после перезагрузки содержимое карантина от 2007-05-05 нужно прислать, воспользовавшись формой Прислать запрошенные файлы

[Bratez]

'C:\HJTsetup1\1.exe' - это, если не ошибаюсь, HijackThis переименованный

[doom]

Он такой скачался по второй ссылке
Прикреплять надо?

[Alex Plutoff]

'C:\HJTsetup1\1.exe' - это, если не ошибаюсь, HijackThis переименованный

-ну, если это действительно он, то скрипт не нужно выполнять, а вот карантин всё равно нужен, т.к. AVZ поместил в него подозрительные объекты...

[doom]

Карантин выслан

PS трафик больше не бежит

[Bratez]

Восстановление системы небось забыли отключить?
Вот что у вас там завалялось по словам КАВ:
Virus.Win32.Grum.a - avz00001.dta
Trojan-Downloader.Win32.Small.ddx - avz00002.dta

Выполните:

Код:

begin
DeleteFile('C:\System Volume Information\_restore{9DB84165-D9F4-41E1-8250-508143A2581F}\RP116\A0016003.exe');
DeleteFile('C:\System Volume Information\_restore{9DB84165-D9F4-41E1-8250-508143A2581F}\RP116\A0016000.exe');
end.

А в остальном все ОК.

[doom]

Восстановление отключено.
Скрипт выполнен.

Памятник вам при жизни соорудить бы надо.

Один вопрос: Почему Доктор веб (лицензия) ничего не видел вообще?

[Макcим]

Антивирусы время от времени что-то пропускают. Было бы хорошо, если бы Вы в вир. лаб Dr.Web отправили файлы карантина.

[doom]

Хорошо отправим.
И все же опять эти же файлы в карантине, восстановление отключено.
Что делать то? ((

[Макcим]

Повторите логи. У Вас есть расшаренные ресурсы?

[Bratez]

Почему Доктор веб (лицензия) ничего не видел вообще?

Видимо у ДрВеб возможности противодействия руткитам оставляют желать лучшего (если конечно они там есть ).

И все же опять эти же файлы в карантине, восстановление отключено.

Файлы в System Volume Information могли остаться от предыдущей инсталляции винды, если например переустанавливали без форматирования. В любом случае они не были активными, просто лежали себе, а тут мы!

[doom]

Повторяю на всякий пожарный логи и карантин
Ресурсов расшаренных нет.
Переустанавливали помоему с форматированием, не помню уже.

[Rene-gad]

Повторяю на всякий пожарный логи и карантин

В карантине - те же файлы с теми же вирусами, что и в первом логе. Вы закачали тот же карантин повторно Логи посмотрел, проблем не заметил.

[doom]

О том и речь что после скрипта
begin
DeleteFile('C:\System Volume Information\_restore{9DB84165-D9F4-41E1-8250-508143A2581F}\RP116\A0016003.exe');
DeleteFile('C:\System Volume Information\_restore{9DB84165-D9F4-41E1-8250-508143A2581F}\RP116\A0016000.exe');
end.
они и не удалились.

[Rene-gad]

О том и речь что после скрипта
begin...они и не удалились.

Удалиться он должны были наверняка после отключения системного восстановления. Время же создания обоих карантинов одинаково и именно

Код:

05.05.2007 14:41:58

Очистите папку Quarantine и повторите скрипт. Карантин должен быть пустой.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 4
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\system volume information\\_restore{9db84165-d9f4-41e1-8250-508143a2581f}\\rp116\\a0016000.exe - Virus.Win32.Grum.a (DrWEB: Win32.Grum)
  2. c:\\system volume information\\_restore{9db84165-d9f4-41e1-8250-508143a2581f}\\rp116\\a0016003.exe - Trojan-Downloader.Win32.Bensorty.el (DrWEB: Trojan.DownLoader.30166)