Вирус съедает трафик!

[Masterpiecer]

За два дня съедена почти месячная норма трафика.
17-го числа был пойман вирус. Вначале завис и вылетел веб-броузер firefox, после чего больше не запускался - пришлось переустанавливать. Далее, обнаружил, что вирус съедает трафик 1,5mb в минуту (в каждую сторону по 700кб), иногда даже быстрее. Трафик личный, домашний, ADSL, 1мб стоит 1р. 80 коп.
В msconfig/автозагрузка было найдено «нечто» 6606.EXE, которого ещё днём раньше не было. «Нечто» было выключено и выкушено из Windows/Prefetch.
Но трафик продолжал улетать в никуда. Даже при отключении коннекта с Интернетом мгновенно набегают десятки кб - приходится шнур модема выдёргивать.

Просканировал ВСЮ систему обновлённымы Касперским, SpyBot, AVZ и HiJackThis. Каждая программа нашла и удалила множество вирусов. Но только не тот, что жрёт трафик.

На форуме ixbt посоветовали выкусить windev-4e18-726b.sys. AVZ вроде бы выкусил (уже вручную). Но проблема с трафиком осталась.

Прикрепляю три лога сделанных по вашим правилам:



P.S.!!! При создания второго лога, после перезагрузки, AVZ что-то ещё выкусил, что почему-то не выкусил в прошлые разы.Так вот, сейчас трафик перестал убывать с той бешеной скоростью!
Хотя, утекает всё же немного быстрее, чем до появления вируса. Вот сейчас, я подключён к сети, набираю этот текст в течении нескольких минут на вашем сайте в IE (предварительно обнулив счётчик после загрузки этой страницы для ввода текста). За это время набежало 19000 байт отправленных и 39000 байт полученных. До вируса в подобном случае было поменьше...
Плиз, всё же посмотрите логи. Наверное что-то нехорошее ещё осталось.

И спасибо что Вы есть!

[Макcим]

Выполните скрипт в AVZ

Код:

begin
 BC_QrSvc('kprof');
 BC_QrSvc('poof');
 BC_QrSvc('windev-4e18-726b');
 BC_DeleteSvc('kprof');
 BC_DeleteSvc('poof');
 BC_DeleteSvc('windev-4e18-726b');
 BC_DeleteFile('C:\WINDOWS\system32\kprof');
 BC_DeleteFile('C:\WINDOWS\system32\poof');
 BC_DeleteFile('C:\WINDOWS\system32\windev-4e18-726b.sys');
 BC_LogFile(GetAVZDirectory + 'boot_clr.log');
 BC_Activate;
 RebootWindows(true);
end.

Потом ещё один

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\mmceoefd.dll','');
 QuarantineFile('C:\Documents and Settings\All Users\Документы\Мои рисунки\Образцы рисунков\img_0185.jpg','');
 DeleteFile('C:\WINDOWS\system32\mmceoefd.dll');
ExecuteSysClean;
RebootWindows(false);
end.

После перезагрузки "пофиксите" в HijackThis

Код:

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O20 - AppInit_DLLs:  
O21 - SSODL: SysTray.Exgr - {5368D1FC-4F5C-4f1b-B134-E67214FC78E9} - C:\WINDOWS\system32\mmceoefd.dll (file missing)

Пришлите файлы карантина по правилам раздела "Помогите".
Повторите логи, а также добавьте файл boot_clr.log из папки AVZ.

[Masterpiecer]

Выполнил скрипты.
После создания повторного первого лога пытался выкусить найденные объекты ("крелл" вроде), AVZ попросил перезагрузки, но комп завис - пришлось вручную выключать. Утром включаю - Касперский работает "частично".
Касперского переустанавливать?
И что делать когда комп не перезагружается и не может удалить вирусы? Восстановление системы отключать?

[Макcим]

Вы ещё не отключили восстановление системы? Это нужно было сделать ещё до начала лечения!
1. Пришлите карантин по правилам.
2. Сделайте повторные логи.
3. Так как восстановление системы отключено не было, то наверняка все лечение пошло на смарку

[Masterpiecer]

А Вы знаете, в "системе" стоит галка напротив "Отключить восстановление системы". Выходит, она была всегда отключена?

Сделал все логи заново. Вроде бы много гадости в новых логах исчезло.
Карантин вчерашний. Сегодня ничего не находит.

Сорри, но карантин прикрепляю здесь же, так как не понимаю как по-правилам - не вижу никакой "шапки". Ну чайник я.

[Макcим]

А Вы знаете, в "системе" стоит галка напротив "Отключить восстановление системы". Выходит, она была всегда отключена?

Выходит, что так.
Карантин пустой. Найдите и пришлите файл C:\Documents and Settings\All Users\Документы\Мои рисунки\Образцы рисунков\img_0185.jpg так, как написано здесь

[Masterpiecer]

AVZ не нашёл этот файл. Но я догадываюсь, что это мог быть за файл. Эта картинка из обзора одной фотокамеры с хорошего сайта.
http://dpreview-img.fotki.com/galler...s/img_0185.jpg Внимание - 3МБ.
И именно эта картинку я когда-то копировал в мои документы, уменьшал, изменял название и ставил на рабочий стол. Это не вирус.

[Макcим]

Проверим
В логах чисто. Проблема решена?

[Masterpiecer]

Сейчас, при подключеннии к сети, в никуда, в минуту утекает 1000б туда и 1000б обратно. Как Вы считаете, это нормально? Вирус это или обычные программы коннектятся? Тем программам, где была возможность запретить делать запросы на обновление, я запретил. Говорят, сам виндовс втихаря коннектится...

Есть ли программы, отслеживающие/останавливающие утечку трафика как у меня???

[Макcим]

Говорят, сам виндовс втихаря коннектится...

Правду говорят

Есть ли программы, отслеживающие/останавливающие утечку трафика как у меня???

Такие программы были придуманы очень давно и называются красивым словом Firewall

Советую почитать на досуге вот эту книгу.

Вы можете нас отблагодарить так. Мы будем Вам очень благодарны!
В качестве вариантов ещё почитайте тут и тут.

Отдельно поблагодарить хелперов можно повысив им рейтинг. Для этого есть кнопочка в самом низу "визитной карточки" в виде весов у сообщения хелпера.

Удачи!

[Masterpiecer]

Такие программы были придуманы очень давно и называются красивым словом Firewall

Comodo - это Firewall? Скачал позавчера думая что это антивирус типа касперского, а оказалось что-то непонятное...

[Макcим]

Comodo - это Firewall?

Есть Comodo Firewall, а есть Comodo антивирус, я не знаю что Вы скачали. В любом случае, файрволы обсуждаются здесь.

[Masterpiecer]

Огромное Вам спасибо за помощь!