Всё, что смог, удалил. Но подруга жалуется, что трафик до сих пор кушает. :)

Выполните скрипт в AVZ:


begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Sxb82. sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Hps25. sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\spools .exe','');
QuarantineFile('C:\WINDOWS\System32\CcEvtSvc.exe', '');
DeleteFile('C:\WINDOWS\System32\CcEvtSvc.exe');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe ');
DeleteFile('C:\WINDOWS\System32\Drivers\Hps25.sys' );
DeleteFile('C:\WINDOWS\System32\Drivers\Sxb82.sys' );
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe');
BC_ImportALL;
BC_DeleteSvc('CcEvtSvc');
BC_DeleteSvc('Schedule');
BC_DeleteSvc('Hps25');
BC_DeleteSvc('Sxb82');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=21464).
Сделайте новые логи, начиная с п.10 правил.

карантин пустой.
поискал каждый файл через avz4 > сервис > поиск
тоже не нашел.
по-моему, некоторые (или все) из этих файлов я удалил ручками, когда боролся с вирусами сам.

в логах чисто ...
какие -то проблемы остались ?

к сожалению, в бою протестировать не могу.
но могу приложить лог порт-вьювера. Если у Вас есть возможность, то просмотрите беглым взглядом, нет ли "подозрительных" портов открытых?

Спасибо!



TCP/UDP Ports List

Created by using CurrPorts

lsass.exe 580 UDP 500 isakmp 0.0.0.0 C:\WINDOWS\system32\lsass.exe LSA Shell NT AUTHORITY\SYSTEM PolicyAgent, ProtectedStorage, SamSs A

lsass.exe 580 UDP 4500 0.0.0.0 C:\WINDOWS\system32\lsass.exe LSA Shell NT AUTHORITY\SYSTEM PolicyAgent, ProtectedStorage, SamSs A

svchost.exe 784 TCP 135 epmap 0.0.0.0 0.0.0.0 Listening C:\WINDOWS\system32\svchost.exe RpcSs A

svchost.exe 832 UDP 123 ntp 127.0.0.1 C:\WINDOWS\system32\svchost.exe NT AUTHORITY\SYSTEM AudioSrv, BITS, CryptSvc, Dhcp, dmserver, ERSvc, EventSystem, FastUserSwitchingCompatibility, helpsvc, lanmanserver, lanmanworkstation, Netman, Nla, RasMan, seclogon A

svchost.exe 916 UDP 1900 127.0.0.1 C:\WINDOWS\system32\svchost.exe LmHosts, RemoteRegistry, SSDPSRV, WebClient A

svchost.exe 832 UDP 123 ntp {IP_вырезан} C:\WINDOWS\system32\svchost.exe NT AUTHORITY\SYSTEM AudioSrv, BITS, CryptSvc, Dhcp, dmserver, ERSvc, EventSystem, FastUserSwitchingCompatibility, helpsvc, lanmanserver, lanmanworkstation, Netman, Nla, RasMan, seclogon A

svchost.exe 876 UDP 1167 phone 0.0.0.0 C:\WINDOWS\system32\svchost.exe Dnscache A

svchost.exe 876 UDP 1168 0.0.0.0 C:\WINDOWS\system32\svchost.exe Dnscache A

svchost.exe 916 UDP 1900 {IP_вырезан} C:\WINDOWS\system32\svchost.exe LmHosts, RemoteRegistry, SSDPSRV, WebClient A

svchost.exe 876 UDP 1169 0.0.0.0 C:\WINDOWS\system32\svchost.exe Dnscache A

svchost.exe 832 UDP 1170 127.0.0.1 C:\WINDOWS\system32\svchost.exe NT AUTHORITY\SYSTEM AudioSrv, BITS, CryptSvc, Dhcp, dmserver, ERSvc, EventSystem, FastUserSwitchingCompatibility, helpsvc, lanmanserver, lanmanworkstation, Netman, Nla, RasMan, seclogon A

System 4 TCP 445 microsoft-ds 0.0.0.0 0.0.0.0 Listening N/A
System 4 UDP 445 microsoft-ds 0.0.0.0 N/A
System 4 TCP 139 netbios-ssn {IP_вырезан} 0.0.0.0 Listening N/A
System 4 UDP 137 netbios-ns {IP_вырезан} N/A
System 4 UDP 138 netbios-dgm {IP_вырезан} N/A

авз то же порты просматривант .... в логе это есть ... видели ...