Оба провайдера говорят что у меня бешеный исходящий трафик
Касперский 6 при загрузке вылавливает 6 вирусов каждый раз одних и тех же
утилита cureit.exe еще один
после удаления вирусов исходящий трафик по прежнему очень большой
Printable View
Оба провайдера говорят что у меня бешеный исходящий трафик
Касперский 6 при загрузке вылавливает 6 вирусов каждый раз одних и тех же
утилита cureit.exe еще один
после удаления вирусов исходящий трафик по прежнему очень большой
Выполняем:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\system32\mdm.exe','');
QuarantineFile('C:\WINNT\system32\al32.exe','');
QuarantineFile('c:\winnt\system32\nsecurity.exe','');
BC_DeleteFile('c:\winnt\system32\nsecurity.exe');
DeleteFile('c:\winnt\system32\nsecurity.exe');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
Загружаем карантин после перезагрузки.
карантин
загружать по ссылке :[url]http://virusinfo.info/upload_virus.php?tid=11994[/url]
карантин загрузил
после выполнения скрипта AVP нашел еще один вирус ... после удаления проблема с трафиком исчезла но теперь появилась другая
этот комп шлюз я открываю общий доступ к инету но он работает 10-15 минут и прерыватся ... после повторного разряшения опять 10-15 минут и инета в сети нет .... то есть на шлюзе есть а в сеть не выдает ... так весь день:embarasse
[size="1"][color="#666686"][B][I]Добавлено через 18 минут[/I][/B][/color][/size]
Агенту DNS-прокси не удалось установить привязку с IP-адресом 192.168.0.1. Это ошибка может означать неполадки в работе сети TCP/IP. Данные являются кодом ошибки.
C:\WINNT\system32\al32.exe Backdoor.Win32.IRCBot.Afp
c:\winnt\system32\nsecurity.exe Backdoor.Win32.IRCBot.Afg
C:\WINNT\system32\nsecurity.bak Backdoor.Win32.IRCBot.Afg
выполните скрипт ....
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\system32\mdm.exe','');
DeleteFile('C:\WINNT\system32\al32.exe');
DeleteFile('c:\winnt\system32\nsecurity.bak');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
если что-то попадет в карантин пришлите согласно приложению 3 правил ....
в карантине две строки ... загрузил
карантин пустой .... повторите логи.... посмотрим может что осталось...
новые логи
Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Network Security');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Office Monitor');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Update');
QuarantineFile('C:\WINNT\system32\dllcache\mravsc32.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите новый карантин по правилам.
Поищите вручную (AVZ - Сервис - Поиск файлов) следующие файлы:
C:\WINNT\system32\nservice.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\ApiWin.exe
C:\WINNT\system32\Down(0).exe
Если ничего не найдется - выполните такой скрипт:
[code]
begin
BC_DeleteSvc('nservice');
BC_DeleteSvc('NVSvc');
BC_DeleteSvc('winconfig.exe');
BC_DeleteSvc('WindowsRemote');
BC_Activate;
RebootWindows(true);
end.[/code]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]26[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\winnt\\system32\\al32.exe - [B]Backdoor.Win32.IRCBot.afp[/B] (DrWEB: BackDoor.IRC.Sdbot.1827)[*] c:\\winnt\\system32\\nsecurity.bak - [B]Backdoor.Win32.IRCBot.afq[/B] (DrWEB: BackDoor.IRC.Sdbot.1827)[*] c:\\winnt\\system32\\nsecurity.exe - [B]Backdoor.Win32.IRCBot.afq[/B] (DrWEB: BackDoor.IRC.Sdbot.1827)[/LIST][/LIST]