Помогите!

Какая-то зараза ест мой трафик. DrWeb, Касперский, RemoveIT, AdAware - каждая из программ что-то нашла, полечила - все равно трафик улетает.
Помогите!

При попытке выполнить скрипт лечения/карантина и сбора информации AVZ система показывает синий экран - поэтому лога только два.

выполните скрипт ..
[code]
begin
QuarantineFile('C:\WINDOWS\system32\3J4i2M8W.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ..
сделайте лог [url]http://virusinfo.info/showthread.php?t=10387[/url]

Руткит засел хитрый...
Итак:

1. AVZ - Файл - Выполнить скрипт:

[code]begin
QuarantineFile('C:\WINDOWS\system32\3J4i2M8W.exe','');
RegKeyDel('HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\','Upxw72');
BC_QrSvc('Upxw72');
BC_DeleteSvc('Upxw72');
BC_Activate;
RebootWindows(true);
end.[/code]

Компьютер перезагрузится. После чего пришлите карантин согласно приложению 3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL]

2. Затем зайдите в панель управления компьютером и удалите там задания планировщика, если их запланировали не Вы (в чем я почти не сомневаюсь ;) ).

3. Попробуйте повторить логи по правилам. Особенно интересует тот, что не получается.

Упс, опередили... :)

Скрипт выполнил. Компьютер перезагрузился, но когда я пытаюсь открыть карантин, чтобы заархивировать, как описано в правилах - вижу пустое окно.
В планировщике - действительно, 24 штуки заданий, которые каждый час должны запускать вот этот самый 3J4i2M8W.exe.

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

Выполнить скрипт лечения/карантина по-прежнему не могу: синий экран
0x0000007E (0xC0000005, 0x8061941D, 0xF8ADF854, 0xF8ADF550).

сделайте дополнительный лог ...

Логи:

интересует лог [url]http://virusinfo.info/showthread.php?t=10387[/url]

Сделал:

Пардон! вот лог.

выполните скрипт...
[code]
begin
BC_QrSvc('kprof');
BC_QrSvc('poof');
BC_DeleteSvc('kprof');
BC_DeleteSvc('poof');
BC_DeleteFile('C:\WINDOWS\system32\kprof');
BC_DeleteFile('C:\WINDOWS\system32\poof');
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ...

Выполнено:

не хватает скрипта лечения/карантина и сбора информации AVZ (должен запуститься) ...

Действительно, теперь запускается :)

На всякий случай выслал карантин.

выполните скрипт...
[code]
begin
BC_QrFile('C:\WINDOWS\system32\drivers\Upxw72.sys');
BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
BC_QrFile('C:\WINDOWS\system32\drivers\symavc32.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\Upxw72.sys');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
BC_DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('symavc32');
BC_DeleteSvc('Upxw72');
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ...

Сделал. Победа? )

C:\SDFix\backups\backups.zip/{ZIP}/backups/runtime2.sys -зловред консервированный ? :)
похоже победа ... но сделайте еще лог [url]http://virusinfo.info/showthread.php?t=10387[/url]
что из этого используете ?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule ()
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

чуть не забыл , а ваш антивирус где ? в отпуск ушел ? :)

C:\SDFix\backups\backups.zip/{ZIP}/backups/runtime2.sys - видимо, осталось после использования SDFix. Столько уже этих трояноубивателей перепробовал, что и не упомню...
Компьютер домашний. Сознательно - ни одну из этих служб не использую, даже слабо представляю, для чего они нужны.
Лог:

[quote=V_Bond;135231]

чуть не забыл , а ваш антивирус где ? в отпуск ушел ? :)[/quote]

Антивирус ставлю приблизительно раз в месяц, проверяюсь и сношу. Если стоит постоянно - время от времени возникают проблемы с доступом к интернету. Отчего так, непонятно, а у техслужбы провайдера один ответ - "отключите файрволл и антивирусы, если есть".

закроем потенциальные дыры ....
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
end.
[/code]
без антивируса в интернете компьютер остается чистым , около часа ...
у вас ... зоопарк тоже неплохой был :)
зловредов больше не вижу... если проблем нет лечение можно считать законченным ..