Собственно, проблема полностью описывается сабжем. Локальный компьютер, постоянное подключение к инету.
С некоторого времени заметил приличный исходящий трафик без каких-либо на то оснований. Разобраться сам не могу, прошу помочь по возможности.
Printable View
Собственно, проблема полностью описывается сабжем. Локальный компьютер, постоянное подключение к инету.
С некоторого времени заметил приличный исходящий трафик без каких-либо на то оснований. Разобраться сам не могу, прошу помочь по возможности.
пофиксите...
[code]
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
O2 - BHO: (no name) - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - (no file)
O2 - BHO: (no name) - {F156768E-81EF-470C-9057-481BA8380DBA} - (no file)
[/code]
выполните скрипт...
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\TRAFIN~1.EXE','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите какрантин согласно приложения 3 правил...
сделайте лог [url]http://virusinfo.info/showthread.php?t=10387[/url]
Сделано 1 - 4
Лог по п.4 прилагается
З.Ы. Спасибо за оперативность
карантин пустой ... TRAFIN~1.EXE попробуйте поискать через aVZ - сервис- поск файлов на диске ... и прислать по правилам ...
TRAFIN~1.EXE не обнаружен
UPD. Исходящий трафик снизился, однако все равно в два раза превышает входящий.
Пофиксите в HijackThis:
[code]
O4 - HKLM\..\Run: [PE_TRAFIN~1.EXE] "C:\WINDOWS\system32\TRAFIN~1.EXE" -PE
[/code]
Сделано. После чего выключил/включил соединение, через минут 10 имею 80К входящего трафика и 377К исходящего...
Однако ничего подозрительного больше не видно...
Давайте закроем все ненужное из этого списка:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Есть ненулевой шанс, что поможет. В любом случае полезно.
А как всю эту бесполезную "радость" позакрывать?
Вот таким скриптом:
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.[/code]
Оставил только автозапуск CD как наименее опасный и не имеющий отношения к теме. Если комп в локальной сети с использованием общего доступа к файлам и принтерам, уберите из скрипта первую строчку после begin.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]