Подозрение на вирусняк(Proxy)
Здравствуйте! Вобщем предыстория такая: Есть 2 машины Win2003 server(будем называть одну BS, другую TS) используются в качестве терминального сервера, подключенные к интернету через шлюз на Linux Ubuntu 7.10. Примерно с 18,02 входящий траффик увеличился с 200мб до 1,6Гб-3,5Гб. Проверка разными антивирусами эффекта не давала(AVG, Symantec). Нашел службу(на BS), со странным на званием sock. Она запускалась как "svchost -k sock" и загружала файлы nobema.sys,nobema.dll. Их удалил и удалил ветки реестра, где они встречались. Далее нашёл mycc.exe, mycc080217.exe, mycc080217.dll и ещё длл с похожими именами.Их тоже удалил. В папке Windows нашел файл "y.txt" с содержанием:
open 85.68.217.156 27972
user vikeffm yycqp
get w32mvs.exe
quit
Его тоже удалил. Также в папке Windows были файлы Down(0).exe, EsXP.exe, cc16.ini. Вот содержание последнего:
[mydown]
old_exe=
old_dll=
old_dll32=
fn_exe=C:\WIN\system32\mycc080217.exe
ver=080217
fn_dll_start=C:\WIN\system32\mycc080217.dll
fn_dll=C:\WIN\system32\mycc32.dll
ТОже удалил.Но всё же что-то качает. Т.к. немогу определить какая машина качает, собрал инфу с обеих машин и вот выкладываю. Заранее спасибо за помошь.:>
П.С. Не могу загрузить файлы, пишет превышен лимит. Это только 3 файла, а мне надо загрузить 6 (с 2х машин).:O Что делатЬ?
