Перерасход траффика

заранее благодарен.

Логи где?

логи вот.

А что ж hijackthis.log не сделали?

Сорри.

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('lanmandrv', 4);
StopService('lanmandrv');
SetServiceStart('Kqv28', 4);
StopService('Kqv28');
SetServiceStart('Jot38', 4);
StopService('Jot38');
SetServiceStart('Nty84', 4);
StopService('Nty84');
QuarantineFile('C:\WINDOWS\System32\lanmandrv.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Kqv28.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Jot38.sys','');
QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Nty84.sys','');
QuarantineFile('C:\WINDOWS\TEMP\BNA.tmp','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\LogCrypt.dll','');
QuarantineFile('c:\windows\temp\bna.tmp','');
DeleteFile('c:\windows\temp\bna.tmp');
DeleteFile('C:\WINDOWS\system32\LogCrypt.dll');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\TEMP\BNA.tmp');
DeleteFile('C:\WINDOWS\system32\Drivers\Nty84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Jot38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Kqv28.sys');
DeleteFile('C:\WINDOWS\System32\lanmandrv.sys');
DeleteFile('C:\WINDOWS\system32\cssrss.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Nty84');
BC_DeleteSvc('Jot38');
BC_DeleteSvc('Kqv28');
BC_DeleteSvc('lanmandrv');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=19097[/url]
Повторите логи.

логи
карантин: Файл сохранён как 080304_215913_virus_47ce1a91ce83a.zip
Размер файла 3925061
MD5 ac63e3748d2462719c12796856c78903

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Nty84\0000', 'CSConfigFlags', '1');
QuarantineFile('c:\windows\system32\..\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('c:\windows\temp\bna.tmp','');
DeleteFile('c:\windows\temp\bna.tmp');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('c:\windows\system32\..\svchost.exe');
BC_ImportALL;
BC_DeleteFile('C:\WINDOWS\system32\Drivers\Nty84.sys');
BC_DeleteSvc('msupdate');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]Загрузите карантин согласно приложению №3 правил. Повторите логи.

[size="1"][color="#666686"][B][I]Добавлено через 7 часов 57 минут[/I][/B][/color][/size]

По карантину (для справки):

avz_560_raw.tmp_ - [B]Trojan.Win32.Agent.eub[/B],
BNA.tmp_ - [B]Trojan-Spy.Win32.Agent.bll[/B],
WLCtrl32.dll - [B]Trojan-Downloader.Win32.Agent.kif[/B]

логи не могу отправить :( сервер не грузит
карантин: Файл сохранён как080305_064935_virus_47ce96df093e3.zipРазмер файла48948MD5a063735cda76712a7480b25aa1e242c6

[quote]логи не могу отправить сервер не грузит[/quote]
Удалите старые вложения через Мой кабинет, либо virusinfo.ifolder.ru

Прошу прощения за задержку

Нужны свежие логи.

свежие...
Файл сохранён как 080307_021240_virus_47d0f8f8697fc.zip
Размер файла 3657528
MD5 e4e94f2813dd8ce854d925b494f38493

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
BC_DeleteSvc('NlaEventSystem');
BC_DeleteSvc('Nty84');
BC_Activate;
RebootWindows(true);
end.[/CODE]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]O20 - Winlogon Notify: LogCrypt - LogCrypt.dll (file missing)
O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)
O21 - SSODL: UpdateCheck - {FADCB1EB-04D4-4EBC-B0C0-7A7D89215415} - (no file)[/CODE]Повторите логи.

логи

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Nsx27.sys','');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Nsx27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Lrw05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Mrw51.sys');
DeleteFile('C:\WINDOWS\system32\cssrss.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].

2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll [/CODE]

Повторите логи

Не пойму, АВЗ Вы запускаете из архива или распаковали в отдельную папку? Фаервол стоит или нет, как-то не обратил внимания когда логи смотрел?

логи

Выполните в АВЗ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\Drivers\Nsx27.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Повторите логи.

все работает стабильно. левых процессов нет. пока:) логи не могу выслать... нет доступа к компьютеру. при возможности обязательно продолжим, а пока всем спасибо.