Непонятная загрузка !

Имеем Server 2003 ЕЕ,с него идет постоянная загрузка/выгрузка данных в Инет.
При этом proxy сервер просто подвисает от таких запросов.
Откуда берется такая активность непонятно.
Но после блокировки одного сайта,теперь пытается обмениваться данными с другим.Хотя на самом PC никто не работает.

1. был адрес российской телекоммуникационной компании (89.249.22.163)
2. А сейчас неизвестной американской фирмы (91.202.63.43).

При этом непонятно,откуда берется такая сетевая активность.
Из антивирусов установлен AVAST SE.

вот твой зверь:
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\..\svchost.exe

Сейчас посмотрю по логам АВЗ, сделаю скриптик.

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

Выполнить скрипт, нужна будет перезагрузка:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\lcbaefdcufnb.sys','');
//DeleteService('ulaakptbswbnx');
QuarantineFile('c:\windows\system32\..\svchost.exe','');
DeleteService('msupdate');
DeleteFile('c:\windows\system32\..\svchost.exe');
//DeleteFile('C:\WINDOWS\system32\drivers\lcbaefdcufnb.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Один подозр. файл я взял только в карантин, так что его обязательно загружать.
После этого сделать новые логи

Спасибо,вроде помогло!! :>

В карантин файлик lcbaefdcufnb.sys попал?
Надо вообще весь карантин загрузить.

Карантин отправил!

Файл сохранён как 080721_084517_virus_488492edc0674.zip
Размер файла 63029
MD5 f12e10c9915b96d94894893169c18ad7

Вот это для прочистки выполни:

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('ulaakptbswbnx');
DeleteFile('C:\WINDOWS\system32\drivers\lcbaefdcufnb.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Сделай новые логи с п.10 Правил

Новые логи...

Попробуем вот так его удалить:

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('ulaakptbswbnx');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Можно конечно попробовать из командной строки: sc delete ulaakptbswbnx

Выполнил скрипт.Новые логи...

Чисто...