гадость какая то в ядре, тихонечко течет трафик. Гляньте логи Плизз.
Printable View
гадость какая то в ядре, тихонечко течет трафик. Гляньте логи Плизз.
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
QuarantineFile('dopdfmn5.dll','');
QuarantineFile('UPS.sys','');
QuarantineFile('%system32%\drivers\UPS.sys','');
BC_ImportQuarantineList;
BC_QrSvc('UPS');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=27879[/url] ).
.sys в Модулях пространства ядра - скорее всего не гадость, но можете в AVZ - Сервис - Модули пространства ядра снять с него дамп, и полученный дамп из папки DMP прислать нам по вышеуказанной ссылке в архиве с паролем virus.
У Вас установлен блок бесперебойного электропитания?
В результате выполнения скрипта в каталог карантина легли ini - файлы. Файлы *.dat отсутствуют. Это правильно ? Вот содержание одного из ini файла:
[InfectedFile]
Src=\??\dopdfmn5.dll
Infected=bcqr00002.dat
Virus=BootCleaner quarantine
Size=0
CopyStatus=C0000034
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Да UPS стоит и сотф соответстущий тоже UPS.sys не причем видимо. А dopdfmn5.dll не может относиться к менеджеру печати лазерных принтеров ?
[size="1"][color="#666686"][B][I]Добавлено через 54 секунды[/I][/B][/color][/size]
Сори сотф = софт
Дамп снялся
Поищите и пришлите файл dopdfmn5.dll по приложению 2 и 3 правил.
не находит - мучаюсь
[size="1"][color="#666686"][B][I]Добавлено через 44 минуты[/I][/B][/color][/size]
Ну файл не находиться в ресстре на него указывают ключи:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Print\Monitors\doPDF Desktop 5 Monitor\\Driver
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Monitors\doPDF Desktop 5 Monitor\\Driver
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Monitors\doPDF Desktop 5 Monitor
Может удалить ?
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
А в ядре .sys это что заархивировал дамп с него и загрузил пы указанной ссылке.
Ничего удалять не надо :)
А чего делать то ? Kомп за час отправляет более 2 тысяч icmp пакетов на адрес маршрутизатора (циска) который стоит между инетом и локалкой не пойму откуда ноги растут. Причем не в инет а именно маршрутизатору такое ощущение как будто моя машина его постоянно пингует....
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Не было до отпуска. Пока был в отпуске тут за моим компом посидел кое-кто (убил бы) и вот такая ерунда началась....
Пункт 2 правил выполнялся (полная проверка CureIt!) ?
На машине стоит KAV 6 for Workstation сносить его очень не желательно так как в локалке есть сервер администрирования KAV который рулит ключами к касперскому он отличает машины по MAC адресу. Снос касперского и его повторная установка - потеря одной лицензии.... Чувствую что они с CureIt не очень будут дружить, но попробую.
[QUOTE=als-a;266489] Чувствую что они с CureIt не очень будут дружить, но попробую.[/QUOTE]
прекрасно дружат ... в CureIt там [B]только[/B] сканер не требует инсталяции ...
Сделал быструю проверку - ничего. Запустил полную проверку - нашел в хранилище касперского пару давно убитых вирусов, проверил 70000 тысяч файлов и тихонечко насмерть повис. Щас попробую в Safe Mode..
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]