с компьютера идет большой исходящий трафик. при полной проверке CureIT нашел adware.fieryads в папке C:\Documents and Settings\Admin\Application Data
файл был удален, но трафик все равно большой.
посмотрите, пожалуйста, логи
Printable View
с компьютера идет большой исходящий трафик. при полной проверке CureIT нашел adware.fieryads в папке C:\Documents and Settings\Admin\Application Data
файл был удален, но трафик все равно большой.
посмотрите, пожалуйста, логи
[QUOTE][B][B]Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления[/B][/B][/QUOTE]
Обновите базы АВЗ, сделайте новые логи.
Сделайте лог MBAM!
Пожалуйста, выполните скрипт AVZ:
[CODE]
begin
SearchRootkit(true, true);
QuarantineFile('spyr.sys', 'CHQ=N');
QuarantineFile('C:\WINDOWS\system32\clipsrv.exe', 'CHQ=N');
QuarantineFile('C:\WINDOWS\system32\msdtc.exe', 'CHQ=N');
ExecuteWizard('TSW', 3, 3, true);
RebootWindows(true);
end.
[/CODE]
В ходе выполнения скрипта компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
все готово.
карантин выслан
Удалите в MBAM
[CODE]Заражено ключей реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FieryAds (Adware.FieryAds) -> No action taken.
Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
C:\Documents and Settings\Admin\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\Documents and Settings\LocalService\Application Data\fvgqad.dat (Malware.Trace) -> No action taken.
[/CODE]
Сделайте лог MBAM
готово
Чисто, что с проблемой?
мне кажется что 150 кб входящего и 6 мб исходящего трафика за 5 минут - это проблема.
(открыто несколько страниц в опере и qip, ничего не качается/не загружается)
[QUOTE=Izzy;590187]мне кажется что 150 кб входящего и 6 мб исходящего трафика за 5 минут - это проблема.
(открыто несколько страниц в опере и qip, ничего не качается/не загружается)[/QUOTE]
1. Как ПК подключен к Инет ?
2. В свойствах сетевых подключений выключите для опыта "Клиент для сетей Микрософт" и "Службу доступа к файлам и принтерам"
3. Временно прибейте процесс d:\program files\embarcadero\rad studio\7.0\bin\bsqlserver.exe
4. NOD32 легальный ? В его настройках не стоит что-то типа "Отправлять подозрительные" и т.п. - модет быть, он отправляет какой-то карантин ?
после чего пронаблюдайте, что происходит с трафиком
1. сетевой кабель
2. сделано. за 5 минут картина примерно та же (включить обратно?)
3. процесс убит. без изменений
4. в настройках вроде ничего подобного нету
на сайте провайдера в статистике показано что исходящий трафик начал уходить 5 дней назад
Тогда самое простое - поставить сниффер (из простых [URL]http://www.tamos.ru/products/commview/[/URL] - его триального функционала вполне хватит, удаляется он чисто), и посмотреть, что за пакеты идут (какой протокол, порт и т.п.).
я в этом мало разбираюсь... и многое там мне непонятно.
единственное забавное наблюдение - при закрытии DC++ трафика уходит значительно меньше, хотя там открыты только 2 основные хаба.
да и странно что 5 дней назад было все нормально
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]