Вирус съедает трафик!

За два дня съедена почти месячная норма трафика.
17-го числа был пойман вирус. Вначале завис и вылетел веб-броузер firefox, после чего больше не запускался - пришлось переустанавливать. Далее, обнаружил, что вирус съедает трафик 1,5mb в минуту (в каждую сторону по 700кб), иногда даже быстрее. Трафик личный, домашний, ADSL, 1мб стоит 1р. 80 коп.
В msconfig/автозагрузка было найдено «нечто» 6606.EXE, которого ещё днём раньше не было. «Нечто» было выключено и выкушено из Windows/Prefetch.
Но трафик продолжал улетать в никуда. Даже при отключении коннекта с Интернетом мгновенно набегают десятки кб - приходится шнур модема выдёргивать.

Просканировал ВСЮ систему обновлённымы Касперским, SpyBot, AVZ и HiJackThis. Каждая программа нашла и удалила множество вирусов. Но только не тот, что жрёт трафик. :(

На форуме ixbt посоветовали выкусить windev-4e18-726b.sys. AVZ вроде бы выкусил (уже вручную). Но проблема с трафиком осталась.

Прикрепляю три лога сделанных по вашим правилам:



P.S.!!! При создания второго лога, после перезагрузки, AVZ что-то ещё выкусил, что почему-то не выкусил в прошлые разы.Так вот, сейчас трафик перестал убывать с той бешеной скоростью!
Хотя, утекает всё же немного быстрее, чем до появления вируса. Вот сейчас, я подключён к сети, набираю этот текст в течении нескольких минут на вашем сайте в IE (предварительно обнулив счётчик после загрузки этой страницы для ввода текста). За это время набежало 19000 байт отправленных и 39000 байт полученных. До вируса в подобном случае было поменьше...
Плиз, всё же посмотрите логи. Наверное что-то нехорошее ещё осталось.

И спасибо что Вы есть! :)

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
BC_QrSvc('kprof');
BC_QrSvc('poof');
BC_QrSvc('windev-4e18-726b');
BC_DeleteSvc('kprof');
BC_DeleteSvc('poof');
BC_DeleteSvc('windev-4e18-726b');
BC_DeleteFile('C:\WINDOWS\system32\kprof');
BC_DeleteFile('C:\WINDOWS\system32\poof');
BC_DeleteFile('C:\WINDOWS\system32\windev-4e18-726b.sys');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Потом ещё один
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mmceoefd.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Мои рисунки\Образцы рисунков\img_0185.jpg','');
DeleteFile('C:\WINDOWS\system32\mmceoefd.dll');
ExecuteSysClean;
RebootWindows(false);
end.[/CODE]
После перезагрузки [URL="http://www.virusinfo.info/showthread.php?t=4491"]"пофиксите"[/URL] в HijackThis [CODE]O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O20 - AppInit_DLLs:
O21 - SSODL: SysTray.Exgr - {5368D1FC-4F5C-4f1b-B134-E67214FC78E9} - C:\WINDOWS\system32\mmceoefd.dll (file missing)[/CODE]
Пришлите файлы карантина по правилам раздела "Помогите".
Повторите логи, а также добавьте файл boot_clr.log из папки AVZ.

Выполнил скрипты.
После создания повторного первого лога пытался выкусить найденные объекты ("крелл" вроде), AVZ попросил перезагрузки, но комп завис - пришлось вручную выключать. Утром включаю - Касперский работает "частично".
Касперского переустанавливать?
И что делать когда комп не перезагружается и не может удалить вирусы? Восстановление системы отключать?

Вы ещё не отключили восстановление системы? :O [B][COLOR="Red"]Это нужно было сделать ещё до начала лечения![/COLOR][/B]
1. Пришлите карантин по правилам.
2. Сделайте повторные логи.
3. Так как восстановление системы отключено не было, то наверняка все лечение пошло на смарку :(

А Вы знаете, в "системе" стоит галка напротив "Отключить восстановление системы". Выходит, она была всегда отключена?

Сделал все логи заново. Вроде бы много гадости в новых логах исчезло.
Карантин вчерашний. Сегодня ничего не находит.

[COLOR="Red"][I]Сорри, но карантин прикрепляю здесь же, так как не понимаю как по-правилам - не вижу никакой "шапки". Ну чайник я. :embarasse[/I][/COLOR]

[QUOTE]А Вы знаете, в "системе" стоит галка напротив "Отключить восстановление системы". Выходит, она была всегда отключена?[/QUOTE]Выходит, что так.
Карантин пустой. Найдите и пришлите файл C:\Documents and Settings\All Users\Документы\Мои рисунки\Образцы рисунков\img_0185.jpg так, как написано [URL="http://virusinfo.info/showthread.php?t=4567"]здесь[/URL]

AVZ не нашёл этот файл. Но я догадываюсь, что это мог быть за файл. Эта картинка из обзора одной фотокамеры с хорошего сайта.
[url]http://dpreview-img.fotki.com/gallery/canoneos20d_preview/originals/img_0185.jpg[/url] Внимание - 3МБ.
И именно эта картинку я когда-то копировал в мои документы, уменьшал, изменял название и ставил на рабочий стол. Это не вирус.

Проверим :)
В логах чисто. Проблема решена?

Сейчас, при подключеннии к сети, в никуда, в минуту утекает 1000б туда и 1000б обратно. Как Вы считаете, это нормально? Вирус это или обычные программы коннектятся? Тем программам, где была возможность запретить делать запросы на обновление, я запретил. Говорят, сам виндовс втихаря коннектится...

Есть ли программы, отслеживающие/останавливающие утечку трафика как у меня???

[QUOTE]Говорят, сам виндовс втихаря коннектится...[/QUOTE]Правду говорят ;)
[QUOTE]Есть ли программы, отслеживающие/останавливающие утечку трафика как у меня???[/QUOTE]Такие программы были придуманы очень давно и называются красивым словом [B]Firewall[/B] :D

Советую почитать на досуге вот [URL="http://security-advisory.newmail.ru/"]эту[/URL] книгу.

Вы можете нас отблагодарить [URL="http://www.virusinfo.info/showthread.php?t=3519"]так[/URL]. Мы будем Вам очень благодарны!
В качестве вариантов ещё почитайте [URL="http://www.virusinfo.info/showthread.php?t=2645"]тут[/URL] и [URL="http://www.virusinfo.info/showthread.php?t=7294"]тут[/URL].

Отдельно поблагодарить хелперов можно повысив им рейтинг. Для этого есть кнопочка в самом низу "визитной карточки" в виде весов у сообщения хелпера.

Удачи!

[QUOTE]Такие программы были придуманы очень давно и называются красивым словом Firewall [/QUOTE]
Comodo - это Firewall? Скачал позавчера думая что это антивирус типа касперского, а оказалось что-то непонятное...

[QUOTE]Comodo - это Firewall?[/QUOTE]Есть Comodo Firewall, а есть Comodo антивирус, я не знаю что Вы скачали. В любом случае, файрволы обсуждаются [URL="http://virusinfo.info/forumdisplay.php?f=40"]здесь[/URL].

Огромное Вам спасибо за помощь! :)