Куда уходит трафик

В сети 2 компа. Шлюз работает нормально, а второй комп ворует трафик. Выручайте.

@vvtser
Пофиксите
[QUOTE]O23 - Service: Òåìû ThemesSchedule (ThemesSchedule) - Unknown owner - C:\WINDOWS\system32\34apij.exe (file missing)[/QUOTE]
Выполните скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\34apij.exe','');
QuarantineFile('34apij.exe','');
DeleteFile('C:\WINDOWS\system32\34apij.exe');
BC_DeleteSvc('ThemesSchedule');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки повторите логи + boot_clr.log. Карантин, если не пустой, закачайте по правилам.

Карантин пуст

Выполните такой скрипт:
[code]
begin
BC_QrSvc('Muu60');
BC_DeleteSvc('Muu60');
BC_DeleteFile('C:\WINDOWS\System32\Muu60.sys');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин по правилам и сделайте логи еще раз.

Ситуация пока не изменилась

Прошу извинить за невнимательность, через шлюз левый трафик похоже блокирован, внутрисетевой очень интенсивен.

C:\Documents and Settings\Den\Главное меню\Программы\Автозагрузка\PROLING.EXE-это что ?
Отключить месенджер + остальные не нужные службы: справка удалённого стола итд.

Прошу прочения за офтоп, но видя такое название не могу не перефразировать одну известную песню :)

Куда уходит трафик
В какие города
И где найти нам средство
Чтоб он не шел туда туда
А он уйдет неслышно
Пока весь город спит
И писем не напишет
И вряд ли позвонит
:)

[QUOTE]Отключить месенджер + остальные не нужные службы[/QUOTE]Подробнее [URL="http://forum.kaspersky.com/index.php?showtopic=30184"]здесь[/URL].

PROLING.EXE- переводчик (рус.-укр.), нормально.
Месенджер отключил, справка удалённого стола вроде не запущена, внутренний трафик очень интенсивен.

согласитесь если бы полностью отключили , в логе бы этого не было :
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
Mаксим вам дал ссылку, пройдитесь по всем сервисам - что вам не нужно отключить.Только не переусердствуйте ;)
. Также, в даймон тулз в последних версия рекламного шпиона засадили - при установке не надо его устанавливать.

Большое спасибо.
Название именно этим и продиктовано.
Занимаюсь внутренними разборками.

Еще раз спасибо за помощь, победа полная, не знаю окончательная ли (комп сына и где он окажется в следующий раз ...).
В 16.30 вам икнется, выпью рюмку за ваше здоровье.

[QUOTE=vvtser;115039]
В 16.30 вам икнется....[/QUOTE]
По какому времени? У нас форум международный - от Владивостока до Сан-Франциско ;).

Как икнется так и время определится.
А с победой погарячился, после отправки сообщения снова полез внутренний трафик, хотя вроде все отключил.

Тогда сделайте новые логи.

Очень надеюсь, что вам икнулось.
Вынужден еще раз послать логи.
Активность внутрисетевого трафика [U]иногда[/U] пропадает после выполнения AVZ, а после перезагрузки может появиться снова. Что на это влияет не разобрался.

Наверное обо мне забыли?

В логах ничего подозрительного больше нет.

Службы отключили? Файрвол у Вас установлен?

Службы отключил, правда не переусердствовал. Включен только брандмауэр. Но суть в том, что до возникшей ситуации службы были включены и проблем не было. Сейчас с внешним трафиком все нормально. а вот внутренний обмен между компами очень активен. Что то же его инициирует.

[QUOTE]Что то же его инициирует.[/QUOTE]
Да, но этого [I]что-то [/I]в логах не видно.
Есть предложение открыть новую тему и сделать логи с другого компьютера.

Спасибо.
Если сам не справлюсь, после командировки попробую.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\systemroot\\system32\\muu60.sys - [B]Rootkit.Win32.Agent.ea[/B] (DrWEB: Trojan.NtRootKit.269)[/LIST][/LIST]