посмотрите, пожалуйста.

Доброго времени суток!
Проблема в следующем. В последнее время комп стал часто тормозить, особенно сильно с интернетом. При этом наблюдалось аж несколько мне непонятных вещей - загруз процессора процессом system и просто невероятный исходящий трафик от процесса svchost.exe на порте 1900. может это и нормально, я не знаю=). сегодня утром мне позвонили из провайдера и сообщили, что меня временно условно блокируют потому что с моего ip идет спам, естесственно немедленно проверился антивирем (KIS2009), который нашел и вылечил c/windows/system32/drivers/***.sys (их было около 10) и оттуда же удалил svchost.exe и 1.exe
но сейчас все равно с svchost.exe и system идет исходящий трафик, что очень не нравится
логи прилагаю, посмотрите пожалуйста, мне ком лечить надо или голову от паранойи?
p.s. неделю назад долбался и лечился каспером от net-worm.win32.kido, тогда оно сидело в c/windows/system32 и носило имя 1.tmp или ***.dll - может это он?

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\calc.ifo','');
DeleteFile('C:\WINDOWS\system32\calc.ifo');
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(True);
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- Удалите [URL="http://virusinfo.info/showthread.php?t=27923"]Bonjour[/URL]
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

сделал, сейчас пришлю карантин, только разберусь как делать)
а что Вы сделали тем скриптом? просто теперь после загрузки винда ругается на его отсутствие))

карантин ушел

[size="1"][color="#666686"][B][I]Добавлено через 30 минут[/I][/B][/color][/size]

исходящий трафик 6 кб/с - видимо спам все еще идет(

[size="1"][color="#666686"][B][I]Добавлено через 35 минут[/I][/B][/color][/size]

гм.. только что удостоился синего экрана. постепенно начинается паника XDD
а после того скрипта при каждом включении оно находит "новое устройство". что это?

1. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
ExecuteRepair(16);
RebootWindows(true);
end.[/CODE]

2. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]

[QUOTE]F2 - REG:system.ini: Shell=explorer.exe rundll32.exe calc.ifo beforemain[/QUOTE]

3. Сделайте новые логи (только п.2 и 3 раздела Диагностика).

эмм.. не хочу показаться идиотом, но я не нашел такой строчки в hijackthis(

Тогда пропускаем...

логи выкладывать?

Да.

на всякий случай выложу

Ничего зловредного в логах нет. Что с проблемами?

трафика нету, тормозит меньше
СПАСИБО!!
осталось 2 вопроса
1) что делать с процессом system (грузит проц+трафик)
2) то, что svchost.exe выкидывает трафик в инет - это нормально?
ну, извиняюсь за свою тупизну и паранойю))

У Вас на машине стоит KIS. Зачем нужно было ставить AGAVA Firewall?

ээ.. ну как.. паника))
да, тупость сделал
уже снес

[QUOTE=gr16man;412480]
осталось 2 вопроса
1) что делать с процессом system (грузит проц+трафик)
2) то, что svchost.exe выкидывает трафик в инет - это нормально?
ну, извиняюсь за свою тупизну и паранойю))[/QUOTE]
1. С помощью [URL="http://download.sysinternals.com/Files/ProcessExplorer.zip"]Process Explorer[/URL] посмотрите что грузит ЦП...

2. Сделайте такой лог [URL]http://virusinfo.info/showthread.php?t=40118[/URL]

вот сейчас system почти не грузит..
вот про svchost.exe - есть такая директория:
C:\WINDOWS\System32\svchost.exe
и такая:
C:\WINDOWS\system32\svchost.exe
это ок?

gmer на что-то руганулся

[QUOTE=gr16man;412497]gmer на что-то руганулся[/QUOTE]
Это остатки от Kido. Сейчас зачистим.

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

Сохраните содержимое как start.bat в каталоге с gmer, запустите и после перезагрузки повторите лог gmer.

[CODE]gmer.exe -del service azjyym
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\azjyym@DisplayName"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\azjyym@Type"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\azjyym@Start"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\azjyym@ErrorControl"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\azjyym@ImagePath"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\azjyym@ObjectName"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\azjyym@Description"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\azjyym\Parameters"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\azjyym\Parameters@ServiceDll"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\azjyym@DisplayName"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\azjyym@Type"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\azjyym@Start"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\azjyym@ErrorControl"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\azjyym@ImagePath"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\azjyym@ObjectName"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\azjyym@Description"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\azjyym\Parameters"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\azjyym\Parameters@ServiceDll"
gmer -reboot[/CODE]

сделала как было написано, при этом на каждом действии оно выдавало ошибку

когда начал сканить gmer'ом по новой, оно подвисло и ушло в синий экран
однако теперь он не ругается на то, что там кажется был руткит

Теперь чисто.

[size="1"][color="#666686"][B][I]Добавлено через 46 секунд[/I][/B][/color][/size]

Выполните эту инструкцию [url]http://virusinfo.info/showthread.php?t=3519[/url] и загрузите полученный карантин через форму [url]http://virusinfo.info/index.php?page=uploadclean[/url] После его загрузки продублируйте имя и MD5 файла, который выдаст форма приема карантинов.

отлично))
а что можно поделать с тем, что комп при запуске пытается установить какое-то новое оборудование и хочет в инет на майкрософт апдейт?
появилось после первого скрипта..)

[size="1"][color="#666686"][B][I]Добавлено через 37 секунд[/I][/B][/color][/size]

ой, не увидел, счас сделаю

[QUOTE=gr16man;412524]а что можно поделать с тем, что комп при запуске пытается установить какое-то новое оборудование и хочет в инет на майкрософт апдейт?[/QUOTE]
Правой кнопкой мыши на "Мой Комп" - Свойства - Оборудование - Диспетчер Устройств. "Вид". Отметить "Показать скрытые устройства". Там что-нибудь есть с жёлтым или красным крестиком?

На счет второго, так это нормально.

Файл сохранён как 090606_000735_virusinfo_files_LENOVO-BB7C21B7_4a297b071fafb.zip
Размер файла 3380827
MD5 a3be9d0c9f2ca19381786cc2238b898b

вот оно=)

огромное вам спасибо)

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

есть желтый воскл знак.
устройство Serial из класса "драйверы устройств не Plag & play"

Устройство отсутствует, работает неправильно, или для него установлены не все драйверы. (Код 24)

Нажмите кнопку "Диагностика", чтобы запустить мастер диагностики для данного устройства.

ну в общем и целом-фиг с ним, главное без вирусни))

Удалить устройство не получается? Попробуйте удалить и перезагрузиться.

[size="1"][color="#666686"][B][I]Добавлено через 14 минут[/I][/B][/color][/size]

[QUOTE=gr16man;412538]Файл сохранён как 090606_000735_virusinfo_files_LENOVO-BB7C21B7_4a297b071fafb.zip
Размер файла 3380827
MD5 a3be9d0c9f2ca19381786cc2238b898b[/QUOTE]
Ответ [url]http://virusinfo.info/showpost.php?p=412562&postcount=1390[/url]

удалил, перезагрузился - все отлично))
можно закрывать..
p.s.еще раз спасибо

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\calc.ifo - [B]Trojan-Downloader.Win32.Small.jvg[/B] ( DrWEB: Trojan.DownLoad.38281 )[/LIST][/LIST]