Трафик хавается сам(

[globus78]

.

[PavelA]

Попробуем для начала грохнуть вот это:
выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{54C7D1DD-4296-451e-B756-1E94F665B4FF}');
 DelBHO('{3C49DDAC-3DA4-4743-AF6C-5974FEAF875C}');
 DeleteFile('C:\WINDOWS\System32\winload.dll');
 DeleteFile('C:\WINDOWS\System32\yatool.dll');
ExecuteSysClean;
RebootWindows(true);
end.

После будем разбираться с "неуловимым" Джо (Tty05.sys).

[globus78]

сделал, вот логи

[PavelA]

-скачать ...
- отключить антивирус
- оключиться от интернета
tools - wipe/copy file - browse и находим файл C:\WINDOWS\Tty05.sys... - direct file content wiping - do opperation - закрыть программу.. - перезагрузится ...
...
ну и новые логи ...

Попробуем теперь повторить вот эту операцию в защищ. режиме.

[V_Bond]

и не забыть про C:\WINDOWS\System32\Drivers\Tty05.sys

[globus78]

всё сделал, вот логи

[PavelA]

C:\WINDOWS\System32\Drivers\Tty05.sys - остался, но AVZ его даже не подозревает.

Есть вероятность, что все-таки мы его победили.

Для порядка профиксить:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe

Сделать лог HJ.

[V_Bond]

если это только мусор ....
то этот срипт справится ....

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\WINDOWS\System32\Drivers\Tty05.sys');
 BC_ImportDeletedList;
 BC_DeleteSvc('Tty05');
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

[globus78]

все сделал, вот логи

[V_Bond]

теперь чисто ....
осталось только это ....
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

[globus78]

а что это?)

[rubin]

Компьютер домашний\рабочий? Для чего используется?

[globus78]

домашний, используется...да ничего конкретного, для всего понемножку

[V_Bond]

самый главный вопрос локальная сеть есть ?

[globus78]

нет

[V_Bond]

тогда ...
выполните скрипт ...

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('Messenger', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
RebootWindows(true);
end.

[globus78]

комп стал очень сильно тормозить

[V_Bond]

с чего бы это ? ...
давайте новые логи ..

[globus78]

Теперь у меня при запуске идет какойто автоматический осмотр и я немогу выгрузить свой антивирус, поэтому вё тормозит сильно, ЦП загружен на 100%...незнаю как отключить антивирус и поэтому не делаю логи

[Bratez]

Теперь у меня при запуске идет какойто автоматический осмотр

Видимо ваш Симантек вздумал сделать проверку компьютера... Придется подождать, пока он закончит или поискать на том окошке с "осмотром" кнопку Stop.