Не могу обнаружить вирус

[MPAK]

Оба провайдера говорят что у меня бешеный исходящий трафик
Касперский 6 при загрузке вылавливает 6 вирусов каждый раз одних и тех же
утилита cureit.exe еще один
после удаления вирусов исходящий трафик по прежнему очень большой

[PavelA]

Выполняем:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINNT\system32\mdm.exe','');
 QuarantineFile('C:\WINNT\system32\al32.exe','');
 QuarantineFile('c:\winnt\system32\nsecurity.exe','');
 BC_DeleteFile('c:\winnt\system32\nsecurity.exe');
 DeleteFile('c:\winnt\system32\nsecurity.exe');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

Загружаем карантин после перезагрузки.

[MPAK]

карантин

[drongo]

загружать по ссылке :http://virusinfo.info/upload_virus.php?tid=11994

[MPAK]

карантин загрузил

[MPAK]

после выполнения скрипта AVP нашел еще один вирус ... после удаления проблема с трафиком исчезла но теперь появилась другая
этот комп шлюз я открываю общий доступ к инету но он работает 10-15 минут и прерыватся ... после повторного разряшения опять 10-15 минут и инета в сети нет .... то есть на шлюзе есть а в сеть не выдает ... так весь день

Добавлено через 18 минут

Агенту DNS-прокси не удалось установить привязку с IP-адресом 192.168.0.1. Это ошибка может означать неполадки в работе сети TCP/IP. Данные являются кодом ошибки.

[V_Bond]

C:\WINNT\system32\al32.exe Backdoor.Win32.IRCBot.Afp
c:\winnt\system32\nsecurity.exe Backdoor.Win32.IRCBot.Afg
C:\WINNT\system32\nsecurity.bak Backdoor.Win32.IRCBot.Afg
выполните скрипт ....

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\system32\mdm.exe','');
DeleteFile('C:\WINNT\system32\al32.exe');
DeleteFile('c:\winnt\system32\nsecurity.bak');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

если что-то попадет в карантин пришлите согласно приложению 3 правил ....

[MPAK]

в карантине две строки ... загрузил

[V_Bond]

карантин пустой .... повторите логи.... посмотрим может что осталось...

[MPAK]

новые логи

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Network Security');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Office Monitor');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Update');
 QuarantineFile('C:\WINNT\system32\dllcache\mravsc32.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки пришлите новый карантин по правилам.

Поищите вручную (AVZ - Сервис - Поиск файлов) следующие файлы:
C:\WINNT\system32\nservice.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\ApiWin.exe
C:\WINNT\system32\Down(0).exe

Если ничего не найдется - выполните такой скрипт:

Код:

begin
BC_DeleteSvc('nservice');
BC_DeleteSvc('NVSvc');
BC_DeleteSvc('winconfig.exe');
BC_DeleteSvc('WindowsRemote');
BC_Activate;
RebootWindows(true);
end.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 26
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\winnt\\system32\\al32.exe - Backdoor.Win32.IRCBot.afp (DrWEB: BackDoor.IRC.Sdbot.1827)
  2. c:\\winnt\\system32\\nsecurity.bak - Backdoor.Win32.IRCBot.afq (DrWEB: BackDoor.IRC.Sdbot.1827)
  3. c:\\winnt\\system32\\nsecurity.exe - Backdoor.Win32.IRCBot.afq (DrWEB: BackDoor.IRC.Sdbot.1827)