большой исходящий трафик

[tol]

шел большой исходящий трафик, невозможно передавать и получать свое.
Проверял хайджаком, др.веб кьюэ, regrun (кажется так называется)
хайджак показал несколько записей ctfmon - это нормально? была запись smscg.exe - снес с помощью regrun, проблема прекратилась, но потом снова возникала. Каспером снес system32.exe, service.exe. Сейчас вроде нормально, но есть ли средства кроме Каспера для чистки такой проблемы? Обычно пользуюсь Нодом и Авирой и Адавэа, а с ними каспер в конфликте. Сам по себе каспер тоже дыра.
Еще периодически появляются вирусы с названием из одной буквы (.o, .i, .e, .f). дрвэб .о убирает, но они видимо грузятся с какого-то дистрибутива? (опять появляются)
Есть еще зараза agl23.exe размером около 1мб в каталоге system32, хайджак опознавал iooyfu.exe (пишут, что agl23 запускается с него), я его iooyfu удалял хайджаком, но он снова появлялся, сейчас его нет, но agl23 есть. Удалил руками, не знаю, будет ли снова появляется.

[wise-wistful]

Поищите при помощи АВЗ Сервис--поиск файлов на диске Partizan.sys и пришлите согласно правил.
Вообще то Ваша проблема это

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
>> Таймаут завершения служб находится за пределами допустимых значений

Если не Вы это делали - тогда - в АВЗ Файл--Мастер поиска и устранения проблем решите.

[tol]

при проверке дрвеб кьюэ был обнаружен 1 файл .txt в рабочих каталогах с вирусом. он не лечился, я сделал перемещение. Файл был нужный, куда он переместился? Можно его вернуть? Наверно вирусы в текстовых файлах не такие опасные?

[V_Bond]

врядли там что -то вроде стихов Вознесенского .... если там не коды ваших программ .... то сомневаюсь что -то полезное ...
так что там ?

[pig]

Если это действительно чистый текст (а не документ Word, прикидывающийся текстом), то вирусов там нет. Поищите пропажу в %USERPROFILE%\DoctorWeb\Quarantine\

[tol]

Спасибо, нашел карантин, только он в другом месте в Администраторе, файл оказался с одной строкой, зря только восстанавливал. Потом стер и проверил DRWEebCure (он находил вирус в том .txt, но уже больше не было. Кьюэит надо именно в бесопасном режиме проверять? Я проверял в обычном.

[V_Bond]

скажем так - в безопасном лучше ...

[tol]

Поищите при помощи АВЗ Сервис--поиск файлов на диске Partizan.sys и пришлите согласно правил.
Вообще то Ваша проблема это

Если не Вы это делали - тогда - в АВЗ Файл--Мастер поиска и устранения проблем решите.

Вроде на ваше сайте читал инфу про svchost.exe. При запуске винды каспер дает сообщение что файл svchost.exe изменился - это нормально?


Кажется на вашем сайте была инфа, что под svchost.exe маскируется вирус с признаками, что были у меня (большой исходящий трафик). в инфе указано: закачайте чистый svchost.exe - где его можно взять? У меня сервис пак 1. Когда у меня шел такой трафик, хайджак находил в реестре запись о svchost.exe. Этот файл действительно специально прописывается в реестре или это признак вируса? См. инфу:

Модифицированный (патченный) системный файл
C:\WINDOWS\system32\svchost.exe
Этот файл нельзя удалять!!!
Его нужно заменить на чистый:
1) Записать чистый svchost.exe в папку C:\WINDOWS\system32\dllcache, затерев существующий.
2) Переименовать файл C:\WINDOWS\system32\svchost.exe например в svchost.vir
3) Записать чистый svchost.exe в папку C:\WINDOWS\system32\
4) Перезагрузить компьютер.
Или вылечить антивирусом Касперского.

Способ запуска
Запускается как системный файл, но в отличии от оригинального загружает библиотеку MSCORE.DLL в которой находится троян
( например Trojan.Win32.Small.yd )

Внешние проявления (со слов пользователей)
Исходящий траффик в два раза больше входящего.
Если удален файл MSCORE.DLL, то Windows при запуске задумывается на пару минут (индикатор диска при этом не горит) и загружается. Но все службы, связанные с svchost.exe не запускаются, не работает сеть.

[rubin]

Там другой случай, не про Вас

[tol]

Там другой случай, не про Вас

А как насчет изменения svchost при запуске и его записи в реестре - так должно быть?

[V_Bond]

А как насчет изменения svchost при запуске и его записи в реестре - так должно быть?

ну скорее там немного не так написано ...
вы собираетесь ставить обновления ?... сразу все пройдет ...

[pig]

Кьюэит надо именно в бесопасном режиме проверять? Я проверял в обычном.

скажем так - в безопасном лучше ...

По ситуации. Если файловые вирусы гонять - то да, лучше в безопасном.

[tol]

ну скорее там немного не так написано ...
вы собираетесь ставить обновления ?... сразу все пройдет ...

Вот что точно пишется. Само сообщение в рамке синего цвета, красный обычно означает что-то тревожное, Видимо это делает каспер:
(Название сообщения) Анти-Хакер
(название подзаголовка) Файл изменен
Имя процесса SVCHOST.EXE
ID процесса 1100
производитель - Микрософт
версия 5 1 2600 0
(название подзаголовка) Действие
Исполняемый файл был изменен
Разрешит сетевой доступ для нового файла?
Справа два выбора: разрешить или запретить

Я отвечаю разрешить

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения вредоносные программы в карантинах не обнаружены