Очень серьёзная проблема!

[eclips_red]

Здравствуйте! На данном компьюторе постоянно уходит траффик...
В последнее время очень замедлились выполнения процессов.. и перестал разрешать допуск по локальной сети... прилогаю скрины..
Помогите... типография встала.. несём убытки...

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('G:\autorun.inf','');
 QuarantineFile('F:\печатник\1\SYSTEM~1\_RESTO~1\RP28\A0044348.DLL','');
 QuarantineFile('F:\печатник\1\DOCUME~1\ИРИНА\LOCALS~1\TEMPOR~1\CONTENT.IE5\GHIB4TIJ\mediat~1.cab','');
 QuarantineFile('F:\печатник\1\DOCUME~1\ИРИНА\LOCALS~1\TEMPOR~1\CONTENT.IE5\E10RITWD\mediat~1.cab','');
 QuarantineFile('C:\WINDOWS\sd4dshd.exe','');
 QuarantineFile('C:\WINDOWS\s2dsxdshd.exe','');
 QuarantineFile('C:\Documents and Settings\ЛИРА\sd4dshd.exe','');
 QuarantineFile('C:\Documents and Settings\ЛИРА\s2dsxdshd.exe','');
 QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\lin32.exe','');
 QuarantineFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Perfume.exe','');
 QuarantineFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\root.exe','');
 QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\X0R.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-6790040773-6570458761-687340215-5768\winlogon.exe','');
 QuarantineFile('C:\WINDOWS\system32\2.tmp','');
 QuarantineFile('C:\WINDOWS\system32\drivers\WinMgmt.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\NirCmd.exe','');
 DeleteFile('C:\WINDOWS\system32\drivers\NirCmd.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\WinMgmt.exe');
 DeleteFile('C:\WINDOWS\system32\2.tmp');
 DeleteFile('C:\RECYCLER\S-1-5-21-6790040773-6570458761-687340215-5768\winlogon.exe');
 DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\X0R.exe');
 DeleteFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\root.exe');
 DeleteFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Perfume.exe');
 DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\lin32.exe');
 DeleteFile('C:\Documents and Settings\ЛИРА\s2dsxdshd.exe');
 DeleteFile('C:\Documents and Settings\ЛИРА\sd4dshd.exe');
 DeleteFile('C:\WINDOWS\s2dsxdshd.exe');
 DeleteFile('C:\WINDOWS\sd4dshd.exe');
 DeleteFile('F:\печатник\1\DOCUME~1\ИРИНА\LOCALS~1\TEMPOR~1\CONTENT.IE5\E10RITWD\mediat~1.cab');
 DeleteFile('F:\печатник\1\DOCUME~1\ИРИНА\LOCALS~1\TEMPOR~1\CONTENT.IE5\GHIB4TIJ\mediat~1.cab');
 DeleteFile('F:\печатник\1\SYSTEM~1\_RESTO~1\RP28\A0044348.DLL');
 DeleteFile('G:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
 BC_DeleteSvc('MEMSWEEP2');
 BC_DeleteSvc('WinSoft Service Controler');
 BC_DeleteSvc('NirSoft Service Controler');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=40053).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

[eclips_red]

скрипт выполниил, высылаю повторно логи, новая проблема система страшно логает см.. скрины карантин тоже высылаю...
Файл сохранён как090220_104635_virus_499e5fdb3a1a2.zipРазмер файла19003691MD5fd091b5e46eb9d29ab2074250097a16d

[drongo]

удаляйте stopzilla- я не вижу чтобы она вам особенно помогала, только дополнительные лаги.Лучше поставить мощный антивирус у которого уже есть базы шпионов.

Что это за диск F? , там похоже в архивах почтовый червь.
F:\Евгений\EugenyWEB\PortalUMC\Schools\12\Сайт школы №12.rar/{RAR}/r67pS02.exe >>>>> Email-Worm.Win32.Glowa.h
F:\Евгений\EugenyWEB\PortalUMC\Schools\Guo\21_03_0 6\мо рф.rar/{RAR}/E5VHw0M.exe >>>>> Email-Worm.Win32.Glowa.h
F:\Евгений\EugenyWEB\PortalUMC\Schools\Vunder\Млад шее звено.rar/{RAR}/A2f0Pb6.exe >>>>> Email-Worm.Win32.Glowa.h
F:\Евгений\EugenyWEB\PortalUMC\Schools\Vunder\Сред нее звено.rar/{RAR}/mnRt5GT.exe >>>>> Email-Worm.Win32.Glowa.h
F:\Евгений\EugenyWEB\PortalUMC\Schools\Vunder\фото интеллект[1]. игр.rar/{RAR}/rpF6o74.exe >>>>> Email-Worm.Win32.Glowa.h
F:\Евгений\Install\CDex_Rus.rar/{RAR}/vGA023S.exe >>>>> Email-Worm.Win32.Glowa.h
F:\Евгений\Install\Логотип\Эмблема Наско.rar/{RAR}/nS7dx5T.exe

[Bratez]

1. Удалите программу STOPzilla, судя по скриншоту "логает" именно она.

2. Удалите программу Bonjour.

3. Запустите AVZ, откройте "Менеджер Active Setup" и удалите строчки с упоминанием следующих файлов:
C:\RESTORE\k-1-3542-4232123213-7676767-8888886\X0R.exe
C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\root.exe
C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Perfume.exe
C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\lin32.exe
(они будут черного цвета в отличие от остальных - зеленых).

4. Обратите внимание на это:

F:\Евгений\EugenyWEB\PortalUMC\Schools\12\Сайт школы №12.rar/{RAR}/r67pS02.exe >>>>> Email-Worm.Win32.Glowa.h
F:\Евгений\EugenyWEB\PortalUMC\Schools\Guo\21_03_0 6\мо рф.rar/{RAR}/E5VHw0M.exe >>>>> Email-Worm.Win32.Glowa.h
F:\Евгений\EugenyWEB\PortalUMC\Schools\Vunder\Млад шее звено.rar/{RAR}/A2f0Pb6.exe >>>>> Email-Worm.Win32.Glowa.h
F:\Евгений\EugenyWEB\PortalUMC\Schools\Vunder\Сред нее звено.rar/{RAR}/mnRt5GT.exe >>>>> Email-Worm.Win32.Glowa.h
F:\Евгений\EugenyWEB\PortalUMC\Schools\Vunder\фото интеллект[1]. игр.rar/{RAR}/rpF6o74.exe >>>>> Email-Worm.Win32.Glowa.h
F:\Евгений\Install\CDex_Rus.rar/{RAR}/vGA023S.exe >>>>> Email-Worm.Win32.Glowa.h
F:\Евгений\Install\Логотип\Эмблема Наско.rar/{RAR}/nS7dx5T.exe >>>>> Email-Worm.Win32.Glowa.h

Архивы содержат вредоносную программу, так что лучше их удалить. Если они на самом деле очень нужны, их надо пролечить. В этом поможет следующий пункт...

5. Установите себе нормальный антивирус.

6. Установите SP3 + последующие обновления.

[eclips_red]

кроме выше перчисленного ещё Ц.У. будут ?? что в логах проблемы есть ?? просто компик в сети видно ... а доступа по прежнему к нему нет...

[Bratez]

Выполните скрипт:

Код:

begin
 ClearQuarantine;
 QuarantineFile('C:\WINDOWS\dtqfag.pif','');
 QuarantineFile('C:\Documents and Settings\ЛИРА\Рабочий стол\eclips\toto.pif','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
end.

Пришлите новый карантин по правилам.

[eclips_red]

арантин отправил.... все сделал по пунктам... кроме антивируса и обновлений...сейчас этим займусЬ... но доступа по прежнему нет...
в чем может быть ещё проблема...

Файл сохранён как090220_114842_virus_499e6e6aeca3b.zipРазмер файла5058587MD557bb6d61185193c713b8d37d2684b1af

[AndreyKa]

C:\WINDOWS\dtqfag.pif = Worm.Win32.Feebs.lu

Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
 ClearQuarantine;
 DeleteFile('C:\WINDOWS\dtqfag.pif');
 BC_DeleteFile('C:\WINDOWS\dtqfag.pif');
BC_Activate;
end.

Хотя проблему это не решит.
Решить такую проблему можно вводом компьютера в домен (если он у вас есть).

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 3
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\dtqfag.pif - Worm.Win32.Feebs.lu (DrWEB: Win32.HLLM.Graz.based)