История такая: компьютер в локальной сети, антивирус в свое время не установили (подключения к локалке не было поначалу).
Случайно заметил - трафик большой прет, отключил от Интернета. Будучи отключенным, компьютер пытается установить соединение по адресам (видно в событиях WinGate): 72.14.207.99:80, 64.62.171.165:80, наверняка еще есть, это для примера.
Поставил Symantec Antivirus, нашел целый букет троянов, все вроде удалил (я так думаю - это дроп-файлы были), но "явление" с подключением осталось. Далее были Trojan Remover, SUPERAntiSpyware, они все чего-то обнаруживали (здесь уже было у кого-то: stonedrv.exe, winsys2f.dll, одним из найденных также был троян TROJAN.ABWIZ.F - его удалял спецутилитой с сайта Symantec.com), успешно удаляли, после этого результаты сканирования были чистыми.
Явление осталось.
Пробовал поработать с AVZ: нашел двух зверей, один вроде как железно, другой - под подозрением. Первого он сам успешно удалил, второго вздумал удалять я, так как файлы были с именами вида 2336.exe (перед удалением все файлы копировались в карантин).
Явление осталось.
Прикладываю логи после всех этих действий по Вашим инструкциям и надеюсь на помощь.
Да, еще забыл сказать: "феномен" сохраняется при загрузке компьютера в безопасном режиме.
Если дать доступ компу в Интернет - можно наблюдать, как Symantec Antivirus одно за другим сканируетисходящие сообщения по протоколу SMTP.
Последний раз редактировалось pavor; 18.10.2006 в 09:56.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
PE386-й засел -
AVZ - параметры поиска - Противодействие роткитам - Включить оба, потом нажать на скан, для активации режима.
После - "Сервис"->"Поиск данных в реестре"
Удалить всё содержащее System32:lzx32.sys
после "Файл"->"Отложенное удаление" - C:\WINDOWS\System32:lzx32.sys
Перезагрузка.
Повторите 1-й лог AVZ из правил.
Какой то прокси сервер настроен подозрительный:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 198.198.10.30:3128
Думаю, его лучше будет пофиксить.
И в AVZ - Сервис - Менеджер файла Hosts удалите все те строки, которые ниже строки
127.0.0.1 localhost
Большое спасибо!!!
Выполнил все шаги инструкции.
Явление пропало.
Однако, прикладываю лог, как Вы просили.
Как писал AndreyKa - "АVZ"->"Сервис"->"Менеджер файла HOST" - удалить всё кроме 127.0.0.1 localhost
Перезагрузитесь.
Скачайте Gmer - www.gmer.net и сделайте лог.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: