большой исходящий трафик. adware.fieryads

[Izzy]

с компьютера идет большой исходящий трафик. при полной проверке CureIT нашел adware.fieryads в папке C:\Documents and Settings\Admin\Application Data
файл был удален, но трафик все равно большой.
посмотрите, пожалуйста, логи

[Шапельский Александр]

Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления

Обновите базы АВЗ, сделайте новые логи.

Сделайте лог MBAM!

[CyberHelper]

Пожалуйста, выполните скрипт AVZ:

Код:

begin
 SearchRootkit(true, true);
 QuarantineFile('spyr.sys', 'CHQ=N');
 QuarantineFile('C:\WINDOWS\system32\clipsrv.exe', 'CHQ=N');
 QuarantineFile('C:\WINDOWS\system32\msdtc.exe', 'CHQ=N');
 ExecuteWizard('TSW', 3, 3, true);
 RebootWindows(true);
end.

В ходе выполнения скрипта компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

[Izzy]

все готово.
карантин выслан

[Шапельский Александр]

Удалите в MBAM

Код:

Заражено ключей реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FieryAds (Adware.FieryAds) -> No action taken.

Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

C:\Documents and Settings\Admin\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\Documents and Settings\LocalService\Application Data\fvgqad.dat (Malware.Trace) -> No action taken.

Сделайте лог MBAM

[Izzy]

готово

[Шапельский Александр]

Чисто, что с проблемой?

[Izzy]

мне кажется что 150 кб входящего и 6 мб исходящего трафика за 5 минут - это проблема.
(открыто несколько страниц в опере и qip, ничего не качается/не загружается)

[Зайцев Олег]

мне кажется что 150 кб входящего и 6 мб исходящего трафика за 5 минут - это проблема.
(открыто несколько страниц в опере и qip, ничего не качается/не загружается)

1. Как ПК подключен к Инет ?
2. В свойствах сетевых подключений выключите для опыта "Клиент для сетей Микрософт" и "Службу доступа к файлам и принтерам"
3. Временно прибейте процесс d:\program files\embarcadero\rad studio\7.0\bin\bsqlserver.exe
4. NOD32 легальный ? В его настройках не стоит что-то типа "Отправлять подозрительные" и т.п. - модет быть, он отправляет какой-то карантин ?

после чего пронаблюдайте, что происходит с трафиком

[Izzy]

1. сетевой кабель
2. сделано. за 5 минут картина примерно та же (включить обратно?)
3. процесс убит. без изменений
4. в настройках вроде ничего подобного нету
на сайте провайдера в статистике показано что исходящий трафик начал уходить 5 дней назад

[Зайцев Олег]

Тогда самое простое - поставить сниффер (из простых http://www.tamos.ru/products/commview/ - его триального функционала вполне хватит, удаляется он чисто), и посмотреть, что за пакеты идут (какой протокол, порт и т.п.).

[Izzy]

я в этом мало разбираюсь... и многое там мне непонятно.
единственное забавное наблюдение - при закрытии DC++ трафика уходит значительно меньше, хотя там открыты только 2 основные хаба.
да и странно что 5 дней назад было все нормально

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены