с компьютера идет большой исходящий трафик. при полной проверке CureIT нашел adware.fieryads в папке C:\Documents and Settings\Admin\Application Data
файл был удален, но трафик все равно большой.
посмотрите, пожалуйста, логи
с компьютера идет большой исходящий трафик. при полной проверке CureIT нашел adware.fieryads в папке C:\Documents and Settings\Admin\Application Data
файл был удален, но трафик все равно большой.
посмотрите, пожалуйста, логи
Обновите базы АВЗ, сделайте новые логи.Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления
Сделайте лог MBAM!
Пожалуйста, выполните скрипт AVZ:
В ходе выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); QuarantineFile('spyr.sys', 'CHQ=N'); QuarantineFile('C:\WINDOWS\system32\clipsrv.exe', 'CHQ=N'); QuarantineFile('C:\WINDOWS\system32\msdtc.exe', 'CHQ=N'); ExecuteWizard('TSW', 3, 3, true); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
все готово.
карантин выслан
Удалите в MBAM
Сделайте лог MBAMКод:Заражено ключей реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FieryAds (Adware.FieryAds) -> No action taken. Заражено параметров реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. C:\Documents and Settings\Admin\Application Data\avdrn.dat (Malware.Trace) -> No action taken. C:\Documents and Settings\LocalService\Application Data\fvgqad.dat (Malware.Trace) -> No action taken.
готово
Чисто, что с проблемой?
мне кажется что 150 кб входящего и 6 мб исходящего трафика за 5 минут - это проблема.
(открыто несколько страниц в опере и qip, ничего не качается/не загружается)
1. Как ПК подключен к Инет ?
2. В свойствах сетевых подключений выключите для опыта "Клиент для сетей Микрософт" и "Службу доступа к файлам и принтерам"
3. Временно прибейте процесс d:\program files\embarcadero\rad studio\7.0\bin\bsqlserver.exe
4. NOD32 легальный ? В его настройках не стоит что-то типа "Отправлять подозрительные" и т.п. - модет быть, он отправляет какой-то карантин ?
после чего пронаблюдайте, что происходит с трафиком
1. сетевой кабель
2. сделано. за 5 минут картина примерно та же (включить обратно?)
3. процесс убит. без изменений
4. в настройках вроде ничего подобного нету
на сайте провайдера в статистике показано что исходящий трафик начал уходить 5 дней назад
Последний раз редактировалось Izzy; 20.02.2010 в 22:29.
Тогда самое простое - поставить сниффер (из простых http://www.tamos.ru/products/commview/ - его триального функционала вполне хватит, удаляется он чисто), и посмотреть, что за пакеты идут (какой протокол, порт и т.п.).
я в этом мало разбираюсь... и многое там мне непонятно.
единственное забавное наблюдение - при закрытии DC++ трафика уходит значительно меньше, хотя там открыты только 2 основные хаба.
да и странно что 5 дней назад было все нормально
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Izzy, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.