Непрерывный входящий трафик

[storno2001]

Посмогите пож разобраться. В последние дни возникла такая проблемка - при подключении к инету даже при отключении Обозревателя (Огнелис) на комп идет непрерывный входящий траф ~1,5 - 3 кБит/сек. У мнея стоит Файрвол Агава (лиц) но и внем не смог увидеть кто потребитель этоко трафа.
При прогоне Dr. Web CureIt! - были убиты 2-а зверя название не записал
При прогоне AVZ - отловлен Trojan-Banker.Win32.Banker.afwk

После всех процедур Агава все равно показывает - тотже поток трафика
Все автообновления во всех приложениях я всегда отключаю
Посмотрите логи мож чето найдется

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\thumbs.db');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте новые логи

Сделайте лог полного сканирования МВАМ

[storno2001]

прилагаю логи.
пока траф так и идет =((

[olejah]

Удалите в МВАМ -

Код:

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\kr_done1 (Malware.Trace) -> No action taken.

Зараженные файлы:
C:\WINDOWS\system32\kr_done1 (Malware.Trace) -> No action taken.
C:\Documents and Settings\Papa\Local Settings\Temp\oprE076.tmp (Trojan.Agent) -> No action taken.

- Больше плохого не видно

[storno2001]

спасибо, но к сожалению проблема осталась

[polword]

почистите мусор в системе
- сделайте лог Combofix

[storno2001]

Лог КомбоФикс Прилагаю. КомбоФикс - нужно удалить ? Скорость потока трафа увеличилась до 5 кб/сек

[storno2001]

Стала вылетать ошибка Generic Host Process for Win32 - обнаружена ошибка

[storno2001]

посмотрите пожалуйста логи после всех модификаций и доп вопрос как выкинуть из трея Оповещение системы безопасности Windjws файрвол показывает большую активность EPSON Scan Setup незнаю что это такое у меня Эпсонов вообще нет и небыло и вот это непонятно что c:\e1u2c2f3u7x5.exe

[storno2001]

Помогите !!!

Добавлено через 3 часа 59 минут

наверное нарушаю правила но позволю себе напомниться что вопрос не закрыт
трафик прет все с большей скоростью

[Никита Соловьев]

наверное нарушаю правила но позволю себе напомниться что вопрос не закрыт

Нет, напомитать о себе нужно, темы быстро уходят вниз. Только не пишите, пожалуйста, "ап"

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\??.scr','');
 QuarantineFile('C:\WINDOWS\system32\31.scr','');
 QuarantineFile('C:\WINDOWS\system32\Zsorm.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\pssdk42.sys','');
 DeleteFile('C:\WINDOWS\system32\Zsorm.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 DeleteFile('C:\WINDOWS\system32\31.scr');
 BC_ImportDeletedList;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 BC_Activate;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.

Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

И новые логи AVZ

[storno2001]

Карантин прикрепил, но есть одно но, пока ждал ответа Я прогнал еще раз CureIT и он похерил
Trojan.AVKill.2315 в следующих файлах:
31.scr, 13.scr, 60.scr, 85.scr, Zsorm.exe, zsorm.exe
так что не знаю окажутся ли они в карантине после выполнения скрипта.

Логи будут чуть позже.
Скачать RSIT по указаной ссылке не получается 403 Forbidden

[Никита Соловьев]

У меня во вложении

[storno2001]

Последние логи

[storno2001]

Логи RSIT

[Никита Соловьев]

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\gff6.exe','');
 QuarantineFile('C:\e1u2c2f3u7x5.exe','');
 QuarantineFile('C:\Start_.cmd',' ');
 DeleteFile('C:\WINDOWS\system32\gff6.exe');
 DeleteFile('C:\e1u2c2f3u7x5.exe');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.

Сделайте новый лог rsit

[storno2001]

карантин отправлен
логи прикреплены

[Никита Соловьев]

В логах чисто. Проблема устранена?

[storno2001]

К сожалению нет. Агава показывает исходящую активность на несколько десятков компов по протоколу ICMP порт ICMP_UNREACH.
Пока создал блокирующее правило трафик упал до 3 кб/с. Буду готовится к переустановке Винды
Вопрос такой на других дисках кроме C зараза может быть ???

[Никита Соловьев]

Давайте взглянем на новые логи AVZ