Паразитный траффик ...

[Komandir]

По порядку.
Symantec ругался что отправляются спам письма, но сам не находил ничего.
Снес Symantec, поставил свежий Outpost Suite. Он то же ничего не находит, но в логе брандмауера (прилагается) куча разных OUT на 25 порт. Ну и траффик постоянно растёт, хотя никаие программы не запущены.

Кто,что и куда шлёт от меня ? Как это побороть ?

P.S. утилиты от Касперского и Dr.Web ничего не выявили кроме Троян.кукки ...

[olejah]

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Пофиксите в hijackthis -

Код:

R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
 QuarantineFile('C:\WINDOWS\system32\mwysbcly.dll','');
 DeleteFile('C:\WINDOWS\system32\mwysbcly.dll');  
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[Komandir]

Карантин выслал.

[olejah]

Выполните скрипт в АВЗ -

Код:

begin
RegKeyStrParamWrite('HKLM', 'system\currentcontrolset\control\securityproviders', 'SecurityProviders', 'msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll');
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

- Повторите логи АВЗ

[Komandir]

Новые логи ...

[Komandir]

Вроде нет больше трафика тьфу тьфу тьфу ...

Что это было то хоть ?

[olejah]

Что с проблемой?

Было - Trojan.DownLoader1.27910 по вердикту Доктора Вэба.

[Komandir]

А чего же тогда cureit не видел этого ?

Проблема вроде пофиксилась ТЬФУ ТЬФУ ТЬФУ.

Спасибо большое !!!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\mwysbcly.dll - Trojan-Spy.Win32.Zbot.atkm ( DrWEB: Trojan.DownLoader1.27910, BitDefender: Trojan.Generic.5083592, AVAST4: Win32:Zbot-MWP [Trj] )

Рекомендации:

1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !