Подозрительная накачка трафика после заражения

[Sandynist]

Добрый день! 

 

Есть проблема на одном из компьютеров на предприятии, наблюдаю паразитную накачку трафика этим компьютером. На компе было вирусное заражение, встроенный  антивирус от Майкрософта не справился, поставил KES 10, но после удаления вирусов остались разные подозрительные рекламные окна в обозревателях.

 

Установка Adblock решила проблему. Но программа по мониторингу трафика фиксирует закачку в размере 1 мб в полчаса. Что бы это могло быть?

 

Сообщение от модератора Mark D. Pearlstone

Не выкладывайте virusinfo_autoquarantine.zip на форум. Файл удалён.

CollectionLog-2014.11.21-15.16.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! Деинсталлируйте:

WebSecurity Extension version 16.40-->"C:\Program Files\Microsoft Data\unins000.exe"

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 DeleteService('BAPIDRV');
 QuarantineFile('C:\Program Files\Microsoft Data\InstallAddons.exe','');
 DeleteFile('C:\Program Files\Microsoft Data\InstallAddons.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BAPIDRV.sys','32');
 DeleteFile('C:\Windows\system32\removeSAddons.bat','32');     
 DeleteFileMask('C:\Program Files\Microsoft Data', '*', true, ' ');
 DeleteDirectory('C:\Program Files\Microsoft Data');     
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Ваш провайдер?

 

IP: 82.200.209.201 
Страна: Казахстан
Провайдер: JSC Kazakhtelecom

Удалите эти папки:

 

2014-10-07 17:00:32 ----SHD---- C:\ProgramData\360Quarant - скрытая системная папка
2014-10-07 17:00:32 ----SHD---- C:\$360Section - скрытая системная папка
2014-10-07 16:59:28 ----D---- C:\Program Files\360

Сделайте новые логи Автологгером. 

 

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

 

[Sandynist]

Проделано! Логи прикрепил.

CollectionLog-2014.11.21-17.04.zip

[Roman_Five]

лог AdwCleaner?

[Sandynist]

Не успел, у нас уже рабочий день закончился, оставил на понедельник.