Сергей Яковлевич Опубликовано 21 апреля, 2008 Опубликовано 21 апреля, 2008 Подключаюсь к интернету, ничего не качаю и даже не запускаю еще IE, а мегабайты уже летят, как сумасшедшие. Причем на отправку - больше, чем на прием. Уже был похожий вопрос. Там больше мегабайт летело на прием. У меня скорость еще выше: см. картинку. По расчету за час должно в сумме набежать ок. 30 Мб. Фактически получается еще больше. Наверно со временем еще ускоряется. На тот вопрос в теме не ответили, может быть лично написали, не знаю. Предложили исследовать систему и отправить специалистам протоколы. Я последовал этому совету и отправляю свои протоколы. Не сердитесь, если что-то не так сделал, все-таки тема очень сложная, а я не такой уж специалист. Если не сможете определить в чем дело, то хотя бы выскажите свои соображения или предположения. Кстати, как картинку непосредственно в текст вставить? virusinfo_syscure.zip virusinfo_syscheck.zip HJT_GSI.zip Risunok.zip
ТроПа Опубликовано 21 апреля, 2008 Опубликовано 21 апреля, 2008 (изменено) 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\wc98pp.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\Oreans.sys',''); BC_ImportAll; BC_QrFile('C:\WINDOWS\system32\drivers\Mgl37.sys'); BC_DeleteFile('C:\WINDOWS\system32\drivers\Mgl37.sys'); BC_DeleteSvc('Mgl37'); BC_Activate; ExecuteSysClean; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Если будет возникать ошибка при выполнении скрипта удалите вторую и третью строчки. Затем выполните скрипт AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantinefk4539.zip'); end. Вышлите файл quarantinefk4539.zip из папки с АВЗ на адрес 54712@rambler.ru Повторите логи АВЗ. Изменено 21 апреля, 2008 пользователем wise-wistful
Dimya Опубликовано 21 апреля, 2008 Опубликовано 21 апреля, 2008 В компьютерном еженедельнике "UP"-официальный сайт http//www. upweek.ru, за номером 39(336) за 2007 год,в разделе Техподдержки,на 40 странице, был поставлен очень похожий вопрос-использовался ADSL. ,так специалист из техподдержки, уважаемый Сергей Трошин, постарался подробно осветить эту тему,ставшую такой актуальной в последнее время. Ежели где найдете этот материал-могло бы помочь... Еще редакция еженедельника напоминает,что ииеется конференция по адресу: http//www.computery.ru/conf на этом сайте может быть удасться прочитать информацию по тематике...
Сергей Яковлевич Опубликовано 23 апреля, 2008 Автор Опубликовано 23 апреля, 2008 Большое спасибо! Сейчас буду пробовать. У меня такое чувство, что кто-то через мой компьютер производит рассылку или что-то подобное. Я сегодня посмотрел статистику по своему трафику. Получается около 1 Мб в минуту. Это очень много. wise-wistful, сделал, что вы предложили и вам отправил. Сейчас подключался к ByFly (если вы не в курсе, это скоростной Интернет в Беларуси) по гостевому доступу, т.е. доступ только на сервер ByFly. Разительный контраст: за 12 минут – ок. 400 Кб (Килобайт). Напомню, по оплачиваемому трафику – больше 1 Мб в минуту.
akoK Опубликовано 23 апреля, 2008 Опубликовано 23 апреля, 2008 Не забудте логи AVZ повторить...похоже у Вас спам-бот завелся
ТроПа Опубликовано 24 апреля, 2008 Опубликовано 24 апреля, 2008 Сергей Яковлевич, главный подозреваемый в карантин не захотел. Ждём новых логов: virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log
Сергей Яковлевич Опубликовано 24 апреля, 2008 Автор Опубликовано 24 апреля, 2008 Высылаю последние логи. Одновременно сообщаю радостную новость: после последнего прогона всей процедуры, трафик резко упал. Ну вот сейчас за 7 минут - 700 Кб. Это в десять раз с лишним меньше, чем еще вчера. Что это было? По-моему программа поймала какой-то вирус. Это он? virusinfo_syscheck.zip 002.zip
ТроПа Опубликовано 24 апреля, 2008 Опубликовано 24 апреля, 2008 Сергей Яковлевич, Скачайте IceSword. Запустите программу. Появится аналог проводника. Найдите в нем C:\WINDOWS\system32\drivers\Mgl37.sys. Нажмите по нему правой кнопкой мыши и выберите Copy to. Выберите папку, куда Вы хотите скопировать файл и перед сохранением внизу набирите произвольное имя файла, например malware. Скопированный файл заархивируйте под пароль virus и вышлите на адрес 54712@rmbler.ru Внизу слева выберите меню File. Появится аналог проводника. Найдите в нем C:\WINDOWS\system32\drivers\Mgl37.sys. Нажмите по нему правой кнопкой мыши и выберите force delete. На запрос потверждения ответьте "да". Перезагрузите компьютер. Повторите лог virusinfo_syscheck.zip
Сергей Яковлевич Опубликовано 25 апреля, 2008 Автор Опубликовано 25 апреля, 2008 Знаете, у меня нет такого файла C:\WINDOWS\system32\drivers\Mgl37.sys
ТроПа Опубликовано 25 апреля, 2008 Опубликовано 25 апреля, 2008 При помощи АВЗ--сервис--поиск файлов на диске поищите Mgl37.sys. Если найдётся дайте в теме полный путь к нему, если нет, тогда выполните в АВЗ 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('Mgl37.sys'); BC_ImportAll; BC_Activate; ExecuteSysClean; RebootWindows(true); end. и повторите лог virusinfo_syscheck.zip. Если при помощи АВЗ найдёте такой файл, полный путь к нему дайте в теме, а скрипт выполнять и лог не нужно.
Сергей Яковлевич Опубликовано 25 апреля, 2008 Автор Опубликовано 25 апреля, 2008 Mgl37.sys так и не нашел. Скрипт выполнил. Отчет в приложении. virusinfo_syscure.zip
ТроПа Опубликовано 25 апреля, 2008 Опубликовано 25 апреля, 2008 Всё все упоминания о Mgl37.sys прибили. К сожалению враг в карантин не попал, что бы его можно классифицировать и понять, что он делал.
Сергей Яковлевич Опубликовано 25 апреля, 2008 Автор Опубликовано 25 апреля, 2008 (изменено) Огромное спасибо wise-westful за помощь! Пожалуйста, сообщите ваше настоящее имя, страна должна знать своих героев. И было бы интересно узнать последнее резюме. Что это был за вирус? Я, хоть и следовал вашим рекомендациям, но совершенно не понимал, что происходит. А всё было захватывающе, в духе "ночного дозора". Большое спасибо всем, кто следил за событиями и высказывал свои пожелания: Dimya, akoK и другим неизвестным. Что я могу сделать полезного для вас? Изменено 25 апреля, 2008 пользователем Сергей Яковлевич
ТроПа Опубликовано 25 апреля, 2008 Опубликовано 25 апреля, 2008 Сказать трудно кто это был. Руткит какой-то скорее всего, но какой, кто его знает в карантин не захотел. Странно что он один был, но это и к лучшему. Насчёт имени и страны в Рунете я известен как wise-wistful, а моё настоящее имя никому (ну почти никому) ничего не говорит. Надеюсь, что и на западных форумах скоро буду немного известен, по крайней мере прохожу там на одном из форумов проверку знаний на право иметь статус helper на западных сайтах. О стране. так я из Украины, а Вы из Белорусии, насколько я понял. Если хотите немного лучше понять, что я делал - читайте справку АВЗ, весьма полезная и эффективная утилита. При условии обновления и регулярного сканирования системы она сама кое-кого из врагов сносит. Если будут проблемы обращайтесь, постараемся помочь.
Сергей Яковлевич Опубликовано 26 апреля, 2008 Автор Опубликовано 26 апреля, 2008 Еще раз спасибо! Желаю удачи. Тема закрывается.
Рекомендуемые сообщения