Подозрения на Kido

[kilo]

у мя проблема с трафиком слишком жрать много начало, раньше такого не было думаю деяния зловредов

и еще в KIS 8 в сетевом экране присутствует процесс GENERIC Host Process for Win32 Services - это нормально?

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.rar

Изменено 18 марта, 2009 пользователем kilo

[akoK]

Скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.

[ТроПа]

kilo - это не продолжение этой темы? http://forum.kasperskyclub.ru/index.php?showtopic=8392

[kilo]

Нет это дугой ПК но они находятся в одной сети

[kilo]

Сделал лог gmer

gmer_giper86.log

[akoK]

Да, это кидо.

 

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

- скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

- если вы используете Opera, нажмите Opera - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

 

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

 

 

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

File::
C:\WINDOWS\system32\aenxf.dll
Driver::
rqsymqpk	  
Folder::

Registry::

FileLook::

DirLook::

Collect::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

[kilo]

Выполнил скрипт, логи прилогаю, 1ComboFix.rar лог до выполнения скрипта, 2ComboFix.rar после перетаскивания CFScript.txt

1ComboFix.rar

2ComboFix.rar

[akoK]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

File::

Driver::
vgscqhfk
Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1364:TCP"=-
FileLook::

DirLook::

Collect::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

 

Повторите лог Gmer

 

Для наиболее эффективного лечения установите следующие патчи от Microsoft:

1. http://www.microsoft.com/technet/security/...n/MS08-067.mspx
   
2. http://www.microsoft.com/technet/security/...n/ms08-068.mspx
   
3. http://www.microsoft.com/technet/security/...n/ms09-001.mspx
   

[kilo]

Для наиболее эффективного лечения установите следующие патчи от Microsoft:

http://www.microsoft.com/technet/security/...n/MS08-067.mspx

http://www.microsoft.com/technet/security/...n/ms08-068.mspx

http://www.microsoft.com/technet/security/...n/ms09-001.mspx

 

Да заплатки установил. Kkiller показал по нулям.

 

Скрипт выполнил, логи gmer прилогаю

3ComboFix.rar

2gmer_giper86.log

[akoK]

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

 

И на этом все.

[kilo]

Сделал лог Malwarebytes' Anti-Malware

mbam_log_2009_03_23__19_55_36_.txt

[ТроПа]

В логе ничего интересного.

 

Для деинсталяции ComboFix с компьютера необходимо выполнить:

Нажать Пуск затем Выполнить в окне наберите команду Combofix /u (обязательно нужен пробел между х и /), нажмите кнопку "ОК"

 

Скачайте OTCleanIt, запустите, нажмите Clean up

 

 

Перед удалением гмера в папке Windows найдите файл gmer_uninstall.cmd запустите его, после удалите gmer_uninstall.cmd и gmer.ini, теперь можно удалять папку с Гмером.

 

Скачайте OTCleanIt, запустите, нажмите Clean up.

[kilo]

А обезательно удалять ComboFix и гмера, что будет если я их не удалю может они мне еще пригодятся?

Изменено 25 марта, 2009 пользователем kilo

[akoK]

Удаляйте....иначе могут быть всевозможные баги в работе компьютера. (легче опять их запустить).

[kilo]

Но трафик всетаки уходи, куда так и немогу понять, как его можно отследить кто жрет трафик?