Привет всем! У меня токая вот проблемка. При просмотре "Подключения по локальной сети" Отправленых пакетов больше чем принятых.
Постоянно идёт отправка пакетов, даже если я не открываю браузер, все обновления в программах я отключил.
И все равно постоянно идёт отправка. Nod32 и AVZ не находят ни чего! Уже грозились откл. ip за рассылку спама.
Помогите плиз

Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, нажмите кнопку «Запустить». На время выполнения скрипта выключите антивирус, firewall и отключите интернет.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('H:\WINDOWS\system32\brastk.exe','');
QuarantineFile('H:\WINDOWS\System32\Drivers\Winyf05.sys','');
QuarantineFile('H:\WINDOWS\System32\Drivers\Winye73.sys','');
QuarantineFile('H:\WINDOWS\System32\Drivers\Winxe74.sys','');
QuarantineFile('H:\WINDOWS\System32\Drivers\Winvc05.sys','');
QuarantineFile('H:\WINDOWS\System32\Drivers\Winsy52.sys','');
QuarantineFile('H:\WINDOWS\System32\Drivers\Winsy41.sys','');
QuarantineFile('H:\WINDOWS\System32\Drivers\Winsx17.sys','');
QuarantineFile('H:\WINDOWS\System32\Drivers\Winrx85.sys','');
QuarantineFile('H:\WINDOWS\System32\Drivers\Winrx63.sys','');
QuarantineFile('H:\WINDOWS\System32\Drivers\Winrx06.sys','');
QuarantineFile('H:\WINDOWS\System32\Drivers\Winrx05.sys','');
QuarantineFile('H:\WINDOWS\System32\Drivers\Winrw06.sys','');
QuarantineFile('H:\WINDOWS\System32\Drivers\Winpv73.sys','');
QuarantineFile('H:\WINDOWS\System32\Drivers\Winpv28.sys','');
QuarantineFile('H:\WINDOWS\System32\Drivers\Winou62.sys','');
QuarantineFile('H:\WINDOWS\System32\Drivers\Winnt28.sys','');
QuarantineFile('H:\WINDOWS\System32\Drivers\Winnt05.sys','');
QuarantineFile('H:\WINDOWS\System32\Drivers\Winns17.sys','');
QuarantineFile('H:\WINDOWS\System32\Drivers\Winms52.sys','');
QuarantineFile('H:\WINDOWS\System32\Drivers\Winlr63.sys','');
QuarantineFile('H:\WINDOWS\System32\Drivers\Winlr28.sys','');
QuarantineFile('H:\WINDOWS\System32\Drivers\Winkt67.sys','');
QuarantineFile('H:\WINDOWS\System32\Drivers\Winkp63.sys','');
QuarantineFile('H:\WINDOWS\System32\Drivers\Winjp74.sys','');
QuarantineFile('H:\WINDOWS\System32\Drivers\Winho38.sys','');
QuarantineFile('H:\WINDOWS\System32\Drivers\Winhn17.sys','');
QuarantineFile('H:\WINDOWS\System32\Drivers\Winhn06.sys','');
QuarantineFile('H:\WINDOWS\System32\Drivers\Wingm41.sys','');
QuarantineFile('H:\WINDOWS\System32\Drivers\Wingm17.sys','');
QuarantineFile('H:\WINDOWS\System32\Drivers\Winfl74.sys','');
QuarantineFile('H:\WINDOWS\System32\Drivers\Winfl17.sys','');
QuarantineFile('H:\WINDOWS\System32\Drivers\Winek63.sys','');
QuarantineFile('H:\WINDOWS\System32\Drivers\Winek52.sys','');
QuarantineFile('H:\WINDOWS\System32\Drivers\Winci74.sys','');
QuarantineFile('H:\WINDOWS\System32\Drivers\Winci63.sys','');
QuarantineFile('H:\WINDOWS\System32\Drivers\Winbh52.sys','');
QuarantineFile('H:\WINDOWS\System32\Drivers\Winbh38.sys','');
QuarantineFile('H:\WINDOWS\System32\Drivers\Winag85.sys','');
QuarantineFile('H:\WINDOWS\System32\Drivers\Winag30.sys','');
QuarantineFile('H:\WINDOWS\System32\Drivers\Winag17.sys','');
QuarantineFile('H:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('H:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('H:\WINDOWS\System32\Drivers\Winag17.sys');
DeleteFile('H:\WINDOWS\System32\Drivers\Winag30.sys');
DeleteFile('H:\WINDOWS\System32\Drivers\Winag85.sys');
DeleteFile('H:\WINDOWS\System32\Drivers\Winbh38.sys');
DeleteFile('H:\WINDOWS\System32\Drivers\Winbh52.sys');
DeleteFile('H:\WINDOWS\System32\Drivers\Winci63.sys');
DeleteFile('H:\WINDOWS\System32\Drivers\Winci74.sys');
DeleteFile('H:\WINDOWS\System32\Drivers\Winek52.sys');
DeleteFile('H:\WINDOWS\System32\Drivers\Winek63.sys');
DeleteFile('H:\WINDOWS\System32\Drivers\Winfl17.sys');
DeleteFile('H:\WINDOWS\System32\Drivers\Winfl74.sys');
DeleteFile('H:\WINDOWS\System32\Drivers\Wingm17.sys');
DeleteFile('H:\WINDOWS\System32\Drivers\Wingm41.sys');
DeleteFile('H:\WINDOWS\System32\Drivers\Winhn06.sys');
DeleteFile('H:\WINDOWS\System32\Drivers\Winhn17.sys');
DeleteFile('H:\WINDOWS\System32\Drivers\Winho38.sys');
DeleteFile('H:\WINDOWS\System32\Drivers\Winjp74.sys');
DeleteFile('H:\WINDOWS\System32\Drivers\Winkp63.sys');
DeleteFile('H:\WINDOWS\System32\Drivers\Winkt67.sys');
DeleteFile('H:\WINDOWS\System32\Drivers\Winlr28.sys');
DeleteFile('H:\WINDOWS\System32\Drivers\Winlr63.sys');
DeleteFile('H:\WINDOWS\System32\Drivers\Winms52.sys');
DeleteFile('H:\WINDOWS\System32\Drivers\Winns17.sys');
DeleteFile('H:\WINDOWS\System32\Drivers\Winnt05.sys');
DeleteFile('H:\WINDOWS\System32\Drivers\Winnt28.sys');
DeleteFile('H:\WINDOWS\System32\Drivers\Winou62.sys');
DeleteFile('H:\WINDOWS\System32\Drivers\Winpv28.sys');
DeleteFile('H:\WINDOWS\System32\Drivers\Winpv73.sys');
DeleteFile('H:\WINDOWS\System32\Drivers\Winrw06.sys');
DeleteFile('H:\WINDOWS\System32\Drivers\Winrx05.sys');
DeleteFile('H:\WINDOWS\System32\Drivers\Winrx06.sys');
DeleteFile('H:\WINDOWS\System32\Drivers\Winrx63.sys');
DeleteFile('H:\WINDOWS\System32\Drivers\Winrx85.sys');
DeleteFile('H:\WINDOWS\System32\Drivers\Winsx17.sys');
DeleteFile('H:\WINDOWS\System32\Drivers\Winsy41.sys');
DeleteFile('H:\WINDOWS\System32\Drivers\Winsy52.sys');
DeleteFile('H:\WINDOWS\System32\Drivers\Winvc05.sys');
DeleteFile('H:\WINDOWS\System32\Drivers\Winxe74.sys');
DeleteFile('H:\WINDOWS\System32\Drivers\Winye73.sys');
DeleteFile('H:\WINDOWS\System32\Drivers\Winyf05.sys');
DeleteFile('H:\WINDOWS\system32\brastk.exe');
DeleteFile('WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteFile('H:\WINDOWS\system32\WinCtrl32.dll');
BC_DeleteFile('H:\WINDOWS\system32\brastk.exe');
BC_DeleteSvc('Winyf05');
BC_DeleteSvc('Winye73');
BC_DeleteSvc('Winxe74');
BC_DeleteSvc('Winvc05');
BC_DeleteSvc('Winsy52');
BC_DeleteSvc('Winsy41');
BC_DeleteSvc('Winsx17');
BC_DeleteSvc('Winrx85');
BC_DeleteSvc('Winrx63');
BC_DeleteSvc('Winrx06');
BC_DeleteSvc('Winrx05');
BC_DeleteSvc('Winrw06');
BC_DeleteSvc('Winpv73');
BC_DeleteSvc('Winpv28');
BC_DeleteSvc('Winou62');
BC_DeleteSvc('Winnt28');
BC_DeleteSvc('Winnt05');
BC_DeleteSvc('Winns17');
BC_DeleteSvc('Winms52');
BC_DeleteSvc('Winlr63');
BC_DeleteSvc('Winlr28');
BC_DeleteSvc('Winkt67');
BC_DeleteSvc('Winkp63');
BC_DeleteSvc('Winjp74');
BC_DeleteSvc('Winho38');
BC_DeleteSvc('Winhn17');
BC_DeleteSvc('Winhn06');
BC_DeleteSvc('Wingm41');
BC_DeleteSvc('Wingm17');
BC_DeleteSvc('Winfl74');
BC_DeleteSvc('Winfl17');
BC_DeleteSvc('Winek63');
BC_DeleteSvc('Winek52');
BC_DeleteSvc('Winci74');
BC_DeleteSvc('Winci63');
BC_DeleteSvc('Winbh52');
BC_DeleteSvc('Winbh38');
BC_DeleteSvc('Winag85');
BC_DeleteSvc('Winag30');
BC_DeleteSvc('Winag17');
BC_Activate;
RebootWindows(true);
end.
Рекомендую проверить систему с помощью cureit и AVPTool
Повторите логи.

отправляю новые логи

лехман, Выполните скрипт
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('Winou40', 4);
SetServiceStart('Winjp63', 4);
SetServiceStart('Winci28', 4);
QuarantineFile('H:\Program Files\XP_AntiSpyware\AVEngn.dll','');
QuarantineFile('H:\Program Files\XP_AntiSpyware\XP_AntiSpyware.exe','');
DeleteFile('H:\Program Files\XP_AntiSpyware\XP_AntiSpyware.exe');
DeleteFile('H:\Program Files\XP_AntiSpyware\AVEngn.dll');
DeleteFile('H:\WINDOWS\System32\Drivers\Winci28.sys');
DeleteFile('H:\WINDOWS\System32\Drivers\Winjp63.sys');
DeleteFile('H:\WINDOWS\System32\Drivers\Winou40.sys');
DeleteFileMask('H:\Program Files\XP_AntiSpyware', '*.*', true);
DeleteDirectory('H:\Program Files\XP_AntiSpyware');
DeleteService('Winou40');
DeleteService('Winjp63');
DeleteService('Winci28');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Winou40');
BC_DeleteSvc('Winjp63');
BC_DeleteSvc('Winci28');
BC_Activate;
RebootWindows(true);
end.
>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
У вас файловый вирус - см. метод лечения системы от файловых вирусов (http://forum.oszone.net/post-780845-7.html), сканировать c помошью AVPTool и CureIt до тех пор, пока вирусы не перестанут находится - лучше с LiveCD
После этого можете сделать новые логи.

Систему проверил, выкладываю новые логи

лехман,
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - h:\program files\google\googletoolbar2.dll (file missing)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - H:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - h:\program files\google\googletoolbar2.dll (file missing)
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O20 - Winlogon Notify: WinCtrl32 - H:\WINDOWS\
O24 - Desktop Component 0: (no name) - http://search.yaca.yandex.ru/yca/cy/ch/www.udm.vt.ru/100%
O24 - Desktop Component 1: (no name) - http://vitoslav.home.nov.ru/pic/izba2.jpg

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Рекомендую настроить эти параметры безопасности, если что не нужно - скажите, можно отключить скриптом.

В остальном по логам чисто, проблемы ещё наблюдается?

Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя »
Я так понимаю из того что следует отключить по мнению AVZ это службы с без помощи которых подключиться к нету невозможно. Какаие службы можно безболезненно отрубить в XP...без последующих торможений винды и проблемм с подключением к нету?
Как перекрыть доступ к дискам?

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Чтобы отключить, выполните скрипт
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
end.
Из служб можно отключить
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
Скрипт
begin
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
end.
Если не используете
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
можно отключить скриптом
begin
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
end.
По службам можно почитать здесь (http://www.oszone.net/2517/)
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" (http://security-advisory.virusinfo.info) и для предотвращения заражения в будущем следовать рекомендациям, описанным в этой книге.

Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий »
Хм..вы знаете уважаемый Pili я много раз замарачивался с отключениями служб..и это ни к чему хорошему не приводило (это по моему личному опыту), прочитал на этот счет много инфы,все образованные,грамотные..много чего советуют,но при отключении некоторых служб ХР вместо того что бы начинать легче и быстрее грузиться начинает тормозить при загрузке..причем существенно. Начинаются непонятные косяки и ошибки...
Например (по материалам OSzone) заявленная служба IIS Admin (IIS Admin)
Позволяет администрировать веб- и FTP-службы с помощью оснастки IIS.
Название службы: IISADMIN
Название процесса: inetinfo.exe
По умолчанию в Windows XP Home: Не установлена
По умолчанию в Windows XP Pro: Не установлена
Рекомендуемое значение: Не установлена
Вход от имени: Локальная система
Якобы которую можно отключить,т.к. администрирование не нужно, но без нее начинают твориться касяки с инет подключением. Вплоть до того что невозможно работать в инете. Не грузятся.
Хотя при отключении этой службы рубятся еще потенциально опастные службы:\
Какие сервисы нужны для нормального функционирования службы IIS Admin (IIS Admin):
Удаленный вызов процедур (RPC) (Remote Procedure Call (RPC))
Диспетчер учетных записей безопасности (Security Accounts Manager)
Удаленный вызов процедур (RPC) (Remote Procedure Call (RPC))

Какие службы требуют работу службы IIS Admin (IIS Admin) для нормального функционирования:
FTP-публикации (FTP Publishing Service)
Simple Mail Transport Protocol (SMTP) (Simple Mail Transport Protocol (SMTP))
Веб-публикации (World Wide Web Publishing)
Вот! И как тут быть?! :search:

Чтобы установить оснастку IIS, нужно специально дополнительно ее активировать в "Установке компонентов Windows". По умолчанию в ХР она не то что отключена, а даже не установлена.
Нужна, если вы собираетесь использовать FTP-server, SMTP или Веб-сервер производства Microsoft на своем компьютере. К работе интернета отношения не имеет. На подключение к инету вообще не должна влиять.

Чтобы установить оснастку IIS, нужно специально дополнительно ее активировать в "Установке компонентов Windows". По умолчанию в ХР она не то что отключена, а даже не установлена.
Нужна, если вы собираетесь использовать FTP-server, SMTP или Веб-сервер производства Microsoft на своем компьютере. К работе интернета отношения не имеет. На подключение к инету вообще не должна влиять. »
Уж не знаю как у вас,но у мя при установленной XP sp3 она включена и работает авто по умолчанию. Поборолся с ее выключением,но инет подключение встает колом. Уж я понял что не должно влиять..однако ж...

Grey_rnd, У тебя сборка типа Zver? Вроде по умолчанию включена только в серверных ОС. В ХР по умолчанию точно не установлена.

Grey_rnd, У тебя сборка? »
Windows XP Professional™ SP3 VLK RTM RUS v.08.2008 [MultiDVD by SerG & K°Group©] FINAL

by SerG & K°Group© »
Про что и речь. Попробуй сборку "by Microsoft©" :) :) :)

Про что и речь. Попробуй сборку "by Microsoft©" »
Ага...попробовал бы,да без вариантов мне найти такую ж рабочую sp3, да и все навароты в принципе навятся :cool:
Ну да это ладно, включена и включена...отключить то ее как? По идее через стандартные службы? Завалив эту службу прицепом вырубятся и всякие другие потенциально опастные, типа удаленного доступа?
Eсли эта служба устанавливается отдельно, то значит ее можно и снести вообщем?
Проблемка да ж не в этой службе..а в тормозухе при отключении служб. Я отключал их как раз таки на "Бай Микрософт" Винде. Эффект везде один и тот же.

IIS Admin (IIS Admin)
FTP-публикации (FTP Publishing Service)
Simple Mail Transport Protocol (SMTP) (Simple Mail Transport Protocol (SMTP))
Веб-публикации (World Wide Web Publishing)
Можно отключить, если они требуются для работы. Отключать через оснастку упр-ия службами - пуск выполнить - services.msc По службам можно почитать здесь (http://www.oszone.net/2517/)

Можно отключить, если они требуются для работы. Отключать через оснастку упр-ия службами - пуск выполнить - services.msc По службам можно почитать здесь »
Хм..спасибо конечно. Хорошо,вы можите поконсултировать по службам-вот к примеру:
Веб-клиент (WebClient)
Позволяет Windows-программам создавать, получать доступ и изменять файлы, хранящиеся в Интернете. Если эта служба остановлена, эти функции не доступны. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены.
Название службы: WebClient
Название процесса: svchost.exe
По умолчанию в Windows XP Home: Автоматически
По умолчанию в Windows XP Pro: Автоматически
Рекомендуемое значение: Отключено
Вход от имени: Локальная служба
Какие сервисы нужны для нормального функционирования службы Веб-клиент (WebClient):
WebDav Client Redirector
Какие сервисы требуют работу службы Веб-клиент (WebClient) для нормального функционирования:
Никакие
Значит эту службу мона зарубить без последствий для нета? :dont-know
Брандмауэр Интернета (ICF) /Общий доступ к Интернету (ICS) (Internet Connection Firewall/Internet Connection Sharing)
C выходом SP2 данная служба была переименована в Брандмауэр Windows/Общий доступ к Интернету (ICS)
Обеспечивает поддержку служб трансляции адресов, адресации и разрешения имен или предотвращает вторжение служб в домашней сети или сети небольшого офиса. Позволяет тонко настроить фильтрацию сетевого траффика. Если вы используете файерволл сторонних производителей (Outpost firewall, Norton Personal Firewall, ZoneAlarm и т.п.), то необходимо отключить данную службу.
Название службы: SharedAccess
Название процесса: svchost.exe
По умолчанию в Windows XP Home: Автоматически
По умолчанию в Windows XP Pro: Автоматически
Рекомендуемое значение: Отключена
Вход от имени: Локальная система
Какие сервисы нужны для нормального функционирования службы Брандмауэр Интернета (ICF) /Общий доступ к Интернету (ICS) (Internet Connection Firewall/Internet Connection Sharing):
Служба шлюза уровня приложения (Application Layer Gateway Service)
Сетевые подключения (Network Connections)
Удаленный вызов процедур (RPC) (Remote Procedure Call (RPC))
Служба сетевого расположения (NLA) (Network Location Awareness (NLA))
AFD Networking Support Environment
NetBIOS over TCP/IP
TCP/IP Protocol Driver
IPSEC driver
Диспетчер подключений удаленного доступа (Remote Access Connection Manager)
Телефония (Telephony)
Plug and Play (Plug and Play)
Удаленный вызов процедур (RPC) (Remote Procedure Call (RPC))
Какие сервисы требуют работу службы Брандмауэр Интернета (ICF) /Общий доступ к Интернету (ICS) (Internet Connection Firewall/Internet Connection Sharing) для нормального функционирования:
Никакие
Соответственно эти службы можно рубить? Абсурд же получается....

Абсурд же получается.... »
Почему?
Веб-клиент (WebClient)
Можно отключить
Брандмауэр Интернета (ICF)
Можно отключить, если вы используете сторонний брандмауэр
NetBIOS over TCP/IP - можно отключить или поставить тип запуска вручную.
Ещё раз - см. здесь (http://www.oszone.net/2517/)
По службам и безопасности также можете почитать книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" (http://security-advisory.virusinfo.info)

NetBIOS over TCP/IP - можно отключить или поставить тип запуска вручную.
Ещё раз - см. здесь
По службам и безопасности также можете почитать книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" »
Пасибочки-книгу уже скачал.
Хм "На этой странице представлена конфигурация "для всех" служб Windows XP в нашем понимании. Это система, подходит примерно 95% пользователей. Это уменьшит до минимума кол-во ошибок в логе, но мы не гарантируем, что это конфигурация будет работать у вас без ошибок." Это я так понимаю панацея?
или скорее инет конфига...только вот DHCP-клиент (DHCP Client) не годиться отключать имхо адресы же раздают в большинстве случаев динамические...

Grey_rnd, книга содержит общие рекомендации, какие службы отключать решать вам, исходя из того в какой среде работает компьютер.