Доброго времени суток. Недавно обнаружил, что уходит траффик "налево".
netstat -b показал что svchost.exe генерирует много траффика - 100kb/sec, причем как входящий, так и исходящий траффик.
В безопасном режиме прогнал курейтом. В папке System Volume Information нашел Trojan.SMSSend.164.
Сделал логи по правилам. Помогите плз.
Система Win XP SP3

Здравствуйте!

Активного заражения не вижу.

• HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis (http://forum.oszone.net/thread-177677.html)
R3 - URLSearchHook: (no name) - - (no file)

AtlantTelecom - ваш провайдер?


Лог RSIT подготовьте.

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://data.mbamupdates.com/tools/mbam-rules.exe)

AtlantTelecom - ваш провайдер? »
Да, мой. Неделю с ними воюю. У меня подозрения, что они воруют трафик. А они мне - что у меня вирус. Вот и обратился к спецам.
В хайджеке пофиксил.
Лог МВАМ выложил. RSIT чуть позже.

Удалить в MBAM:

Заражённые файлы:
c:\WINDOWS\Fields.scr (Malware.Packer.Gen) -> No action taken.

Кейгены на ваше усмотрение.

Кейгены на ваше усмотрение. »
Удалил все 5. Завтра сделаю РСИТ

Логи RSIT

На всякий случай ещё лог МВАМ

чисто?

Комбофикс

zirreX, Вы ещё со мной?

zirreX, Вы ещё со мной? »
Только что пришел, два дня лежал с температурой :)


Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

RegLock::
[HKEY_USERS\S-1-5-21-1343024091-2077806209-682003330-500\Software\Microsoft\Internet Explorer\User Preferences]

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://virusnet.info/images/cfscript.gif
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Больше ничего плохого нет.

ComboFix нужно запускать только в том случае, если об этом вас попросил хелпер!

Только что пришел, два дня лежал с температурой »
C выздоровлением.
ComboFix нужно запускать только в том случае, если об этом вас попросил хелпер! »
Прошу прощения. Просто думал про меня уже забыли. А по форуму походил и принял для себя такое решени. Обещаю впредь без самодеятельности.
Отчет смогу сделать только в среду.

Проблема в провайдере