Приветствую!
При выходе в инет что-то начинает жрать траффик со скоростью по 10 Мбт (инет выделенный) за 2-3 минутки. Обновил бесплатную Avira проверка нашла заразу, все не жалея удалил (еще проверил и бесплатным вебером, а на eset.com on-line после 20 Мбт загрузки пришлось обрывать связь итак влегкую 50 руб. сожрало). После перезапуска винды (xp sp2) авира орет что файлы ip6fw.sys (как понял файл брандмаузера) и runtime.sys заражены удалить их не удалось. Хотя проверка запущенных процессов ничего не дает. Изучение запущенных процессов в Евересте тоже мне ничего дельного не дала (не силен я в этом).
Подскажите, плиз, что это за монстр поселился и как его найти и обезвредить.

http://www.top.virusinfo.info/showthread.php?p=124821
http://forum.kaspersky.com/lofiversion/index.php/t34543.html

Спасибо за ссылки, но ничего там не помогло.
На одной дается совет скачать прогу AVZ и прогнать скрипт. Скачал ( с большим трудом - связь падает прям на глазах - видать этот монстр все захватывает), но при запуске этого скрипта или просто при запуске сканера - AVZ виснет и все тут.
Скачать Касперского уже денег нет да и при такой связи это вряд ли возможно. На http://www.virustotal.com проверил файлы wimlogon.exe и ip6fw.sys - ничего не нашел, а файл runtime.exe куда-то исчезает.
Единственное, что понял надо удалить файлы, описанные выше, в том числе и из автозагрузки. Но как? Зашел в безопасном режиме - удалил файл, а он опять появляется.
Неужели только форматировать диск и ставить вчистую винду?
Возникла еще одна мысль - может AVZ глючит c Avira Antivir.

vit777,
Отключите восстановление системы иначе лечение будет бесполезным!
Это читал?
Насколько я понимаю, фаервола нет вообще, как класса. Расплачивайся :)

Восстановление системы отключено.
Фаервола нет - вот и расплачиваюсь уже целый день бьюсь.
А при вводе скрипта возникает - синий экран с ошибкой
Fastfat.sys - adress F83E4640 base at F83E4000. Date stamp 41107eb7
Че делать уже и не знаю.

Попробуй в безопасном режиме.
Изучение запущенных процессов в Евересте тоже мне ничего дельного не дала (не силен я в этом).
Тут не сколько название процесса, сколько его местоположение.
Вместо эвереста пользуюсь стартером (Starter (http://codestuff.tripod.com/) )
Также подозрительно выглядят файлы созданные недавно, месяц-два назад.

Удалось запустить AVZ, используя функцию AVZGuard (блокировка ядра). Нашлась куча программ с маскирующемся KernelRootkite (файл прикреплен).
И что теперь делать пока не соображу уже голова не варит.

И что теперь делать пока не соображу уже голова не варит >>>
прогу AVZ и прогнать скрипт. >>>
Нужно было прогнать скрипт, чтобы отрубить висящие в памяти руткиты:
Файл - Стандартные скрипты - №ё (Поиск и нейтрализация RootKit...)
После этого еще раз проверь машину, как самим AVZ, так и антивирусом со свежими базами (теперь руткит отключен и они должны находить соответствующие файлы)...

Нужно было прогнать скрипт, чтобы отрубить висящие в памяти руткиты
Пробовал - синий экран с ошибкой fastfat.sys adress f83e4640 base at f83e4000 data stamp 41107eb7

Мне давно было любопытно, есть ли какие-нибудь программы, которые позволяют в реальном времени мониторить трафик каждого процесса по каждому порту? Например, в таком виде:Процесс Порт/Тип Текущ Сутки Неделя Месяц
--------------------------------------------------------------
Apache.exe 80/in 50 K/s 120 MB 800 MB 2500 MB
IExplore.exe 3128/out незап. 10 MB 50 MB 200 MB
IPerf.exe IP/in 0 K/s 0 MB 0 MB 1000 MB
IP/out 0 K/s 0 MB 0 MB 1000 MB
SVChost.exe 139/in 0 K/s 100 MB 150 MB 200 MB
139/out 0 K/s 400 MB 800 MB 1500 MB
UnrealIRC.exe 6667/in 3 K/s 80 MB 500 MB 2000 MB
UpdateServices.exe 80/out 0 K/s 1 MB 250 MB 800 MB
8530/in 0 K/s 5 MB 650 MB 1500 MB(естественно, тип порта — входящий или исходящий (сервер или клиент) — настраивается в каждом случае вручную)

То есть не следить за вирусами, а контролировать расход трафика вполне легитимных приложений и служб. Известные мне программы брандмауэрного или сисинфошного типа предлагают только просмотр списка существующих в данный момент сокетов; возможно, ещё текущую суммарную загруженность каждого сетевого интерфейса. Или там ведение статистики по объёму веб-трафика. Это всё не то, так произвольные программы не проконтролируешь.

Да уж так было бы проще найти паразитов. А то как у меня что-то куда-то чего-то посылает или получает. Возможно это была отправка спама через мой комп. Как выяснилось баловался RootKite - есть такая зараза, при чем антивирусы его не находят, так как он типа не вирус.
http://www.top.virusinfo.info/ - именно там подсобили, просто в каждом случае нужно писать скрипты (иногда и несколько раз как в моем случае).

vit777 поставь Outpost Firewall и проследи какая из программ лезит в инет.