Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] svchost.exe жрет траффик (http://forum.oszone.net/showthread.php?t=194213)

Step_BY 17-12-2010 09:21 1567823
svchost.exe жрет траффик
 
Вложений: 1
Доброго времени суток. Недавно обнаружил, что уходит траффик "налево".
netstat -b показал что svchost.exe генерирует много траффика - 100kb/sec, причем как входящий, так и исходящий траффик.
В безопасном режиме прогнал курейтом. В папке System Volume Information нашел Trojan.SMSSend.164.
Сделал логи по правилам. Помогите плз.
Система Win XP SP3

zirreX 17-12-2010 14:22 1568041
Здравствуйте!

Активного заражения не вижу.

HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:
R3 - URLSearchHook: (no name) -  - (no file)
AtlantTelecom - ваш провайдер?


Лог RSIT подготовьте.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Step_BY 17-12-2010 18:04 1568238
Вложений: 1
Цитата:
Цитата zirreX
AtlantTelecom - ваш провайдер? »
Да, мой. Неделю с ними воюю. У меня подозрения, что они воруют трафик. А они мне - что у меня вирус. Вот и обратился к спецам.
В хайджеке пофиксил.
Лог МВАМ выложил. RSIT чуть позже.

zirreX 17-12-2010 18:29 1568261
Удалить в MBAM:
Код:
Заражённые файлы:
c:\WINDOWS\Fields.scr (Malware.Packer.Gen) -> No action taken.
Кейгены на ваше усмотрение.

Step_BY 17-12-2010 21:10 1568408
Цитата:
Цитата zirreX
Кейгены на ваше усмотрение. »
Удалил все 5. Завтра сделаю РСИТ

Step_BY 18-12-2010 13:07 1568747
Вложений: 2
Логи RSIT

Step_BY 18-12-2010 13:28 1568762
Вложений: 1
На всякий случай ещё лог МВАМ

Step_BY 19-12-2010 21:00 1569841
чисто?

Step_BY 20-12-2010 14:04 1570412
Вложений: 3
Комбофикс

Step_BY 20-12-2010 18:16 1570596
zirreX, Вы ещё со мной?

zirreX 20-12-2010 18:27 1570601
Цитата:
Цитата Step_BY
zirreX, Вы ещё со мной? »
Только что пришел, два дня лежал с температурой :)


Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
RegLock::
[HKEY_USERS\S-1-5-21-1343024091-2077806209-682003330-500\Software\Microsoft\Internet Explorer\User Preferences]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Больше ничего плохого нет.

ComboFix нужно запускать только в том случае, если об этом вас попросил хелпер!

Step_BY 20-12-2010 20:33 1570666
Цитата:
Цитата zirreX
Только что пришел, два дня лежал с температурой »
C выздоровлением.
Цитата:
Цитата zirreX
ComboFix нужно запускать только в том случае, если об этом вас попросил хелпер! »
Прошу прощения. Просто думал про меня уже забыли. А по форуму походил и принял для себя такое решени. Обещаю впредь без самодеятельности.
Отчет смогу сделать только в среду.

Step_BY 28-12-2010 12:20 1576172
Проблема в провайдере


Время: 19:23.

Время: 19:23.
© OSzone.net 2001-