[iskander-k]

Если подозреваете заражение вирусами тогда
Выложите логи в соответствии с этими инструкциями.

И тему перенесём в раздел лечение..

[AleksanderSp]

С вирусами давно проблем не было, подозреваю проникновение через сеть. Что предпринять?

[Drongo]

Цитата AleksanderSp:

подозреваю проникновение через сеть. Что предпринять? »

Давайте избегать таких выражений как "подозреваю", специалисты по ИТ-Безопасности решат чистые логи или нет, тогда и на вопрос "Что делать?" найдётся ответ. Ждём логи.

[AleksanderSp]

Готово.

[Drongo]

AleksanderSp, Вот ваши рекомендации

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\10.tmp','');
 DeleteFile('c:\windows\system32\10.tmp');
 DeleteService('memsweep2');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

[thyrex]

Дополнительно к совету Drongo

Ответьте на вопрос, пожалуйста: логи делали из ограниченной в правах учетной записи?

[AleksanderSp]

Логи делались на правах учетной записи Администратор. Эта учетная запись переименована в
User.

[AleksanderSp]

Запустил Gmer, во время сканирования окон с сообщением о деятельности руткита не появлялось.
Полное сканирование не завершилось, где то после двух часов от начала проверки появился синий экран смерти.

[thyrex]

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.