Вирусы, трояны, фиг пойми, или опять защита бессильна....

[Richard Ferlow]

Ситуация - прихожу в фирму.
На компе аж разом два антивиря - нод32 и просто касперский 7мой.
Говорят, что траффик исходящий зашкаливает просто.

Сношу все это.
Ставлю КИС7....подключаюсь - траффик исходящий летит просто - метры за метрами. Смотрю в мониторинге сети - на три Ip адреса убегает какая-то инфа. Это все при том, что КИС молчит. В активных приложениях только он сам был. Короче из-за этого траффика даже базы обновить толком не мог.
Ладно - беру, записываю IP На которые отсылается, в файерволле запрещаю любую отправку TCP и UDP пакаетов туда - ноль реакции...
Ставлю галку - блокировать траффик - блокируется.

Вопрос, собственно - а чего делать то ?

[s1esar]

cmd netstat -a -b Может увидишь какая компонента на те адреса шлет.

[Richard Ferlow]

s1esar
Да, попробую.
Но меня реально крайне удивило, что его поставил, а траффик все равно шлется жОско, на что он даже и не чешется.

Хотя я так думаю возможен такой вариант - вирус в один из компонентов винды внедрился, а для этого компонента набор правил некий уже в КИСе есть - может через это уходит

[s1esar]

а как дела с шарами, может что открыто, хотя не видно может быть.

[-=GHOST=-]

ОТключи комп от сетки ставь по новой KIS там или просто KAV со второго компа скачай обновления, этот пока в сетку не втыкай... обновляй базы и скань систему!
Вообще вполне возможно что заражен какой либо системный файл... ну а то что NOD и KAV стояли оба это не делает ума пользователям... вполне возможно что они друг друга просто блокировали а вот за вирусами уже не следили...

Вообще сам в таких случаях сношу все нафиг и ставлю по новой... на чистый винт!

[Richard Ferlow]

s1esar
Не знаю, но в теории я в КИС выставил настройки, чтобы он в режиме невидимости вообще был.
Более того - входящего траффика на этот исходящий нет вообще, значит зараза где-то на компе.

[Richard Ferlow]

-=GHOST=-
Как мне на КИС7 удаленно обновления скачать ?

Надо обновить кис именно на зараженном.

[Richard Ferlow]

Обновления нашел.

[Nick123]

У меня на рабочем компе было что-то похожее, Сибсети даже пожаловались на ICMP-флуд (если я правильно запомнил) на какой-то московский сервер.
Не знаю, удастся ли тебе решить эту проблему с помощью антивирусов (кстати, мне не удалось -- Симантек не нашел этот вирус), но мне помогла переустановка системы.

[Richard Ferlow]

Nick123
Переустановка то наверняка поможет....
Правда этого делать ну никак не хочется - там компьютер бухгалтера и дофига всяких прог....

[Richard Ferlow]

Nick123
Сумантек вообще попа - он вирусы если вдруг и находит, так только если сканирование запускаешь принудительное. Нафиг он в трее висит и память жрет тогда - не ясно.

[bolnica]

может винт на др. компе, где обновленный интивир проверить стоит. Если переустанавливать не хочется

[Richard Ferlow]

bolnica
Не уверен, что получится - посмотрим.
Завиист от того, привязан ли там кабель интернетовский к маку сетевой

[bolnica]

[Richard Ferlow]

bolnica
Да это то можно.
Но проще уж переставить, чем тащить его куда-то.
Тем более так не выйдет - на компе работают.

Эх, вот и каспер не такой волшебный =)

[Furios]

Вирь какой-то хитрый сейчас есть: уничтожает базы каспера.
Значит,каким-то образом прорывается на комп.

[bolnica]

значить переустанавливай быстрее будет

[alexcom]

Richard Ferlow
грузись в защищённом режыме, и проверяй этим http://www.drweb.ru/download/1028/

[DrozD]

Richard Ferlow

скачай AVZ

http://z-oleg.com/secur/avz/download.php

http://z-oleg.com/avz4.zip

и базы http://z-oleg.com/secur/avz_up/avzbase.zip

проверь, просканируй

потом зайди в меню Сервис и проверь какие сервисы, что в стартапе, какие порты открытые

[ProFfeSsoRr]

Загрузись с диска какого-нить PE'шного, и можешь через Portable Dr.Web просканить все.