Троян - поиск
 

Короче, тут такое дело: бродил по и-нету, вдруг Nod сообщает, что обнаружен вирус: файл C:\WINDOWS\System32\drivers\Winnn33.sys, Win32/Wigon.CK троян, юзер NT AUTHORITY\SYSTEM, Событие в новом файле, созданном приложением C:\WINDOWS\TEMP\BN7.tmp. (я его не нашёл!).
Сразу за этим сообщением последовало другое: файл ..., вероятно модифицированный Win32/Statik приложение, юзер NT AUTHORITY\SYSTEM.
Затем он начал с большой скоростью качать и отдавать что-то в и-нет.
Я выключил и-нет, включил опять - он начинает что-то качать и отправлять. Прошерстил процессы в диспетчере задач, службы просмотрел, глубокой проверкой просканировал диски (антивирь NOD 32 2.7 база данных 3444 (самая новая)). Нашёл парочку вирусов и троянов и всё.
Перезагрузил комп, включил и-нет - работает нормально. Через пять минут Нод опять нашёл троян, и что-то начало качать/отправлять. Отключил два подозрительных процесса, и вроде всё работает нормально, но мне неспокойно (вирус не найден, да и плата за и-нет по траффику).
Что посоветуете?:confused:

Вот что пишут на http://myceck.com/:
domain MYCECK.com has been disable

Скажите прогу, которая отслеживает все процессы, подключающиеся к и-нету - может быть так его можно выявить...

Дима, да.. хапанул ты гадость какую-то. Качай Dr.Web, сканируйся в безопасном режиме. При этом отключи восстановление системы и действующий Nod.
Проверь автозагрузку программ.
>C:\WINDOWS\TEMP\BN7.tmp. (я его не нашёл!).
Отключи в свойствах папки скрытие папок и файлов, может найдешь и грохнешь вручную. Пока так, пиши что дальше будет :)

2IP NetMonitor кажется такая прожка есть. Отслеживает открытые порты и все сетевые соединения по ним (исх., вход.) Да, и почисть карантины Нода и Веба (в безопасном тоже).

Деньги кончаются! Эта гадина на пару секунд качает около 2-3 мегов!
Лицензионного Доктора мне негде достать. Все тэмпы проверил - пустые (даже по свойствам они пустые). В автозагрузке ничего лишнего нет.
Сейчас буду искать этот NetMonitor.

Методом проб и ошибок я его вычислил. До включения и-нета у меня было 49 процессов в диспетчере задач (их я сфоткал). После обнаружения вируса их стало 50! И он снова начал качать. Процесс я вычислил - это был один из svchost.exe. Выключил его и скачивание прекратилось!
Глубокий анализ по дискам Нодом в безопасном режиме вновь ничего не выдал.

2IP NetMonitor подтвердил мою догадку (правда там этих svchost.exe нескольно, но ESTABLISHED только один). Пока схожу положу денюжку на и-нет, потом продолжу поиски трояна более тщательно.

А нельзя т.с. "искать троян выдернув сетевой шнур"?
Я эту фигню по ссылке скачал, чего с ней делать?

Какую фигню?! Это троян! Я же сказал по ссылке не проходить!!!!