Если уходит трафик

Вчера неожиданно резко упала скорость моего Интернет-соединения, при этом индикатор статуса на передней панели роутера активно мигал даже тогда, когда я не использовал ресурсы Сети. Сразу закралась мысль о наличии троянов и прочей нечисти.

Запуск AVZ подтвердил мои догадки - произошла подмена файлов DrWeb и внесены изменения в переменную Shell в реестре. Но кроме этого, обнаружилось еще несколько причин. Обо всем по порядку.

1. Открываем редактор реестра (Пуск - Выполнить - regedit). Переходим в редакторе реестра по следующему пути - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon, после чего в правой части редактора реестра проверяем значение переменной Shell. В ней может быть записан лишь explorer.exe и ничего более. Если не так - исправьте. Но перед исправлением запомните имя вредоносного файла (не попутайте с системным, через который он запущен - обычно через rundll.exe) - например, в моем случае это был файл kjgk.sko. Этот файл необходимо будет удалить, после внесения исправлений в реестр. Скорее всего, он будет находиться в папках windows или windows\system, в противном случае воспользуйтесь поиском. Если файл не удаляется, используйте Unlocker (встраивается в меню правой кнопки мыши).

2. Там же, в редакторе реестра и по тому же пути проверяем значение переменной Userinit - в ней должна содержаться запись C:\WINDOWS\system32\userinit.exe, (обязательно с запятой на конце). Все что будет после запятой, рекомендую удалить.

3. Проверьте автозагрузку на наличие посторонних процессов (Пуск - Выполнить - msconfig). Смело убирайте галочки напротив всех процессов, названия которых вы не можете сопоставить с установленными на компьютере программами (кроме ctfmon).

4. В моем случае также была произведена подмена нескольких запускаемых файлов DrWeb. О наличии таковых можно узнать, проверив систему антивирусной утилитой AVZ. Если такие файлы имеются - просто переустановите пораженные программы.

В принципе, всей этой истории могло и не быть, если бы у меня не появилась привычка отключать антивирус во время запуска игр/графических приложений. Ну много ресурсов у меня потребляет DrWeb, что уж тут поделать.

Кроме этого, могу порекомендовать программу 2ip NetMonitor, которая дает все исчерпывающие сведения о процессах, использующих ваше Интернет-соединение.

Источник: http://sis-admin.blogspot.com/2010/04/blog-post_04.html, 4.IV.2010