Доброе!
Господа подскажите решение моей проблемы.
При подключении к сети винда или еще что-то там упорно пытается установить связь с каким то узлом, все время посылает пакеты.
Я начал грешить на то, что цепанул в сети какую то вредную заразу.
1. Я просканил систему AVZ. Настораживают перехватчики обнаруженные сканером. В логе присутствуют еще какие то подозрительные файлы и процессы. Дайте плз рекомендации по этому логу.
2.Outpost.
В системе установлен OutPost 6, он судя по логам все время эту связь рубит. В журнале сети пишет-отключенно Детектором атак. Хотя в самом Детекторе атак никаких предупреждений нет.Все что рубиться отмечается в логе Protect.
Далее в системе присутствуют,точнее иногда запрашивают вызов процессы n/а и system.
Рассматривал лог netstat4-настораживает вот это:new packet connection: IGMP/224.0.0.1:* <- 192.168.1.1:* blocked <n/a:0> [00000000/00003A07] 00000015
new packet connection: UDP/192.168.0.1:138 -> 192.168.0.255:138 <SYSTEM:4> [00000111/00003BBB] 00000256
Это что такое?! 81.222.128.26:80 это скорее вчего ip адресса моего провайдера, может я чего то недопонимаю? svchost и так подключается без проблем, сеть работает хорошо,зачем тогда этот процесс?!
Сегодня новая фишка появилась-начал запускаться дозвон,загружается система и автоматом появляется окошко,типо подключиться...погрешил на Punto,хотя ранее он вроде не совался так нагло в нет.
Отрубил его и заодно и службу IIS...она чет то ж ломилась..по крайней мере inetinfo.exe регулярно хотел в сеть. Вроде бы дозвон не запускается.
Выскажите пожалуйста свои рекомендации.
Вчера просканил все drWeb с последними базами,проверка показала что вирусов нет.
Можент все Ок и я просто перебдел как говориться?

Заранее благодарен.

Grey_rnd, Здравствуйте! Сделайте пожалуйста логи по правилам (http://forum.oszone.net/thread-98169.html)

Здравствуйте Pili.
Вас понял,завтра выложу все по правилам.

Подправил и добавил..все как требовали...аааа реакции нет... :(

.аааа реакции нет... »
Не было, потому что вы вложили логи в 1-ое сообщение, новых сообщений в тебе не было после
завтра выложу все по правилам.
т.е. вы никак не уведомили, что выложили логи.
логи чистые, на всякий случай можно проверить некоторые файлы (с большой вероятностью будут чистые)
Очистите временные файлы с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1) или через Пуск-Программы-Стандартные-Служебные-Очистка диска
Выполните скрипт
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\CDBurnerXP\NMSAccessU.exe','');
BC_ImportQuarantineList;
BC_QrFile('c:\windows\system32\acs.exe');
BC_QrFile('C:\WINDOWS\system32\DRIVERS\kbfiltr.sys');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip отправьте на user15802[at]mail.ru, в теле письма укажите ссылку на тему.

Цитировать »
Спасибо. Значит все таки перебдел?! Тогда что ж за прога так хочет законектиться? :search:
Хм...к сожалению я не особо понимаю как выполнить те действия что вы перечислили...где набирать этот скрипт? В AVZ?
У Вас подозрения на CDBurnerXP? точнее его процесс NMSAccessU.exe?
kbfiltr.sys - это файл входящий в состав утилит для буков Asus, качал с сата поддержки Asus Russia.
acs.exe - помоему то ж из той же оперы.
Вчера цепанул вируса на Оперу..по дурости разрештил доступ и тут де хватанул трояна что ли, хорошо drWeb не подвел. :clapping:

где набирать этот скрипт? В AVZ? »
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, нажмите кнопку «Запустить».
У Вас подозрения на CDBurnerXP? точнее его процесс NMSAccessU.exe? »
Нет, просто беру файлы на проверку, если окажутся чистыvb - уйдут в базу безопасных AVZ
хорошо drWeb не подвел »
И AVZ также удалил
D:\Voloshin Sergej\MotoSoft&\JimmFAQ\Джим и все все все\jimmcs.exe >>>>> Trojan-Downloader.Win32.Delf.ney успешно удален

И AVZ также удалил
Цитата:D:\Voloshin Sergej\MotoSoft&\JimmFAQ\Джим и все все все\jimmcs.exe >>>>> Trojan-Downloader.Win32.Delf.ney успешно удален »
Оболдеть.....это же програмулина для подбора цветов в jimm! Троян там?!!!! :o :o
Выше перечисленные скрипты требуют сохранения после их набора? Или выполняются и все? quarantine.zip будет сохранен в корне AVZ?
Сегодня вечером постараюсь все сделать и отослать.

Троян там?!!!! »
был
Выше перечисленные скрипты требуют сохранения после их набора? »
нет
Или выполняются и все? »
выполнять по очереди. 2-ой после перезагрузки
quarantine.zip будет сохранен в корне AVZ? »
да.
Можете доп. Скачать Malwarebytes' Anti-Malware (http://www.besttechie.net/tools/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results - нажмите "Remove Selected". Откройте лог и скопируйте в сообщение.

Можете доп. Скачать Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results - нажмите "Remove Selected". Откройте лог и скопируйте в сообщение »
Вот елки с палками. Это ж скока надо прог иметь что б отмахаться от вирусни! DrWeb,Outpost,AVZ,Hijackthis, еще и Malwarebytes' Anti-Malware!
Можно личный вопрос? У Вас на компе какие защитные проги установленны?

Это ж скока надо прог иметь что б отмахаться от вирусни! »
По логам AVZ можно увидеть активные зловреды, файловый сканер AVZ может найти только по антивирусным базам, МВАМ умеет хорошо находить остатки от вирусов в реестре и неактивные зловреды, в принципе можете и не сканировать с помощью MBAM.
У Вас на компе какие защитные проги установленны? »
У меня них несколько (компов, один - тестовый стенд, там много чего испытываю) :)
На раб. Сomodo Firewall, AVP корпоративный, в принципе они и не нужны, имхо, редкий зловред сможет выжить в моей системе, т.к. закручено довольно сильно - доп настройки (твики) для безопасности, например IE нет,, исп-ся FF+NoScript+Adblock, не работаю с правами админа для обычных повседневных задач, нет нелиц. софта :) Но у p2u (http://virusinfo.info/member.php?find=lastposter&t=31856) настройки системы еще жестче :)

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\CDBurnerXP\NMSAccessU.exe','');
BC_ImportQuararntineList;
BC_QrFile('c:\windows\system32\acs.exe');
BC_QrFile('C:\WINDOWS\system32\DRIVERS\kbfiltr.sys');
BC_Activate;
RebootWindows(true);
end. »
Вылазит ошибка - неизвестный идентификатор.
Ошибка скрипта: Undeclared identifier: 'BC_ImportQuararntineList', позиция [5:25]

Grey_rnd, исправил, выполните скрипт ещё раз

Grey_rnd, исправил, выполните скрипт ещё раз »
Выполнил,отправил. :)

Стандарт. Антивирус+файрволл+AVZ. Главное не это. Гораздо важнее : не работать под админом, пользователю простому правильно настроить права, раскидать доступы по дискам и папкам, и не лазить в инете по нехорошим местам + собственная голова.

Grey_rnd, NMSAccessU.exe - чист, остальные в карантин не попали, можете их проверить на virustotal.com

Grey_rnd, NMSAccessU.exe - чист, остальные в карантин не попали, можете их проверить на virustotal.com »
:( Значит у мя настройки не правильно выполненны? Я все еще ваюю.. с этим Outpost'ом. Как то братва которрая его модернизировала перемудрили. Раньше было интуитивно понятною Щас не особо....то все закрыто,то открывает канал тем приложениям котрые наоборот пускать не надо. :unsure:

Я все еще ваюю.. с этим Outpost'ом »
По настройкам Outpost можете обратится в раздел Защита компьютерных систем (http://forum.oszone.net/forum-20.html), Программное обеспечение Windows (http://forum.oszone.net/forum-7.html) или Неофициальный русский форум Agnitum Outpost Firewall (http://forum.five.mhost.ru/)

По настройкам Outpost можете обратится в раздел Защита компьютерных систем, Программное обеспечение Windows или Неофициальный русский форум Agnitum Outpost Firewall »
Спасибо за помощь и советы. :clapping:

:( И за какие такие проделки мой пост удалили? Я же просто скрин-шот поместил что б нагляднее было видно что за процесс!