скрин: http://savepic.ru/1433790.jpg
переподключение не помогает. если быть точнее, выбирается другой порт и атака производится на него.

у меня есть подозрение, что это как-то связано с svchost.exe
http://savepic.ru/1385662.jpg
то что он не относится к сервисным и не имеет название выглядит немного странно
ещё он делает странные запросы(я проверил по PID) на hosted-by.ecatel.net: 80, и вот такое:
http://savepic.ru/1402033.jpg
+
из лога аутпоста
2010/06/30 17:54:55 [SVСHОST.EXE:800] block start dde session "IExplore" [00096540]
PID совпадает с подозрительным

также я по этому случаю сделал проверку AVZ

Заключение: кто-либо сталкивался с такой проблемой? как лечить?
возможно из-за этого у меня иногда провисает на пару секунд комп и редкие рандомные ребуты...

Здравствуйте.Выполните правила:
http://forum.oszone.net/thread-98169.html
Также перед созданием логов обновите базы авз(если обновлятся)-Файл/Обновление баз/пуск
Нужно приложить такие архивы, как:
virusinfo_syscure.zip и virusinfo_syscheck.zip
А также HiJackThis.zip

кол-во проблем уменьшилось)
спустя некоторое время после создания темы я решил перепроверить папку system32
оказалось, что там два svchost.exe файла, и у второго буква 'c' русская. завершил, удалил его, убрал из реестра в 2ключах запуск этого фальшивого сервиса и всё стало ок. атаки на порты пропали

появилась (хотя скорее она и была раньше) другая проблема (проблема ли?)
svchost, уже обычный, посылает изредка запросы на spynettest.microsoft.com. это нормально?
добавил логи avz, hijack, malwarebytes

svchost, уже обычный, посылает изредка запросы на spynettest.microsoft.com. это нормально? »

Windows Defender часто обновляется новыми файлами дефиниций и исправлениями, чтобы быть уверенным в том, что он способен обнаружить самые свежие шпионские программы. SpyNet – это сообщество, к которому обращаются специалисты Microsoft для наблюдения, изучения и устранения ущерба от шпионских программ.


• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis (http://virusnet.info/forum/showthread.php?t=9)

F2 - REG:system.ini: UserInit=userinit.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896



В МБАМ выберите удаление всего что там найдено кроме



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.


Файл hosts вы сами правили ?

и проверьтесь утилитой Zbot Killer (http://support.kaspersky.ru/downloads/utils/zbotkiller.zip)


• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\Schedule') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\Schedule');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\Schedule', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\Schedule исправлено на оригинальное.');
end;
end;
SaveLog(GetAVZDirectory + 'Schedule.log');
end.

спасибо за информацию и за помощь
всё сделал, Zbot Killer показывает, что всё чисто, hosts правил давно с помощью Spybot Search & Destroy
если архив карантина нужен, я его залил сюда - http://slil.ru/29414990 (места для прикреплений не хватает)

уточню, что флуд пакетами на один и тот же порт появляется и исчезает. видимо это всё-таки дело в том, что мне после переподключения иногда достаётся "загаженный" айпи
или я не прав?

У вас была еще загажена вирусом записью F:\windows\F:\windows\System32\svchost.exe от службы
Schedule. скрип её исправляет. Ну и МБАМом надо было дочистить.

Лог Schedule.log присоедините.

Нужно ещё обновить АВЗ новые логи сделать.

Schedule[микропрограмма лечения]> изменен параметр ImagePath ключа HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\CurrentControlSet\Services\Schedule исправлено на оригинальное.
[микропрограмма лечения]> изменен параметр ImagePath ключа HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Schedule
Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\ControlSet001\Services\Schedule исправлено на оригинальное.
[микропрограмма лечения]> изменен параметр ImagePath ключа HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Schedule
Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\ControlSet002\Services\Schedule исправлено на оригинальное.
логи от avz в виде двух архивов? если нужны такие, то они будут завтра
прикрепил лог с быстрого скана, на него нашлось время

Нужны логи в виде двух архивов - сделанные заново.

логи от avz в виде двух архивов? если нужны такие, то они будут завтра »Можно только virusinfo_syscheck.zip
Он быстро сделается

готово

Выполните скрипт
begin
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\Schedule','Start', 2);
end.
Перезагрузитесь и сделайте лог virusinfo_syscheck.zip

сделано

Теперь порядок в логе. Проблема решена?

а что в ветке связанной с Schedule было в моей системе не так? хотелось бы узнать, для общего развития так сказать)
наверно да, но вообще я смотрю, что пакеты всё также как приходили на один и тот же порт так и приходят. но иногда смена адреса помогает)

Тип запуска службы был выставлен не тот, который полагается