Доброго дня.
При подключении к интернету Agnitum Outpost постоянно выдает запрос на один и тот же адрес, а именно 224.0.0.22 (тип протокола IGMP). Сперва приходит на ум, что типа это запрос роутера для поддержки мультикаст вещания, НО! Внимание! У меня домой заведены 3 провайдера и при подключении каждого из них запросы на 224.0.0.22 продолжаются. Значит идея с роутером отпадает, т.к. не может быть, чтобы у 3 разных провайдеров были роутеры с одинаковым ip. Второе, что приходит на ум это вирусы. Проводил полную проверку с максимальной эвристикой с помощью avZ, avG, DrWeb curit и встроенным антишпионом от Agnitum - все чисто! Пробывал отключать в msconfig все лишние процессы стартующие при загрузке, оставлял только системные dumprep 0 -k, RunDll32 и op_mon (собственно сам Agnitum) - не помогло.
Еще стОит отметить, что помимо запроса описанного выше, периодически начинаются запросы по протоколу Proto41, но потом "затихают".

Что это вообще может быть и что еще можно сделать?

Система Win XP (SP2)

Выполните http://forum.oszone.net/thread-98169.html

Отключите:
Антивирус/Файерволл

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить" (http://safezone.cc/forum/showthread.php?t=10)

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\f3590e48.tmp','');
QuarantineFile('C:\Program Files\036b7f37.tmp','');
QuarantineFile('C:\WINDOWS\System32\netevent.dll','');
DeleteFile('C:\Program Files\f3590e48.tmp');
DeleteFile('C:\Program Files\036b7f37.tmp');
BC_ImportDeletedList;
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.



ПК перезагрузится. Выполните скрипт в AVZ:


begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Архив quarantine.zip из папки с AVZ отошлите через веб-форму (http://www.oszone.net/virusnet/).

Сделайте новые логи AVZ&RSIT

Скачайте Malwarebytes' Anti-Malware (http://www.malwarebytes.org/mbam-download-exe-random.php), установите, обновите базы
Выберите Полное сканирование, нажмите Сканирование. Отметьте локальные диски и флешки
После сканирования должен открыться лог. Если этого не произошло, то нажмите ОК => Отчеты. Откройте лог, сохраните его и прикрепите к сообщению

Не виду Вашего карантина.. Вы его отправляли?

Пофиксите в HJT (http://virusnet.info/forum/showthread.php?t=9)

O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)


Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe) или здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.


Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы ComboFix. ComboFix может отключить интернет, не переподключайте интернет пока программа не завершит работу. Во время работы ComboFix не нажимайте кнопки мыши, это может стать причиной его зависания.
Запустите ComboFix. Когда сканирование завершится, файл C:\ComboFix.txt прикрепите к сообщению.


прим. В случае, если ComboFix не запускается, переименуйте combofix.exe в svchost.exe

Да, карантин отправил.
"O3 - Toolbar..." пофиксил.

Лог получился неполным. Переделайте его, пожалуйста.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол

KillAll::

FileLook::


File::
c:\program files\596914b7.tmp


DirLook::


Folder::


Driver::


Registry::


ClearJavaCache::
Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe
http://safezone.cc/images/cfscript.gif
Когда сохранится новый отчет ComboFix, прикрепите его к сообщению.

В прошлый раз, так и не решив проблему, я просто заблокировал этот запрос в файрволе.
Прошел год, купил новый компьютер, подключаю к сети и снова получаю запрос на 224.0.0.22 - стоп, подумал я! Это не может быть вирус, так как Виндовс чистый. Решил погуглить и посмотреть, какую информацию в этот раз поисковики выдадут по поводу этого адреса. В итоге выяснил что запросы это от маршрутизатора IGMPv3 и предназначен для управления групповой рассылки пакетов.

"Windows XP и некоторые операционные системы UNIX поддерживают IGMPv3 (RFC 3376 от 10/2002, см. Рисунок 4). В этой версии предопределенные группы хостов многоадресной рассылки (получателей) могут принимать данные от специализированных хостов (отправителей). На запрос IGMPv3 отвечают все машины в группе. Групповой адрес 224.0.0.22 был веден специально для маршрутизатора IGMPv3."
http://www.osp.ru/lan/2005/12/377592/

"Межсетевой протокол управления группами — Internet Group Management Protocol (IGMP) — используется для поддержания членства в группе многоадресной рассылки. IGMP также используется для согласования работы нескольких маршрутизаторов многоадресной рассылки, что производится путем выбора одного маршрутизатора в качестве «ведущего»."
http://www.upweek.ru/igmp-razreshat-ili-net.html