Обмен пакетами с неизвестным IP.
 

Доброе!
Господа подскажите решение моей проблемы.
При подключении к сети винда или еще что-то там упорно пытается установить связь с каким то узлом, все время посылает пакеты.
Я начал грешить на то, что цепанул в сети какую то вредную заразу.
1. Я просканил систему AVZ. Настораживают перехватчики обнаруженные сканером. В логе присутствуют еще какие то подозрительные файлы и процессы. Дайте плз рекомендации по этому логу.
2.Outpost.
В системе установлен OutPost 6, он судя по логам все время эту связь рубит. В журнале сети пишет-отключенно Детектором атак. Хотя в самом Детекторе атак никаких предупреждений нет.Все что рубиться отмечается в логе Protect.
Далее в системе присутствуют,точнее иногда запрашивают вызов процессы n/а и system.
Рассматривал лог netstat4-настораживает вот это:new packet connection: IGMP/224.0.0.1:* <- 192.168.1.1:* blocked <n/a:0> [00000000/00003A07] 00000015
new packet connection: UDP/192.168.0.1:138 -> 192.168.0.255:138 <SYSTEM:4> [00000111/00003BBB] 00000256
Это что такое?! 81.222.128.26:80 это скорее вчего ip адресса моего провайдера, может я чего то недопонимаю? svchost и так подключается без проблем, сеть работает хорошо,зачем тогда этот процесс?!
Сегодня новая фишка появилась-начал запускаться дозвон,загружается система и автоматом появляется окошко,типо подключиться...погрешил на Punto,хотя ранее он вроде не совался так нагло в нет.
Отрубил его и заодно и службу IIS...она чет то ж ломилась..по крайней мере inetinfo.exe регулярно хотел в сеть. Вроде бы дозвон не запускается.
Выскажите пожалуйста свои рекомендации.
Вчера просканил все drWeb с последними базами,проверка показала что вирусов нет.
Можент все Ок и я просто перебдел как говориться?

Заранее благодарен.

Grey_rnd, Здравствуйте! Сделайте пожалуйста логи по правилам

Здравствуйте Pili.
Вас понял,завтра выложу все по правилам.

Подправил и добавил..все как требовали...аааа реакции нет... :(

Не было, потому что вы вложили логи в 1-ое сообщение, новых сообщений в тебе не было после
т.е. вы никак не уведомили, что выложили логи.
логи чистые, на всякий случай можно проверить некоторые файлы (с большой вероятностью будут чистые)
Очистите временные файлы с помощью ATF Cleaner или через Пуск-Программы-Стандартные-Служебные-Очистка диска
Выполните скрипт
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Файл quarantine.zip отправьте на user15802[at]mail.ru, в теле письма укажите ссылку на тему.

Спасибо. Значит все таки перебдел?! Тогда что ж за прога так хочет законектиться? :search:
Хм...к сожалению я не особо понимаю как выполнить те действия что вы перечислили...где набирать этот скрипт? В AVZ?
У Вас подозрения на CDBurnerXP? точнее его процесс NMSAccessU.exe?
kbfiltr.sys - это файл входящий в состав утилит для буков Asus, качал с сата поддержки Asus Russia.
acs.exe - помоему то ж из той же оперы.
Вчера цепанул вируса на Оперу..по дурости разрештил доступ и тут де хватанул трояна что ли, хорошо drWeb не подвел. :clapping:

Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, нажмите кнопку «Запустить».
Нет, просто беру файлы на проверку, если окажутся чистыvb - уйдут в базу безопасных AVZ
И AVZ также удалил

Оболдеть.....это же програмулина для подбора цветов в jimm! Троян там?!!!! :o :o
Выше перечисленные скрипты требуют сохранения после их набора? Или выполняются и все? quarantine.zip будет сохранен в корне AVZ?
Сегодня вечером постараюсь все сделать и отослать.

был
нет
выполнять по очереди. 2-ой после перезагрузки
да.
Можете доп. Скачать Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results - нажмите "Remove Selected". Откройте лог и скопируйте в сообщение.

Вот елки с палками. Это ж скока надо прог иметь что б отмахаться от вирусни! DrWeb,Outpost,AVZ,Hijackthis, еще и Malwarebytes' Anti-Malware!
Можно личный вопрос? У Вас на компе какие защитные проги установленны?

По логам AVZ можно увидеть активные зловреды, файловый сканер AVZ может найти только по антивирусным базам, МВАМ умеет хорошо находить остатки от вирусов в реестре и неактивные зловреды, в принципе можете и не сканировать с помощью MBAM.
У меня них несколько (компов, один - тестовый стенд, там много чего испытываю) :)
На раб. Сomodo Firewall, AVP корпоративный, в принципе они и не нужны, имхо, редкий зловред сможет выжить в моей системе, т.к. закручено довольно сильно - доп настройки (твики) для безопасности, например IE нет,, исп-ся FF+NoScript+Adblock, не работаю с правами админа для обычных повседневных задач, нет нелиц. софта :) Но у p2u настройки системы еще жестче :)

Вылазит ошибка - неизвестный идентификатор.
Ошибка скрипта: Undeclared identifier: 'BC_ImportQuararntineList', позиция [5:25]

Grey_rnd, исправил, выполните скрипт ещё раз

Выполнил,отправил. :)

Стандарт. Антивирус+файрволл+AVZ. Главное не это. Гораздо важнее : не работать под админом, пользователю простому правильно настроить права, раскидать доступы по дискам и папкам, и не лазить в инете по нехорошим местам + собственная голова.

Grey_rnd, NMSAccessU.exe - чист, остальные в карантин не попали, можете их проверить на virustotal.com

:( Значит у мя настройки не правильно выполненны? Я все еще ваюю.. с этим Outpost'ом. Как то братва которрая его модернизировала перемудрили. Раньше было интуитивно понятною Щас не особо....то все закрыто,то открывает канал тем приложениям котрые наоборот пускать не надо. :unsure:

По настройкам Outpost можете обратится в раздел Защита компьютерных систем, Программное обеспечение Windows или Неофициальный русский форум Agnitum Outpost Firewall

Спасибо за помощь и советы. :clapping:

:( И за какие такие проделки мой пост удалили? Я же просто скрин-шот поместил что б нагляднее было видно что за процесс!

у Паула уже не винда=)) ему давно пора было бы на *nix пересесть=))

проверил-у мя нуль вирусни и прочего! :)