[alex_sev]

Данный IP принадлежит: http://en.wikipedia.org/wiki/Barefruit
Так что скорее всего проблема с DNS-серверами Comodo.

Подозреваете заражение, выполните правила:
http://forum.oszone.net/thread-98169.html

[jmorley002]

Цитата alex_sev:

Данный IP принадлежит: http://en.wikipedia.org/wiki/Barefruit Так что скорее всего проблема с DNS-серверами Comodo. Подозреваете заражение, выполните правила: http://forum.oszone.net/thread-98169.html »

Большое спасибо за ответ. Извините что нет логов, - поздно заметил в шапке раздела, как раз сейчас буду делать

Действительно! Я и забыл что comodo internet security при установке предложил воспользоваться своей DNS в целях повышения безопасности и я согласился. Но вот 2 момента непонятны -
1 почему айпишники для explorer.exe вначале были разные?
2 Как согласие на использование DNS-серверов Comodo могло повлиять на сетевую активность приложений?

[jmorley002]

Логи готовы! Если не трудно, посмотрите еще скриншоты файрвола, пожалуйста, там айпи адреса показаны - незнаю есть они в логах или нет...

[alex_sev]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\Temp\TS_BEF0.tmp','');
 QuarantineFile('C:\Windows\Temp\TS_BCAD.tmp','');
 QuarantineFile('C:\Windows\Temp\TS_97EB.tmp','');
 DeleteFile('C:\Windows\Temp\TS_97EB.tmp');
 DeleteFile('C:\Windows\Temp\TS_BCAD.tmp');
 DeleteFile('C:\Windows\Temp\TS_BEF0.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

[jmorley002]

Alex_sev
Сейчас все сделаю как Вы сказали.
Неужели у меня вирус?

[alex_sev]

Скорее всего мусор, присылайте карантин посмотрим.

Остальные IP принадлежат Microsoft и Verisign - ничего в них страшного нет.

[jmorley002]

Цитата alex_sev:

Скорее всего мусор, присылайте карантин посмотрим. Остальные IP принадлежат Microsoft и Verisign - ничего в них страшного нет. »

Фууух. Спасибо Вам! Эти компании вроде входят в список доверенных
Я эти айпи проверял через несколько онлайн сервисов и они порой результаты разные выдавали, я все понять не мог что за ерунда..
Но вот затык - системе 4 дня от роду продуктов от Symantec она в глаза невидела 100% и на их сайт я точно незаходил. Как же так? Наверное дело в DNS Comodo..
может они сотрудничают вместе?
И почему эти программы вообще лезут в интернет? Тот же explorer.exe вообще таким вроде незанимается у нормальных систем, я прав?
Malwarebytes Anti-Malware по умолчанию предложил мне все 4 диска сканировать, мне выбрать только C:\?

[alex_sev]

Симантек здесь ни при чем:

https://www.verisigninc.com/ru_RU/re...hy/index.xhtml

Отмечайте только системный, сами ничего не удаляйте

[jmorley002]

Цитата alex_sev:

Симантек здесь ни при чем: https://www.verisigninc.com/ru_RU/re...hy/index.xhtml »

А, понял - значит это и есть comodo dns, который на самом деле Verisign dns, ну или типа того Или вообще "мой провайдер днс" )) Извините я этом дуб)

Цитата alex_sev:

Отмечайте только системный, сами ничего не удаляйте »

хорошо, делаем