DOS-атаки, сканирование портов, зависание (процесс services.exe)
 

Здравствуйте!

Некоторое время назад Outpost выкидывал окошки с предупреждением о Дос-атаке и блокировании. IP-адреса были разные. Скорость "выкидывания окошек" была очень большая - по несколько раз за секунду. Через несколько минут компьютер завис. После перезагрузки (через Reset) полностью система так и не загрузилась, процесс services.exe занимал всю свободную память, т.е. около 98%. С компа знакомых нашла в интернете инструкцию по решению этой проблемы. В безопасном режиме вручную чистила реестр, после перезагрузки в безопасном режиме удалось восстановить систему. В безопасном режиме хотя бы система полностью загружалась, несмотря на то, что services.exe также занимал почти всю память. После восстановления системы проверяла на вирусы, всё было почищено и удалено. Через время ситуация повторилась - дос-атаки - зависание - перезагрузка - services.exe занимает всю свободную память. Снова восстанавливала систему.

Последние несколько дней Outpost выдает сообщения с предупреждением о DOS-атаке и сканировании портов даже при отключенном интернете, т.е. по локальной сети провайдера.

Из подозрительного (и того, чего раньше не было):
1. Системное окошко с предупреждением "В сети существуют совпадающие имена" и с одной кнопкой "ОК"
2. Системное окошко "Эта программа требует соединения с интернетом" (хотя подключение к интернету есть), значок в окошке - синяя буква "е", как у Интернет Эксплорера. Пользуюсь Оперой.

При проверках НОДом и Outpost'-ом постоянно находятся трояны, преимущественно в system32 и Documents and Settings в подпапках.

Сделала полную проверку системы по вашей инструкции, нашлось около 20 троянов в разных местах, удалены. Сделала логи, подключилась к интернету, снова есть Dos-атаки и сканирование портов.

Прошу посмотреть предоставленные логи. Очень надеюсь на вашу помощь. Спасибо.

qaz741, Здравстуйте.
Настоятельно рекомендуем установить критическое обновление KB958644
У вас установлен этот патч? Если нет, установите, включите встроенный брандмауэр windows, уберите галочку во вкладке исключения - обший доступ к файлам и принтерам сети, дополнительно воспользоваться утилитой wwdc, см. также здесь
Дополнительно читайте Эпидемия Net-Worm.Win32.Kido
Проверьте систему утилитой от bitdefender - скачайте, распакуйте файл и запустите, нажмите "Scan", если утилита ничего не найдет, появится сообщение "System clean"
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус, firewall и другое защитное программное обеспечение, отключите интернет (или включите временно брандмауэр windows), нажмите кнопку «Запустить».
Скачайте SDFix здесь или здесь, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat из папки SDFix - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrl+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь или здесь

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска.
После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.
Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.
Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь (на русском)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Скачайте DDS и сохраните на рабочий сто, отключите антивирус и запустите dds.scr, когда сканирование закончится, скопируйте текст из файлов DDS.txt и Attach.txt в сообщение или запакуйте файлы и вложите в сообщение

Всё сделала, прикрепляю отчеты.


Изменения:
1. Загрузка системы теперь очень долго длится (3-4 минуты)
2. Значок в трее "Подключение по локальной сети" перманентно находится в состоянии "Получение сетевого адреса", несмотря на то, что интернет благополучно подключается.
3. Медленно с зависанием на 1-2 секунды происходит переключение между окнами по ALT-TAB.
4. При первой попытке перетаскивания мышкой установочного файла на иконку ComboFix система выдавала сообщение о том, что недостаточно прав. Учетная запись одна, с правами администратора. К панели управления доступ также пропал. Зашла в безопасном режиме, создала еще одну учетную запись, после этого благополучно в обычном режиме зашла под старой учетной записью. Что это было - непонятно :dont-know

Outpost продолжает выдавать предупреждения о сканировании портов 3288, 832 (чаще всего), 55525, 30771, 32561, 3410 даже при отключенном интернете, т.е. по локальной сети. IP-адреса разные. Еще какие-то атаки APR_SCAN.

Может причина в Outpost'e?

Медленно начинает ехать крыша :jester:

Какая прелесть... У меня, оказывается, есть какие-то сетевые принтеры. Реальный у меня только один hp deskjet 3320 series.

Что делать с последними тремя, удалять?

qaz741, вы видимо находитесь в сети и в вас система обнаруживает сама в сети компьютеры, у которых открыт общий доступ к принтерам, можете удалить, но они могут снова появиться, отключите неиспользуемые службы.
Проверьте на virustotal.com
e:\pub\SOFT\abcNotes_v1.0.0_build_746 (стикеры липкие на экран)\Crack\abcnotes.exe
c:\windows\system32\Drivers\PortRST.sys
ссылку на рез-т проверки выложите.
Деинсталлируйте FlashGet - c:\program files\FlashGet
По долгой загрузке, попробуйте деинсталлировать временно Outpost и включите встроенный брадмауэр windows, в исключениях уберите общий доступ к файлам и принтерам.
По проблемам с сетью - попробуйте применить WinsockFix, по использованию здесь, только сохраните настройки сети перед использованием.
Диск F Это у вас флешка? проверьте, есть ли на ней файл F:\start.exe, предварительно рекомендую отключить автозапуск со съемных носителей
Сохраните текст ниже как fix.reg и примените.
Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (Удалить выделенные). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Рекомендую установить WindowsXP SP3 и все последующие обновления - http://windowsupdate.microsoft.com

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Принтеры удалила, пока не появляются. Со службами не совсем ясно. Просмотрела беглым взглядом, многие службы требуют работы других служб, т.е. отключив что-то, можно нарушить работу других служб. Какие службы наверняка не используются, даже не знаю. На что нужно обратить внимание?

1. http://www.virustotal.com/ru/analisi...5dc88350b7cb2e могу удалить, не очень-то и хотелось ))
2. PortRST.sys - такого файла нет. Через поиск тоже не нашла. Есть файл portcls.sys в той же папке. На всякий случай проверила и его - чистый. http://www.virustotal.com/ru/analisi...b809fb03992aed

Зачем его деинсталлировать? В принципе я уже давно им не пользовалась, могу удалить. Причина может быть в нем?

Попробую.
Спасибо.

С остальным сейчас буду разбираться.

по ссылке службы, есть описание, отключить можно скриптом, скажите что не нужно.
и ещё
Удалите.
См. здесь, можете перейти на другой менеджер закачек.

Посмотрела описания этих служб:

Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) Не нужно
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) Не пользовалась, скорее всего не нужно
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) Не нужно
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) Скорее всего не нужно

Отключила автозапуск
http://forum.oszone.net/showpost.php?p=825101

FlashGet деинсталлирован.

F: - это не флешка, это виртуальный привод. Флешки проверила, никаких лишних файлов типа start.exe нет.

Что делать с этим?

qaz741, отключаем то, о чем вы написали "не нужно" и "скорее всего не нужно"
также отключаем. Выполните в AVZ скрипт
Возможно TermService (Службы терминалов) вам потребуется. если пользователей на компьютере несколько и нужно оставить возможность быстрого переключения пользователей, тогда уберите строчку SetServiceStart('TermService', 4); из скрипта.
Проблемы ещё наблюдаются? Как себя чувствует компьютер?

Установила третий сервис пак и обновления. Комп работает шустрее, на слабенькой машинке это хорошо заметно.

Outpost деинсталлировала, проблема длительной загрузки была не в нем. Причина длительной загрузки - в подключении к локальной сети, если выключить, компьютер загружается с обычной скоростью.

Проблема с состоянием подключения к локальной сети не исчезла, также остается перманентное состояние "Получение сетевого адреса", при этом подключение к интернету работает нормально.

При проверке программой Gmer, компьютер перезагружается через секунд 10. Т.е. первичная быстрая проверка проходит нормально, а вот после запуска проверки жестких дисков отключается компьютер. Пробовала несколько раз.

Спасибо за беспокойство, я обязательно сообщу, когда проблем не будет :)

qaz741,
Скачайте http://www.nirsoft.net/utils/cports.zip
Посмотрите, к какому адресу в сети пытается подключиться компьютер.
Поищите в реестре адрес. Удалите значение (перед удалением сделайте резервную копию ключа).

применяли? Служба DHCP-клиент (DHCP Client) и DNS-клиент (DNS Client) работают? Может быть Outpost не удалился полностью, попробуйте выполнить Инструкции по удалению продуктов Agnitum
Можете ещё попробовать переустановить драйвера сетевой карточки. А может у вас в системе не одна сетевая карта, например от wi-fi ещё есть?
Встроенный брандмауэр надеюсь включен и в исключениях общий доступ к файлам и принтерам убрали?
Запустите gmer, уберите галочку с Files и попробуйте сделать лог gmer ещё раз.
Скачайте RSIT, сохраните на рабочий стол и запустите, когда закончится процесс сканирования, откроются два файла log.txt и info.txt, скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файлы c:\log.txt и c:\info.txt и прикрепите к сообщению.

Скачайте OTListIt2, сохраните на рабочий стол и запустите, выберите File Age: 90 Days, поставьте галочку Scan All Users, LOP Check, Purity Check и в Extra Registry - Use Safe list. Нажмите Run Scan, когда закончится процесс сканирования, откроются два файла OTListIt.Txt и Extras.txt , скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте полученные логи C:\OTListIt.Txt и C:\Extras.txt и прикрепите к сообщению.

Скачайте Lop S&D
Запустите, выберите язык (нажмите "Е", выберите Option 1 (Search)
После окончания сканирования скопируйте текст из файла C:\lopR.txt в сообщение или запакуйте файл и вложите в сообщение

Как можно посмотреть к какому адресу пытается подключиться компьютер? Сейчас я вижу то, что в данный момент используется. Смущают два пункта:
1. alg.exe C:\WINDOWS\System32\alg.exe не знаю что это.
2. StarWindServiceAE.exe C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe какое отношение имеет Alcohol к сети?

Да, применяла.

Я использовала для удаления YourUninstaller, не думаю, что он удалился не полностью.

DNS-клиент (DNS Client) - да
DHCP-клиент (DHCP Client) - нет. Тип запуска стоит авто, но не работает. При попытке запустить службу (Панель управления - Администрирование - Службы), выдает ошибку (скрин прилагаю)

это все легитимное.
Служба DHCP-клиент (DHCP Client) является зависимой от служб
Эти службы мы скриптом AVZ не отключали.
Вероятно у вас не работает NetBIOS over TCP/IP, это не критично, может быть это побочный эффект от применения wwdc (тем более ip адрес компьютер получает), в свойствах подключений локальной сети вы видимо оставили службу доступа к файлам и принтерам сети и в настройках tcp/ip не убрали просмортр lmhosts и не отключили netbios через tcp/ip, попробуйте сделать настройки также как здесь предлагает p2u (Paul) там со скриншотами, если по его рекомендациям не будет работать, вернете все настройки обратно и включите то что отключили в wwdc, см. доп. здесь
А логи вы не выложили. На компьютере одна сетевая карточка?

Последующие действия я еще не выполняла, т.к. возможно включение службы DHCP-клиент (DHCP Client) решило бы проблему.

На компьютере физически две сетевые карточки, но одна карточка отключена через диспетчер устройств и не используется.

Получает. При подключении к интернету. А к локальной сети - нет, всё время находится в процессе получения. При отключенном подключении к интернету доступ к локальным ресурсам провайдера отсутствует.

Буду смотреть ссылку, которую вы дали.
Спасибо :)

Не очень понятно, вы сначала к интернету подключаетесь, потом к к локальной сети (иначе как вы к интернету подключаетесь, если не можете к лок. сети)?
Пожалуйста :) здесь пост 130, вероятно все же это проблема у вас появилась после wwdc и зловреды тут не при чем.
В диспетчере устройств - вид - показать скрытые устройства - устройства не Plug and Play - Netbios через TCP/IP не выключен случайно?

Честно сказать, мне тоже это неясно, почему интернет работает при неработающей локалке. ))) Подключение к локальной сети есть. Просто скорее всего не совсем корректно определяется системой. На скрине более подробно: вверху рисунка курсор возле подключения по локальной сети, в нижней части рисунка курсор возле подключения к интернету. Повторюсь, что при отключении интернета нет доступа к локальным ресурсам провайдера, даже на сайт провайдера зайти не получается.

Нет, всё в порядке, не отключен ))

При помощи wwdc включила NetBIOS, локальная сеть заработала :yahoo: Даже удалось зайти на сайт провайдера без подключения к интернету.

Всё сделала. Ну и раз уж копнула эти настройки... Отключать ли в настройках локальной сети то, что сейчас включено?
1. Клиент для сетей Майкрософт. (Как понимаю, отключаем. А для чего он?)
2. NWLink NetBIOS
3. NWLink IPX/SPX/NetBIOS-совместимый транспорт...
4. TCP/IP - не отключаем.

Еще одно маленькое уточнение насчет локальной сети. При выключенном интернете есть возможность пользоваться мюторрентом, т.е. скачивать через местный торрент-трекер с сидов в своей сети. Иногда это важно (если вовремя не заплатить за интернет))) То есть не хочется терять эту возможность, вдруг отключение чего-то этому помешает.

Логи уже завтра )) Спокойной ночи :)

Позволяет получить доступ компьютера к сетям Microsoft. По умолчанию устаналвливается и разрешается для всех VPN соединений. Требуется разрешить, если используются PPPoE подключения (так у MS написано), можете оставить ,если подключаетесь к домену или удалить для проверки, потом можете заново установить ,если что-то не будет работать, доп. см Configure Client for Microsoft Networks
К серверам Novell или сетям MS, где используется только такой протокол (не TCP/IP) подключаетесь? Если нет, не нужнот.е. вы подключаетесь к интернет, и доступ к лок. сети получаете, поднимая VPN соединение (здесь, если используются динамические ip, требуется, чтобы DHCP клиент получил ip адрес)? Если так, то лок. сеть и не должна подключаться, пока VPN соединение не установлено. Подключаете сетевые диски лок. сети? Сетевые диски можно подключить (в случае отключения netbios через tcp/ip) как \\ip адрес\sharename

Обещала логи, но руки не доходят до них, у меня грипп с температурой 39 :( Пока что совсем не до компьютера.

Проблема не решена (вернее, может и решена, но не подтверждена вами))), я не прощаюсь.

Pili, я конечно не специалист, но может чел конектиться через внешний адрес? (я пока не видел адресов в прикрепленных логах и скринсейвах). тогда и сеть у неё будет токо через инет идти, токо трафик соответственно будет тормозить всю систему.

для примера прикрепляю скрин с обведенными двумя адресами, (постарался убрать лишних людей что не засоряли место). в левом верхнем углу показан адрес чела из той же сети физически, но конектиться он через инет, а в правом нижнем углу чел с нормальным адресом, для интереса можете пробить адрес из левого верхнего угла, чтоб было понятней что он внешний, сколько раз ему говорили, но он все равно рано или поздно переделывает, правда у него анлим и ему не страшен большой трафик :)

Всё равно перезагружается...

Скорее всего нет.

Нет.

DyadyaGenya, мы кажется о разных вещах говорим. Я не нахожусь ни в какой домашней локальной сети, я подключена напрямую к провайдеру, а говоря о локальных ресурсах, имею ввиду сайт провайдера, файлообменный сервис провайдера и т.д.

И... наконец-то логи... )

qaz741, FlashGet рекомендую удалить и использовать другой менеджер закачек. По логам зловредов не видно, в gmer попробуйте оставить только галочку services и registry и сделать лог.

Он удален был несколько дней назад. Папку в Program files только что удалила (в ней всё равно кроме подпапок ничего не было). Может что-то в реестре еще осталось от него?

IP-адрес назначается провайдером, он не постоянный ни для локального подключения, ни для подключения к интернету..

qaz741, по логу гмер тоже ничего зловредного.
По DHCP задайте вопрос своему провайдеру, т.к. вероятно DHCP сервер по умолчанию не настроен на ваш диапазон адресов или, если вы используете ICS и DHCP server на своем компьютере, настройте его, см. дополнительно
Подключение к Интернету в домашней или малой сети
Прочее - [решено] Расшаривание Interneta через VPN - Сетевое ... - пост 2
и поиск в гугл по ключ. слову DHCP-распределитель.

Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (Удалить выделенные). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Скачайте SmitfraudFix здесь или здесь, запустите, выберите опцию 1 – Search
После окончания сканирования скопируйте (Ctrl+A, Ctrl+C) текст из C:\rapport.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\rapport.txt и прикрепите к сообщению.
Инструкция здесь (на англ.), здесь и здесь

На что это влияет? Что может произойти, если этим вопросом не заниматься?

На появление ошибок в журнале событий, м.б. на работоспособность сети (получение ip адреса)
В таком случае видимо проблема не решится и ошибки не исчезнут.
По логу МВАМ чисто. Лог SmitfraudFix где?
Нажмите
Пуск - выполнить –
вставьте
файл C:\scan.txt прикрепите к сообщению.

Пропустила, прикрепляю.

Windows не удалось найти 'dir'... бла-бла-бла

qaz741, сорри, забыл cmd
Выполните
Пуск - выполнить - cmd
Вставьте
файл C:\scan.txt прикрепите к сообщению.
Проверьте на virustotal.com C:\WINDOWS\system32\ioctrl.dll
ссылку на результат проверки выложите в след. сообщении.
Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u
Скачайте OTCleanIt, запустите, нажмите CleanUp!
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

Проверьте систему с помощью F-Secure Online Scanner, в опциях выберите "Full System Scan", если вирусы будут найдены, выберите "Submit samples to F-Secure" и "Automatic cleaning", когда удаление завершится, нажмите "Show report ", лог выложите в следующее сообщение.

Cкачайте полиморфный AVZ, переименованный в game.pif здесь, сохраните в отдельную папку и запустите. обновлять антивирусные базы для этой версии не требуется, сделайте логи virusinfo_syscure.zip, virusinfo_syscheck.zip (3-ий и 2-ой стандартный скрипт AVZ) и новый лог hijackthis
Скачайте и запустите GetSystemInfo (GSI), укажите с помощью обзора папку для сохранения протокола, полученный файл протокола в архиве прикрепите к сообщению.

Угу. Я тоже на полном автоматизме выполняю по пунктам, могла бы догадаться ))) Правда у меня отмазка есть, я еще не полностью выздоровела после гриппа :biggrin:

Отчет какой-то странный, почти пустой, так и должно быть?

http://www.virustotal.com/ru/analisi...67f504cf957e24

Да, это значит скрытых файлов от kido в C:\WINDOWS\system32 нет.
Жду логи F-Secure Online Scanner и GetSystemInfo (GSI)

Что-то я не разобралась как перейти от первого шага (License Terms) к следующим. Не вижу никаких кнопок для перехода или т.п. Специально открыла в IE, т.к. советуют использовать его при проверке... IE 7.

qaz741, на этой страничке надо вкл. Active X (можете сайт в доверенный добавить), после "Accept button" будет кн. "Full System Scan"
Если не получчится, можете провериться с помощью других онлайн сканеров
TrendMicro™ HouseCall Java Scan и/или
Panda ActiveScan
ESET Online Scanner
BitDefender Online Scanner
Windows Live OneCare safety scanner

логи проверок желательно сохранить

qaz741,
ну и скажите мне на милость как вы туда подключены? :) думаю именно по локальной сети :) просто вы не знаете подробностей, способов то много, подозреваю что у вас стоит модем по которому вы якобы выходите в инет и заодно на ресурсы провайдера :) если нет модема, то тем более через локалку, думаю это обьяснять не надо.
не говоря уже об этом признаке
А для того чтоб понять как зависает машина использующая роутер или что то подобное могу спросить, вы когда нибудь видели как его взламывают и что с машиной происходит? если бы не отчет про дос атаки, то вообще можно было бы предположить глючность модема, поверьте, может вешать машину. для интереса запустите команду трасерт с указанием файлообменника, думаю будете удивлены :) оказавшись в локальной сети с ним :)
ну и в добавок могу посоветовать несколько прог, вернее разные их версии одного производителя, более старая шаровая, к сожалению не полная http://www.ptsecurity.ru/xs7demo.asp - ссылка заменена ссылкой на офиц. сайт Xspider
на офсайте найдете полную версию, она вам и расскажет про дос-атаки, только качайте новую версию, у них названия отличаются, здесь её у меня нет, а название не помню, могу на работе глянуть, дома использую подрезаный шаровый вариант. а сканирование с сайтов пропускает то что эта прога не пропустит :) хотя как вариант постоянно и на шару сайты подходят :)

Ну логично, что по локальной сети. Без использования модема и роутера. Проблемы с подключением начались после использования утилиты wwdc. Сейчас всё замечательно работает и ничего не виснет, после того, как я поменяла обратно кое-что.

Pili, онлайн-проверка в процессе (Panda ActiveScan), 42%... уже часа три проверяет.

Видите ли, я не буду подтверждать решение проблемы, пока вы мне не сообщите (как обещали), что проблем, связанных с вирусами (также см. название темы), у вас не осталось (напомню, что по остальным логам чисто, зловред был удален скриптом из 2-го поста), это значит проверка сканерами и другими антивирусами будет продолжена дальше (впрочем в этом ничего плохого, но если нет вирусов, смысла мало, разве что научитесь лучше бороться с вирусами и другим сможете советовать) :)
Проценты проверки увеличиваются? Если нет, возможно процесс проверки завис, попробуйте ещё раз или переключитесь на другой онлайн сканер.

Процесс идет, бегунок движется.

Про то, что всё замечательно работает, я имела ввиду локальную сеть и получение сетевого адреса. А по поводу остального у меня еще пока уверенности нет :) Полной уверенности ))

Рано радовались )) При онлайн проверке нашлось какие-то 9 гадостей, отчётик прикрепляю, гляньте. Одно дело, когда нашлось в \ESET\infected\ и совсем другое, когда что-то есть в System Volume Information и папке windows.

Какие конкретно проблемы наблюдаются, связанные с вирусами?
qaz741, все что нашлось - неактивно.
в System Volume Information не опасно, если не загружаться с предыдущей точки восстановления (по правилам надо удалять предыдущие точки восстановления, создавать новую или отключать восстановление системы), но System Volume Information нашелся только SmithFraudFix - это не зловред (вы его ранее применяли)
В папке windows нашлось только c:\windows\amcdl - Adware, в других логах не было
Остатльное и не должно было отражаться в других логах, это ваш софт и keygen
Это вряд ли зловреды, м.б. ложное срабатывание (кроме м.б. keygen), можете проверить на virustotal.com, но если хотите удалить, то можно и удалить:
Деинсталлируйте MetroMir (C:\Program Files\MetroMir\), если этот F:\bonus\adds\total\Total Commander 7.00.exe устанавливали, то и его деинсталлируйте.
Скачайте OTMoveIt3 by OldTimer и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctfl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
Если что-то захотите оставить, можете из скрипта убрать соответствующие строчки.
Запустите проверку следующим онлайн сканером (выше давал список, т.к. у вас Eset, то проверку этим онлайн сканером можете пропустить), предупреждаю, онлайн сканеры могут находить в карантине других антивирусов зловреды, это нормально и не опасно.

Очень стрёмный сканер. Удаляет всё без подтверждения. Зачем-то удалил старый qip8010.exe (инсталляционный) :) Мне как бы всё равно, старая версия да и в любой момент можно скачать, но сам факт... В общем сканер этот совсем не понравился, им я точно пользоваться больше не стану. Ничего особенного он не нашел, поудалял только файлы с карантина НОДа.

С первыми двумя онлайн-сканерами у меня не сложилось, не знаю почему. Актив Х установила, включила, сайты добавлены к доверенным узлам. И ничего не изменилось. Может, если будет время, проверю еще и последним, остался только он нетронутым.

Меня интересовало именно в системных папках что он там понаходил.

Незнаю. Но ничего явно вредоносного у Вас нет.

Вы не ответили на вопрос и не выложили лог OtMoveit.
Можете посмотреть в карантине, если осталось и проверить на virustotal.com, телепатов здесь нет

на страничке сканеров есть инструкции, правда на английском.
Один из лучших сканеров, там настройки сканирования есть, как поставите, так и будет. Можете почитать
Онлайновые антивирусы - Компьютерра- Онлайн
Обзор и сравнение on-line сканеров
Продолжать проверяться будем? Т.к. вы вероятно использует сборку windows от филки, то какие-то существующие проблемы (о которых вы так и не сказали), возможно связаны с использованием сборки. Или вы ещё уверены, что у вас проблемы из-за вирусов?
Если да, то логи следующего сканера, например TrendMicro™ HouseCall Java Scan - в нем можно использовать Java и не обязателен IE и/или логи AVG (если AVG, можете временно деинсталлировать существующий антивирус) выложите в следующем сообщении.

Нет, никаких проблем с вирусами я не наблюдаю.

Спасибо, я имела ввиду, что в предыдущем сообщении вы уже ответили на мой вопрос, всё нормально :)

Не спорю, возможно лучший. Но настройки по умолчанию - стрёмные :)

Спасибо, обзор интересный.

Сейчас проблем вроде бы нет, по крайней мере я их не вижу. Outpost еще не устанавливала, может он будет диагностировать какие-то атаки...

Проблем с вирусами я не вижу. Сейчас главная цель - максимально защитить систему.

Если будет диагностировать атаки, это нормально (функция фаервола) и не значит, что ваш компьютер заражен, гораздо хуже, если атаки есть и фаервол их "не видит"
Создайте новую контрольную точку восстановления и очистите предыдущие:
- Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
- Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, не использовать Internet Explorer или отключить в нем ActiveX, использовать DropMyRights см. здесь и здесь или SanboxIE, пользоваться браузером Opera или Firefox c плагином NoScript и AdBlock Plus
Регулярно устанавливаете обновления - http://windowsupdate.microsoft.com и обновляйте антивирусные базы

Дополнительно можете протестировать и настроить безопасность с помощью Belarc Advisor доп. см. здесь
и проверить программное обеспечения на безопасность и наличие обновлений с помощью Secunia Online Software Inspector (OSI)

Советую прочитать
Безопасный Интернет. Универсальная защита для Windows ME - Vista,
Базовая концепция системы безопасности ОС Windows семейства NT
По проблемам и вопросам, связанным с защитой ПК, советую посетить раздел Защита компьютерных систем

Чистого вам интернета!

Тема закрыта. Для открытия темы топикстартер может обратиться в РМ, для всех остальных - создавайте новую тему с учетом правил