Перехватчик KernelMode
 

Доброй ночи! Помогите, пожалуйста, уже не знаю, что делать. Винду переставлять не хочется. Постоянные атаки Dos и Opentear - Outpost не все блокирует. Проверила AVZ -
SandBox.sys, spdg.sys, afwcore.sys - Перехватчик KernelMode. Что это и что с ним делать не знаю. Вот с него лог. И с hijackthis

Avira старается, как может, но мой комп используют для DOS-атак, 100%, у меня динамический IP, как-то удаляла вирусы, в описании которых было сказано про DOS-атаки, кроме этого проверяла свой IP, после того, как долго сидела в нете, не отключаясь, то он находится в черном списке в спам-базах. Естественно, если переподключиться к интернету, то уже другой IP, и на моем компе "что-то" все-таки сидит, т.к. только я переконектилась, сразу идут атаки. Ведь IP поменялся же!!!

Еще Advanced SystemCare обнаружил 9563 шпионских модуля! Такое бывает вообще?
Вот еще файл с моими вирусами. Помогите плиз! Я в этом вообще ничего не понимаю!

Вот еще лог с Kaspersky Virus Removal Tool

- это от Agnitum Firewall Core Driver.

Лог АВЗ в не тот выложили. Нужны # virusinfo_syscure.zip и virusinfo_syscheck.zip из каталога AVZ\LOG, если использовалась утилита AVZ

Не знаю, как это сделать :sorry:
А вот это что значит? - Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "c:\progra~1\agnitum\outpos~1\wl_hook.dll"

Это загрузка ваших защитных программ.

Всем привет! Я все еще борюсь с вирусами. Скачала Malwarebytes' Anti-Malware 1.43, вот, что он нашел (прилагаю отчет). Подскажите, плиз, можно ли все это удалить(я их в карантин поместила), особенно последние эти (их не трогала):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.?

Кстати перед этим проверила комп Оутпостом, Kaspersky Virus Removal Tool, Авирой полностью, никто ничего не нашел :dont-know , а тут такой набор вылез после проверки Malwarebytes' Anti-Malware, подозреваю, что это еще не все. :(

В общем, что-то нужно было делать, и прогугливание показало, что все найденные объекты нужно удалять. Все удалила, комп все равно подтупливает. Malwarebytes' Anti-Malware показал, что все типа ок, ничего не найдено. А Kaspersky Virus Removal Tool уже полчаса висит на 1% автоматической проверки рекомендуемого уровня.
:help: Все равно идут атаки, Outpost в детекторе атак постоянно пишет "обнаружена атака, узел не заблокирован, тип атаки Single scan port такой-то..." в журнале пакетов вижу, что многие пакеты UDP и TCP все-таки блокируются, особенно с тех IP, которые я внесла в черный список.
Объясните, пожалуйста, чайнику, ну что еще нужно и можно сделать, чтоб избавиться от атак, задолбали уже :cry: , что они от меня хотят так настойчиво (ну кроме как ботом меня использовать блин :dont-know )

Эти ключи показывают что у вас отключен встроенный в windows центр защиты. Удалите ключи центр запустится,
отключите центр -эти ключи появятся снова.

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

iskander-k, спасибо, на проверку поставила.
А про ключи Malwarebytes' ругался:
Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
После того, как удалила, больше не ругался

МБАМ считает что они заражены, так как в стандартной системе их нет и центр работает. Показывает и сообщает о работе защитных программ в вашей системе.

Вот, собственно, лог. Надеюсь, сделала правильно.

По логу гмер у вас чисто.

:) Ну значит УЖЕ чисто. Malwarebytes помог тоже. Зачет ему.
iskander-k, спасибо, это не может не радовать :yahoo: Значит не зря я уже штук 10 разных антишпионов потестила.
Но сегодня был еще прикол. Решила скачать программку, типа free, называется CyberDefenderEDC. Люди, кто еще не знает вдруг, хочу предупредить: не качайте ее, если не хотите лишних проблем. Вместо того, чтобы погуглить и узнать про эту прогу, я ее начала устанавливать, она Spyware определяет типа очень хорошо. Avira сразу начала ругаться несколько раз подряд, я нажала удалить вирусы, а установку продолжила. Запустила этот CyberDefender на сканирование, он 7 очень опасных вирусов нашел, еще я очень радовалась, что он обновляет базы свои realtime. Вот, думаю, супер! Но радость моя не долго длилась. Я нажала удалить объекты, он меня перенаправил на свою страницу офсайта, и попросил купить его за 40 уе, если я хочу удалить найденное, чтоб получить регистрационный ключ. :o Начала искать кряки, везде растыкана эта прога с вирусняками впридачу или просто трафик гоняют, на этом месте я только начала догонять, что конкретно лоханулась. Ведь, если бы этой прогой пользовались реально, то уже народные умельцы давно бы соорудили лекарство и найти его удалось бы, как минимум на торренте.
Но это только начало. После часа бессмысленных поисков ключа я решила на фиг прогу удалить. Тут стало еще интересней. Она не удаляется! Файла Uninstal нет, а через установку и удаление программ нажала удалить, CyberDefender спрашивает: а почему вы удаляете а)хочу получить бесплатно, б)она мне не решила проблему. Я естессно выбрала - бесплатно. Открывается Опера на офсайте проги и мне сообщают, что для моей страны нет возможности бесплатно. Ну я конечно подмениваю свой IP на американский, и повторяю процедуру - получить бесплатно, заполняю левые фио и email, меня переспрашивают, а точно ли я хочу ее получить? мне для этого нужно будет купить что-то там (не поняла, что), я отменила. Зашла в установку и удаление и выбрала пункт б)мне не помогла прога. Открываетя Опера и мне предлагают купить тогда другую, она еще круче. Вот козлы!
Запускаю RegOrganizerPortable, ищу, где прописался этот CyberDefender. Так где он только не прописался!!!!! Где только можно! Короче, удалила найденные ключи реестра, где он отметился, исправила ошибки реестра с помощью той же RegOrganizerPortable, а потом без проблем просто установочный файл CyberDefender. Блин намучалась. Вот так я попала. Не ведитесь, как я на всякие антишпионы сомнительного производства :) Спасибо, что дочитали мою писанину :)

iskander-k, спасибо за помощь. Я хоть поняла, как некоторыми программками пользоваться и какими конкретно нужно. А началось все с KernelMode :)
Вообще мне очень интересно узнать о каких-либо хакерских штучках и как им противодействовать, только научить некому. Еще считаю, мне нужно правильно настроить Outpost. Ну это я где-то почитаю. И раз по логу чисто, думаю можно закрыть темку.

Почитайте тему Обучение методам грамотного лечения от вредоносных программ