Подозрения на вирус. Требуется помощь
 

Здравствуйте все. Я запутался, помогите у кого есть время пожалуйста
Суть такова - система: windows 7 professional sp1 x86 копия диска с MSDN, установленная прямыми руками, полностью обновленная через Windows Update. Необходимый минимум софта
+ comodo internet security premium 5.10.228.... (был установлен самым первым на компе, даже до драйверов, база обновлена)
Проблема в том что некоторые программы ломятся в интернет на один и тот же адрес 92.242.144.50. Вроде бы поначалу это был только explorer.exe но потом я заметил что даже аудио плеер xion на котором я отключил авто-обновление ломится туда же. Посмотрев журнал файервола я увидел что таких программ несколько, как системных так и сторонних. Еще вот какая заковырка - когда это был только explorer это были разные айпи адреса, только потом они пришли к одному единственному 92.242.144.50.. И еще сверка системных фалов через system explorer показала что MD5 хеши являются оригинальными и файлы не были изменены.
К слову у абсолютно всех программ посредством их настроек отключены прогулки в интернет за обновками и т.д. разве они не должны при этом вообще не использовать интернет?
Вообще Autoupdate включен только в comodo и windows update
По мне так мистика какая то

Я уже всю голову сломал.. Антивирусник молчит.. Может быть такое поведение программ нормально? или я часть зомби бот-нэта какого-нибудь?

Прошу взглянуть на скрины

Данный IP принадлежит: http://en.wikipedia.org/wiki/Barefruit
Так что скорее всего проблема с DNS-серверами Comodo.

Подозреваете заражение, выполните правила:
http://forum.oszone.net/thread-98169.html

Большое спасибо за ответ. Извините что нет логов, - поздно заметил в шапке раздела, как раз сейчас буду делать

Действительно! Я и забыл что comodo internet security при установке предложил воспользоваться своей DNS в целях повышения безопасности и я согласился. Но вот 2 момента непонятны -
1 почему айпишники для explorer.exe вначале были разные?
2 Как согласие на использование DNS-серверов Comodo могло повлиять на сетевую активность приложений?

Логи готовы! Если не трудно, посмотрите еще скриншоты файрвола, пожалуйста, там айпи адреса показаны - незнаю есть они в логах или нет...

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

Alex_sev
Сейчас все сделаю как Вы сказали.
Неужели у меня вирус?

Скорее всего мусор, присылайте карантин посмотрим.

Остальные IP принадлежат Microsoft и Verisign - ничего в них страшного нет.

Фууух. Спасибо Вам! Эти компании вроде входят в список доверенных:)
Я эти айпи проверял через несколько онлайн сервисов и они порой результаты разные выдавали, я все понять не мог что за ерунда..
Но вот затык - системе 4 дня от роду продуктов от Symantec она в глаза невидела 100% и на их сайт я точно незаходил. Как же так? Наверное дело в DNS Comodo..
может они сотрудничают вместе?
И почему эти программы вообще лезут в интернет? Тот же explorer.exe вообще таким вроде незанимается у нормальных систем, я прав?
Malwarebytes Anti-Malware по умолчанию предложил мне все 4 диска сканировать, мне выбрать только C:\?

Симантек здесь ни при чем:

https://www.verisigninc.com/ru_RU/re...hy/index.xhtml

Отмечайте только системный, сами ничего не удаляйте

А, понял - значит это и есть comodo dns, который на самом деле Verisign dns, ну или типа того ;) Или вообще "мой провайдер днс" )) Извините я этом дуб)
хорошо, делаем

)))) Неправильно поняли, ну да ладно, еще начитаетесь может быть всякого интересного по компьютерной грамотности и основам безопасности.

Пишите музыку, наверное это у Вас лучше получается))) Чем дела админские))

:teeth: )))) музыка мне дорога))) Но, без админских дел, как я посмотрю, много музыки на винде, так просто, не напишешь)))) Вот чтоб я без Вас делал? )) :Beer:
Malwarebytes Anti-Malware - 35 мин конца краю невидно - какая долгая анитварь))

Обычно минут 50 - 70 сканит

Anti-Malware вредоносных объектов необнаружил))
Чтож мне разрешить теперь доступ в интернет explorer.exe, и другим exeшкам?

Разрешат доступ лучше только тем программам с которыми вы работаете в интернете. Браузеры , программы общения и т.д

ОК. Так и сделаю
А почему эти программы (xion, explorer) ломятся в сеть нескажите ?
И еще не подскажите, (знаю что не в тему просто за одно) - дефрагментацию реестра делать надо или нет?)) Просто везде где читал мнения противоречат друг другу - одни говорят что бред , другие что полезно))

Мало ли зачем:

Обновляться
Проверять регистрацию / активацию
Отсылать анонимную статистику
Потому что подгружена динамическая библиотека, которая по вышеуказанным причинам лезет в интернет используя данное приложение
И еще 1000 ответов

Не переусердствуйте, запретив доступ к сети системному приложению, можете отключить доступ и самому себе. Браузеры же не напрямую в сеть лезут)))

Хорошо буду осторожен. Вообще спасибо Вам большое! Здорово помогли. А то у меня скоро паранойя бы началась по поводу всех этих штук)) Добра и Здоровья Вам и вашему компьютеру!! До скорого)) :happy:

И Вам чистого интернета