Вчера во время того, как компьютер был подключен к сети, DrWeb откуда-то выловил DDoS.Pamela и якобы обезвредил. Чуть позже - та же история, только поймал он уже Trojan.Siggen. Я сразу полез в AVZ и заметил целую пачку подозрительных соединений от PID 4 и PID 0. Также нашлась DLL-ка в Temp'е (имя было довольно кривое и по нему ничего не гуглилось), которую раньше там не видел и, судя по всему, не должен был - снес средствами AVZ. Но те самые подозрительные соединения после этого никуда не делись.
Помогите разобраться, пожалуйста.
P.S.
За dwe и fmon можно не переживать - свои.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) greyfox, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
c:\system volume information\_restore{1ea43a15-734a-469e-b042-4257c144d31a}\RP261\A0061258.exe (Trojan.Agent.CK) -> No action taken.
- Выполните в AVZ скрипт из файла ScanVuln.txt
- Откройте файл avz_log.txt из под-папки LOG.
- Пройдитесь по ссылкам из файла avz_log.txt и установите важные обновления.
- Перезагрузите компьютер.
- Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
В MBAM удалил указанное.
Скрипт выполнил - нашлись уязвимости во Flash Player и Java. Новые версии установил. После перезагрузки и повторного выполнения скрипта вижу сообщение о том, что по распространенным уязвимостям все чисто.
Только вот эти странные подключения все еще наблюдаются - прицепил файл.
Если проблема только с Мозиллой, попробуйте создать новый профиль в ней.
Поэкспериментировав, выяснил, что подключения от System на 445 порт появляются в любом случае (даже если вообще не трогать ни браузеры, ни какие-то другие приложения) после пары минут с момента подключения к сети. А подключения от неизвестных процессов (которые PID 0) накапливаются по мере сёрфинга.
Еще заметил, что на днях изменилась иконка у Windows Update: wu.jpg
Проверял wuauclt1.exe и wuauclt.exe на virustotal - все ок.
Товарищи хелперы, подскажите, пожалуйста:
1) Может есть какие-то хотя бы предположения по подключениям от System?
2) Нормально ли появление подключений от неизвестных процессов во время сёрфинга по сети?
3) Что думаете по диалогу Windows Update?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: