Постоянно идёт скачивание через этот процесс, заранее благодарен.
Постоянно идёт скачивание через этот процесс, заранее благодарен.
В AVZ -> файл-> Выполнить скрипт
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=42350Код:begin QuarantineFile('C:\Program Files\Opera\profile\cache4\opr00PBD.js',''); QuarantineFile('C:\PROGRA~1\ANYREA~1\contmenu.dll',''); end.
Карантин выслал, спасибо за оперативность !
Скрипт не помог, проблема осталась. Подозреваю, что это не санкционированное обновление Windows. Спасибо.
в avz
карантин пришлите.Код:begin QuarantineFile('C:\Program Files\Opera\profile\cache4\opr00PBD.js',''); QuarantineFile('c:\windows\system32\svchost.exe',''); BC_ImportquarantineList; BC_Activate; RebootWindows(true); end.
Проблема после выполнения скрипта не решилась, карантин отправил, логи после выполнения скрипта такие :
Если не трудно, посмотрите логи ещё раз. Спасибо.
Оба скрипта только брали пробы на анализ и ничего не меняли в системе.
В логах ничего подозрительного не видно.
Может автоматически обновляться Windows и другие программы. Поскольку у вас SP2, резонно предположить, что система качает себе SP3 (если конечно соответствующий сервис включен). Установить SP3 настоятельно рекомендуется, так же как и последующие обновления.
I am not young enough to know everything...
Сервис обновления отключен везде, где только можно, это и настораживает. У нас очень дорогой трафик, может есть скрипт которым можно бы было радикально запретить обновление ?
Добавлено через 6 часов 27 минут
Ещё раз прошу ответить.Спасибо.
Последний раз редактировалось Игорь44; 25.03.2009 в 15:02. Причина: Добавлено
фаервол установите и посмотрите, что и куда ломится в интернет
Он установлен, порты заблокированы, но постоянно нод выдаёт сообщения по заблокированным портам...отправка идёт через svchost через локальгные порты начиная с 1000.
вот пример соединения
Если не ошибаюсь, то что-то тянет апдейты или ещё чего-то делает с MS
Добавлено через 5 минут
Код:Информация об ip-адресе 65.54.89.139 OrgName: Microsoft Corp OrgID: MSFT Address: One Microsoft Way City: Redmond StateProv: WA PostalCode: 98052 Country: US
Последний раз редактировалось light59; 25.03.2009 в 16:35. Причина: Добавлено
как прикрыть-то эту лавочку ?
Добавлено через 4 часа 19 минут
Может есть какой способ ?
Последний раз редактировалось Игорь44; 25.03.2009 в 21:07. Причина: Добавлено
Выполните такой скрипт:
Код:begin SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('RemoteRegistry', 4); SetServiceStart('BITS', 4); SetServiceStart('wuauserv', 4); RebootWindows(true); end.
I am not young enough to know everything...
ОГРОМНОЕ СПАСИБО !!!! А что это было, извините за назойливость, в двух словах...
Происки дяди Билла
I am not young enough to know everything...
Ещё раз БОЛЬШОЕ СПАСИБО !!!!!
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\temp\tempo-109240343.tmp - Trojan-Downloader.Win32.Small.ajsf
Уважаемый(ая) Игорь44, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.