Постоянно идёт скачивание через этот процесс, заранее благодарен.
Printable View
Постоянно идёт скачивание через этот процесс, заранее благодарен.
[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]
[CODE]
begin
QuarantineFile('C:\Program Files\Opera\profile\cache4\opr00PBD.js','');
QuarantineFile('C:\PROGRA~1\ANYREA~1\contmenu.dll','');
end.
[/CODE]
Пришлите карантин согласно правил по ссылке [URL="http://virusinfo.info/upload_virus.php?tid=42350"]http://virusinfo.info/upload_virus.php?tid=42350[/URL]
Карантин выслал, спасибо за оперативность !
Скрипт не помог, проблема осталась. Подозреваю, что это не санкционированное обновление Windows. Спасибо.
в avz
[CODE]begin
QuarantineFile('C:\Program Files\Opera\profile\cache4\opr00PBD.js','');
QuarantineFile('c:\windows\system32\svchost.exe','');
BC_ImportquarantineList;
BC_Activate;
RebootWindows(true);
end.[/CODE]
карантин пришлите.
Проблема после выполнения скрипта не решилась, карантин отправил, логи после выполнения скрипта такие :
Если не трудно, посмотрите логи ещё раз. Спасибо.
[quote=Игорь44;377004]Проблема после выполнения скрипта не решилась, ... логи после выполнения скрипта такие :[/quote]
Оба скрипта только брали пробы на анализ и ничего не меняли в системе.
В логах ничего подозрительного не видно.
Может автоматически обновляться Windows и другие программы. Поскольку у вас SP2, резонно предположить, что система качает себе SP3 (если конечно соответствующий сервис включен). Установить SP3 настоятельно рекомендуется, так же как и последующие обновления.
Сервис обновления отключен везде, где только можно, это и настораживает. У нас очень дорогой трафик, может есть скрипт которым можно бы было радикально запретить обновление ?
[size="1"][color="#666686"][B][I]Добавлено через 6 часов 27 минут[/I][/B][/color][/size]
Ещё раз прошу ответить.Спасибо.
фаервол установите и посмотрите, что и куда ломится в интернет
Он установлен, порты заблокированы, но постоянно нод выдаёт сообщения по заблокированным портам...отправка идёт через svchost через локальгные порты начиная с 1000.
вот пример соединения
Если не ошибаюсь, то что-то тянет апдейты или ещё чего-то делает с MS
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
[CODE]Информация об ip-адресе 65.54.89.139
OrgName: Microsoft Corp
OrgID: MSFT
Address: One Microsoft Way
City: Redmond
StateProv: WA
PostalCode: 98052
Country: US[/CODE]
как прикрыть-то эту лавочку ?
[size="1"][color="#666686"][B][I]Добавлено через 4 часа 19 минут[/I][/B][/color][/size]
Может есть какой способ ?
Выполните такой скрипт:
[CODE]begin
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('RemoteRegistry', 4);
SetServiceStart('BITS', 4);
SetServiceStart('wuauserv', 4);
RebootWindows(true);
end.[/CODE]
ОГРОМНОЕ СПАСИБО !!!! А что это было, извините за назойливость, в двух словах...
Происки дяди Билла ;)
Ещё раз БОЛЬШОЕ СПАСИБО !!!!!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\temp\tempo-109240343.tmp - [B]Trojan-Downloader.Win32.Small.ajsf[/B][/LIST][/LIST]