при входе в интернет фаервол ОР говорит об атаке с IP readme.ru
У меня KAV 6.0.2.614 не показывает наличие вирусов, а РС стал долго загружаться и при работе с Word затруднено печатать на клавиатуре тормозит процессор (загружается на 100%, а при работе в интернете фаервол ОР показывает, что отразил атаку с IP click.readme.ru или readme.ru т.е. 19:52:53 Недоступно ВХОД БЛОКИРОВАНО TCP readme.ru HTTP Адрес 195.68.160.230 блокирован, так как обнаружена атака
19:52:53 Недоступно ВХОД БЛОКИРОВАНО TCP readme.ru HTTP Адрес 195.68.160.230 блокирован, так как обнаружена атака
19:52:47 Недоступно ВХОД БЛОКИРОВАНО TCP cursorinfo.co.il HTTP Адрес 62.90.26.218 блокирован, так как обнаружена атака
Я связался со свои провайдером он сказал, что у меня вирус!
Пожалуйста помогите. Спасибо
Последний раз редактировалось Alex_Goodwin; 11.08.2007 в 13:37.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Я и сам удивился, но у меня почему то получается всё такой же файл-архив virusinfo_cure.zip и без информации, может АВЗ криво скачал?
Попробую по новой скачать АВЗ и повторю всё снова.
Всё получилось запустил доп. AVZ-логи в безопасном режиме (восстановление системы отключил по правилам АВЗ!). Вот это файл-архив, посмотрите его пожалуйста.
Цитата:
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O23 - Service: Net Login Helper (netlog) - Unknown owner - C:\WINDOWS\system32\SCardSer.exe (file missing)
и повторите логи по правилам.
Я пофиксил, но повторить логи по правилам не могу т.к. снова появляется архив-файл virusinfo_cure.zip и без информации?!
И странно сходил вчера на другой сайт, чтобы скачать АВЗ и после этого фаервол стал писать:
09.08.2007 22:09:58 Недоступно ВХОД БЛОКИРОВАНО TCP z-oleg.com HTTP Адрес 89.108.66.156 блокирован, так как обнаружена атака
т.е. получается, что если после любого моего похождения на сайт идёт сразу же запрос на соединение с ним?!
А вот, что пишет KAV PC
обнаружено: потенциально опасное ПО Invader (loader) Процесс: C:\WINDOWS\System32\CTHELPER.EXE
обнаружено: потенциально опасное ПО Invader (loader) Процесс: C:\Program Files\The Bat!\THEBAT.EXE
обнаружено: потенциально опасное ПО Invader (loader) Процесс: D:\Program Files\ReGetDx\regetdx.exe
обнаружено: потенциально опасное ПО Invader (loader) Процесс: D:\Program Files\WinRAR\WinRAR.exe
А потом пишет все угрозы устранены
Последний раз редактировалось Ilia; 10.08.2007 в 07:28.
Подскажите пожалуйста почему у меня АВЗ не работает т.е. не выдаёт, правильно архив-файл virusinfo_syscure.zip, а вместо него выдаёт virusinfo_cure.zip ?
Я выполнил пункт 2 и утилита DrWeb-CureIT нашла у меня зараженный системный файл srvany.exe (c:\windows\system32; Program.SrvAny)! Я попробовал его вылечить, но там там разделе "вылечить" можно удалить, переместить или переименовать, поэтому не знаю что мне делать ведь файл системный и ещё ведь KAV 6.0 на него вообще ни как не отреагировал, подскажите, что мне делать? Спасибо.
Последний раз редактировалось Ilia; 12.08.2007 в 18:16.
1. Попробуйте установить AVZPM, перезагрузиться, сделать новые логи.
Я выполнил, но всё равно
Сообщение от Ilia
не выдаёт, правильно архив-файл virusinfo_syscure.zip, а вместо него выдаёт virusinfo_cure.zip ?
Я понимаю, что нужен файл virusinfo_syscure.zip, но ни как я его получить не могу, раньше (до этого случая!) я когда запускал АВЗ то у меня все файлы были нормальные, а вот сейчас сколько бы раз ни запускал АВЗ не удаётся получить virusinfo_syscure.zip, поэтому подскажите пожалуйста, что мне сделать, чтобы заработал АВЗ правильно. Спасибо.
Вот и те файлы:
Последний раз редактировалось Ilia; 14.08.2007 в 11:24.
Ilia, Лучше Олега никто не знает, почему не выходит, так что советую обратиться лично к Олегу Зайцеву.
Я посмотрел логи, удивительно, что система вообще работает
Расмотрим ситуацию - у нас имеется:
1. Антивирус AVP (соответственно перехваты в KernelMode и UserMode)
2. OP4 - соответсвенно перехваты в KernelMode в перемешку с перехватами монитора AVP (некоторые функции перехватывают оба) + куча перехватов в UserMode от OP4.
3. Имеется некая программа FilterGate\filtergate.exe. Как я понимаю, это утилита FilterGate (http://filtergate.com/) для контентной фильтрации HTML трафика с целью вырезания баннеров и т.п. Так вот, работа такой резалки может неодекватно восприниматься Outpost-ом. Насколько я знаю, у OP4 есть неплохой бортовой плагин для решения этой задачи, поэтому мой первый совет - использовать его, а FilterGate деинсталлировать
4. В логах виден трафигометр TMeter\TrafSvc.exe - он тоже вмешивается в сетевые дела, хотя в теории он должен работать совместно с Outpost. Тем не менее некоторые версии TMeter конфликтовали с некоторыми версиями Firewall, c OP в частности
5. Проверить, не включился ли бортовой Firewall Windows - если включился, отключить его
Вывод - для начала нужно деинсталлить FilterGate и посмотреть, поможет ли. Если не поможет, то деинсталлировать TMeter. Т.е. в иделе нужно удалить все программы, вмешивающиеся в работу сети - кроме самого OP.
После это заново попробовать сделать логи.
Имеется некая программа FilterGate\filtergate.exe. Как я понимаю, это утилита FilterGate (http://filtergate.com/) для контентной фильтрации HTML трафика с целью вырезания баннеров и т.п.
Да Вы правы FilterGate для этого у меня и служит и я ей пользуюсь уже не более 7 лет и причём со всеми OP и KAV-ми и всё было просто замечательно.
Я недавно установил TMeter можно ли я его тогда и первым деинсталирую, а вот если не поможет то тогда и уберу FilterGate (т.к. просто жалко эту программу к ней привык?
Сообщение от Зайцев Олег
5. Проверить, не включился ли бортовой Firewall Windows - если включился, отключить его
Я сразу же отключил бортовой Firewall Windows т.к. чтобы не было конфликтов с OP.
Я деинсталировал TMeter, отключил все плагины дублирующие функции FilterGate, запустил AVZ (отключил восстановление системы), но результат тот же т.е. нет файла virusinfo_syscure.zip. Вот файлы:
Извините удалять мне всё таки FilterGate?
Подскажите пожалуйста, а что мне делать с этим:
"утилита DrWeb-CureIT нашла у меня зараженный системный файл srvany.exe (c:\windows\system32; Program.SrvAny)!"
Уважаемый(ая) Ilia, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: