при входе в интернет фаервол ОР говорит об атаке с IP readme.ru

[Ilia]

У меня KAV 6.0.2.614 не показывает наличие вирусов, а РС стал долго загружаться и при работе с Word затруднено печатать на клавиатуре тормозит процессор (загружается на 100&#37, а при работе в интернете фаервол ОР показывает, что отразил атаку с IP click.readme.ru или readme.ru т.е. 19:52:53 Недоступно ВХОД БЛОКИРОВАНО TCP readme.ru HTTP Адрес 195.68.160.230 блокирован, так как обнаружена атака
19:52:53 Недоступно ВХОД БЛОКИРОВАНО TCP readme.ru HTTP Адрес 195.68.160.230 блокирован, так как обнаружена атака
19:52:47 Недоступно ВХОД БЛОКИРОВАНО TCP cursorinfo.co.il HTTP Адрес 62.90.26.218 блокирован, так как обнаружена атака
Я связался со свои провайдером он сказал, что у меня вирус!
Пожалуйста помогите. Спасибо

[Rene-gad]

@Ilia
Лог не тот повесили - нужен virusinfo_syscure.zip
Но похоже, что АВЗ с задачей справился.
Пофиксите для порядка

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O23 - Service: Net Login Helper (netlog) - Unknown owner - C:\WINDOWS\system32\SCardSer.exe (file missing)

и повторите логи по правилам.

[Ilia]

Лог не тот повесили - нужен virusinfo_syscure.zip

Я и сам удивился, но у меня почему то получается всё такой же файл-архив virusinfo_cure.zip и без информации, может АВЗ криво скачал?
Попробую по новой скачать АВЗ и повторю всё снова.

[Макcим]

Сделайте доп. лог в безопасном режиме как написано здесь.

[Ilia]

Попробую по новой скачать АВЗ и повторю всё снова.

Я скачал снова АВЗ, но всё равно одно и тоже, не получается такой файл! Попоробую

Сделайте доп. лог в безопасном режиме как написано здесь.

Добавлено через 1 минуту

Забыл написать при выполнении АВЗ у меня пишет: "Ошибка в работе антируткита"

[Ilia]

Я выполнил доп. АВЗ-логи и получил файл, но только я выполнил не в безопасном режиме, а обычно т.к. я не знаю как выполнить в безопасном режиме.

[Макcим]

Нужен в безопасном. http://virusinfo.info/showthread.php?t=9279

[Ilia]

А нужно ли в безопасном режиме когда я буду запускать доп. AVZ-логи выключать восстановление системы и выгружать все программы? Спасибо.

[Макcим]

Да.

[Ilia]

Всё получилось запустил доп. AVZ-логи в безопасном режиме (восстановление системы отключил по правилам АВЗ!). Вот это файл-архив, посмотрите его пожалуйста.

[Ilia]

Пофиксите для порядка

Цитата:
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O23 - Service: Net Login Helper (netlog) - Unknown owner - C:\WINDOWS\system32\SCardSer.exe (file missing)

и повторите логи по правилам.

Я пофиксил, но повторить логи по правилам не могу т.к. снова появляется архив-файл virusinfo_cure.zip и без информации?!
И странно сходил вчера на другой сайт, чтобы скачать АВЗ и после этого фаервол стал писать:
09.08.2007 22:09:58 Недоступно ВХОД БЛОКИРОВАНО TCP z-oleg.com HTTP Адрес 89.108.66.156 блокирован, так как обнаружена атака
т.е. получается, что если после любого моего похождения на сайт идёт сразу же запрос на соединение с ним?!
А вот, что пишет KAV PC
обнаружено: потенциально опасное ПО Invader (loader) Процесс: C:\WINDOWS\System32\CTHELPER.EXE
обнаружено: потенциально опасное ПО Invader (loader) Процесс: C:\Program Files\The Bat!\THEBAT.EXE
обнаружено: потенциально опасное ПО Invader (loader) Процесс: D:\Program Files\ReGetDx\regetdx.exe
обнаружено: потенциально опасное ПО Invader (loader) Процесс: D:\Program Files\WinRAR\WinRAR.exe
А потом пишет все угрозы устранены

[Ilia]

Подскажите пожалуйста почему у меня АВЗ не работает т.е. не выдаёт, правильно архив-файл virusinfo_syscure.zip, а вместо него выдаёт virusinfo_cure.zip ?

[Alex_Goodwin]

1. Попробуйте установить AVZPM, перезагрузиться, сделать новые логи.
2. Выполните пунтк 2 правил.

[Ilia]

2. Выполните пунтк 2 правил.

Я выполнил пункт 2 и утилита DrWeb-CureIT нашла у меня зараженный системный файл srvany.exe (c:\windows\system32; Program.SrvAny)! Я попробовал его вылечить, но там там разделе "вылечить" можно удалить, переместить или переименовать, поэтому не знаю что мне делать ведь файл системный и ещё ведь KAV 6.0 на него вообще ни как не отреагировал, подскажите, что мне делать? Спасибо.

[Ilia]

1. Попробуйте установить AVZPM, перезагрузиться, сделать новые логи.

Я выполнил, но всё равно

не выдаёт, правильно архив-файл virusinfo_syscure.zip, а вместо него выдаёт virusinfo_cure.zip ?

Я понимаю, что нужен файл virusinfo_syscure.zip, но ни как я его получить не могу, раньше (до этого случая!) я когда запускал АВЗ то у меня все файлы были нормальные, а вот сейчас сколько бы раз ни запускал АВЗ не удаётся получить virusinfo_syscure.zip, поэтому подскажите пожалуйста, что мне сделать, чтобы заработал АВЗ правильно. Спасибо.
Вот и те файлы:

[Ilia]

Вот сегодня я с AVZ выполнил сканирование и вот протокол
Может кто знает как сделать чтобы появился наконец-то файл virusinfo_syscure.zip ? Спасибо.

[drongo]

Ilia, Лучше Олега никто не знает, почему не выходит, так что советую обратиться лично к Олегу Зайцеву.

[Зайцев Олег]

Ilia, Лучше Олега никто не знает, почему не выходит, так что советую обратиться лично к Олегу Зайцеву.

Я посмотрел логи, удивительно, что система вообще работает
Расмотрим ситуацию - у нас имеется:
1. Антивирус AVP (соответственно перехваты в KernelMode и UserMode)
2. OP4 - соответсвенно перехваты в KernelMode в перемешку с перехватами монитора AVP (некоторые функции перехватывают оба) + куча перехватов в UserMode от OP4.
3. Имеется некая программа FilterGate\filtergate.exe. Как я понимаю, это утилита FilterGate (http://filtergate.com/) для контентной фильтрации HTML трафика с целью вырезания баннеров и т.п. Так вот, работа такой резалки может неодекватно восприниматься Outpost-ом. Насколько я знаю, у OP4 есть неплохой бортовой плагин для решения этой задачи, поэтому мой первый совет - использовать его, а FilterGate деинсталлировать
4. В логах виден трафигометр TMeter\TrafSvc.exe - он тоже вмешивается в сетевые дела, хотя в теории он должен работать совместно с Outpost. Тем не менее некоторые версии TMeter конфликтовали с некоторыми версиями Firewall, c OP в частности
5. Проверить, не включился ли бортовой Firewall Windows - если включился, отключить его

Вывод - для начала нужно деинсталлить FilterGate и посмотреть, поможет ли. Если не поможет, то деинсталлировать TMeter. Т.е. в иделе нужно удалить все программы, вмешивающиеся в работу сети - кроме самого OP.
После это заново попробовать сделать логи.

[Ilia]

Имеется некая программа FilterGate\filtergate.exe. Как я понимаю, это утилита FilterGate (http://filtergate.com/) для контентной фильтрации HTML трафика с целью вырезания баннеров и т.п.

Да Вы правы FilterGate для этого у меня и служит и я ей пользуюсь уже не более 7 лет и причём со всеми OP и KAV-ми и всё было просто замечательно.
Я недавно установил TMeter можно ли я его тогда и первым деинсталирую, а вот если не поможет то тогда и уберу FilterGate (т.к. просто жалко эту программу к ней привык?

5. Проверить, не включился ли бортовой Firewall Windows - если включился, отключить его

Я сразу же отключил бортовой Firewall Windows т.к. чтобы не было конфликтов с OP.

[Ilia]

Я деинсталировал TMeter, отключил все плагины дублирующие функции FilterGate, запустил AVZ (отключил восстановление системы), но результат тот же т.е. нет файла virusinfo_syscure.zip. Вот файлы:
Извините удалять мне всё таки FilterGate?
Подскажите пожалуйста, а что мне делать с этим:
"утилита DrWeb-CureIT нашла у меня зараженный системный файл srvany.exe (c:\windows\system32; Program.SrvAny)!"