Windos Firewall се изключва сама

[zenoX]

Значи както си стоя пред PC-то и изведнъж гледам отдолу антивирусната(Avast) пише че е блокнала атака от някакво IP.След това влизам в контрол панела и гледам firewall-a изключен и го пускам.И след време пак така Avasт-а показва че е блокнала атака и пак Firewall-a изключен.Какво да правя?

[draco_volans]

Изтегли GMER

1. Разархивирай го.

2. Стартирай програмата с двоен клик.

3. Веднага щом я стартираш, тя ще направи едно сканиране за секунди.

4. Като свърши, НЕ натискай бутона "Scan", дори да ти бъде предложено.

5. Натисни бутона "Copy".

6. Пейстни съдържанието на клипборда в следващия си коментар.

[zenoX]

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit quick scan 2010-07-10 13:54:02

Windows 5.1.2600 Service Pack 3

Running: gmer.exe; Driver: C:\DOCUME~1\homer\LOCALS~1\Temp\fxtdipow.sys

 

 

---- System - GMER 1.0.15 ----

 

SSDT spab.sys ZwEnumerateKey [0xB9ECDDA4]

SSDT spab.sys ZwEnumerateValueKey [0xB9ECE132]

 

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateProcessEx [0xAA22482E]

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateSection [0xAA224678]

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwLoadDriver [0xAA2247AC]

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) NtCreateSection

 

---- Devices - GMER 1.0.15 ----

 

Device \FileSystem\Ntfs \Ntfs aswSP.SYS (avast! self protection module/ALWIL Software)

Device \FileSystem\Ntfs \Ntfs 8B1071F8

 

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

 

---- EOF - GMER 1.0.15 ----

[draco_volans]

Я сканирай с програмчето по-долу и направи каквото е посочено. Слсд сканирането, дай едно фото на прозореца с откритите неща, ама така, че да се види кой енджин точно е открил заплахата (Avira, a-squqred и т.н.)

Аз предлагам да направиш и една проверка с Hitman Pro 3.5.6.105 за всеки случай. Програмата няма защита в реално време, безплатна е ако се използва като скенер, ако намери нещо имаш право да я активираш еднократно за срок от 30 дни за да си почистиш машината с нея. Добре ще е да дадеш и една снимка на резултатите от проверката ако открие нещо, че понякога дава фалшиви тревоги (нормално като се има напредвид с колко енджина разполага).

[zenoX]

Това е атаката,за която говорех -> http://prikachi.com/images/297/2311297U.jpg

А това са снимките от програмата -> http://prikachi.com/images/320/2311320w.jpg

http://prikachi.com/images/321/2311321M.jpg

[draco_volans]

1. От шот номер 2(този на Hitman), намираш файла: wendowsupdate.exe, който трябва да се намира в:

C:\WINDOWS\system32.

2. Архивираш го и го прикачваш към коментара си, или го качваш на някой хостинг.

3. Даваш линк към него.

4. Маркираш за изтриване всички заловени обекти, с изключение на тези, които се намират на дял D:\

5. Даваш "Next".

6. В следващият прозорец избираш "Activate free license now". Това ще активира програмата за 30 дни.

7. Изчистваш гадините и рестартираш.

 

След това, правиш едно ново сканиране с Hitman и даваш снимчиците тук (без да триеш нищо).

[zenoX]

оправих го от services там дето е на Windows Firewall го дадох на Manual и сега не се спира автоматично.А оня файл wendowsupdate.exe след като сканирах 1вия път дадох изтрий.

[draco_volans]

Сега по още едно сканиране със следните програмки:

Сканирай с Malwarebytes' Anti-Malware и SUPERAntiSpyware Free. Ако вече имаш програмите, провери дали имаш последните версии и ако нямаш, премахни твоите и инсталирай най-новите. Ако тепърва инсталираш програмите, след инсталацията те ще предложат да се обновят автоматично, съгласи се. В противен случай обнови дефинициите им ръчно.

 

За Malwarebytes' Anti-Malware:

- стартирай програмата;

- избери Perform quick scan (Бързо сканиране) и кликни бутон Scan (Сканиране);

- след като приключи сканирането, ако не са открити заплахи, ще се отвори автоматично текстов файл (който можеш да затвориш) и програмата ще те уведоми, че не е открила нищо, след което можеш да кликнеш бутон OK и да я затвориш;

- ако са открити заплахи, кликни бутон OK и после Show results (Покажи резултатите);

- кликни бутон Remove Selected (Премахни избраните);

- ще се появи текстов файл (дневник/лог), копирай съдържанието му тук.

 

За SUPERAntiSpyware:

- стартирай програмата;

- кликни бутон Scan your Computer (Сканиране на компютъра);

- вляво избери само дял C:, а вдясно избери Perform Complete Scan (Извърши пълно сканиране);

- кликни Next и изчакай програмата да сканира;

- кликни OK на съобщението;

- ако има засечени заплахи, кликни Next, за да се премахнат гадинките, OK на потвърждението и накрая Finish;

- кликни бутон Preferences... (Настройки) и иди на подпрозорец Statistics/Logs (Дневници), маркирай последния лог по дата и кликни бутон View Log... (Покажи дневника);

- копирай съдържанието му тук.

 

Ако е нужен рестарт при някое от сканиранията, се съгласи и рестартирай

Следвай точно този протокол

 

Не ми даде шотове от второто сканиране с Hitman?

[zenoX]

Ето от първата програма лога

 

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Версия на базата от данни: 4301

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 7.0.5730.11

 

11.7.2010 г. 10:02:00

mbam-log-2010-07-11 (10-02-00).txt

 

Тип сканиране: Бързо сканиране

Сканирани обекти: 131006

Изминало време: 7 минута(и), 21 секунда(и)

 

Заразени процеси в паметта: 0

Заразени модули в паметта: 0

Заразени ключове в регистратурата: 0

Заразени стойности в регистратурата: 1

Заразени информационни обекти в регистратурата: 0

Заразени папки: 0

Заразени файлове: 2

 

Заразени процеси в паметта:

(Не бяха открити зловредни обекти)

 

Заразени модули в паметта:

(Не бяха открити зловредни обекти)

 

Заразени ключове в регистратурата:

(Не бяха открити зловредни обекти)

 

Заразени стойности в регистратурата:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\qnb2eb90wx (Trojan.Fraudpack) -> Quarantined and deleted successfully.

 

Заразени информационни обекти в регистратурата:

(Не бяха открити зловредни обекти)

 

Заразени папки:

(Не бяха открити зловредни обекти)

 

Заразени файлове:

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\IUEVJY3T\zpvh[1].gif (Extension.Mismatch) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\logg.dat (Malware.Trace) -> Quarantined and deleted successfully.

 

 

Ето и от втората

 

SUPERAntiSpyware Scan Log

http://www.superantispyware.com

 

Generated 07/11/2010 at 10:35 AM

 

Application Version : 4.40.1002

 

Core Rules Database Version : 5182

Trace Rules Database Version: 2994

 

Scan type : Complete Scan

Total Scan Time : 00:25:22

 

Memory items scanned : 644

Memory threats detected : 0

Registry items scanned : 8368

Registry threats detected : 0

File items scanned : 28194

File threats detected : 9

 

Adware.Tracking Cookie

C:\Documents and Settings\homer\Cookies\homer@content.yieldmanager[2].txt

C:\Documents and Settings\homer\Cookies\homer@doubleclick[3].txt

C:\Documents and Settings\homer\Cookies\homer@ad.yieldmanager[3].txt

secure-it.imrworldwide.com [ C:\Documents and Settings\homer\Application Data\Macromedia\Flash Player\#SharedObjects\GVP00001 ]

C:\Documents and Settings\homer\Cookies\homer@ad.yieldmanager[2].txt

C:\Documents and Settings\homer\Cookies\homer@content.yieldmanager[1].txt

C:\Documents and Settings\homer\Cookies\homer@doubleclick[1].txt

 

Adware.Flash Tracking Cookie

C:\Documents and Settings\homer\Application Data\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\GVP00001\SECURE-IT.IMRWORLDWIDE.COM

 

Application.Oreans32

C:\SYSTEM VOLUME INFORMATION\_RESTORE{E9011202-0154-4DA9-8141-66A8DB226059}\RP44\A0035190.SYS

 

 

Ето и от Hitman -> http://prikachi.com/images/851/2313851j.jpg и да отбележа че го пуснах след като сканирах с предишните две програми

[draco_volans]

Изглежда, като да си чист вече.