Agnitum шлёт отчёты об атаках

Вечный новичок · 06.07.2011, 21:27

Началось это вчера, сегодня продолжается. Вчера было раз 5-7, сегодня 3-4. И сегодня компьютер сам стал перезагружаться, чего вчера не наблюдалось. Выплывают сообщения подобного типа: "Отчёт об обнаружении атаки. Тип атаки: сканирование портов. Просканированные порты: (не помню, какие). IP: 94.100.186.107. Атакующий заблокирован". IP всё время разные.
Открываю Outpost Firewall ---> сетевая активность - у меня шок. Что я там вижу:

(Картинки вставлять не умею, так что если не появится, особо удивляться не стоит).
Количество строк скачет, их то больше, то меньше. Иногда загораются красным. Имена прцессов, в основном, OPERA.EXE и PSANHOST.EXE. Самое смешное, что в графе "Причина разрешения/блокировки" почти везде написано: разрешить действия для приложения (Opera.exe, Psanhost.exe и т.д.). Пытаюсь разорвать соединение - компьютер меня игнорит. Хотя точно сказать не могу, нужно ли его вообще разрывать. Недавно в этой же графе появилось: "Использован кэш". Чудесно.
Посещают неприятные мысли о хакерах, использующих мой драгоценный компьютер в личных целях. Хотя не понимаю, как это могло произойти. Никаких левых программ не устанавливала. Музыку качаю редко, но сразу сбрасываю на телефон, а на компьютере удаляю, даже не запуская сам файл. Смотрю фильмы в режиме онлайн, но не думаю, что это может привести к чему-то такому. Никаких подозрительных сообщений на почту не приходило. Да я в почту почти и не захожу.
Антивируса как такового на компе нет. Стоит Panda Cloud Antivirus Free, но он мало что словит, ещё есть Little Registry Cleaner и RemoveIt Pro v4-SE, но последний уже давно требует обновления. Ну и сам Outpost. Который тоже, кстати, не обновлён. А всё потому, что я не умею это делать. Зато в инете зависать умею. Тьфу. Прям злоба на себя берёт.
В итоге что я имею: кучу просканированных портов, а теперь ещё и какой-то кэш; идиота-хакера, который, может, прямо сейчас что-то делает с моим компом, и кипящий мозг, пытающийся в этом разобраться.
Не знаю, как быть дальше, звать мастера или не звать, надеюсь на вашу помощь.

KaAd · 11.07.2011, 05:56

Вечный новичок, выполняйте- http://pchelpforum.ru/f26/t6442/

Вечный новичок · 19.07.2011, 04:40

http://exfile.ru/194537 - это, вероятно, лог AVZ.
Со вторым у меня ничего не получилось, так что и новую тему создавать, наверное, не стоит.

tolya · 19.07.2011, 04:56

Вечный новичок, выполни в авз этот скрипт

Цитата:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Panda Security\Panda Cloud Antivirus\PSNCIPC.dll','');
QuarantineFile('C:\Program Files\Panda Security\Panda Cloud Antivirus\PSNCGP.dll','');
QuarantineFile('C:\Program Files\Panda Security\Panda Cloud Antivirus\PSUNShell.DLL','');
QuarantineFile('C:\Program Files\The Path\channels\InstanceRefFromContainer.dll','');
QuarantineFile('C:\WINDOWS\system32\Drivers\uphcle anhlp.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\PSINPr oc.sys','');
QuarantineFile('C:\Program Files\Agnitum\Outpost Firewall\kernel\FILTNT.SYS','');
QuarantineFile('C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS','');
DeleteFile('C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS');
DeleteFile('C:\Program Files\Agnitum\Outpost Firewall\kernel\FILTNT.SYS');
DeleteFile('C:\WINDOWS\system32\DRIVERS\PSINProc.s ys');
DeleteFile('C:\WINDOWS\system32\Drivers\uphcleanhl p.sys');
DeleteFile('C:\Program Files\The Path\channels\InstanceRefFromContainer.dll');
DeleteFile('C:\Program Files\Panda Security\Panda Cloud Antivirus\PSUNShell.DLL');
DeleteFile('C:\Program Files\Panda Security\Panda Cloud Antivirus\PSNCGP.dll');
DeleteFile('C:\Program Files\Panda Security\Panda Cloud Antivirus\PSNCIPC.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

комп перезагрузится, выполни стандартный скрипт №2 и пришли лог.

Вечный новичок · 19.07.2011, 05:01

Выполню, Вы только объясните, как мне это сделать.

tolya · 19.07.2011, 05:02

В авз: Файл-выполнить скрипт

---------- Добавлено в 02:02 ---------- Предыдущее сообщение было написано в 02:02 ----------

и вписать туда код

Вечный новичок · 19.07.2011, 05:16

http://exfile.ru/194550
А Вы не знаете, Outpost можно восстановить? Я ему похоже башку снесла.

tolya · 19.07.2011, 05:34

Вечный новичок, а как поведение компа?

Вечный новичок · 19.07.2011, 05:38

Тормозит нереально. Ну и Аутпост меня пугает, всякие там отчёты об атаках.
Что? Там всё совсем плохо?

Iljeben · 19.07.2011, 05:50

Вечный новичок, выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):

Код:

begin 
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\TEMP\hBuX.exe/r','');
DeleteFile('C:\WINDOWS\TEMP\hBuX.exe/r');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','advap32');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта комп перезагрузиться. Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip.

У Вас в логе видно присутствие др.Веба, удалите его.

Вечный новичок · 19.07.2011, 06:04

http://exfile.ru/194553
Этот, наверное.
Залезла в диске C в какую-то папку, вроде удалила Доктора Веба. Но не уверена.

Iljeben · 19.07.2011, 10:54

Такой лог пришлите:

Цитата:

1. Скачайте установочный файл mbam-setup.exe
Здесь: http://www.besttechie.net/mbam/mbam-setup.exe
Или ссылка здесь: http://www.malwarebytes.org/mbam-download.php
2. Установите ее по стандартному пути с настройками по умолчанию.
3. Обновите базы программы!!!
4. Запустите полное сканирование. Ничего не удаляйте (много ложных срабатываний)!!!
5. По окончании сканирования будет сгенерирован лог.
6. Залейте его без переименования на файлообменник и ссылку выложите на форум.

Вечный новичок · 19.07.2011, 23:14

Илья, а это точно бесплатно?

Executr · 19.07.2011, 23:23

Вечный новичок, да, сам часа четыре назад делал.

Вечный новичок · 20.07.2011, 01:04

Executr, а может Вы тогда подскажете, как скачать-то? Прохожу по ссылке, а где скачивать - не пойму.

06.07.2011, 21:27	#1 (ссылка)
Вечный новичок Новичок Регистрация: 06.07.2011 Сообщений: 18 Репутация: 0	Agnitum шлёт отчёты об атаках Началось это вчера, сегодня продолжается. Вчера было раз 5-7, сегодня 3-4. И сегодня компьютер сам стал перезагружаться, чего вчера не наблюдалось. Выплывают сообщения подобного типа: "Отчёт об обнаружении атаки. Тип атаки: сканирование портов. Просканированные порты: (не помню, какие). IP: 94.100.186.107. Атакующий заблокирован". IP всё время разные. Открываю Outpost Firewall ---> сетевая активность - у меня шок. Что я там вижу: (Картинки вставлять не умею, так что если не появится, особо удивляться не стоит). Количество строк скачет, их то больше, то меньше. Иногда загораются красным. Имена прцессов, в основном, OPERA.EXE и PSANHOST.EXE. Самое смешное, что в графе "Причина разрешения/блокировки" почти везде написано: разрешить действия для приложения (Opera.exe, Psanhost.exe и т.д.). Пытаюсь разорвать соединение - компьютер меня игнорит. Хотя точно сказать не могу, нужно ли его вообще разрывать. Недавно в этой же графе появилось: "Использован кэш". Чудесно. Посещают неприятные мысли о хакерах, использующих мой драгоценный компьютер в личных целях. Хотя не понимаю, как это могло произойти. Никаких левых программ не устанавливала. Музыку качаю редко, но сразу сбрасываю на телефон, а на компьютере удаляю, даже не запуская сам файл. Смотрю фильмы в режиме онлайн, но не думаю, что это может привести к чему-то такому. Никаких подозрительных сообщений на почту не приходило. Да я в почту почти и не захожу. Антивируса как такового на компе нет. Стоит Panda Cloud Antivirus Free, но он мало что словит, ещё есть Little Registry Cleaner и RemoveIt Pro v4-SE, но последний уже давно требует обновления. Ну и сам Outpost. Который тоже, кстати, не обновлён. А всё потому, что я не умею это делать. Зато в инете зависать умею. Тьфу. Прям злоба на себя берёт. В итоге что я имею: кучу просканированных портов, а теперь ещё и какой-то кэш; идиота-хакера, который, может, прямо сейчас что-то делает с моим компом, и кипящий мозг, пытающийся в этом разобраться. Не знаю, как быть дальше, звать мастера или не звать, надеюсь на вашу помощь.

19.07.2011, 05:50	#10 (ссылка)
Iljeben Мастер Регистрация: 27.10.2008 Сообщений: 9,488 Записей в блоге: 4 Репутация: 702	Вечный новичок, выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...): Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\TEMP\hBuX.exe/r',''); DeleteFile('C:\WINDOWS\TEMP\hBuX.exe/r'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','advap32'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(8); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); BC_Activate; RebootWindows(true); end. После выполнения скрипта комп перезагрузиться. Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip. У Вас в логе видно присутствие др.Веба, удалите его.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Отчёты HiJackThis и AVZ	Guy13	Безопасность	1	15.06.2011 05:56
Agnitum outpost что-то блокирует, помогите узнать что?	somna	Безопасность	11	27.03.2009 15:49
Agnitum Firewall	Gektan	Безопасность	2	19.03.2009 03:33

11.07.2011, 05:56	#2 (ссылка)
KaAd Эксперт Регистрация: 28.09.2010 Сообщений: 18,283 Записей в блоге: 6 Репутация: 1712	Вечный новичок, выполняйте- http://pchelpforum.ru/f26/t6442/

19.07.2011, 04:40	#3 (ссылка)
Вечный новичок Новичок Регистрация: 06.07.2011 Сообщений: 18 Репутация: 0	http://exfile.ru/194537 - это, вероятно, лог AVZ. Со вторым у меня ничего не получилось, так что и новую тему создавать, наверное, не стоит.

19.07.2011, 05:01	#5 (ссылка)
Вечный новичок Новичок Регистрация: 06.07.2011 Сообщений: 18 Репутация: 0	Выполню, Вы только объясните, как мне это сделать.

19.07.2011, 05:02	#6 (ссылка)
tolya Новичок Регистрация: 18.02.2011 Сообщений: 796 Записей в блоге: 1 Репутация: 16	В авз: Файл-выполнить скрипт ---------- Добавлено в 02:02 ---------- Предыдущее сообщение было написано в 02:02 ---------- и вписать туда код

19.07.2011, 05:16	#7 (ссылка)
Вечный новичок Новичок Регистрация: 06.07.2011 Сообщений: 18 Репутация: 0	http://exfile.ru/194550 А Вы не знаете, Outpost можно восстановить? Я ему похоже башку снесла.

19.07.2011, 05:34	#8 (ссылка)
tolya Новичок Регистрация: 18.02.2011 Сообщений: 796 Записей в блоге: 1 Репутация: 16	Вечный новичок, а как поведение компа?

19.07.2011, 05:38	#9 (ссылка)
Вечный новичок Новичок Регистрация: 06.07.2011 Сообщений: 18 Репутация: 0	Тормозит нереально. Ну и Аутпост меня пугает, всякие там отчёты об атаках. Что? Там всё совсем плохо?

19.07.2011, 06:04	#11 (ссылка)
Вечный новичок Новичок Регистрация: 06.07.2011 Сообщений: 18 Репутация: 0	http://exfile.ru/194553 Этот, наверное. Залезла в диске C в какую-то папку, вроде удалила Доктора Веба. Но не уверена.

19.07.2011, 23:14	#13 (ссылка)
Вечный новичок Новичок Регистрация: 06.07.2011 Сообщений: 18 Репутация: 0	Илья, а это точно бесплатно?

19.07.2011, 23:23	#14 (ссылка)
Executr Новичок Регистрация: 04.07.2011 Сообщений: 58 Репутация: 0	Вечный новичок, да, сам часа четыре назад делал.

Ads

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

20.07.2011, 01:04	#15 (ссылка)
Вечный новичок Новичок Регистрация: 06.07.2011 Сообщений: 18 Репутация: 0	Executr, а может Вы тогда подскажете, как скачать-то? Прохожу по ссылке, а где скачивать - не пойму.