-
Вирус. (заявка №68790)
Пользователь обратился в сервис 911, указав на следующие проблемы в работе его компьютера:
Через некоторое время пропадает звук и отключается доступ в интернет. В диспетчере задач есть процесс ekrn.exe который я не могу убрать (отказ в доступе - недостаточно прав), он занимает много оперативной памяти (из 4gb).
Анализ от AVP Tool:
Сбор информации о системе: завершено 1 минуту назад (событий: 103)
01.05.2011 12:46:25 Сбор информации о системе Задача завершена
01.05.2011 12:45:58 >> Проводник: включить отображение расширений для файлов известных системе типов
01.05.2011 12:45:58 >> Отключить автозапуск с CD-ROM
01.05.2011 12:45:58 >> Тайм-аут завершения служб находится за пределами допустимых значений
01.05.2011 12:45:58 >> Тайм-аут завершения процессов находится за пределами допустимых значений
01.05.2011 12:45:58 >> Заблокирована настройка автоматического обновления
01.05.2011 12:45:56 >> Нарушение ассоциации REG-файлов
01.05.2011 12:45:55 >>> C:\WINDOWS\ghdrive32.exe Эвристический анализ системы: подозрение на Файл с подозрительным именем (CH - Autorun) (высокая степень вероятности)
01.05.2011 12:45:45 >>> C:\WINDOWS\system32\56.exe Эвристический анализ системы: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
01.05.2011 12:45:45 >>> C:\WINDOWS\system32\35.exe Эвристический анализ системы: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
01.05.2011 12:45:31 \FileSystem\ntfs[IRP_MJ_PNP] = 8AEC41F8 -> перехватчик не определен
01.05.2011 12:45:31 \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8AEC41F8 -> перехватчик не определен
01.05.2011 12:45:31 \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8AEC41F8 -> перехватчик не определен
01.05.2011 12:45:31 \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8AEC41F8 -> перехватчик не определен
01.05.2011 12:45:31 \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8AEC41F8 -> перехватчик не определен
01.05.2011 12:45:31 \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8AEC41F8 -> перехватчик не определен
01.05.2011 12:45:31 \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8AEC41F8 -> перехватчик не определен
01.05.2011 12:45:31 \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8AEC41F8 -> перехватчик не определен
01.05.2011 12:45:31 \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8AEC41F8 -> перехватчик не определен
01.05.2011 12:45:31 \FileSystem\ntfs[IRP_MJ_SET_EA] = 8AEC41F8 -> перехватчик не определен
01.05.2011 12:45:31 \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8AEC41F8 -> перехватчик не определен
01.05.2011 12:45:31 \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8AEC41F8 -> перехватчик не определен
01.05.2011 12:45:31 \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8AEC41F8 -> перехватчик не определен
01.05.2011 12:45:31 \FileSystem\ntfs[IRP_MJ_WRITE] = 8AEC41F8 -> перехватчик не определен
01.05.2011 12:45:31 \FileSystem\ntfs[IRP_MJ_CLOSE] = 8AEC41F8 -> перехватчик не определен
01.05.2011 12:45:31 \FileSystem\ntfs[IRP_MJ_CREATE] = 8AEC41F8 -> перехватчик не определен
01.05.2011 12:45:31 Disable callback OK
01.05.2011 12:45:31 CmpCallCallBacks = 0014509C
01.05.2011 12:45:31 >>> Код перехватчика нейтрализован
01.05.2011 12:45:31 >>> Функция восстановлена успешно !
01.05.2011 12:45:31 Функция NtWriteVirtualMemory (115) перехвачена (805885C2->B4781750), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
01.05.2011 12:45:31 >>> Код перехватчика нейтрализован
01.05.2011 12:45:31 >>> Функция восстановлена успешно !
01.05.2011 12:45:31 Функция NtTerminateThread (102) перехвачена (805838EF->B47815D0), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
01.05.2011 12:45:31 >>> Код перехватчика нейтрализован
01.05.2011 12:45:31 >>> Функция восстановлена успешно !
01.05.2011 12:45:31 Функция NtTerminateProcess (101) перехвачена (8058E695->B47814D0), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
01.05.2011 12:45:31 >>> Код перехватчика нейтрализован
01.05.2011 12:45:31 >>> Функция восст
Дата обращения: 01.05.2011 13:06:12
Номер заявки: 68790
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отчет о карантине
01.05.2011 20:30:05 на зараженном компьютере были обнаружены следующие вредоносные файлы:
- c:\\windows\\ghdrive32.exe - HEUR:Trojan.Win32.Generic
- размер: 46536 байт
- дата файла: 30.04.2011 10:32:02
- детект других антивирусов: BitDefender: Зловред Trojan.Generic.KD.207405
- C:\\WINDOWS\\system32\\35.exe - HEUR:Trojan.Win32.Generic
- размер: 23680 байт
- дата файла: 30.04.2011 22:26:56
- детект других антивирусов: DrWEB 6.0: Зловред Trojan.DownLoader2.47387; BitDefender: Зловред Trojan.Generic.KD.207405; Avast4: Зловред Win32:Downloader-GWB [Trj]
- C:\\WINDOWS\\system32\\56.exe - HEUR:Trojan.Win32.Generic
- размер: 23680 байт
- дата файла: 30.04.2011 10:29:46
- детект других антивирусов: DrWEB 6.0: Зловред Trojan.DownLoader2.47387; BitDefender: Зловред Trojan.Generic.KD.207405; Avast4: Зловред Win32:Downloader-GWB [Trj]
- C:\\WINDOWS\\System32\\Drivers\\sptd.sys - подозрительный, обрабатывается вирлабом
- размер: 717296 байт
- дата файла: 25.09.2009 20:13:20
- версия: "1.56.0.0 built by: WinDDK"
- копирайты: "Copyright (C) 2004"
- C:\\WINDOWS\\system32\\35.exe - HEUR:Trojan.Win32.Generic
- размер: 23680 байт
- детект других антивирусов: DrWEB 6.0: Зловред Trojan.DownLoader2.47387; BitDefender: Зловред Trojan.Generic.KD.207405; Avast4: Зловред Win32:Downloader-GWB [Trj]
- C:\\WINDOWS\\system32\\56.exe - HEUR:Trojan.Win32.Generic
- размер: 23680 байт
- детект других антивирусов: DrWEB 6.0: Зловред Trojan.DownLoader2.47387; BitDefender: Зловред Trojan.Generic.KD.207405; Avast4: Зловред Win32:Downloader-GWB [Trj]
- C:\\WINDOWS\\System32\\Drivers\\sptd.sys - подозрительный, обрабатывается вирлабом
- размер: 717296 байт
- версия: "1.56.0.0 built by: WinDDK"
- копирайты: "Copyright (C) 2004"
-
-
Итог лечения
08.05.2011 21:30:11 лечение успешно завершено
-