-
Junior Member
- Вес репутации
- 48
Проблема с браузером ИЕ, возможно вирус
Доброго времени суток. У меня при запуске ИЕ выходит вот такая ошибка
AppName: iexplore.exe AppVer: 8.0.6001.18702 ModName: unknown
ModVer: 0.0.0.0 Offset: 0014af83
после сканирования АВЗ, вот что вышло
Внимание !!! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.35
Сканирование запущено в 31.05.2011 23:26:58
Загружена база: сигнатуры - 278154, нейропрофили - 2, микропрограммы лечения - 56, база от 25.08.2010 16:40
Загружены микропрограммы эвристики: 383
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 220217
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
>>>> Подозрение на маскировку файла процесса: c:\windows\system32\igfxtray.exe
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=08B520)
Ядро ntkrnlmp.exe обнаружено в памяти по адресу 80800000
SDT = 8088B520
KiST = 8080D8A0 (284)
Функция NtAssignProcessToJobObject (13) перехвачена (8091139E->88046C90), перехватчик не определен
Функция NtDebugActiveProcess (39) перехвачена (8098B519->88047200), перехватчик не определен
Функция NtDuplicateObject (44) перехвачена (808AA21E->880472F0), перехватчик не определен
Функция NtEnumerateKey (47) перехвачена (808A1E1C->F74FCDA4), перехватчик splt.sys
Функция NtEnumerateValueKey (49) перехвачена (808B0691->F74FD132), перехватчик splt.sys
Функция NtOpenKey (77) перехвачена (8089BBFC->F74E40C0), перехватчик splt.sys
Функция NtQueryKey (A0) перехвачена (808A1A1C->F74FD20A), перехватчик splt.sys
Функция NtQueryValueKey (B1) перехвачена (8089C03F->F74FD08A), перехватчик splt.sys
Функция NtSetInformationThread (E5) перехвачена (808A1FA7->88046D90), перехватчик не определен
Функция NtSetSecurityObject (ED) перехвачена (80902CAC->88043DA0), перехватчик не определен
Функция NtSuspendProcess (FD) перехвачена (809606CF->88046B90), перехватчик не определен
Функция NtSuspendThread (FE) перехвачена (809605EB->88046A80), перехватчик не определен
Проверено функций: 284, перехвачено: 12, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [A7B9F16D] C:\windows\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [A7B9EFC2] C:\windows\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
Анализ для процессора 2
>>> Опасно - подозрение на подмену адреса ЦП[2].IDT[06] = [A7B9F16D] C:\windows\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
>>> Опасно - подозрение на подмену адреса ЦП[2].IDT[0E] = [A7B9EFC2] C:\windows\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
\FileSystem\ntfs[IRP_MJ_CREATE] = 8A67F1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8A67F1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8A67F1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8A67F1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8A67F1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8A67F1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8A67F1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A67F1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8A67F1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8A67F1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A67F1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8A67F1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8A67F1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8A67F1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8A67F1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8A67F1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 87BA01F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 87BA01F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 87BA01F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 87BA01F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 87BA01F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 87BA01F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 87BA01F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 87BA01F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 87BA01F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 87BA01F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 87BA01F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 87BA01F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 87BA01F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 87BA01F8 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 47
Количество загруженных модулей: 347
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Documents and Settings\ADMIN\Local Settings\Application Data\Opera\Opera\vps\0000\wb.vx
Прямое чтение C:\Documents and Settings\ADMIN\Local Settings\Application Data\Opera\Opera\vps\0001\wb.vx
Прямое чтение C:\Documents and Settings\ADMIN\Local Settings\Application Data\Opera\Opera\vps\0002\wb.vx
Прямое чтение C:\Documents and Settings\ADMIN\Local Settings\Application Data\Opera\Opera\vps\0003\wb.vx
Прямое чтение C:\Documents and Settings\ADMIN\Local Settings\Application Data\Opera\Opera\vps\0004\wb.vx
Прямое чтение C:\Documents and Settings\ADMIN\Local Settings\Application Data\Opera\Opera\vps\0009\wb.vx
Прямое чтение C:\Documents and Settings\ADMIN\Local Settings\Application Data\Opera\Opera\vps\0010\wb.vx
Прямое чтение C:\Documents and Settings\ADMIN\Local Settings\Application Data\Opera\Opera\vps\0011\wb.vx
C:\Documents and Settings\ADMIN\Мои документы\actualspy.exe >>>>> Monitor.Win32.ActualSpy.ac
Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys
D:\Easy_GIF_Animator_4.8.1.39_Pro\Easy_GIF_Animato r_4.8.1.39_Pro\gifan.exe >>>>> Backdoor.Win32.IRCBot.nng
D:\Easy_GIF_Animator_4.8.1.39_Pro.rar/{RAR}/Easy_GIF_Animator_4.8.1.39_Pro\gifan.exe >>>>> Backdoor.Win32.IRCBot.nng
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\DOCUME~1\ALLUSE~1\APPLIC~1\VKSaver\vksaver3.dll --> Подозрение на Keylogger или троянскую DLL
C:\DOCUME~1\ALLUSE~1\APPLIC~1\VKSaver\vksaver3.dll >>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\WI371A~1\Datamngr\datamngr.dll C:\PROGRA~1\WI371A~1\Datamngr\IEBHO.dll prio.dll C:\DOCUME~1\ALLUSE~1\APPLIC~1\VKSaver\vksaver3.dll "
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
Проверка завершена
9. Мастер поиска и устранения проблем
>> Нарушение ассоциации REG файлов
>> Меню Пуск - заблокированы элементы
>> Таймаут завершения процессов находится за пределами допустимых значений
>> Таймаут завершения служб находится за пределами допустимых значений
Проверка завершена
Просканировано файлов: 130696, извлечено из архивов: 91616, найдено вредоносных программ 3, подозрений - 0
Сканирование завершено в 01.06.2011 00:00:17
Сканирование длилось 00:33:20
Вобщем не знаю, что делать, да и особо не разбираюсь. Помогите пожалуста.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Tina, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Сообщение от
Tina
Внимание !!! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Для начала обновите базы.
Потом выполните п.1-3 раздела Диагностика правил и прикрепите полученные логи к своему следующему сообщению в этой теме.
I am not young enough to know everything...
-