Доброго времени суток!
Помогите очистить ПК, флэшку и мобильник от троянской программы Sohanad.NFQчервь и Autorun
Подцепила на флэшку. Антивирус ESET Smart S. определяет, но пишет, что неизлечим.
Kaspersky Virus Removal Tool запускала несколько раз, удаляла, но без толку.
ОС - Windows XP.
Антивирус ESET Smart S. обновляемый авто через Интернет.
Мой уровень владение ПК - чайник (так что прошу прощения за возможные некорректности).
Не знаю почему, но файла virusinfo_syscheck.zip не было в папке LOG.
Надеюсь, что с Вашей помощью смогу очистить сама.
Заранее благодарю.*
Последний раз редактировалось light59; 26.08.2011 в 22:40.
Причина: убрал карантин
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Результат сканирования AVZ
Протокол антивирусной утилиты AVZ версии 4.35
Сканирование запущено в 29.08.2011 10:06:29
Загружена база: сигнатуры - 293678, нейропрофили - 2, микропрограммы лечения - 56, база от 26.08.2011 04:00
Загружены микропрограммы эвристики: 388
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 292277
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=0832A0)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 8055A2A0
KiST = 804E26B8 (284)
Функция NtAssignProcessToJobObject (13) перехвачена (805A2C27->F2D89610), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtCreateKey (29) перехвачена (8057376F->F841C0E0), перехватчик spoy.sys
Функция NtDebugActiveProcess (39) перехвачена (8065BFB9->F2D89C10), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtDuplicateObject (44) перехвачена (805748C2->F2D89730), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtEnumerateKey (47) перехвачена (80573E7D->F8436E4C), перехватчик spoy.sys
Функция NtEnumerateValueKey (49) перехвачена (8057FB2B->F84371DA), перехватчик spoy.sys
Функция NtOpenKey (77) перехвачена (80568F68->F841C0C0), перехватчик spoy.sys
Функция NtOpenProcess (7A) перехвачена (80574AA9->F2D894B0), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtOpenThread (80) перехвачена (8059323B->F2D89570), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtProtectVirtualMemory (89) перехвачена (80574E58->F2D896D0), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtQueryKey (A0) перехвачена (80573B86->F84372B2), перехватчик spoy.sys
Функция NtQueryValueKey (B1) перехвачена (8056A419->F8437132), перехватчик spoy.sys
Функция NtQueueApcThread (B4) перехвачена (8058F954->F2D89790), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtSetContextThread (D5) перехвачена (8062E37B->F2D89690), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtSetInformationThread (E5) перехвачена (8056C516->F2D89650), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtSetSecurityObject (ED) перехвачена (8059D2BD->F2D897D0), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtSetValueKey (F7) перехвачена (8057BC5B->F8437344), перехватчик spoy.sys
Функция NtSuspendProcess (FD) перехвачена (8062FF5D->F2D89510), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtSuspendThread (FE) перехвачена (805E05C3->F2D89590), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtTerminateProcess (101) перехвачена (805839B9->F2D894D0), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtTerminateThread (102) перехвачена (80577F1F->F2D895D0), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtWriteVirtualMemory (115) перехвачена (8057F712->F2D89750), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Проверено функций: 284, перехвачено: 22, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
\FileSystem\ntfs[IRP_MJ_CREATE] = 81CD71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 81CD71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 81CD71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 81CD71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 81CD71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 81CD71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 81CD71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 81CD71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 81CD71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 81CD71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 81CD71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 81CD71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 81CD71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 81CD71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 81CD71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 81CD71F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 8236F1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 8236F1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 8236F1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 8236F1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 8236F1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 8236F1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 8236F1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8236F1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 8236F1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 8236F1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 8236F1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 8236F1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 8236F1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 8236F1F8 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 23
Количество загруженных модулей: 294
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "NVDESK32.DLL"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 317, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 29.08.2011 10:07:50
Сканирование длилось 00:01:24
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в систему http://kaspersky-911.ru
Добавлено через 1 минуту
Что делать с флэшкой и телефоном?
Последний раз редактировалось Tatyana65; 29.08.2011 в 11:17.
Причина: Добавлено
Эти файлы удалите вручную (если еще не удалены):
C:\WINDOWS\SCVHSOT.exe
C:\WINDOWS\hinhem.scr
C:\WINDOWS\system32\autorun.ini
Обновите базы в ESET Smart Security. Подключите флешку и телефон. И в проводнике их пока не открывайте.
Просканируйте ESET Smart Security все появившиеся съемные диски. Все что лечится - лечить. Что не лечится - удалить.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: