Показано с 1 по 3 из 3.

Вирус в оперативе. (заявка № 114923)

  1. #1
    Junior Member Репутация
    Регистрация
    13.01.2012
    Сообщений
    1
    Вес репутации
    18

    Вирус в оперативе.

    Жалоба

    13.01.2012 7:33:59 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(1580) модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа очистка невозможна - вот такую фигню высветил сегодня Nod32.

    До этого при запуске системы была ругань на какую-то подмену или переименовку файла в AppPatch. Папку AppPatch я скопировал с другого компа (с аналогичной системой) и вставил за место той (ту удалил и эту на чистую).Всеравно ругань продолжилась.

    AVZ чета пошуршал в системе выкинул несколько подозрительных строк и несоздал даже архива для пересылки.\

    ниже то что он рисовал.
    Что самое интересное - Он не обновляется сам и ругается на обновленные базы скачаные в ручную

    База поcледний раз обновлялась 02.10.2011 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
    Протокол антивирусной утилиты AVZ версии 4.35
    Сканирование запущено в 13.01.2012 08:17:03
    Загружена база: сигнатуры - 294259, нейропрофили - 2, микропрограммы лечения - 56, база от 02.10.2011 18:18
    Загружены микропрограммы эвристики: 388
    Загружены микропрограммы ИПУ: 9
    Загружены цифровые подписи системных файлов: 298864
    Режим эвристического анализатора: Максимальный уровень эвристики
    Режим лечения: включено
    Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
    Восстановление системы: Отключено
    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    SDT найдена (RVA=085700)
    Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
    SDT = 8055C700
    KiST = 80504460 (284)
    Проверено функций: 284, перехвачено: 0, восстановлено: 0
    1.3 Проверка IDT и SYSENTER
    Анализ для процессора 1
    Анализ для процессора 2
    CmpCallCallBacks = 00093D84
    Disable callback - уже нейтирализованы
    Проверка IDT и SYSENTER завершена
    1.4 Поиск маскировки процессов и драйверов
    Маскировка процесса с PID=3320, имя = "632dc_xp.exe", полное имя = "\Device\HarddiskVolume1\WINDOWS\Temp\96F1BA9F-31FFB59-F7F02007-3D3CC894\632dc_xp.exe"
    >> обнаружена подмена PID (текущий PID=2308357668, реальный = 3320)
    >> обнаружена подмена имени, новое имя = ""
    Поиск маскировки процессов и драйверов завершен
    1.5 Проверка обработчиков IRP
    Драйвер успешно загружен
    \FileSystem\ntfs[IRP_MJ_CREATE] = 89979828 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_CLOSE] = 897A29A8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_WRITE] = 89C52AD8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8954E298 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 89D22F30 -> перехватчик не определен
    Проверка завершена
    2. Проверка памяти
    Количество найденных процессов: 27
    Анализатор - изучается процесс 252 C:\WINDOWS\system32\nvsvc32.exe
    [ES]:Может работать с сетью
    [ES]:Приложение не имеет видимых окон
    [ES]:Размещается в системной папке
    Количество загруженных модулей: 302
    Проверка памяти завершена
    3. Сканирование дисков
    Прямое чтение C:\Documents and Settings\Admin\Cookies\index.dat
    Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\CardSpace\CardSpaceSP2.db
    Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
    Прямое чтение C:\Documents and Settings\Admin\Local Settings\History\History.IE5\index.dat
    Прямое чтение C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\index.dat
    Прямое чтение C:\Documents and Settings\Admin\NTUSER.DAT
    AION UA Skaniya x5.exe MailBomb detected !
    dotNetFx40_Client_setup.exe MailBomb detected !
    launcherUpdater.exe MailBomb detected !
    Прямое чтение C:\Documents and Settings\All Users\Application Data\ESET\ESET NOD32 Antivirus\Charon\CACHE.NDB
    Прямое чтение C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
    Прямое чтение C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
    Прямое чтение C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
    Прямое чтение C:\Documents and Settings\LocalService\NTUSER.DAT
    Прямое чтение C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
    Прямое чтение C:\Documents and Settings\NetworkService\NTUSER.DAT
    AION UA Skaniya x5.exe MailBomb detected !
    dotNetFx40_Client_setup.exe MailBomb detected !
    launcherUpdater.exe MailBomb detected !
    Прямое чтение C:\WINDOWS\SchedLgU.Txt
    Прямое чтение C:\WINDOWS\system32\CatRoot2\edb.log
    Прямое чтение C:\WINDOWS\system32\CatRoot2\tmp.edb
    Прямое чтение C:\WINDOWS\system32\config\AppEvent.Evt
    Прямое чтение C:\WINDOWS\system32\config\default
    Прямое чтение C:\WINDOWS\system32\config\Internet.evt
    Прямое чтение C:\WINDOWS\system32\config\SAM
    Прямое чтение C:\WINDOWS\system32\config\SAM.LOG
    Прямое чтение C:\WINDOWS\system32\config\SecEvent.Evt
    Прямое чтение C:\WINDOWS\system32\config\SECURITY
    Прямое чтение C:\WINDOWS\system32\config\SysEvent.Evt
    Прямое чтение C:\WINDOWS\system32\config\system
    Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR
    Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP
    Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP
    Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP
    4. Проверка Winsock Layered Service Provider (SPI/LSP)
    Настройки LSP проверены. Ошибок не обнаружено
    5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
    6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
    Проверка отключена пользователем
    7. Эвристичеcкая проверка системы
    >>> C:\WINDOWS\system32\cpldapu\produkey.exe ЭПС: подозрение на Файл с подозрительным именем (CH)
    Файл успешно помещен в карантин (C:\WINDOWS\system32\cpldapu\produkey.exe)
    Проверка завершена
    8. Поиск потенциальных уязвимостей
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    Проверка завершена
    9. Мастер поиска и устранения проблем
    >> Некорректный элемент автозапуска
    Проверка завершена
    Просканировано файлов: 273424, извлечено из архивов: 202094, найдено вредоносных программ 0, подозрений - 0
    Сканирование завершено в 13.01.2012 08:46:46
    Сканирование длилось 00:29:44
    Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
    то Вы можете обратиться в систему http://kaspersky-911.ru
    Создание архива с файлами из карантина
    Создание архива с файлами из карантина завершено
    Выполняется исследование системы
    Исследование системы завершено
    Скрыть
    Последний раз редактировалось thyrex; 13.01.2012 в 11:44.

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,265
    Вес репутации
    327
    Уважаемый(ая) VanGrey, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,650
    Вес репутации
    2918
    Перечитайте правила и пришлите необходимые логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  • Уважаемый(ая) VanGrey, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 6
      Последнее сообщение: 12.05.2009, 14:12

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00230 seconds with 20 queries