Однозначно какая-то зараза поселилась на моем компе. Симптомы. при загрузке файлов вылетает Megafon модем, постепенно снижается скорость работы интернета. У меня Windows 8 64 бит. Проверка AVZ выдает стабильный результат, отчет его скопировать не могу, так как выдает ошибку при копировании. CureIt никакой заразы не обнаружил. Антимайлваре поругался на браузер АМИГО, который я благополучно удалил, но проблема так и осталась. Подскажите куда копать. Результаты анализа http://virusinfo.info/virusdetector/...7BF5EA99C4B2D8
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Сергей Гаврилин, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Протокол антивирусной утилиты AVZ версии 4.43
Сканирование запущено в 25.12.2014 11:36:43
Загружена база: сигнатуры - 297605, нейропрофили - 2, микропрограммы лечения - 56, база от 25.12.2014 04:00
Загружены микропрограммы эвристики: 407
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 711540
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 6.2.9200, "Windows 8.1 Pro" ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1094) перехвачена, метод ProcAddressHijack.GetProcAddress ->75E8297A->75B0D435
Функция kernel32.dll:ReadConsoleInputExW (1095) перехвачена, метод ProcAddressHijack.GetProcAddress ->75E829AD->75B0D459
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:SystemFunction001 (1760) перехвачена, метод ProcAddressHijack.GetProcAddress ->75ED7F2D->75684A91
Функция advapi32.dll:SystemFunction002 (1761) перехвачена, метод ProcAddressHijack.GetProcAddress ->75ED7F49->756831B5
Функция advapi32.dll:SystemFunction003 (1762) перехвачена, метод ProcAddressHijack.GetProcAddress ->75ED7F65->75683436
Функция advapi32.dll:SystemFunction004 (1763) перехвачена, метод ProcAddressHijack.GetProcAddress ->75ED7F81->75684756
Функция advapi32.dll:SystemFunction005 (1764) перехвачена, метод ProcAddressHijack.GetProcAddress ->75ED7F9D->7568489F
Функция advapi32.dll:SystemFunction034 (1793) перехвачена, метод ProcAddressHijack.GetProcAddress ->75ED8261->756832F4
Функция advapi32.dll:SystemFunction036 (1795) перехвачена, метод ProcAddressHijack.GetProcAddress ->75ED829A->756811C0
Функция advapi32.dll:SystemFunction040 (1796) перехвачена, метод ProcAddressHijack.GetProcAddress ->75ED82B6->75681256
Функция advapi32.dll:SystemFunction041 (1797) перехвачена, метод ProcAddressHijack.GetProcAddress ->75ED82D2->756812AA
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка - не найден файл (C:\SystemRoot\system32\ntoskrnl.exe)
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Ошибка загрузки драйвера - проверка прервана [C000036B]
2. Проверка памяти
Количество найденных процессов: 34
Анализатор - изучается процесс 2656 C:\Program Files (x86)\WIBUKEY\Server\WkSvw32.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Приложение не имеет видимых окон
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 4744 C:\Program Files (x86)\Adguard\AdguardSvc.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Количество загруженных модулей: 292
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
>> Таймаут завершения процессов находится за пределами допустимых значений
>> Таймаут завершения служб находится за пределами допустимых значений
>> Таймаут, по истечению которого принимается решение о том, что процесс не отвечает, находится за пределами допустимых значений
Проверка завершена
Просканировано файлов: 326, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 25.12.2014 11:37:34
Сканирование длилось 00:00:53
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ
можно использовать сервис http://virusdetector.ru/
Выполняется исследование системы
Диагностика сети
DNS and Ping test
Host="yandex.ru", IP="213.180.204.11,213.180.193.11,93.158.134.11", Ping=OK (0,1016,213.180.204.11)
Host="google.ru", IP="37.29.1.40,37.29.1.39,37.29.1.49,37.29.1.59,37 .29.1.35,37.29.1.24,37.29.1.50,37.29.1.34,37.29.1. 55,37.29.1.29,37.29.1.45,37.29.1.54,37.29.1.25,37. 29.1.44,37.29.1.30,37.29.1.20", Ping=OK (0,949,37.29.1.40)
Host="google.com", IP="37.29.1.40,37.29.1.39,37.29.1.50,37.29.1.45,37 .29.1.55,37.29.1.49,37.29.1.44,37.29.1.54,37.29.1. 59,37.29.1.29,37.29.1.35,37.29.1.30,37.29.1.24,37. 29.1.20,37.29.1.34,37.29.1.25", Ping=OK (0,1417,37.29.1.40)
Host="www.kaspersky.com", IP="77.74.178.16", Ping=Error (11010,0,0.0.0.0)
Host="www.kaspersky.ru", IP="93.159.228.17", Ping=Error (11010,0,0.0.0.0)
Host="dnl-03.geo.kaspersky.com", IP="93.191.13.100", Ping=OK (0,97,93.191.13.100)
Host="dnl-11.geo.kaspersky.com", IP="95.167.139.6", Ping=OK (0,590,95.167.139.6)
Host="activation-v2.kaspersky.com", IP="212.5.89.37", Ping=OK (0,217,212.5.89.37)
Host="odnoklassniki.ru", IP="217.20.147.94", Ping=OK (0,468,217.20.147.94)
Host="vk.com", IP="87.240.131.117,87.240.143.241,87.240.131.118" , Ping=OK (0,182,87.240.131.117)
Host="vkontakte.ru", IP="95.213.4.242,95.213.4.244,95.213.4.243", Ping=OK (0,200,95.213.4.242)
Host="twitter.com", IP="199.16.156.38,199.16.156.6,199.16.156.102,199. 16.156.198", Ping=OK (0,368,199.16.156.3
Host="facebook.com", IP="173.252.120.6", Ping=OK (0,911,173.252.120.6)
Host="ru-ru.facebook.com", IP="31.13.90.65", Ping=OK (0,188,31.13.90.65)
Network IE settings
IE setting AutoConfigURL=
IE setting AutoConfigProxy=wininet.dll
IE setting ProxyOverride=
IE setting ProxyServer=
IE setting Internet\ManualProxies=
Network TCP/IP settings
Network Persistent Routes
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти три файла к своему следующему сообщению.
Удалите все версии Java, оставьте только одну - 8 или 7, 8-ю обновите до Update 25, а 7-ю, если оставите - до Update 71. 64-bit версии Java вообще обычно не нужны, т. к. работают только с x64 браузерами.
Уведомление
Удалите Malwarebytes Anti-Malware, его использование в качестве антивируса с постоянной защитой не рекомендуется, особенно совместно с другими защитными продуктами.
Удалите SpyHunter 4, бесполезная программа при наличии антивируса.
Удалите программу Time tasks, это Adware.
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool (на рабочий стол в Вашем случае).
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Проблемы с модемом решайте переустановкой программы.
Ну пока вроде работает все нормально. Хотя AVZ по прежнему пишет о каких-то перехватчиках, но думаю это могут быть другие какие-то программы так влиять на AVZ. И вопрос мимо темы. Планируется или может уже есть AVZ для Windows 8 x64 Bit?
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.