Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

keyloggerы и что с ними делать?

  1. #1
    Guest

    keyloggerы и что с ними делать?

    вообщем тут история у меня продолжается, вернее не у меня, а в нашей сети, я то свой комп от агобота излечила, теперь попросили с другими седлать

    вот лог одного компа:
    Протокол антивирусной утилиты AVZ версии 3.00
    Сканирование запущено в 02.03.2005 15:43:06
    Загружена база: 9901 сигнатур, 1 нейропрофилей, 9 микропрограмм лечения, 0 микропрограмм эвристики
    Загружены цифровые подписи системных файлов: 23996 шт.
    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Функция kernel32.dll:FindFirstFileExW (200) перехвачена, метод APICodeHijack.JmpTo
    >>> Код руткита в функции FindFirstFileExW нейтрализован
    Функция kernel32.dll:FindNextFileW (20 перехвачена, метод APICodeHijack.JmpTo
    >>> Код руткита в функции FindNextFileW нейтрализован
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Функция ntdll.dlldrGetDllHandle (59) перехвачена, метод APICodeHijack.JmpTo
    >>> Код руткита в функции LdrGetDllHandle нейтрализован
    Функция ntdll.dll:NtQuerySystemInformation (25 перехвачена, метод APICodeHijack.JmpTo
    >>> Код руткита в функции NtQuerySystemInformation нейтрализован
    Функция ntdll.dll:NtResumeThread (292) перехвачена, метод APICodeHijack.JmpTo
    >>> Код руткита в функции NtResumeThread нейтрализован
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Функция advapi32.dll:EnumServicesStatusA (209) перехвачена, метод APICodeHijack.JmpTo
    >>> Код руткита в функции EnumServicesStatusA нейтрализован
    Функция advapi32.dll:EnumServicesStatusW (212) перехвачена, метод APICodeHijack.JmpTo
    >>> Код руткита в функции EnumServicesStatusW нейтрализован
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Эталонная KeServiceDescriptorTable найдена (FC=074C00, RVA=074C00)
    2. Проверка памяти
    Количество найденных процессов: 22
    Процесс c:\windows\system32\winlogon.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll,rasapi32.dll, tapi32.dll)
    Процесс c:\program files\kaspersky lab\kaspersky anti-virus personal pro\avpcc.exe может работать с сетью (ws2_32.dll,ws2help.dll)
    Процесс c:\program files\adaptec\easy cd creator 5\directcd\directcd.exe может работать с сетью (netapi32.dll)
    c:\windows\system32\mkscan.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
    Процесс c:\windows\system32\mkscan.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll)
    Процесс c:\totalcmd\totalcmd.exe может работать с сетью (netapi32.dll)
    Процесс c:\program files\avz-betta2\avz.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll)
    Количество загруженных модулей: 242
    Проверка памяти завершена
    3. Сканирование дисков
    C:\WINDOWS\system32\CD_CLINT.DLL>>>>> Вирус !! AdvWare.Cydoor успешно удален
    C:\WINDOWS\system32\mkscan.bak>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
    C:\WINDOWS\system32\winhlpp32.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
    C:\Program Files\take two\finder.exe>>> подозрение на Trojan-Dropper.Win32.Small.qw ( 004FFE67 08CD8ABD 001A4072 001D9DCC 159744)
    C:\Program Files\Adaptec\Easy CD Creator 5\Easy CD Creator\take two\finder.exe>>> подозрение на Trojan-Dropper.Win32.Small.qw ( 004FFE67 08CD8ABD 001A4072 001D9DCC 159744)
    C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP85\A0022535.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
    C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP85\A0022538.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
    C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP85\A0022539.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
    C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP85\A0022545.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
    C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP85\A0022546.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
    C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP85\A0022552.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
    C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP85\A0022553.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
    C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP85\A0022565.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
    C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP85\A0022567.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
    C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP85\A0022587.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
    C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP86\A0022631.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
    C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP86\A0022637.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
    C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP86\A0022638.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
    C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP87\A0022643.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
    C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP87\A0022652.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
    C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP87\A0022656.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
    C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP87\A0022657.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
    C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP87\A0022662.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
    C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP87\A0022663.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
    C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP87\A0022670.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
    C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP87\A0022671.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
    C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP87\A0022677.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
    C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP87\A0022685.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
    C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP87\A0022692.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
    C:\totalcmd\totalcmd.exe.bak - PE файл с нестандартным расширением(степень опасности 5)
    4. Проверка Winsock Layered Service Provider (SPI/LSP)
    Настройки LSP проверены. Ошибок не обнаружено
    5. Поиск клавиатурных шпионов (Keylogger)
    C:\Program Files\Punto Switcher\correct.dll --> Подозрение на Keylogger или троянскую DLL
    Результат оценки нейросетью - файл является кейлоггером с вероятностью 97.93%
    6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
    В базе 320 описаний портов
    На данном ПК открыто 5 TCP портов и 7 UDP портов
    >>> Опасно: Порт 5000 TCP - Bubbel, Back Door Setup, Sockets de Troie, Socket 23 (SVCHOST.EXE)
    Просканировано файлов: 21936, найдено вирусов 28
    Сканирование завершено в 02.03.2005 16:13:07
    Внимание !!! Для завершения процесса лечения необходима перезагрузка
    Сканирование длилось 00:30:01.811

  2. Реклама
     

  3. #2
    Guest

    Re:keyloggerы и что с ними делать?

    что делать с
    C:\Program Files\Adaptec\Easy CD Creator 5\Easy CD Creator\take two\finder.exe>>> подозрение на Trojan-Dropper.Win32.Small.qw ( 004FFE67 08CD8ABD 001A4072 001D9DCC 159744)
    и там еще где-то есть по-другому адресу, поскольку только подозрение, то что он собсна делает? не удаляет?

    и что делать с keyloggerами? на другом компе тоже обнаружено два кейлоггера, только млин лога нет, забыла записать, а файлы собсна такие LGMOUSHK.DLL и CPQKH.DLL, хотя это вряд ли что скажет, логи наверно нужны?...

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380

    Re:keyloggerы и что с ними делать?

    Цитата Сообщение от Elena
    что делать с
    C:\Program Files\Adaptec\Easy CD Creator 5\Easy CD Creator\take two\finder.exe>>> подозрение на Trojan-Dropper.Win32.Small.qw ( 004FFE67 08CD8ABD 001A4072 001D9DCC 159744)
    и там еще где-то есть по-другому адресу, поскольку только подозрение, то что он собсна делает? не удаляет?

    и что делать с keyloggerами? на другом компе тоже обнаружено два кейлоггера, только млин лога нет, забыла записать, а файлы собсна такие LGMOUSHK.DLL и CPQKH.DLL, хотя это вряд ли что скажет, логи наверно нужны?...
    Подозреваемые на кейлоггеры файлы следует слать напрямую мне - на newvirus@z-oleg.com (почти наверняка это безобыдные перехватчики клавиатуры и мыша, но проверить никогда не повредит). Аналогично, C:\Program Files\take two\finder.exe - нужно прислать на анализ на newvirus@z-oleg.com - если это ложное срабатывание, то я подправлю базу ...

  5. #4
    Guest

    Re:keyloggerы и что с ними делать?

    ок, пасиб
    это я завтра сделаю, а то там уже ушли

  6. #5
    Guest

    Re:keyloggerы и что с ними делать?

    млин, надеюсь еще не надоела....до того компа еще не добралась, а вот логи с другого:

    Протокол антивирусной утилиты AVZ версии 3.00
    Сканирование запущено в 03.03.2005 14:26:17
    Загружена база: 9901 сигнатур, 1 нейропрофилей, 9 микропрограмм лечения, 0 микропрограмм эвристики
    Загружены цифровые подписи системных файлов: 23996 шт.
    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Функция kernel32.dll:FindFirstFileExW (170) перехвачена, метод APICodeHijack.JmpTo
    >>> Код руткита в функции FindFirstFileExW нейтрализован
    Функция kernel32.dll:FindNextFileW (17 перехвачена, метод APICodeHijack.JmpTo
    >>> Код руткита в функции FindNextFileW нейтрализован
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Функция ntdll.dlldrGetDllHandle (42) перехвачена, метод APICodeHijack.JmpTo
    >>> Код руткита в функции LdrGetDllHandle нейтрализован
    Функция ntdll.dll:NtQuerySystemInformation (214) перехвачена, метод APICodeHijack.JmpTo
    >>> Код руткита в функции NtQuerySystemInformation нейтрализован
    Функция ntdll.dll:NtResumeThread (245) перехвачена, метод APICodeHijack.JmpTo
    >>> Код руткита в функции NtResumeThread нейтрализован
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Функция advapi32.dll:EnumServicesStatusA (174) перехвачена, метод APICodeHijack.JmpTo
    >>> Код руткита в функции EnumServicesStatusA нейтрализован
    Функция advapi32.dll:EnumServicesStatusW (177) перехвачена, метод APICodeHijack.JmpTo
    >>> Код руткита в функции EnumServicesStatusW нейтрализован
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    >> Опасно ! Обнаружена маскировка процессов
    >>>> Подозрение на маскировку процесса 888 c:\winnt\soundman.exe
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Эталонная KeServiceDescriptorTable найдена (FC=07F7E0, RVA=07F7E0)
    2. Проверка памяти
    Количество найденных процессов: 25
    Процесс c:\winnt\system32\winlogon.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll,rasapi32.dll, tapi32.dll)
    Процесс c:\winnt\system32\lsass.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll)
    Процесс c:\winnt\system32\mstask.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll,rasapi32.dll, tapi32.dll)
    Процесс c:\winnt\system32\caprpcsk.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll)
    Процесс c:\progra~1\drwebf~1\spidernt.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll)
    Процесс c:\program files\drweb for windows\spiderml.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll)
    c:\winnt\system32\mkscan.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
    Процесс c:\winnt\system32\mkscan.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll)
    Процесс c:\winnt\system32\spool\drivers\w32x86\3\cappswk.e xe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll)
    Процесс c:\winnt\system32\wuauclt.exe может работать с сетью (urlmon.dll,tapi32.dll,netapi32.dll,ws2_32.dll,ws2 help.dll)
    Процесс c:\program files\avz-betta2\avz.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll)
    Количество загруженных модулей: 238
    Проверка памяти завершена
    3. Сканирование дисков
    C:\COMMAND.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35)
    C:\WINNT\system32\mkscan.bak>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
    C:\WINNT\Temp\UNLOCK.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35)
    C:\WINNT\Temp\EJECT.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35)
    C:\WINNT\Temp\LOCK.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35)
    C:\WINNT\$NtServicePackUninstall$\diskcomp.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35)
    C:\WINNT\$NtServicePackUninstall$\diskcopy.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35)
    C:\WINNT\$NtServicePackUninstall$\format.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35)
    C:\WINNT\mkscan.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
    C:\Program Files\Visio\DVS\VB Solutions\ShowArgs\Showargs.EXE>>> подозрение на Trojan.Win32.VB.gu ( 0040E09C 00304E19 000CBB47 00000000 20480)
    C:\mkscan.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
    D:\HACHATRI_NS\Москва 2002\Москва 3 этап\3 Реферат .doc - В имени файла больше 5 пробелов(степень опасности 5)
    D:\UserDOc\mkscan.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
    D:\Информация с Pentium1105\DP1105\FAERMAN\Губернатору Вологодской области Позгалеву В.doc - В имени файла больше 5 пробелов(степень опасности 5)
    D:\Информация с Pentium1105\DP1105\HACHATRI\Москва 2002\Москва 3 этап\3 Реферат .doc - В имени файла больше 5 пробелов(степень опасности 5)
    D:\mkscan.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
    D:\Nadya\Pentium_1105\FixKlez.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35)
    D:\Celeron_1004\Disc_C\FixKlez.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35)
    4. Проверка Winsock Layered Service Provider (SPI/LSP)
    Настройки LSP проверены. Ошибок не обнаружено
    5. Поиск клавиатурных шпионов (Keylogger)
    C:\Program Files\Maxxtro\MaxMice\mhook.dll --> Подозрение на Keylogger или троянскую DLL
    Результат оценки нейросетью - файл является кейлоггером с вероятностью 1.39%
    C:\WINNT\system32\DNSAPI.DLL --> Подозрение на Keylogger или троянскую DLL
    Результат оценки нейросетью - файл является кейлоггером с вероятностью 1.38%
    >>> C:\Program Files\Maxxtro\MaxMice\kbdhook.dll --> С высокой степенью вероятности обнаружен Keylogger или троянская DLL
    Результат оценки нейросетью - файл является кейлоггером с вероятностью 97.39%
    6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
    В базе 320 описаний портов
    На данном ПК открыто 5 TCP портов и 1 UDP портов
    Проверка завершена, подозрительные порты не обнаружены
    Просканировано файлов: 23699, найдено вирусов 6
    Сканирование завершено в 03.03.2005 14:30:55
    Внимание !!! Для завершения процесса лечения необходима перезагрузка
    Сканирование длилось 00:04:38.109


    C:\Program Files\Maxxtro\MaxMice\kbdhook.dll
    C:\Program Files\Visio\DVS\VB Solutions\ShowArgs\Showargs.EXE
    выслала запакованными с паролем virus на newvirus@z-oleg.com

  7. #6
    Guest

    Re:keyloggerы и что с ними делать?

    Протокол антивирусной утилиты AVZ версии 3.00
    Сканирование запущено в 03.03.2005 13:00:20
    Загружена база: 9901 сигнатур, 1 нейропрофилей, 9 микропрограмм лечения, 0 микропрограмм эвристики
    Загружены цифровые подписи системных файлов: 23996 шт.
    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Функция ntdll.dll:NtEnumerateKey (121) перехвачена, метод APICodeHijack.JmpTo
    >>> Код руткита в функции NtEnumerateKey нейтрализован
    Функция ntdll.dll:NtEnumerateValueKey (122) перехвачена, метод APICodeHijack.JmpTo
    >>> Код руткита в функции NtEnumerateValueKey нейтрализован
    Функция ntdll.dll:NtQueryDirectoryFile (187) перехвачена, метод APICodeHijack.JmpTo
    >>> Код руткита в функции NtQueryDirectoryFile нейтрализован
    Функция ntdll.dll:NtQuerySystemInformation (214) перехвачена, метод APICodeHijack.JmpTo
    >>> Код руткита в функции NtQuerySystemInformation нейтрализован
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Функция wininet.dll:InternetAutodial (207) перехвачена, метод APICodeHijack.JmpTo
    >>> Код руткита в функции InternetAutodial нейтрализован
    Функция wininet.dll:InternetGetConnectedState (235) перехвачена, метод APICodeHijack.JmpTo
    >>> Код руткита в функции InternetGetConnectedState нейтрализован
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    >> Опасно ! Обнаружена маскировка процессов
    >>>> Подозрение на маскировку процесса 1176 c:\winnt\system32\fwagvmzk.exe
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Эталонная KeServiceDescriptorTable найдена (FC=06DFA0, RVA=06DFA0)
    2. Проверка памяти
    Количество найденных процессов: 26
    Процесс c:\winnt\system32\nmssvc.exe может работать с сетью (ws2_32.dll,ws2help.dll,rasapi32.dll,tapi32.dll,ne tapi32.dll)
    Процесс c:\program files\common files\roxio shared\project selector\projselector.exe может работать с сетью (wininet.dll)
    Процесс c:\program files\roxio\easy cd creator 6\dragtodisc\drgtodsc.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll,wininet.dll)
    Процесс c:\program files\roxio\easy cd creator 6\audiocentral\rxmon.exe может работать с сетью (wininet.dll)
    Процесс c:\drwb32\spiderml.exe может работать с сетью (ws2_32.dll,ws2help.dll,wininet.dll)
    Процесс c:\winnt\system32\fwagvmzk.exe может работать с сетью (rasapi32.dll,ws2_32.dll,ws2help.dll,tapi32.dll,ne tapi32.dll,wininet.dll)
    Процесс c:\program files\internet explorer\ixplore.exe может работать с сетью (wininet.dll,rasapi32.dll,ws2_32.dll,ws2help.dll,t api32.dll)
    Процесс c:\winnt\system32\w?aclt.exe может работать с сетью (urlmon.dll,wininet.dll,netapi32.dll,ws2_32.dll,ws 2help.dll,rasapi32.dll,tapi32.dll)
    Процесс c:\documents and settings\zotov\application data\eude.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll,urlmon.dll,wininet.dll)
    Процесс c:\program files\roxio\easy cd creator 6\audiocentral\playlist.exe может работать с сетью (wininet.dll)
    Процесс c:\wincmd\wincmd32.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll,wininet.dll)
    Процесс c:\program files\avz-betta2\avz.exe может работать с сетью (ws2_32.dll,ws2help.dll,wininet.dll,netapi32.dll,r asapi32.dll,tapi32.dll)
    Количество загруженных модулей: 221
    Проверка памяти завершена
    3. Сканирование дисков
    C:\Program Files\Internet Explorer\calc.exe>>> подозрение на Spy.BetterInternet ( 0A8791CE 03921C49 00234B8B 0025AC02 70144)
    C:\valery v. zotov\НАУКИ И СОВРЕМЕННОСТЬ 2000.doc - В имени файла больше 5 пробелов(степень опасности 5)
    C:\valery v. zotov\Мои документы\НАУКИ И СОВРЕМЕННОСТЬ 2000.doc - В имени файла больше 5 пробелов(степень опасности 5)
    4. Проверка Winsock Layered Service Provider (SPI/LSP)
    Настройки LSP проверены. Ошибок не обнаружено
    5. Поиск клавиатурных шпионов (Keylogger)
    6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
    В базе 320 описаний портов
    На данном ПК открыто 4 TCP портов и 1 UDP портов
    Проверка завершена, подозрительные порты не обнаружены
    Просканировано файлов: 6659, найдено вирусов 0
    Сканирование завершено в 03.03.2005 13:01:06
    Сканирование длилось 00:00:46.359


    C:\Program Files\Internet Explorer\calc.exe>>> подозрение на Spy.BetterInternet ( 0A8791CE 03921C49 00234B8B 0025AC02 70144) тоже выслала

  8. #7
    Geser
    Guest

    Re:keyloggerы и что с ними делать?

    c:\winnt\system32\fwagvmzk.exe
    c:\program files\internet explorer\ixplore.exe
    c:\winnt\system32\w?aclt.exe - поискать все файлы с похожим названием. Возможно будет 2 файла wuaclt.exe или что-то вроде того.
    c:\documents and settings\zotov\application data\eude.exe
    c:\wincmd\wincmd32.exe

    Файлы обязательно заархивировать с паролем virus и отправить на virus@virusinfo.info
    Как архивировать с паролем написано тут:
    http://www.securinfo.ru/HowtoArchive
    как искать файлы написано тут:
    http://www.securinfo.ru/HowToSearch
    В письме обязательно указать ссылку на тему!

  9. #8
    Geser
    Guest

    Re:keyloggerы и что с ними делать?

    В логе « Ответ #4 от: Сегодня в 14:10:45 »
    c:\winnt\system32\caprpcsk.exe
    c:\winnt\system32\spool\drivers\w32x86\3\cappswk.e xe
    c:\winnt\soundman.exe

    Тоже заархивировать с паролем virus и отправить на virus@virusinfo.info

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380

    Re:keyloggerы и что с ними делать?

    Лог интересен ...
    Явно виден процесс spidernt.exe - монитор от DrWeb, но при этом находится вирь:
    c:\winnt\system32\mkscan.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit
    Т.е. из-за руткит-системы в Backdoor.Agobot антивирус DrWeb не может его найти и убить ...

    Еще следует прислать на анализ файл
    c:\documents and settings\zotov\application data\eude.exe
    (это странное приложение - стартует из нетипичной для программ папки, да еще с сетью работать может -возможно, это некий Backdoor ...)

    Файлы пришли:
    calk.exe - эвристик AVZ не соврал - это новый вид Spy.BetterInternet, его нужно удалить;
    Showargs.exe - файл от Visio, ложное срабатывание
    kbdhook.dll - клавиатурный перехватчик ... сказать точнее не могу, т.к. копирайтов и сведений о разработчике у него нет, анализ показывает, что он передает ниформацию о нажатиях клавиш некоемы приложению (какому - неизветсно, т.к. этот перехватчик не имеет средств установки и снятия перехвата - его кто-то должен запустить) ...

  11. #10
    Guest

    Re:keyloggerы и что с ними делать?

    ужас, замучили меня, уже 8 компуков проверил, ща буду разбираться
    сетка вирусами загажены, а на копмах че творится...ужас

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276

    Re:keyloggerы и что с ними делать?

    c:\wincmd\wincmd32.exe - Это по идее самый обычный Windows Commander, у меня он тоже стоит.

    [quote author=Зайцев Олег link=board=22;threadid=810;start=0#msg7881 date=1109853573]
    Лог интересен ...
    Явно виден процесс spidernt.exe - монитор от DrWeb, но при этом находится вирь:
    c:\winnt\system32\mkscan.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit
    Т.е. из-за руткит-системы в Backdoor.Agobot антивирус DrWeb не может его найти и убить ...
    [/quote]
    Спайдер не может найти и обезвредить руткит в памяти, т.к. он не умеет детектировать вирусы в памяти по особым сигнатурам для поиска вирусов в памяти для сканера и не может обезвредить стелс механизм, а вот если в базе есть сигнатура для обезвреживания руткита в памяти, то при проверки сканером в памяти руткит по идее должен быть обезврежен и тогда уже можно сканировать диски...

  13. #12
    Geser
    Guest

    Re:keyloggerы и что с ними делать?

    Цитата Сообщение от kps
    Спайдер не может найти и обезвредить руткит в памяти, т.к. он не умеет детектировать вирусы в памяти по особым сигнатурам для поиска вирусов в памяти для сканера и не может обезвредить стелс механизм, а вот если в базе есть сигнатура для обезвреживания руткита в памяти, то при проверки сканером в памяти руткит по идее должен быть обезврежен и тогда уже можно сканировать диски...
    Так ведь маскировка на самом деле не работает. Так что причина в другом.

  14. #13
    Guest

    Re:keyloggerы и что с ними делать?

    c:\winnt\system32\fwagvmzk.exe - поиск не дает результатов????

    c:\program files\internet explorer\ixplore.exe - послала

    c:\winnt\system32\w?aclt.exe - поискать все файлы с похожим названием. Возможно будет 2 файла wuaclt.exe или что-то вроде того. - поиск не дает результатов??? интересно что нет этих файлов

    c:\documents and settings\zotov\application data\eude.exe - хех, спйдер гад сразу определил как трояи удалил, странно, что на том копме веб не фиксирует, а спайдер гуард не включен

    c:\wincmd\wincmd32.exe -послала

    Файлы обязательно заархивировать с паролем virus и отправить на virus@virusinfo.info
    Как архивировать с паролем написано тут:
    http://www.securinfo.ru/HowtoArchive
    как искать файлы написано тут:
    http://www.securinfo.ru/HowToSearch
    В письме обязательно указать ссылку на тему!

  15. #14
    Guest

    Re:keyloggerы и что с ними делать?

    вот, из лога спайдера достала
    03-03-2005 17:02:35 A:\записать\eude.exe инфицирован Trojan.PurityAd - удален

  16. #15
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380

    Re:keyloggerы и что с ними делать?

    Цитата Сообщение от Elena
    вот, из лога спайдера достала
    03-03-2005 17:02:35 A:\записать\eude.exe инфицирован Trojan.PurityAd - удален
    А сам файл eude.exe сохранился ? Если да, присылайте - в базе AVZ такого нет, у DrWeb - тоже ...

  17. #16
    Geser
    Guest

    Re:keyloggerы и что с ними делать?

    Цитата Сообщение от Elena
    c:\winnt\system32\fwagvmzk.exe - поиск не дает результатов????

    c:\program files\internet explorer\ixplore.exe - послала

    c:\winnt\system32\w?aclt.exe - поискать все файлы с похожим названием. Возможно будет 2 файла wuaclt.exe или что-то вроде того. - поиск не дает результатов??? интересно что нет этих файлов
    Чем искала?

  18. #17
    Guest

    Re:keyloggerы и что с ними делать?

    сохранился на том компуке, закопирую ....в субботу, надо тогда спайдер отключить?

  19. #18
    Guest

    Re:keyloggerы и что с ними делать?

    а почему eude.exe в базе веба нет, ведь спайдер перехватил?...

  20. #19
    Elena
    Guest

    Re:keyloggerы и что с ними делать?

    Цитата Сообщение от Geser
    Чем искала?
    искала пуск - найти, и вручную по указанному пути искала

  21. #20
    Elena
    Guest

    Re:keyloggerы и что с ними делать?

    Цитата Сообщение от Geser
    В логе « Ответ #4 от: Сегодня в 14:10:45 »
    c:\winnt\system32\caprpcsk.exe
    c:\winnt\system32\spool\drivers\w32x86\3\cappswk.e xe
    c:\winnt\soundman.exe

    Тоже заархивировать с паролем virus и отправить на virus@virusinfo.info
    отправила

Страница 1 из 2 12 Последняя

Похожие темы

  1. Sanitardiska и еже с ними
    От antivir в разделе Помогите!
    Ответов: 9
    Последнее сообщение: 22.02.2009, 04:42
  2. Ответов: 1
    Последнее сообщение: 23.08.2008, 18:15
  3. spools.exe и иже с ними
    От katy в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 31.05.2008, 22:33
  4. Ответов: 1
    Последнее сообщение: 29.12.2007, 17:59
  5. Поиогите вирусы не знаю что с ними делать
    От Agirish в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 01.10.2007, 09:14

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00945 seconds with 19 queries