-
Junior Member
- Вес репутации
- 59
Тормозит комп. AVZ находит странные файлы. Что делать?
Тормозит комп.Плодятся странные файлы - exel-евские таблицы только с другими расширениями появляются в той же папке - где сама таблица - уже штук 7 появилось. Названия типа "имя.xls~RF296ea0e.TMP" и подобные. AVZ находит странные файлы. Что делать? Посмотрите пожалуйста. Логи прикрепляю.
Последний раз редактировалось vvvvvvvvvv1972; 10.09.2010 в 23:52.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
VirtualNetwork - деисталировать это зловред ...
Пофиксите
Код:
O4 - HKLM\..\Run: [D_V_T] C:\\dvt.exe /S \C:\\d_v_t.reg\
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\viktoria\Рабочий стол\undernet.exe');
TerminateProcessByName('c:\temp\rarsfx2\_start.exe');
DelBHO('{6C517674-DE1C-4493-977C-34A1BFAB35BA}');
QuarantineFile('C:\WINDOWS\system32\baserxmj32.dll','');
QuarantineFile('C:\\dvt.exe','');
QuarantineFile('C:\Program Files\VirtualNetwork\VirtualNetwork.dll','');
QuarantineFile('C:\WINDOWS\Marsu-Fix Uninstaller.exe.bak','');
QuarantineFile('C:\dvt.exe.bak','');
QuarantineFile('c:\documents and settings\viktoria\Рабочий стол\undernet.exe','');
QuarantineFile('c:\temp\rarsfx2\_start.exe','');
DeleteFile('c:\temp\rarsfx2\_start.exe');
DeleteFile('c:\documents and settings\viktoria\Рабочий стол\undernet.exe');
DeleteFile('C:\dvt.exe.bak');
DeleteFile('C:\WINDOWS\Marsu-Fix Uninstaller.exe.bak');
DeleteFile('C:\Program Files\VirtualNetwork\VirtualNetwork.dll');
DeleteFile('C:\\dvt.exe');
DeleteFile('c:\documents and settings\viktoria\Рабочий стол\undernet.exe');
DeleteFile('C:\WINDOWS\system32\baserxmj32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ....
повторите логи ...
Последний раз редактировалось Rene-gad; 23.06.2008 в 10:30.
Причина: скрипт расширен.. ;)
-
-
Junior Member
- Вес репутации
- 59
Спасибо сделаю. Только програмка undernet.exe - это программа доступа в Интернет - установили поставщики интернет услуг. У меня локальная сеть. Может исчезнуть и интернет в том числе.
-
dvt.exe - ломалка Нод32 скорее всего. Так что его лучше не трогать.
Виктория! Почему у Вас еще и Куре-ит болтается? Он д.б. завершен к моменту начала производства логов AVZ.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 59
Из скрипта я удалила все строчки связанные с программой undernet. Все выполнила сейчас вышлю новые логи.
-
Junior Member
- Вес репутации
- 59
Разъясните что это такое???? Уменя при сканировании выделено красным цветом.
Функция user32.dll:ChangeDisplaySettingsExA (34) перехвачена, метод APICodeHijack.JmpTo[100A7812]
>>> Код руткита в функции ChangeDisplaySettingsExA нейтрализован
Функция user32.dll:ChangeDisplaySettingsExW (35) перехвачена, метод APICodeHijack.JmpTo[100A783E]
>>> Код руткита в функции ChangeDisplaySettingsExW нейтрализован
Функция user32.dll:EndTask (202) перехвачена, метод APICodeHijack.JmpTo[100A74FA]
>>> Код руткита в функции EndTask нейтрализован
Функция user32.dll:SetWindowPos (644) перехвачена, метод APICodeHijack.JmpTo[100A74CE]
>>> Код руткита в функции SetWindowPos нейтрализован
Функция NtAssignProcessToJobObject (13) перехвачена (805A4567->EFB97C40), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtClose (19) перехвачена (805675D9->EFB831F0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtConnectPort (1F) перехвачена (80598C34->EFB9988C), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateFile (25) перехвачена (8057164C->EFB7DCD0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateKey (29) перехвачена (8056F063->EFB89D30), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreatePagingFile (2D) перехвачена (805BD9D8->F84EEB00), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateProcess (2F) перехвачена (805B3543->EFB93290), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateProcessEx (30) перехвачена (805885D3->EFB93AF0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateSection (32) перехвачена (80564B1B->EFB7CE70), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateSymbolicLinkObject (34) перехвачена (805A27B0->EFB89AF0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateThread (35) перехвачена (8057F262->EFB91F00), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDeleteFile (3E) перехвачена (805D8CF7->EFB88980), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDeleteKey (3F) перехвачена (8059D6BD->EFB8B3B0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDeleteValueKey (41) перехвачена (80597430->EFB900C0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateKey (47) перехвачена (8056F76A->F84EF5DC), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateValueKey (49) перехвачена (805801FE->F84FB120), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtMakeTemporaryObject (69) перехвачена (805A2C6E->EFB89370), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenFile (74) перехвачена (805715E7->EFB81FF0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenKey (77) перехвачена (805684D5->EFB8ABD0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenProcess (7A) перехвачена (8057459E->EFB957F0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenSection (7D) перехвачена (805766CC->EFB7D600), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenThread (80) перехвачена (80597C0A->EFB94E10), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtProtectVirtualMemory (89) перехвачена (8057494D->EFB98DC0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryDirectoryFile (91) перехвачена (80574DAD->EFB83E00), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryKey (A0) перехвачена (8056F473->EFB8BE60), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryValueKey (B1) перехвачена (8056B9A8->EFB8C5D0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtReplaceKey (C1) перехвачена (8064D892->EFB8D920), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtRestoreKey (CC) перехвачена (8064C3B0->EFB8F920), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSaveKey (CF) перехвачена (8064C457->EFB8EA30), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSaveKeyEx (D0) перехвачена (8064C4EF->EFB8F1A0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSecureConnectPort (D2) перехвачена (80585D7D->EFB9A20C), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetContextThread (D5) перехвачена (8062C85B->EFB97420), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetInformationFile (E0) перехвачена (80579E7E->EFB84FA0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetSystemPowerState (F1) перехвачена (8066608F->F84FA550), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetValueKey (F7) перехвачена (80575527->EFB8CD70), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtTerminateProcess (101) перехвачена (8058AE1E->EFB961E0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtTerminateThread (102) перехвачена (8057E97C->EFB96BA0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtWriteVirtualMemory (115) перехвачена (8057C123->EFB983B0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
\driver\tcpip[IRP_MJ_CREATE] = F8007E14 -> C:\WINDOWS\system32\DRIVERS\afw.sys
\driver\tcpip[IRP_MJ_DEVICE_CONTROL] = F800814C -> C:\WINDOWS\system32\DRIVERS\afw.sys
\driver\tcpip[IRP_MJ_INTERNAL_DEVICE_CONTROL] = F8007FCE -> C:\WINDOWS\system32\DRIVERS\afw.sys
\driver\tcpip[IRP_MJ_CLEANUP] = F8007F02 -> C:\WINDOWS\system32\DRIVERS\afw.sys
c:\progra~1\agnitum\outpos~1\wl_hook.dll --> Подозрение на Keylogger или троянскую DLL
c:\progra~1\agnitum\outpos~1\wl_hook.dll>>> Поведенческий анализ
Последний раз редактировалось vvvvvvvvvv1972; 10.09.2010 в 23:52.
-
Я так понимаю, что это антивирус, файрвол и Алкоголь (или Daemon Tools).
-
-
Junior Member
- Вес репутации
- 59
А в карантин что-то попалось? Файлы у меня в папках интересным образом размножаются и расширение их меняется. Что-же это?
-
О! Парочку образцов этого саморазмножающегося/изменяющегося пришлите по приложению 3. Похоже на проявления файлового вируса.
-
-
Junior Member
- Вес репутации
- 59
Просили прислать файл. Он в приложении.
Так попались ли в карантин вирусы - ответте пожалуйста. А то не очень понятно , что делать.
Последний раз редактировалось vvvvvvvvvv1972; 10.09.2010 в 23:52.
-
Это таблица Экселя,открытая чем-то.Незаконченна обработка ее какой-то программой и поэтому она осталась на диске.
В ней я ничего подозрительного не нашел.
Чем Вы открывали таблицу ОБД.xls?
З.Ы. Замечательный номер моего сообщения: 5555
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Сообщение от
PavelA
Чем Вы открывали таблицу ОБД.xls?
Может и Ексцеллем, ИМО кириллические имена файлов не допустимы или ограниченно допустимы (у меня - первое ).
-
-
Если система и Офис русские, то проблем с русскими именами файлов нет.
Excel по версию 2003 такой фигнёй, как предъявлена, не страдает. При открытии файлов вообще ничего дополнительного не создаётся, при сохранении временно появляются файлы с рандомными именами из восьми символов (по-моему, из набора [0-9A-F]). Попробовал сейчас с OpenOffice - тоже ничего такого не заметил.
Последний раз редактировалось pig; 30.06.2008 в 12:34.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\baserxmj32.dll - Trojan.Win32.Obfuscated.aat
-