Не запускается практически ни одно приложение в том числе и AVZ (и после переименования тоже), при этом не не выдаётся никаких ошибок, не запускаются команды и программы из коммандной строки, в том числе и в защищенном режиме. Единственно что запускается это диспетчер задач, а также могу просматривать содержимое папок, копировать и переименвывать файлы. Операцонка Win XP SP2.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Как переименовывали? Пробовали менять не только имя, но и расширение файла? Если нет, попробуйте переименовать avz.exe в 123.bat , например, и запустить. Если запустится, сделайте логи.
Переименовать могу только имя, т.е. если в проводнике переименовать приложение AVZ на 123.bat то в итоге получается 123.bat.exe , а как можно переименовать не имея возможности выйти в сессию DOS???
А свойства папки вам доступны? Если да, то в свойствах папки снимите галку "скрывать расширения для зарегистрированных типов файлов", и попробуйте снова переименовать avz.exe . Для восстановления запуска exe-файлов можно так же воспользоваться вот этими рекомендациями - http://virusinfo.info/showthread.php?t=10260
Своиства папок открываются но такой опции у меня нет. Но я эту операцию по переименованию выполнил на другом компе и по сети загнал в свой комп, запуск батника ничего не дал (не запустился), загрузил рекомендованный Вами батник для фиксации проблем с .exe (xp_fileassoc) результат нулевой (на мгновение появилось черное пустое окошко и пропало) т.е. батники как и другие приложения не выполняются, никаких сообщений не выдается.
Мне удалось запустить AVZ подставив его в автозапуск (причем сделал я это раньше но запустился он только сейчас)
Протокол антивирусной утилиты AVZ версии 4.30
Сканирование запущено в 17.07.2008 18:23:21
Загружена база: сигнатуры - 176618, нейропрофили - 2, микропрограммы лечения - 56, база от 16.07.2008 18:11
Загружены микропрограммы эвристики: 370
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 71502
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dlldrGetProcedureAddress (65) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C919B88->1346AF
Функция ntdll.dlldrLoadDll (70) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C9161CA->1346ED
Функция ntdll.dll:NtCreateThread (140) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D7D2->13467C
Функция ntdll.dll:NtQueryDirectoryFile (234) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90DF5E->13475B
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:GetClipboardData (25 перехвачена, метод ProcAddressHijack.GetProcAddress ->77D5FCB2->13367C
Функция user32.dll:TranslateMessage (683) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D38BCE->13395E
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:WSASend (76) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A96233->13A599
Функция ws2_32.dll:WSASendTo (7 перехвачена, метод ProcAddressHijack.GetProcAddress ->71AA0A95->13A57E
Функция ws2_32.dll:closesocket (3) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A99639->13A56E
Функция ws2_32.dll:send (19) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A9428A->13A605
Функция ws2_32.dll:sendto (20) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A92C69->13A5CF
Анализ wininet.dll, таблица экспорта найдена в секции .text
Функция wininet.dll:HttpQueryInfoA (205) перехвачена, метод ProcAddressHijack.GetProcAddress ->771B8C6A->1393B9
Функция wininet.dll:HttpQueryInfoW (206) перехвачена, метод ProcAddressHijack.GetProcAddress ->771C7756->13940A
Функция wininet.dll:HttpSendRequestA (207) перехвачена, метод ProcAddressHijack.GetProcAddress ->771B76B8->139F7C
Функция wininet.dll:HttpSendRequestExA (20 перехвачена, метод ProcAddressHijack.GetProcAddress ->7720190D->13A061
Функция wininet.dll:HttpSendRequestExW (209) перехвачена, метод ProcAddressHijack.GetProcAddress ->771C53EB->13A044
Функция wininet.dll:HttpSendRequestW (210) перехвачена, метод ProcAddressHijack.GetProcAddress ->77201808->139F5C
Функция wininet.dll:InternetCloseHandle (223) перехвачена, метод ProcAddressHijack.GetProcAddress ->771B61DC->139834
Функция wininet.dll:InternetQueryDataAvailable (26 перехвачена, метод ProcAddressHijack.GetProcAddress ->771C325F->1399E4
Функция wininet.dll:InternetReadFile (272) перехвачена, метод ProcAddressHijack.GetProcAddress ->771B9555->139982
Функция wininet.dll:InternetReadFileExA (273) перехвачена, метод ProcAddressHijack.GetProcAddress ->771E7E9A->1399C3
Функция wininet.dll:InternetReadFileExW (274) перехвачена, метод ProcAddressHijack.GetProcAddress ->771E88D6->1399A2
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка загрузки драйвера - проверка прервана [C0000034]
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Ошибка загрузки драйвера - проверка прервана [C0000034]
2. Проверка памяти
Количество найденных процессов: 29
Количество загруженных модулей: 268
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Documents and Settings\Super-Slon\Local Settings\Temp\~DF31FB.tmp
C:\Program Files\DDDrWeb\infected.!!!\8dselgio.exe >>> подозрение на Trojan-Spy.Win32.BZub.fm ( 069E8923 0DB44C1B 00215DAF 001E8275 6832
C:\Program Files\DDDrWeb\infected.!!!\owv3rzs6.exe >>> подозрение на Trojan-Spy.Win32.BZub.fm ( 069E8923 0DB44C1B 00215DAF 001E8275 6832
C:\Program Files\DDDrWeb\infected.!!!\taodf5mo.exe >>> подозрение на Trojan-Spy.Win32.BZub.fm ( 069E8923 0DB44C1B 00215DAF 001E8275 6832
C:\Program Files\DDDrWeb\infected.!!!\winclea0.exe >>>>> Trojan.Win32.Agent.aaw
C:\Program Files\DDDrWeb\infected.!!!\winclea1.exe >>>>> Trojan.Win32.Agent.aaw
C:\Program Files\DDDrWeb\infected.!!!\winclea2.exe >>>>> Trojan.Win32.Agent.aaw
C:\Program Files\DDDrWeb\infected.!!!\winclea3.exe >>>>> Trojan.Win32.Agent.aaw
C:\Program Files\DDDrWeb\infected.!!!\winclea4.exe >>>>> Trojan.Win32.Agent.aaw
C:\Program Files\DDDrWeb\infected.!!!\winclea5.exe >>>>> Trojan.Win32.Agent.aaw
C:\Program Files\DDDrWeb\infected.!!!\winclea6.exe >>>>> Trojan.Win32.Agent.aaw
C:\Program Files\DDDrWeb\infected.!!!\winclea7.exe >>>>> Trojan.Win32.Agent.aaw
C:\Program Files\DDDrWeb\infected.!!!\winclean.exe >>>>> Trojan.Win32.Agent.aaw
C:\System Volume Information\_restore{71F49817-2AC4-443A-A298-8E7AF7B99C55}\RP63\A0019714.dll >>> подозрение на Trojan.Win32.Pakes.cdw ( 0A5FF231 0492B11F 0020FE22 0023D50D 84992)
Прямое чтение C:\WINDOWS\system32\1042i.exe
C:\WINDOWS\system32\VIRUS\cdfvie.dll >>>>> Trojan.Win32.Pakes.cdw
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files\KMaestro\HidKeybd.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\KMaestro\HidKeybd.dll>>> Поведенческий анализ
1. Реагирует на события: клавиатура, мышь
C:\Program Files\KMaestro\HidKeybd.dll>>> Нейросеть: файл с вероятностью 50,00% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINDOWS\system32\Amhooker.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\Amhooker.dll>>> Поведенческий анализ
1. Реагирует на события: клавиатура, мышь
C:\WINDOWS\system32\Amhooker.dll>>> Нейросеть: файл с вероятностью 50,00% похож на типовой перехватчик событий клавиатуры/мыши
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "cru629.dat"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: разрешен автоматический вход в систему
Проверка завершена
9. Мастер поиска и устранения проблем
>> Таймаут завершения служб находится за пределами допустимых значений
Проверка завершена
Просканировано файлов: 83433, извлечено из архивов: 58752, найдено вредоносных программ 10, подозрений - 4
Сканирование завершено в 17.07.2008 18:35:05
Сканирование длилось 00:11:45
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info
После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=26632 , как написано в прил. 3 правил, попробуйте снова отключить восстановление системы, и повторите логи, начиная с п. 10 правил.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: