Не пускает в некоторые настройки, периодически сильные глюки

[Allekzz]

Добрый день. Обращаюсь к Вам за помощью. Проблема следующая. (Рассказываю в той последовательности как стало проявляться)
1 стадия. Компьютер через некоторое время после загрузки отключает интернет, Комодо файервол 2.4. начинает глючить - пишет грубую ошибку. После этого не запускается ни одна программа, не могу попасть в управление компьютером, и в администрировании - просмотреть, изменить настройки для пользователей (пишет - не запущена служба сервера). Службу сервера найти не смог. После перезагрузки некоторое время все нормально, потом - опять то же .

2 стадия. нашел таки службу сервера - появляется когда устанавливаешь в настройках сетевого подключения службу доступа к файлам и принтерам. С этой установленной службой какое-то время все работало нормально. Правда AVZ понаходил несколько маскирующихся процессов и перехват 18 процессов. Через некоторое время вернулись те же симптомы, и к тому же начисто пропали настройки сетевого подключения (висит только "Клиент для сетей майкрософт"), и их невозможно добавить - ни один протокол, ни одну службу - пишет "невозможно добавить требуемый компонент. Ошибка:не удается найти указанный файл.". Кроме того, в BW метере появился еще один фильтр - пустая строка, при удалении его программа виснет, после перезагрузки строка восстанавливается.
Установлены - Comodo personal firewall, 2.4., Nod32 v3, Spybot search and destroy.

Логи приложены.

[Гриша]

В логах чисто, установите SP3+ остальные апдейты...

[Allekzz]

Мдя... Успокоили Вы меня а зря. Я все не решался поставить систему заново, думал если что-то есть, то оно не даст установить чистую систему, напартачит. Так наверное и вышло. Сначала попробовал обновить старую систему - новая винда - с SP3 встроенным изначально, от Филки. Не помогло. Те же глюки. Тогда решил ее стереть мягким способом - чтоб бут.ини не менять и зугрузочную запись не портить. - Поудалял папки Program files, Windows, Documents n settings, находясь в другой системе, w2k3 -я ей не пользуюсь, висит как раздля таких случаев, и поставил на диск С заново, чистую систему, из под доса (форматировать диск не стал - еще много всего на нем). Кстати, почему-то win2k3, установленная на диске д, не смогла удалить один или два файла с папки С\Windows\system32\macromedia\ - файлы точно не записал, -Unlocker также не смог их удалить - было предложено удалить их при перезагрузке, с чем я и согласился - связаны они с флэш плеером по-мойму, 9-й версией. Больше ничего подозрительного не было.

Новая система поработала один день. Сначала был только одни глюк - почему- то Punto Switcher 2.9.5 категорически не разрешался файерволом Comodo 3.5 - несмотря на то что в правилах было ему все позволено - при мелейшем действии - переводе в другую раскладку - Comodo выводил очередной запрос и после этого система практически зависала - не считая работы альт-таб... Сегодня же - проявилось то же самое что и в старой системе, даже по-моему похлеще - не запускается ни один екзешник, не пускает в диспетчер задач, в пуск - программы - стало пусто и т.п. После перезагрузки пока все нормально - вот и удалось отписаться сюда... А вот сейчас уже опять - не запускается диспетчер, свойства экрана и т.п.

Что делать?

Добавлено через 1 минуту

Т.к. уверен, что какая-то зверушка сидит, лицензировать и апдейтить виндовс с 07.2008 (дата сборки) до сегодняшней даты пока не стал - не уверен, что все пройдет правильно.

Добавлено через 8 минут

А вот AVZ показал что-то новое - написал про руткиты. Прошу прощения что не по форме лог - я просто запустился как обычно, через "запустить сканирование", а раз он все исправил, то скрипт в лог при повторной проверке уже ничего не запишет...

Вот содержание:
Протокол антивирусной утилиты AVZ версии 4.30
Сканирование запущено в 12.01.2009 3:26:48
Загружена база: сигнатуры - 204891, нейропрофили - 2, микропрограммы лечения - 56, база от 08.01.2009 17:46
Загружены микропрограммы эвристики: 372
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 75597
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: Отключено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dlldrUnloadDll (80) перехвачена, метод APICodeHijack.JmpTo[10005736]
>>> Код руткита в функции LdrUnloadDll нейтрализован
Функция ntdll.dll:NtClose (111) перехвачена, метод APICodeHijack.JmpTo[10005806]
>>> Код руткита в функции NtClose нейтрализован
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:EndTask (202) перехвачена, метод APICodeHijack.JmpTo[100053C6]
>>> Код руткита в функции EndTask нейтрализован
Функция user32.dll:keybd_event (727) перехвачена, метод APICodeHijack.JmpTo[10001546]
>>> Код руткита в функции keybd_event нейтрализован
Функция user32.dll:mouse_event (72 перехвачена, метод APICodeHijack.JmpTo[100016C6]
>>> Код руткита в функции mouse_event нейтрализован
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=083220)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 80800000
SDT = 80883220
KiST = 8080B6A8 (284)
Функция NtAdjustPrivilegesToken (0B) перехвачена (808B60A1->EB1E9906), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtConnectPort (1F) перехвачена (808B09EB->EB1E8E66), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateFile (25) перехвачена (80895DC0->EB1E94C2), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateKey (29) перехвачена (8089965D->EB1EA0D0), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreatePort (2E) перехвачена (808C05B1->EB1E8BC0), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateSection (32) перехвачена (8088E2B3->EB1EADC0), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateSymbolicLinkObject (34) перехвачена (808C8509->EB1E9AEC), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateThread (35) перехвачена (808B763F->EB1E8796), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDeleteKey (3F) перехвачена (808BE2BE->EB1E9D3A), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDeleteValueKey (41) перехвачена (808BBD50->EB1E9EEA), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDuplicateObject (44) перехвачена (8089A5E0->EB1E84F, перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtLoadDriver (61) перехвачена (808CCAF1->EB1EAA42), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtMakeTemporaryObject (69) перехвачена (808C88C2->EB1E90AC), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenFile (74) перехвачена (80895D5B->EB1E96FA), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenProcess (7A) перехвачена (8089A7C7->EB1E822, перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenSection (7D) перехвачена (80899FD7->EB1E933C), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenThread (80) перехвачена (808B31BD->EB1E83A0), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtRenameKey (C0) перехвачена (8097779E->EB1EA496), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtRequestWaitReplyPort (C перехвачена (8089FCE6->EB1E8CDE), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSecureConnectPort (D2) перехвачена (808B84DE->EB1EA7FA), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetSystemInformation (F0) перехвачена (808D0BDD->EB1EABF0), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetValueKey (F7) перехвачена (8089B889->EB1EA296), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtShutdownSystem (F9) перехвачена (8097016B->EB1E9046), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSystemDebugControl (FF) перехвачена (80972CE3->EB1E9230), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtTerminateProcess (101) перехвачена (808AB2E0->EB1E8A8A), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtTerminateThread (102) перехвачена (808A4885->EB1E895, перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Проверено функций: 284, перехвачено: 26, восстановлено: 26
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
>>>> Обнаружена маскировка процесса 39304 ?
1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 39
Анализатор - изучается процесс 1812 C:\Program Files\COMODO\SafeSurf\cssurf.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 1920 C:\Program Files\ASUS\Splendid\ACMON.exe
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 1988 C:\Program Files\ASUS\ASUS MultiFrame\MultiFrame.exe
[ES]:Записан в автозапуск !!
>>> Реальный размер предположительно = 2932736
Анализатор - изучается процесс 228 C:\Program Files\BWMeter\BWMeter.exe
[ES]:Может работать с сетью
[ES]:Может отправлять почту ?!
[ES]:Записан в автозапуск !!
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 276 C:\WINDOWS\system32\ACEngSvr.exe
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
Анализатор - изучается процесс 1160 C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 1276 C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
[ES]:Может работать с сетью
[ES]:Может отправлять почту ?!
[ES]:Прослушивает порты TCP !
[ES]:Приложение не имеет видимых окон
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 1532 C:\Program Files\HW group\HW VSP3s\HW_VSP3s_srv.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 1692 C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 1476 C:\Program Files\Mozilla Firefox\firefox.exe
[ES]:Может работать с сетью
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 5272 C:\Program Files\uTorrent\uTorrent.exe
[ES]:Может работать с сетью
[ES]:Может отправлять почту ?!
[ES]:Прослушивает порты TCP !
[ES]:Приложение не имеет видимых окон
[ES]:EXE упаковщик ?
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Количество загруженных модулей: 452
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\system32\guard32.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\guard32.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
C:\WINDOWS\system32\cssdll32.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\cssdll32.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 24 TCP портов и 17 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\WINDOWS\system32\guard32.dll C:\WINDOWS\system32\cssdll32.dll"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Таймаут завершения служб находится за пределами допустимых значений
>>> Таймаут завершения служб находится за пределами допустимых значений - исправлено
>> Разрешен автозапуск с HDD
>>> Разрешен автозапуск с HDD - исправлено
>> Разрешен автозапуск с сетевых дисков
>>> Разрешен автозапуск с сетевых дисков - исправлено
>> Разрешен автозапуск со сменных носителей
>>> Разрешен автозапуск со сменных носителей - исправлено
Проверка завершена
Просканировано файлов: 491, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 12.01.2009 3:28:49
!!! Внимание !!! Восстановлено 26 функций KiST в ходе работы антируткита
Это может нарушить нормальную работу ряда программ, поэтому настоятельно рекомендуется перезагрузить компьютер
Сканирование длилось 00:02:05
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info


Что подскажете?

[Bratez]

Попробуйте это: http://virusinfo.info/showthread.php?t=15927 (способ #1).

[Allekzz]

Попробуйте это: http://virusinfo.info/showthread.php?t=15927 (способ #1).

А разве к руткитам применима методика та же что к файловым вирусам? Да и как отправить зараженные файлы если они отсутствуют?) Тут нужна опция "Отправить зараженную систему на анализ" ))) CureIT использовал при проверке первой системы, с самого начала, с последней базой, как написано, и в SafeMode, и в обычном режиме. Прога ничего абсолютно не нашла.

[Bratez]

А разве к руткитам применима методика та же что к файловым вирусам?

Нет. А у вас никаких руткитов и не наблюдается. Если вас смущают перехваты - это от комода. Зато вот эти ваши слова:

не запускается ни один екзешник, не пускает в диспетчер задач, в пуск - программы - стало пусто и т.п. После перезагрузки пока все нормально - вот и удалось отписаться сюда... А вот сейчас уже опять - не запускается диспетчер, свойства экрана и т.п.

наводят на подозрение о файловом вирусе.

[Allekzz]

Да?... Стоит призадуматься... То есть, это именно вирус? Почему же ни одним антивирусником он не определяется, нет даже намека на него - наверняка что-то бы проявилось - ведь есть же эвристика... Может конечно он не дает правильно проверять комп - щас попробую, действительно, - закачать и записать все эти проги на чистом компе, а потом уже проверять этот... Может и правда он как-то все антивирусы обезоруживает))

Добавлено через 6 часов 43 минуты

Кстати, нашел только что какие-то процессы интересные, по-мойму нестандартные...
в system32\drivers :
uze5odqv.sys
ude5odqv.sys
ute5odqv.sys

Антивирь молчит обо всех...

Добавлено через 7 минут

мда... из второй винды ни один из первых трех файлов в папках не нашел... ни с расширением dll ни sys... поиск через AVZ не помог. Видимо они создаются только непосредственно в запущенной системе... Получается, это только следствие, а главный паразит где-то еще... Жду Live CD.

Добавлено через 6 часов 16 минут

Live CD по ссылке на странице http://virusinfo.info/showthread.php?t=15927 (способ #1) ситуации не испрвил - по его мнению, все чисто. CureIT, записанный на CD, и запущенный в системе, тоже ничего не видит.

Мне кажется, все-таки ндо сканировать непосредственно в запущенной системе а не из под доса - наверное это все-таки не вирус а что-то еще. AVZ записанный на диск нашел еще какие-то перехватчики процессов - помимо указанных выше, но не смог их исправить, перехват касается файлов либо файловой системы - конкретные логи по скриптам не знаю как сохранить при запуске с CD. помню что связано с проверкой обработчиков IRP и писало что то вроде FileSystem.... FastFat .... перехватчик не определен

Комодо 3.5., так как грузится сразу, еще до активации зловреда(последний начинает работать секунд через 15 после загрузки системы), показывает дерево запущенных процессов. Обратил внимание, что большинство систмных процесов, в т.ч. svchost? но не все, запущены от какого-то корня system, без всяких опознавательных знаков, комментариев, ссылок на файлы, может это окно сфоткать - сюда разместить - уже не знаю, что может помочь... Причем рядом, на этом же уровне, присутствует еще один корень system ...(не помню второе слово ))), но уже с комментариями.
Как при запуске с CD можно проверить систему утилитой Зайцева и прочими прогами с сохранением логов, чтобы я мог Вам отправить новые? Или можно будет переписать вручную - эти новые несколько строчек где появился какойто файловый перехватчик?

[Гриша]

Похоже у вас параноя...

[Allekzz]

Теперь то же самое начало твориться и с Windows 2003... прошло наверное, дня три, как я с ней начал работать после того как основная система отказала ... первые секунд десять W2k3 работает, а потом - аналогично - отрубаются все exe-файлы, панель управления, диспетчер программ и т.п.

Вот лог AVZ.
На нем , по-моему, опять конкретного ничего нет - в основном ругается на Online Armor - но тот выключен и выгружен из памяти..
и на ключ от 1С.

Протокол антивирусной утилиты AVZ версии 4.30
Сканирование запущено в 16.01.2009 22:00:20
Загружена база: сигнатуры - 205834, нейропрофили - 2, микропрограммы лечения - 56, база от 16.01.2009 00:40
Загружены микропрограммы эвристики: 372
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 76095
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: включено
Версия Windows: 5.2.3790, Service Pack 2 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:CreateProcessA (103) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции CreateProcessA нейтрализован
Функция kernel32.dll:CreateProcessW (106) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции CreateProcessW нейтрализован
Функция kernel32.dlloadLibraryA (595) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции LoadLibraryA нейтрализован
Функция kernel32.dlloadLibraryExW (597) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции LoadLibraryExW нейтрализован
Функция kernel32.dlloadLibraryW (59 перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции LoadLibraryW нейтрализован
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dlloadIconA (447) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции LoadIconA нейтрализован
Функция user32.dlloadIconW (44 перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции LoadIconW нейтрализован
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=0A83A0)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 80800000
SDT = 808A83A0
KiST = 80827ABC (296)
Функция NtAllocateVirtualMemory (12) перехвачена (8082FEDF->AFD01D80), перехватчик D:\WINDOWS\system32\drivers\OADriver.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtAssignProcessToJobObject (15) перехвачена (808E28AA->AFD021B0), перехватчик D:\WINDOWS\system32\drivers\OADriver.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtConnectPort (21) перехвачена (8091277B->AFD01730), перехватчик D:\WINDOWS\system32\drivers\OADriver.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateFile (27) перехвачена (8092C6F1->AFD03460), перехватчик D:\WINDOWS\system32\drivers\OADriver.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateKey (2B) перехвачена (8092AA6D->AFD04000), перехватчик D:\WINDOWS\system32\drivers\OADriver.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreatePort (30) перехвачена (808FBB42->AFD015E0), перехватчик D:\WINDOWS\system32\drivers\OADriver.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateProcess (31) перехвачена (808CA8A0->AFD022E0), перехватчик D:\WINDOWS\system32\drivers\OADriver.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateProcessEx (32) перехвачена (8091DE5F->AFD00380), перехватчик D:\WINDOWS\system32\drivers\OADriver.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateSection (34) перехвачена (80908614->AFD00100), перехватчик D:\WINDOWS\system32\drivers\OADriver.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateThread (37) перехвачена (80911152->AFD00930), перехватчик D:\WINDOWS\system32\drivers\OADriver.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDebugActiveProcess (3B) перехвачена (809BBD29->AFD00FB0), перехватчик D:\WINDOWS\system32\drivers\OADriver.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDeleteFile (41) перехвачена (808D2AA4->AFD03AC0), перехватчик D:\WINDOWS\system32\drivers\OADriver.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDeleteKey (42) перехвачена (808FC3EA->AFD02EE0), перехватчик D:\WINDOWS\system32\drivers\OADriver.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDeleteValueKey (44) перехвачена (808FF5EE->AFD047E0), перехватчик D:\WINDOWS\system32\drivers\OADriver.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateKey (4B) перехвачена (80924077->AFD03440), перехватчик D:\WINDOWS\system32\drivers\OADriver.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateValueKey (4D) перехвачена (809243EB->AFD03450), перехватчик D:\WINDOWS\system32\drivers\OADriver.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtLoadDriver (65) перехвачена (808E196F->AFD01BF0), перехватчик D:\WINDOWS\system32\drivers\OADriver.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtLoadKey (66) перехвачена (808D728A->AFD04B40), перехватчик D:\WINDOWS\system32\drivers\OADriver.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenFile (7A) перехвачена (8091B940->AFD03820), перехватчик D:\WINDOWS\system32\drivers\OADriver.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenKey (7D) перехвачена (8092D0FA->AFD03090), перехватчик D:\WINDOWS\system32\drivers\OADriver.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenProcess (80) перехвачена (80913E6A->AFD00690), перехватчик D:\WINDOWS\system32\drivers\OADriver.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenSection (83) перехвачена (8090CBAD->AFD00320), перехватчик D:\WINDOWS\system32\drivers\OADriver.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenThread (86) перехвачена (8091913A->AFD00B00), перехватчик D:\WINDOWS\system32\drivers\OADriver.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtProtectVirtualMemory (8F) перехвачена (80911028->AFD01EF0), перехватчик D:\WINDOWS\system32\drivers\OADriver.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryKey (A7) перехвачена (8092DF01->AFD03420), перехватчик D:\WINDOWS\system32\drivers\OADriver.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryValueKey (B9) перехвачена (8092BF89->AFD03430), перехватчик D:\WINDOWS\system32\drivers\OADriver.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtReplaceKey (C9) перехвачена (8096DF5D->AFD030A0), перехватчик D:\WINDOWS\system32\drivers\OADriver.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtRequestWaitReplyPort (D0) перехвачена (80914FF9->AFD01970), перехватчик D:\WINDOWS\system32\drivers\OADriver.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtRestoreKey (D4) перехвачена (8096DAD3->AFD03260), перехватчик D:\WINDOWS\system32\drivers\OADriver.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtResumeThread (D6) перехвачена (80911651->AFD01360), перехватчик D:\WINDOWS\system32\drivers\OADriver.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSaveKey (D7) перехвачена (8096DBD7->AFD03410), перехватчик D:\WINDOWS\system32\drivers\OADriver.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetContextThread (DD) перехвачена (80998003->AFD00E60), перехватчик D:\WINDOWS\system32\drivers\OADriver.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetInformationFile (E9) перехвачена (8090F776->AFD03D20), перехватчик D:\WINDOWS\system32\drivers\OADriver.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetValueKey (100) перехвачена (8092C3C0->AFD04300), перехватчик D:\WINDOWS\system32\drivers\OADriver.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtShutdownSystem (102) перехвачена (809B294B->AFD01BB0), перехватчик D:\WINDOWS\system32\drivers\OADriver.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSuspendProcess (106) перехвачена (80999E4B->AFD014A0), перехватчик D:\WINDOWS\system32\drivers\OADriver.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSuspendThread (107) перехвачена (809323BF->AFD01200), перехватчик D:\WINDOWS\system32\drivers\OADriver.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSystemDebugControl (10 перехвачена (809B536D->AFD010E0), перехватчик D:\WINDOWS\system32\drivers\OADriver.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtTerminateProcess (10A) перехвачена (80912DED->AFD007E0), перехватчик D:\WINDOWS\system32\drivers\OADriver.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtTerminateThread (10B) перехвачена (80916F42->AFD00CF0), перехватчик D:\WINDOWS\system32\drivers\OADriver.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtWriteVirtualMemory (11F) перехвачена (8092A8AA->AFD02050), перехватчик D:\WINDOWS\system32\drivers\OADriver.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Проверено функций: 296, перехвачено: 41, восстановлено: 41
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [A74E616D] D:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [A74E5FC2] D:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
Проверка IDT и SYSENTER завершена
>>>> Обнаружена маскировка процесса 38920 ?
1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=384, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 384)
Маскировка процесса с PID=896, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 896)
Маскировка процесса с PID=1564, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1564)
Маскировка процесса с PID=1592, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1592)
Маскировка процесса с PID=740, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 740)
Маскировка процесса с PID=2076, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2076)
Маскировка процесса с PID=2432, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2432)
Маскировка процесса с PID=2936, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2936)
Маскировка процесса с PID=2992, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2992)
Маскировка процесса с PID=23236, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 23236)
Маскировка процесса с PID=30156, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 30156)
Маскировка процесса с PID=36488, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3648
>> Маскировка драйвера: Base=A4307000, размер=86016, имя = "\SystemRoot\System32\Drivers\Serial.SYS"
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\driver\tcpip[IRP_MJ_CREATE] = B1566B3E -> D:\WINDOWS\system32\drivers\OAmon.sys
\driver\tcpip[IRP_MJ_CREATE_NAMED_PIPE] = B1566B3E -> D:\WINDOWS\system32\drivers\OAmon.sys
\driver\tcpip[IRP_MJ_CLOSE] = B1566B3E -> D:\WINDOWS\system32\drivers\OAmon.sys
\driver\tcpip[IRP_MJ_READ] = B1566B3E -> D:\WINDOWS\system32\drivers\OAmon.sys
\driver\tcpip[IRP_MJ_WRITE] = B1566B3E -> D:\WINDOWS\system32\drivers\OAmon.sys
\driver\tcpip[IRP_MJ_QUERY_INFORMATION] = B1566B3E -> D:\WINDOWS\system32\drivers\OAmon.sys
\driver\tcpip[IRP_MJ_SET_INFORMATION] = B1566B3E -> D:\WINDOWS\system32\drivers\OAmon.sys
\driver\tcpip[IRP_MJ_QUERY_EA] = B1566B3E -> D:\WINDOWS\system32\drivers\OAmon.sys
\driver\tcpip[IRP_MJ_SET_EA] = B1566B3E -> D:\WINDOWS\system32\drivers\OAmon.sys
\driver\tcpip[IRP_MJ_FLUSH_BUFFERS] = B1566B3E -> D:\WINDOWS\system32\drivers\OAmon.sys
\driver\tcpip[IRP_MJ_QUERY_VOLUME_INFORMATION] = B1566B3E -> D:\WINDOWS\system32\drivers\OAmon.sys
\driver\tcpip[IRP_MJ_SET_VOLUME_INFORMATION] = B1566B3E -> D:\WINDOWS\system32\drivers\OAmon.sys
\driver\tcpip[IRP_MJ_DIRECTORY_CONTROL] = B1566B3E -> D:\WINDOWS\system32\drivers\OAmon.sys
\driver\tcpip[IRP_MJ_FILE_SYSTEM_CONTROL] = B1566B3E -> D:\WINDOWS\system32\drivers\OAmon.sys
\driver\tcpip[IRP_MJ_DEVICE_CONTROL] = B1566B3E -> D:\WINDOWS\system32\drivers\OAmon.sys
\driver\tcpip[IRP_MJ_INTERNAL_DEVICE_CONTROL] = B1566B3E -> D:\WINDOWS\system32\drivers\OAmon.sys
\driver\tcpip[IRP_MJ_SHUTDOWN] = B1566B3E -> D:\WINDOWS\system32\drivers\OAmon.sys
\driver\tcpip[IRP_MJ_LOCK_CONTROL] = B1566B3E -> D:\WINDOWS\system32\drivers\OAmon.sys
\driver\tcpip[IRP_MJ_CLEANUP] = B1566B3E -> D:\WINDOWS\system32\drivers\OAmon.sys
\driver\tcpip[IRP_MJ_CREATE_MAILSLOT] = B1566B3E -> D:\WINDOWS\system32\drivers\OAmon.sys
\driver\tcpip[IRP_MJ_QUERY_SECURITY] = B1566B3E -> D:\WINDOWS\system32\drivers\OAmon.sys
\driver\tcpip[IRP_MJ_SET_SECURITY] = B1566B3E -> D:\WINDOWS\system32\drivers\OAmon.sys
\driver\tcpip[IRP_MJ_POWER] = B1566B3E -> D:\WINDOWS\system32\drivers\OAmon.sys
\driver\tcpip[IRP_MJ_SYSTEM_CONTROL] = B1566B3E -> D:\WINDOWS\system32\drivers\OAmon.sys
\driver\tcpip[IRP_MJ_DEVICE_CHANGE] = B1566B3E -> D:\WINDOWS\system32\drivers\OAmon.sys
\driver\tcpip[IRP_MJ_QUERY_QUOTA] = B1566B3E -> D:\WINDOWS\system32\drivers\OAmon.sys
\driver\tcpip[IRP_MJ_SET_QUOTA] = B1566B3E -> D:\WINDOWS\system32\drivers\OAmon.sys
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 33
Анализатор - изучается процесс 1440 D:\Program Files\HW group\HW VSP3s\HW_VSP3s_srv.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 1960 D:\Program Files\Spyware Terminator\sp_rsser.exe
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 1080 D:\WINDOWS\ATK0100\HControl.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 1484 D:\Program Files\ASUS\Splendid\ACMON.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 2436 D:\WINDOWS\system32\ACEngSvr.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
Анализатор - изучается процесс 2716 D:\Program Files\ASUS\ASUS MultiFrame\MultiFrame.exe
[ES]:Может работать с сетью
[ES]:Записан в автозапуск !!
Количество загруженных модулей: 266
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Documents and Settings\Al\Application Data\Opera\Opera\mail\indexer\indexer.dat
Прямое чтение C:\Documents and Settings\Al\Application Data\Opera\Opera\mail\lexicon\lexicon.dat
Прямое чтение C:\Documents and Settings\Al\Application Data\Opera\Opera\mail\mailbase.dat
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
D:\Program Files\Tall Emu\Online Armor\OAWatch.dll --> Подозрение на Keylogger или троянскую DLL
D:\Program Files\Tall Emu\Online Armor\OAWatch.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 9 TCP портов и 13 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 1340, извлечено из архивов: 102, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 16.01.2009 22:00:58
!!! Внимание !!! Восстановлено 41 функций KiST в ходе работы антируткита
Это может нарушить нормальную работу ряда программ, поэтому настоятельно рекомендуется перезагрузить компьютер
Сканирование длилось 00:00:39
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info

Еще - AVZ стал выводить всплывающее окно, что папка C/Documents and settings/Local Set../Applic. Data/Opera/Oprcashe недоступна и необходимо выполнить chkdisc. Папку действительно не получается открыть. chkdisk начинает проверять диск С, но в середине проверки пишет ошибку и вырубается.

Вот процессы в диспетчере процессов

[Allekzz]

Да, на диске С в папке програм файлс нашел какую-то директорию AskBarDis - я эту программу не устанавливал...

[Allekzz]

Поставил систему на диске С заново, с SP3, установил все обновления до сегодняшнего дня, посидел в ней часа четыре, еще даже не успел поставить ни одной программы - за это время только успел в интернет зайти - как опять вместо чистых результатов при проверке AVZ появились скрытые процессы, которые опять начали вредничать. Так как сделать ничего не могу, проблему пока,временно, решил просто - сижу в системе не как администратор, а как пользователь... Висят или не висят с таким ограничением прав левые процессы в памяти - сказать не могу, т.к. AVZ Guard с такими правами доступа не грузится, но система пока перестала глючить. Последний глюк был, кроме ограничений доступа и незапускавшихся файлов - нажимаешь домашнюю страницу в Мозилле - прописан Гугл - а выскакивает такая: xn--goe-ved4c.ru. Нажимаешь "обновить страницу" - тогда грузится Гугл.

Может, он в биосе как-то себя прописал... ведь на дисках AVZ, CureIT, NOD32, KAV ничего не находят? Что-то типа этого:

http://virusinfo.info/showthread.php...%F0%F3%F1+BIOS

[Allekzz]

Все. Тему можно закрывать (Грише по поводу паранойи ))))). Итоги - для информации:
Почитал про вирус в загрузочной записи, который грузится до винды и решил попробовать.
При попытке восстановить главную загрузочную запись через консоль восстановления (команда FIXMBR) - написало - "недопустимая или неправильная загрузочная запись" или что-то наподобие. При загрузке с загрузочного диска Нортон коммандера с поддержкой нтфс - он пишет, что диски не может обнаружить, и что возможно это связано с вирусом - еще одно подтверждение, что основная запись изменена и на ее месте вирус. Естественно Fixboot, Fixmbr не помогали т.к. вирус выгружался в память еще до их запуска. Проблема решилась установкой на диск загрузчика Ubuntu - что уж он такого сделал, не знаю, но после этого все левые, скрытые процессы, показываемые AVZ в его диспетчере процессов, начисто пропали. Теперь осталось отыскать источник вируса на дисках - благо, теперь ничто этому не может помешать и скрыть его следы ))