Всем привет.
При открытии IExplorer выскакивало окно знакомств (раньше такого не было), правда последние два дня окно не появлялось. При проверке компа на вирусы (базы обновляются регулярно) Web ничего не находит. При проверке компьютера AVZ вот что было написано в протоколе, привожу выдержки:
1. Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
2. Проверка IDT и SYSENTER
Анализ для процессора 1
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [EDCBE83B] C:\WINDOWS\system32\drivers\HaspNT.sys, драйвер опознан как безопасный
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [EDCBE780] C:\WINDOWS\system32\drivers\HaspNT.sys, драйвер опознан как безопасный
3. Анализатор - изучается процесс 2332 C:\Program Files\Opera\opera.exe
[ES]:Может работать с сетью
[ES]:EXE упаковщик ?
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
4. C:\Program Files\Opera\spellcheck.dll >>> подозрение на Trojan-Proxy.Win32.Agent.hd ( 0682A9DB 05DA20A5 00296237 00265560 37376)
5. C:\System Volume Information\_restore{ECAD2D83-BF84-4620-A19E-DB72A68E79AB}\RP91\A0028813.exe - Подозрение на Virus.Win32.PE_Type1(степень опасности 75%)
C:\WINDOWS\Installer\{39E9516D-9846-4E6F-979C-8B28BECE9104}\NewShortcut10.chm - PE файл с нестандартным расширением(степень опасности 5%)
6. D:\Temp\BCDW\DSKTOOLS\Bootman2\MSYS.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\Temp\BCDW\DSKTOOLS\Bootman2\STARTER.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
7. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\system32\lsp.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\lsp.dll>>> Поведенческий анализ:
Типичное для кейлоггеров поведение не зарегистрировано
8. Эвристичеcкая проверка системы
>>> C:\WINDOWS\system32\vbsys2.dll ЭПС: подозрение на Trojan-Clicker.Win32.Agent (высокая степень вероятности)
Что с этим делать и на сколько это опасно?
Если кто-то может рассказать по этим пунктам буду очень благодарен.
Спасибо!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-если АVZ подозревает какой-либо объект, то его нужно прислать согласно Приложения 2 Правил для изучения, а в общем-то Вам нужно, как и всем, выполнить всё теже Правила, начиная с 8-го пункта...
-это чтоб Вы не чувствовали себя брошенным ...из присланных файлов:
C:\Program Files\Opera\spellcheck.dll - скорее всего, Spell check engine из Opera, и опасности, видимо, не представляет... кстати, какая у Вас версия Оперы?..
C:\System Volume Information\_restore{ECAD2D83-BF84-4620-A19E-DB72A68E79AB}\RP91\A0028813.exe - "альтернативная обновлялка" для Dr.Web, очевидно, Вы ею когда-то пользовались, вот система и затащила её в раздел для восстановления
C:\WINDOWS\Installer\{39E9516D-9846-4E6F-979C-8B28BECE9104}\NewShortcut10.chm - скомпилированный HTML-файл, возможно битый, т.к. декомпилировать сходу не получилось...
D:\Temp\BCDW\DSKTOOLS\Bootman2\MSYS.COM & D:\Temp\BCDW\DSKTOOLS\Bootman2\STARTER.COM - похоже, от софтины для загрузки различных операционных систем на одном компьютере...
C:\WINDOWS\system32\lsp.dll - есть подозрение на троян, требуется дополнительное изучение вирусными аналитиками
-кроме того, пофиксите в HijackThis: O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
Спасибо большое. Если будут подозрения, буду обращаться. Еще есть последний вопрос: "При включении компьетера, он сначала начинает запускаться, а потом резко отключается, после этого нажимая на кнопку запуска ничего не происходит, пока не отключишь питание и не включишь заново. Что это может быть?".
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: