нод32 выдаёт сообщение о том что адрес заблокирован через каждые 5 мин. и ссылка на айпи адрес 91.207.4.146/spm/.......
сам нод32 вирусов не обнаруживает
решила почистить avz4 и получила следующее
Код:
1. Поиск RootKit и программ, перехватывающих функции API
>>>> Подозрение на маскировку файла процесса: c:\windows\explorer.exe:userini.exe
>>>> Подозрение на маскировку файла процесса: c:\windows\explorer.exe:userini.exe
>>>> Подозрение на маскировку файла процесса: c:\windows\explorer.exe:userini.exe
>>>> Подозрение на маскировку файла процесса: c:\windows\explorer.exe:userini.exe
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=08B520)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80562520
KiST = 804E48D0 (284)
Функция NtOpenProcess (7A) перехвачена (80581702->81BE5CB0), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика уже нейтрализован
Функция NtOpenThread (80) перехвачена (805E1941->81BE60D0), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика уже нейтрализован
Функция NtSuspendProcess (FD) перехвачена (80637717->81BE66D0), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика уже нейтрализован
Функция NtSuspendThread (FE) перехвачена (80637633->81BE64F0), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика уже нейтрализован
Функция NtTerminateProcess (101) перехвачена (8058E695->81BE5EE0), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика уже нейтрализован
Функция NtTerminateThread (102) перехвачена (805838E7->81BE6310), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика уже нейтрализован
Проверено функций: 284, перехвачено: 6, восстановлено: 6
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
CmpCallCallBacks = 001450D8
Disable callback OK
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 52
c:\windows\explorer.exe:userini.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла
c:\windows\explorer.exe:userini.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла
c:\windows\explorer.exe:userini.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла
c:\windows\explorer.exe:userini.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла
c:\windows\explorer.exe:userini.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла
Количество загруженных модулей: 502
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 8 TCP портов и 14 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
>>> Подозрение на маскировку ключа реестра службы\драйвера "hksktqthp"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
надеюсь только на вас, спасибо!
Последний раз редактировалось pig; 20.02.2010 в 08:04.
Причина: утоптал
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отключите Восстановление системы.
Отключите интернет.
Выгрузите/отключите антивирус/файрволл.
Пофиксите в HijackThis:
Код:
R3 - URLSearchHook: (no name) - - (no file)
O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
Выполните скрипт в AVZ:
Код:
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\System Volume Information\_restore{507A5157-E87A-48F6-AB47-2A89D457C19D}\RP67\A0030306.exe:userini.exe:$DATA','');
QuarantineFile('C:\System Volume Information\_restore{507A5157-E87A-48F6-AB47-2A89D457C19D}\RP67\A0030246.exe:userini.exe:$DATA','');
QuarantineFile('C:\System Volume Information\_restore{507A5157-E87A-48F6-AB47-2A89D457C19D}\RP67\A0029373.exe:userini.exe:$DATA','');
QuarantineFile('C:\WINDOWS\system32\014D4.tmp','');
DeleteFile('C:\WINDOWS\system32\014D4.tmp');
DeleteFile('C:\System Volume Information\_restore{507A5157-E87A-48F6-AB47-2A89D457C19D}\RP67\A0029373.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{507A5157-E87A-48F6-AB47-2A89D457C19D}\RP67\A0030246.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{507A5157-E87A-48F6-AB47-2A89D457C19D}\RP67\A0030306.exe:userini.exe:$DATA');
DeleteService('mofgeymf');
AddToLog(inttostr(BC_ServiceKill('hksktqthp')) );
SaveLog(GetAVZDirectory+'avz_log.txt');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
вот это вобще не могу сделать, ни в какую,из-за gmer зависает компьютер, пыталась раз 5...((
в общем ничего не меняется,не смотря на то что выполнила несколько скриптов, но т.к. система категорически отказалась делать лог gmer, наверно что-то пытаться деалть уже бесполезно
Последний раз редактировалось AndreyKa; 22.02.2010 в 22:48.
Попробывала сделать лог gmer при отключенном антивирусе.
Сканировала систему больше 3х часов в итоге компьютер выключился,сам включился и появилось окно-система восстановлена после серьезной ошибки
какая-то фигня теперь: когда вставляешь флешку не появляется окно автозапуска-какое действие следует выполнить?пробывала свойства-автозапуск, не помогло
ещё перед запуском виндоус: черный экран и синее окно, выполнить скрипт,и так иероглифы,квадратики какие то, и ОК, жму ОК и только тогда запускается...
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: