Добрый день
Есть подозрение на вирусы - при каждой проверке выпадает:
CmpCallCallBacks = 001450FC и sp***.sus
CmpCallCallBacks = 001450FC и sp***.sus
Добрый день
Есть подозрение на вирусы - при каждой проверке выпадает:
CmpCallCallBacks = 001450FC и sp***.sus
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Кхм извеняюсь - запустил сбор данных после последней проверки и до перезагрузки (по этому в логе отсутствует sp***.sus - kernel)
Выполните скрипт в avz
ПК перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\csrcs.exe',''); DeleteFile('C:\WINDOWS\system32\csrcs.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','csrcs'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
вот:
Последний раз редактировалось Bratez; 01.12.2010 в 03:20. Причина: убрал лишнее вложение
ммм? далее смогу появиться только завтра =/ и так задержался на работе
В логах подозрительного нет.
Что с проблемой?
Проблема не решилась =\
Добавлено через 1 час 24 минутыКод:Протокол антивирусной утилиты AVZ версии 4.35 Сканирование запущено в 01.12.2010 09:22:20 Загружена база: сигнатуры - 282786, нейропрофили - 2, микропрограммы лечения - 56, база от 28.11.2010 12:58 Загружены микропрограммы эвристики: 386 Загружены микропрограммы ИПУ: 9 Загружены цифровые подписи системных файлов: 246598 Режим эвристического анализатора: Максимальный уровень эвристики Режим лечения: включено Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора Восстановление системы: Отключено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=08B520) Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000 SDT = 80562520 KiST = 804E48B0 (284) Функция NtAssignProcessToJobObject (13) перехвачена (805E83C2->85FE2580), перехватчик не определен >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtCreateKey (29) перехвачена (8057791D->F77430E0), перехватчик sphs.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtDebugActiveProcess (39) перехвачена (80662549->85FE3100), перехватчик не определен >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtDuplicateObject (44) перехвачена (80581216->85FE2B30), перехватчик не определен >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtEnumerateKey (47) перехвачена (80578E14->F7761CA2), перехватчик sphs.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtEnumerateValueKey (49) перехвачена (80587693->F7762030), перехватчик sphs.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtOpenKey (77) перехвачена (80572BF4->F77430C0), перехватчик sphs.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtOpenProcess (7A) перехвачена (80581702->85FE1CC0), перехватчик не определен >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtOpenThread (80) перехвачена (805E1959->85FE1FC0), перехватчик не определен >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtProtectVirtualMemory (89) перехвачена (80581889->85FE29C0), перехватчик не определен >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtQueryKey (A0) перехвачена (80578A14->F7762108), перехватчик sphs.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtQueryValueKey (B1) перехвачена (80573037->F7761F88), перехватчик sphs.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSetContextThread (D5) перехвачена (8063599F->85FE2860), перехватчик не определен >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSetInformationThread (E5) перехвачена (80578F9F->85FE26E0), перехватчик не определен >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSetSecurityObject (ED) перехвачена (805D9CCC->85FDF700), перехватчик не определен >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSetValueKey (F7) перехвачена (8058228C->F776219A), перехватчик sphs.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSuspendProcess (FD) перехвачена (80637737->85FE2420), перехватчик не определен >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSuspendThread (FE) перехвачена (80637653->85FE22C0), перехватчик не определен >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtTerminateProcess (101) перехвачена (8058E695->85FE1E50), перехватчик не определен >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtTerminateThread (102) перехвачена (805838E7->85FE2150), перехватчик не определен >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtWriteVirtualMemory (115) перехвачена (805885C4->85FE2F50), перехватчик не определен >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Проверено функций: 284, перехвачено: 21, восстановлено: 21 1.3 Проверка IDT и SYSENTER Анализ для процессора 1 Анализ для процессора 2 CmpCallCallBacks = 001450FC Disable callback OK Проверка IDT и SYSENTER завершена 1.4 Поиск маскировки процессов и драйверов Поиск маскировки процессов и драйверов завершен 1.5 Проверка обработчиков IRP Драйвер успешно загружен \FileSystem\ntfs[IRP_MJ_CREATE] = 867671F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_CLOSE] = 867671F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_WRITE] = 867671F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 867671F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 867671F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 867671F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_EA] = 867671F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 867671F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 867671F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 867671F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 867671F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 867671F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 867671F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 867671F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 867671F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_PNP] = 867671F8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_CREATE] = 85AFB1F8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_CLOSE] = 85AFB1F8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_WRITE] = 85AFB1F8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 85AFB1F8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 85AFB1F8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_QUERY_EA] = 85AFB1F8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_SET_EA] = 85AFB1F8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 85AFB1F8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 85AFB1F8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 85AFB1F8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 85AFB1F8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 85AFB1F8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 85AFB1F8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_PNP] = 85AFB1F8 -> перехватчик не определен Проверка завершена 2. Проверка памяти Количество найденных процессов: 29 Анализатор - изучается процесс 824 C:\Promservis\berkutDLservice\BerkutDataLoaderService.exe [ES]:Может работать с сетью [ES]:Приложение не имеет видимых окон [ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ? Количество загруженных модулей: 303 Проверка памяти завершена 3. Сканирование дисков 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами В базе 317 описаний портов На данном ПК открыто 17 TCP портов и 11 UDP портов Проверка завершена, подозрительные порты не обнаружены 7. Эвристичеcкая проверка системы Проверка завершена 8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя Проверка завершена 9. Мастер поиска и устранения проблем Проверка завершена Просканировано файлов: 332, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0 Сканирование завершено в 01.12.2010 09:23:11 !!! Внимание !!! Восстановлено 21 функций KiST в ходе работы антируткита Это может нарушить нормальную работу ряда программ, поэтому настоятельно рекомендуется перезагрузить компьютер Сканирование длилось 00:00:51 Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам, то Вы можете обратиться в конференцию - http://virusinfo.info Добавлено через 32 минуты Итог: CmpCallCallBacks = 001450FC Disable callback OK !!! Внимание !!! Восстановлено 21 функций KiST в ходе работы антируткита Функция NtCreateKey (29) перехвачена (8057791D->F77430E0), перехватчик sphs.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован
Эмм, а что по моей проблеме?
Последний раз редактировалось Criwen; 01.12.2010 в 09:20. Причина: Добавлено
Уважаемый(ая) Criwen, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
