thyrex
12.10.2013, 20:26
Есть Вирусы специально написанные с использованием доступа к исходникам всех программных продуктов антивирусных компаний - полиморфный вирус, я приведу меры по противодействию полиморфу и нейтрализации вредоносного ПО.
Решил задачу. Вообщем стал просматривать диагностический отчет STDKiller и заметил, что зловред использовал активно драйверы, проводил модификацию исходного кода, следующего оборудования:
принтер Panasonik KX-MB263
драйвер видеокараты NVIDIA GEFORCE
обновления NVIDIA
cистемное программное обеспечение NVIDIA GEFORCE G4 440
а также flashplayer 11 - версия 11.7.700.169
в автозагрузку прописал путь к системной dll-ки userinit.exe
привожу отчет TDSKILLER:
19:55:33.0844 4424 Detected object count: 10
19:55:33.0844 4424 Actual detected object count: 10
19:57:55.0295 4424 C:\Users\D395~1\AppData\Local\Temp\ABKDFIDNFB.exe - copied to quarantine
19:57:55.0335 4424 HKLM\SYSTEM\ControlSet001\services\ABKDFIDNFB - will be deleted on reboot
19:57:55.0353 4424 HKLM\SYSTEM\ControlSet002\services\ABKDFIDNFB - will be deleted on reboot
19:57:55.0442 4424 C:\Users\D395~1\AppData\Local\Temp\ABKDFIDNFB.exe - will be deleted on reboot
19:57:55.0442 4424 ABKDFIDNFB ( UnsignedFile.Multi.Generic ) - User select action: Delete
19:57:55.0444 4424 KMService ( UnsignedFile.Multi.Generic ) - skipped by user
19:57:55.0444 4424 KMService ( UnsignedFile.Multi.Generic ) - User select action: Skip
19:57:55.0490 4424 C:\Users\D395~1\AppData\Local\Temp\OGGFT.exe - copied to quarantine
19:57:55.0507 4424 HKLM\SYSTEM\ControlSet001\services\OGGFT - will be deleted on reboot
19:57:55.0508 4424 HKLM\SYSTEM\ControlSet002\services\OGGFT - will be deleted on reboot
19:57:55.0511 4424 C:\Users\D395~1\AppData\Local\Temp\OGGFT.exe - will be deleted on reboot
19:57:55.0511 4424 OGGFT ( UnsignedFile.Multi.Generic ) - User select action: Delete
19:57:55.0514 4424 Panasonic Local Printer Service ( UnsignedFile.Multi.Generic ) - skipped by user
19:57:55.0514 4424 Panasonic Local Printer Service ( UnsignedFile.Multi.Generic ) - User select action: Skip
19:57:55.0575 4424 C:\PROGRA~1\PANASO~1\TRAPMO~1\Trapmnnt.exe - copied to quarantine
19:57:55.0584 4424 HKLM\SYSTEM\ControlSet001\services\Panasonic Trap Monitor Service - will be deleted on reboot
19:57:55.0601 4424 HKLM\SYSTEM\ControlSet002\services\Panasonic Trap Monitor Service - will be deleted on reboot
19:57:55.0605 4424 C:\PROGRA~1\PANASO~1\TRAPMO~1\Trapmnnt.exe - will be deleted on reboot
19:57:55.0605 4424 Panasonic Trap Monitor Service ( UnsignedFile.Multi.Generic ) - User select action: Delete
19:57:55.0647 4424 C:\Program Files\Unlocker\UnlockerDriver5.sys - copied to quarantine
19:57:55.0653 4424 HKLM\SYSTEM\ControlSet001\services\UnlockerDriver5 - will be deleted on reboot
19:57:55.0675 4424 HKLM\SYSTEM\ControlSet002\services\UnlockerDriver5 - will be deleted on reboot
19:57:55.0679 4424 C:\Program Files\Unlocker\UnlockerDriver5.sys - will be deleted on reboot
19:57:55.0679 4424 UnlockerDriver5 ( UnsignedFile.Multi.Generic ) - User select action: Delete
19:57:55.0738 4424 C:\Windows\system32\Drivers\uzm2mzyy.sys - copied to quarantine
19:57:55.0744 4424 HKLM\SYSTEM\ControlSet001\services\uzm2mzyy - will be deleted on reboot
19:57:55.0745 4424 HKLM\SYSTEM\ControlSet002\services\uzm2mzyy - will be deleted on reboot
19:57:55.0748 4424 C:\Windows\system32\Drivers\uzm2mzyy.sys - will be deleted on reboot
19:57:55.0749 4424 uzm2mzyy ( UnsignedFile.Multi.Generic ) - User select action: Delete
19:57:55.0804 4424 C:\Program Files\VMware\VMware Workstation\vmware-authd.exe - copied to quarantine
19:57:55.0812 4424 HKLM\SYSTEM\ControlSet001\services\VMAuthdService - will be deleted on reboot
19:57:55.0812 4424 HKLM\SYSTEM\ControlSet002\services\VMAuthdService - will be deleted on reboot
19:57:55.0816 4424 C:\Program Files\VMware\VMware Workstation\vmware-authd.exe - will be deleted on reboot
19:57:55.0816 4424 VMAuthdService ( UnsignedFile.Multi.Generic ) - User select action: Delete
19:57:56.0174 4424 C:\Program Files\VMware\VMware Workstation\vmware-hostd.exe - copied to quarantine
19:57:56.0273 4424 HKLM\SYSTEM\ControlSet001\services\VMwareHostd - will be deleted on reboot
19:57:56.0299 4424 HKLM\SYSTEM\ControlSet002\services\VMwareHostd - will be deleted on reboot
19:57:56.0303 4424 C:\Program Files\VMware\VMware Workstation\vmware-hostd.exe - will be deleted on reboot
19:57:56.0303 4424 VMwareHostd ( UnsignedFile.Multi.Generic ) - User select action: Delete
19:57:56.0447 4424 C:\Users\D395~1\AppData\Local\Temp\YVWIZXHE.exe - copied to quarantine
19:57:56.0461 4424 HKLM\SYSTEM\ControlSet001\services\YVWIZXHE - will be deleted on reboot
19:57:56.0462 4424 HKLM\SYSTEM\ControlSet002\services\YVWIZXHE - will be deleted on reboot
19:57:56.0466 4424 C:\Users\D395~1\AppData\Local\Temp\YVWIZXHE.exe - will be deleted on reboot
19:57:56.0466 4424 YVWIZXHE ( UnsignedFile.Multi.Generic ) - User select action: Delete
19:58:03.0965 1320 Deinitialize success
при попытке переустановить оборудование вылетала ошибка BSOD - STOP 0000000xxx
эту ошибку вывзывали две службы:
Microsoft protectet platform - защита программной платформы
Microsoft program inchenering - служба разработки ПО microsoft
Но при этом компьютер вообще не грузился - тогда в BIOS - выставил
BIOS PROTECTET - защищенный режим БОИС
отключил контроллер для дисект -
у меня вообще системная плата не поддерживает driver floppy controler
выставил PCI Expres Card
и первое устройство загрузки ferst boot device - HARDISK
Два раза при загрузке - первый при загрузке БИОС - затем снова жал F8 - выбрал опцию - устранение проблем связанных с загрузкой ОС.
Процедура востановления файлов загрузки и загрузочных секторов завершилась успешно - перезагрузил комп, ну и естественно активатор слетел - систему поновому активировал, и удалил службы, они блокировали доступ программам к памяти на уровне ядра, модифицировали службу контроля доступа к памяти appidshema.dll - модифицирована во всех процессах - таки образом микропрограммы уровня HAL не могли работать нормально.
Загрузился в безопасном режиме и выполнил сканирование и обнаружил. что активирована встроенная учетная запись администратора, которую я отключил -отключил ее и очистил папку Temp
C:\Users\Пользователь\Apddata\Local\Temp - перезагрузился в безопасном режиме и выполнил следующи скрепт лечения:
begin
// Антируткит
SearchRootkit(true, true);
// Обновление баз
ExecuteAVUpdate ;
// Перезагрузка
RebootWindows(true);
end.
этот не запустился:
begin
// Очистка карантина
ClearQuarantine;
// Антируткит
SearchRootkit(true, true);
// Обновление баз
ExecuteAVUpdate ;
// Добавление указанного файла в карантин
QuarantineFile(' ',' ');
// Выполнение автокарантина
ExecuteAutoQuarantine;
// Завершение процесса по имени файла
TerminateProcessByName('');
// Удаление файла
DeleteFile();
// Очистка файла Hosts
ClearHostsFile;
DelCLSID('');
// Удаление службы
DeleteService('', true);
// Удаление элемента Winlogon
DelWinlogonNotifyByFileName('');
// Эвристическая чистка системы
ExecuteSysClean;
// Создание архива с содержимым карантина за текущий день
CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
// Перезагрузка
RebootWindows(true);
end.
затем выбрал стандартные скрипты:
AVZ - нейтрализовал руткиты. Выполнил исследование системы, вот привожу XML-отчет:
Протокол исследования системы
AVZ 4.39 http://z-oleg.com/secur/avz/
Список процессов
Имя файла PID Описание Copyright MD5 Информация
304 ?? ?,ошибка получения информации о файле
Командная строка:
404 ?? ?,ошибка получения информации о файле
Командная строка:
472 ?? ?,ошибка получения информации о файле
Командная строка:
988 ?? ?,ошибка получения информации о файле
Командная строка:
1184 ?? ?,ошибка получения информации о файле
Командная строка:
1720 ?? ?,ошибка получения информации о файле
Командная строка:
1768 ?? ?,ошибка получения информации о файле
Командная строка:
1852 ?? ?,ошибка получения информации о файле
Командная строка:
1860 ?? ?,ошибка получения информации о файле
Командная строка:
1920 ?? ?,ошибка получения информации о файле
Командная строка:
2456 ?? ?,ошибка получения информации о файле
Командная строка:
2464 ?? ?,ошибка получения информации о файле
Командная строка:
2476 ?? ?,ошибка получения информации о файле
Командная строка:
2600 ?? ?,ошибка получения информации о файле
Командная строка:
2836 ?? ?,ошибка получения информации о файле
Командная строка:
2900 ?? ?,ошибка получения информации о файле
Командная строка:
2924 ?? ?,ошибка получения информации о файле
Командная строка:
3044 ?? ?,ошибка получения информации о файле
Командная строка:
3064 ?? ?,ошибка получения информации о файле
Командная строка:
3100 ?? ?,ошибка получения информации о файле
Командная строка:
3120 ?? ?,ошибка получения информации о файле
Командная строка:
3292 ?? ?,ошибка получения информации о файле
Командная строка:
3416 ?? ?,ошибка получения информации о файле
Командная строка:
3432 ?? ?,ошибка получения информации о файле
Командная строка:
3520 ?? ?,ошибка получения информации о файле
Командная строка:
3552 ?? ?,ошибка получения информации о файле
Командная строка:
3760 ?? ?,ошибка получения информации о файле
Командная строка:
4060 ?? ?,ошибка получения информации о файле
Командная строка:
2244 ?? ?,ошибка получения информации о файле
Командная строка:
2804 ?? ?,ошибка получения информации о файле
Командная строка:
2812 ?? ?,ошибка получения информации о файле
Командная строка:
2908 ?? ?,ошибка получения информации о файле
Командная строка:
c:\program files\divx\divx update\divxupdate.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2496 DivX Update © Copyright 2000 - 2011 DivX, LLC ?? 1234.33 кб, rsAh,
создан: 13.02.2013 06:37:16,
изменен: 13.02.2013 06:37:16
Командная строка:
"C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
c:\program files\common files\java\java update\jusched.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2484 Java™ Update Scheduler Copyright © 2012 ?? 247.87 кб, rsAh,
создан: 12.03.2013 07:32:50,
изменен: 12.03.2013 07:32:50
Командная строка:
"C:\Program Files\Common Files\Java\Java Update\jusched.exe"
c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 312 Хост-процесс для служб Windows © Корпорация Майкрософт. Все права защищены. ?? 20.50 кб, rsAh,
создан: 14.07.2009 03:19:28,
изменен: 14.07.2009 05:14:41
Командная строка:
C:\Windows\System32\svchost.exe -k secsvcs
Обнаружено:71, из них опознаны как безопасные 37
Имя модуля Handle Описание Copyright MD5 Используется процессами
C:\Program Files\DivX\DivX Update\DivXUpdateCheck.dll
Скрипт: Kарантин, Удалить, Удалить через BC 268435456 DivX Update © Copyright 2000 - 2011 DivX, LLC -- 2496
C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{56B0A004-DCF8-4D7E-9701-A4AFD0146FDA}\mpengine.dll
Скрипт: Kарантин, Удалить, Удалить через BC 1841954816 Microsoft Malware Protection Engine © Microsoft Corporation. All rights reserved. -- 312
Обнаружено модулей:416, из них опознаны как безопасные 414
Модули пространства ядра
Модуль Базовый адрес Размер в памяти Описание Производитель
C:\Windows\System32\Drivers\aswKbd.SYS
Скрипт: Kарантин, Удалить, Удалить через BC 8C575000 009000 (36864) avast! Keyboard Filter Driver Copyright © 2013 AVAST Software
C:\Windows\System32\Drivers\dump_atapi.sys
Скрипт: Kарантин, Удалить, Удалить через BC 98170000 009000 (36864)
C:\Windows\System32\Drivers\dump_dumpata.sys
Скрипт: Kарантин, Удалить, Удалить через BC 98165000 00B000 (45056)
C:\Windows\System32\Drivers\dump_dumpfve.sys
Скрипт: Kарантин, Удалить, Удалить через BC 98179000 011000 (69632)
C:\Windows\system32\DRIVERS\PavProc.sys
Скрипт: Kарантин, Удалить, Удалить через BC 9DAF3000 027000 (159744) Panda Protection driver © Panda 2012
Обнаружено модулей - 195, опознано как безопасные - 190
Службы
Служба Описание Статус Файл Группа Зависимости
Обнаружено - 55, опознано как безопасные - 55
Драйверы
Служба Описание Статус Файл Группа Зависимости
aswKbd
Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC aswKbd Работает C:\Windows\system32\Drivers\aswKbd.sys
Скрипт: Kарантин, Удалить, Удалить через BC Keyboard Port
msahci
Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC msahci Работает C:\Windows\SystemRoot\system32\DRIVERS\msahci.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI Miniport
PavProc
Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC Panda Process Protection Driver Работает C:\Windows\system32\DRIVERS\PavProc.sys
Скрипт: Kарантин, Удалить, Удалить через BC
Обнаружено - 121, опознано как безопасные - 118
Автозапуск
Имя файла Статус Метод запуска Описание
C:\Program Files\Active Data Recovery Software\Active@ Disk Image\msg.dll
Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Applica tion\Active Disk Image, EventMessageFile
C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, Adobe ARM
Удалить
C:\Program Files\Common Files\Java\Java Update\jusched.exe
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, SunJavaUpdateSched
Удалить
C:\Program Files\DivX\DivX Media Server\DivXMediaServer.exe
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, DivXMediaServer
Удалить
C:\Program Files\DivX\DivX Update\DivXUpdate.exe
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, DivXUpdate
Удалить
C:\Program Files\Google\Chrome\Application\chrome.exe
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ярлык в папке автозагрузки C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk,
C:\Program Files\Hotspot Shield\HssWPR\hsssrv.exe
Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Applica tion\HssSrv, EventMessageFile
C:\Program Files\Hotspot Shield\bin\hsswd.exe
Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Applica tion\HssWd, EventMessageFile
C:\Program Files\Panda Security\Panda Antivirus Pro 2013\APVXDWIN.EXE
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, APVXDWIN
Удалить
C:\Program Files\Panda Security\Panda Antivirus Pro 2013\APVXDWIN.EXE
Скрипт: Kарантин, Удалить, Удалить через BC Отключен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run-, APVXDWIN
Удалить
C:\Program Files\Panda Security\Panda Antivirus Pro 2013\sentrsc.dll
Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Applica tion\Sentinel, EventMessageFile
C:\Program Files\Trident Software\Pragma6\wodUpdS2.exe
Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Applica tion\wodAppUpdateService2, EventMessageFile
C:\Program Files\Unlocker\UnlockerAssistant.exe
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, UnlockerAssistant
Удалить
C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\QuickStores.url
Скрипт: Kарантин, Удалить, Удалить через BC Активен Файл в папке автозагрузки C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\QuickStores.url,
C:\Windows\System32\drivers\amm8660.sys
Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\ Anti-Malware FSM, EventMessageFile
C:\Windows\System32\drivers\vmci.sys
Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\ vmci, EventMessageFile
C:\Windows\system32\psxss.exe
Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix
avldr.dll
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\avldr, DLLName
Удалить
progman.exe
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, shell
Удалить
vgafix.fon
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fixedfon.fon
Удалить
vgaoem.fon
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, oemfonts.fon
Удалить
vgasys.fon
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fonts.fon
Удалить
Обнаружено элементов автозапуска - 724, опознано как безопасные - 702
Модули расширения Internet Explorer (BHO, панели ...)
Имя файла Тип Описание Производитель CLSID
BHO {312f84fb-8970-4fd3-bddb-7012eac4afc9}
Удалить
C:\Program Files\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll
Скрипт: Kарантин, Удалить, Удалить через BC BHO DivX Plus Web Player HTML5 version 2.1.2.172 © 2000-2013 DivX, LLC. {326E768D-4182-46FD-9C16-1449A49795F4}
Удалить
BHO {72853161-30C5-4D22-B7F9-0BBC1D38A37E}
Удалить
C:\Program Files\Java\jre7\bin\ssv.dll
Скрипт: Kарантин, Удалить, Удалить через BC BHO Java™ Platform SE binary Copyright © 2013 {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
Удалить
BHO {8984B388-A5BB-4DF7-B274-77B879E179DB}
Удалить
BHO {B4F3A835-0E21-4959-BA22-42B3008E02FF}
Удалить
C:\Program Files\Java\jre7\bin\jp2ssv.dll
Скрипт: Kарантин, Удалить, Удалить через BC BHO Java™ Platform SE binary Copyright © 2013 {DBC80044-A445-435b-BC74-9C25C1C588A9}
Удалить
Панель {98889811-442D-49dd-99D7-DC866BE87DBC}
Удалить
Панель {48586425-6bb7-4f51-8dc6-38c88e3ebb58}
Удалить
Панель {10EDB994-47F8-43F7-AE96-F2EA63E9F90F}
Удалить
Модуль расширения {2670000A-7350-4f3c-8081-5663EE0C6C49}
Удалить
Модуль расширения {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}
Удалить
URLSearchHook {93a3111f-4f74-4ed8-895e-d9708497629e}
Удалить
Обнаружено элементов - 13, опознано как безопасные - 0
Модули расширения проводника
Имя файла Назначение Описание Производитель CLSID
Groove Namespace Extension {3D60EDA7-9AB4-4DA8-864C-D9B5F2E7281D}
Удалить
Groove GFS Browser Helper {72853161-30C5-4D22-B7F9-0BBC1D38A37E}
Удалить
Groove GFS Context Menu Handler {6C467336-8281-4E60-8204-430CED96822D}
Удалить
Groove GFS Explorer Bar {2A541AE1-5BF6-4665-A8A3-CFA9672E4291}
Удалить
Groove Explorer Icon Overlay 3 (GFS Folder) {16F3DD56-1AF5-4347-846D-7C10C4192619}
Удалить
Groove GFS Stub Execution Hook {B5A7F190-DDA6-4420-B3BA-52453494E6CD}
Удалить
Groove GFS Stub Icon Handler {A449600E-1DC6-4232-B948-9BD794D62056}
Удалить
Groove Explorer Icon Overlay 2 (GFS Stub) {AB5C5600-7E6E-4B06-9197-9ECEF74D31CC}
Удалить
Groove Explorer Icon Overlay 2.5 (GFS Unread Folder) {920E6DB1-9907-4370-B3A0-BAFC03D81399}
Удалить
Groove Explorer Icon Overlay 4 (GFS Unread Mark) {2916C86E-86A6-43FE-8112-43ABE6BF8DCC}
Удалить
Groove Explorer Icon Overlay 1 (GFS Unread Stub) {99FD978C-D287-4F50-827F-B2C658EDA8E7}
Удалить
Groove XML Icon Handler {387E725D-DC16-4D76-B310-2C93ED4752A0}
Удалить
Microsoft Outlook Desktop Icon Handler {00020D75-0000-0000-C000-000000000046}
Удалить
Glary Utilities Context Menu Shell Extension {72923739-5A47-40A3-9895-25AF0DFBB9E4}
Удалить
C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll
Скрипт: Kарантин, Удалить, Удалить через BC ColumnHandler PDF Shell Extension Copyright 1984-2012 Adobe Systems Incorporated and its licensors. All rights reserved. {F9DB5320-233E-11D1-9F84-707F02C10627}
Удалить
Обнаружено элементов - 26, опознано как безопасные - 11
Модули расширения системы печати (мониторы печати, провайдеры)
Имя файла Тип Наименование Описание Производитель
C:\Windows\system32\ZEGLMB2K.DLL
Скрипт: Kарантин, Удалить, Удалить через BC Монитор Panasonic KX-MB261 Language Monitor Panlmon Application Copyright © 2005
Обнаружено элементов - 8, опознано как безопасные - 7
Задания планировщика задач Task Scheduler
Имя файла Имя задания Состояние задания Описание Производитель
C:\Users\D395~1\AppData\Local\Temp\97ncnk99.exe
Скрипт: Kарантин, Удалить, Удалить через BC 94inxzkmi.job
Скрипт: Удалить The task has not yet run.
C:\Windows\system32\Macromed\Flash\FlashPlayerUpda teService.exe
Скрипт: Kарантин, Удалить, Удалить через BC Adobe Flash Player Updater.job
Скрипт: Удалить The task is ready to run at its next scheduled time. Adobe® Flash® Player Update Service 11.7 r700 Copyright © 1996 Adobe Systems Incorporated
C:\Program Files\Glary Utilities\initialize.exe
Скрипт: Kарантин, Удалить, Удалить через BC GlaryInitialize.job
Скрипт: Удалить The task has not yet run. Glary Utilities Initialize Copyright © 2003-2013 Glarysoft Ltd
C:\Program Files\RegClean Pro\RegCleanPro.exe
Скрипт: Kарантин, Удалить, Удалить через BC RegClean Pro_DEFAULT.job
Скрипт: Удалить One or more of the properties that are needed to run this task on a schedule have not been set.
C:\Program Files\RegClean Pro\RegCleanPro.exe
Скрипт: Kарантин, Удалить, Удалить через BC RegClean Pro_UPDATES.job
Скрипт: Удалить One or more of the properties that are needed to run this task on a schedule have not been set.
Обнаружено элементов - 7, опознано как безопасные - 2
Настройки SPI/LSP
Поставщики пространства имен (NSP) Поставщик Статус Исп. файл Описание GUID
Обнаружено - 6, опознано как безопасные - 6
Поставщики транспортных протоколов (TSP, LSP) Поставщик Исп. файл Описание
Обнаружено - 52, опознано как безопасные - 52
Результаты автоматического анализа настроек SPI Настройки LSP проверены. Ошибок не обнаружено
Порты TCP/UDP
Порт Статус Remote Host Remote Port Приложение Примечания
Порты TCP
135 LISTENING 0.0.0.0 0 [888] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
139 LISTENING 0.0.0.0 0 [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445 LISTENING 0.0.0.0 0 [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
2559 LISTENING 0.0.0.0 0 [2056] c:\program files\nvidia corporation\nvidia updatus\daemonu.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
5357 LISTENING 0.0.0.0 0 [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49152 LISTENING 0.0.0.0 0 [480] c:\windows\system32\wininit.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49153 LISTENING 0.0.0.0 0 [1032] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49154 LISTENING 0.0.0.0 0 [1116] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49155 LISTENING 0.0.0.0 0 [556] c:\windows\system32\services.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49156 LISTENING 0.0.0.0 0 [580] c:\windows\system32\lsass.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
Порты UDP
137 LISTENING -- -- [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138 LISTENING -- -- [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
500 LISTENING -- -- [1116] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
3702 LISTENING -- -- [420] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
3702 LISTENING -- -- [420] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
4500 LISTENING -- -- [1116] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
5355 LISTENING -- -- [960] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
48000 LISTENING -- -- [2056] c:\program files\nvidia corporation\nvidia updatus\daemonu.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
48001 LISTENING -- -- [2816] c:\program files\nvidia corporation\display\nvtray.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
54263 LISTENING -- -- [420] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
65496 LISTENING -- -- [2496] c:\program files\divx\divx update\divxupdate.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
Downloaded Program Files (DPF)
Имя файла Описание Производитель CLSID URL загрузки
C:\Program Files\Java\jre7\bin\jp2iexp.dll
Скрипт: Kарантин, Удалить, Удалить через BC {8AD9C840-044E-11D1-B3E9-00805F499D93}
Удалить http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
C:\Program Files\Java\jre7\bin\jp2iexp.dll
Скрипт: Kарантин, Удалить, Удалить через BC {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
Удалить http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
C:\Program Files\Java\jre7\bin\jp2iexp.dll
Скрипт: Kарантин, Удалить, Удалить через BC {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Удалить http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
Обнаружено элементов - 4, опознано как безопасные - 1
Апплеты панели управления (CPL)
Имя файла Описание Производитель
C:\Windows\system32\DivXControlPanelApplet.cpl
Скрипт: Kарантин, Удалить, Удалить через BC DivX Control Panel © Copyright 2000 - 2009 DivX, Inc.
C:\Windows\system32\FlashPlayerCPLApp.cpl
Скрипт: Kарантин, Удалить, Удалить через BC Adobe Flash Player Control Panel Applet Copyright © 1996 Adobe Systems Incorporated. All Rights Reserved. Adobe and Flash are either trademarks or registered trademarks in the United States and/or other countries.
Обнаружено элементов - 22, опознано как безопасные - 20
Active Setup
Имя файла Описание Производитель CLSID
C:\Program Files\Google\Chrome\Application\26.0.1410.64\Insta ller\chrmstp.exe
Скрипт: Kарантин, Удалить, Удалить через BC Google Chrome Copyright 2012 Google Inc. All rights reserved. {8A69D345-D564-463c-AFF1-A69D9E530F96}
Удалить
Обнаружено элементов - 10, опознано как безопасные - 9
Файл HOSTS
Запись файла Hosts
127.0.0.1 vk.com
127.0.0.1 genuine.microsoft.com
127.0.0.1 mpa.one.microsoft.com
127.0.0.1 sls.microsoft.com
Очистка файла Hosts
Протоколы и обработчики
Имя файла Тип Описание Производитель CLSID
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
Обнаружено элементов - 15, опознано как безопасные - 12
Подозрительные объекты
Файл Описание Тип
переустановил программу виртуализации WMware Workstation 8 и получил доступ к своей виртуальной сети - несколько запущенных виртуалок. Зловред активно использовал пакет DIVX PLUS - то есть и туда сумел встроиться, но AVZ смог восстановить оригинальные системные dll-ки, затем через AVZ удалил все ключи PROGRA~1, маскировался под системные утилиты и нейтрализовал вредоносное ПО.
Источник http://www.cyberforum.ru/viruses/thread975539.html
Решил задачу. Вообщем стал просматривать диагностический отчет STDKiller и заметил, что зловред использовал активно драйверы, проводил модификацию исходного кода, следующего оборудования:
принтер Panasonik KX-MB263
драйвер видеокараты NVIDIA GEFORCE
обновления NVIDIA
cистемное программное обеспечение NVIDIA GEFORCE G4 440
а также flashplayer 11 - версия 11.7.700.169
в автозагрузку прописал путь к системной dll-ки userinit.exe
привожу отчет TDSKILLER:
19:55:33.0844 4424 Detected object count: 10
19:55:33.0844 4424 Actual detected object count: 10
19:57:55.0295 4424 C:\Users\D395~1\AppData\Local\Temp\ABKDFIDNFB.exe - copied to quarantine
19:57:55.0335 4424 HKLM\SYSTEM\ControlSet001\services\ABKDFIDNFB - will be deleted on reboot
19:57:55.0353 4424 HKLM\SYSTEM\ControlSet002\services\ABKDFIDNFB - will be deleted on reboot
19:57:55.0442 4424 C:\Users\D395~1\AppData\Local\Temp\ABKDFIDNFB.exe - will be deleted on reboot
19:57:55.0442 4424 ABKDFIDNFB ( UnsignedFile.Multi.Generic ) - User select action: Delete
19:57:55.0444 4424 KMService ( UnsignedFile.Multi.Generic ) - skipped by user
19:57:55.0444 4424 KMService ( UnsignedFile.Multi.Generic ) - User select action: Skip
19:57:55.0490 4424 C:\Users\D395~1\AppData\Local\Temp\OGGFT.exe - copied to quarantine
19:57:55.0507 4424 HKLM\SYSTEM\ControlSet001\services\OGGFT - will be deleted on reboot
19:57:55.0508 4424 HKLM\SYSTEM\ControlSet002\services\OGGFT - will be deleted on reboot
19:57:55.0511 4424 C:\Users\D395~1\AppData\Local\Temp\OGGFT.exe - will be deleted on reboot
19:57:55.0511 4424 OGGFT ( UnsignedFile.Multi.Generic ) - User select action: Delete
19:57:55.0514 4424 Panasonic Local Printer Service ( UnsignedFile.Multi.Generic ) - skipped by user
19:57:55.0514 4424 Panasonic Local Printer Service ( UnsignedFile.Multi.Generic ) - User select action: Skip
19:57:55.0575 4424 C:\PROGRA~1\PANASO~1\TRAPMO~1\Trapmnnt.exe - copied to quarantine
19:57:55.0584 4424 HKLM\SYSTEM\ControlSet001\services\Panasonic Trap Monitor Service - will be deleted on reboot
19:57:55.0601 4424 HKLM\SYSTEM\ControlSet002\services\Panasonic Trap Monitor Service - will be deleted on reboot
19:57:55.0605 4424 C:\PROGRA~1\PANASO~1\TRAPMO~1\Trapmnnt.exe - will be deleted on reboot
19:57:55.0605 4424 Panasonic Trap Monitor Service ( UnsignedFile.Multi.Generic ) - User select action: Delete
19:57:55.0647 4424 C:\Program Files\Unlocker\UnlockerDriver5.sys - copied to quarantine
19:57:55.0653 4424 HKLM\SYSTEM\ControlSet001\services\UnlockerDriver5 - will be deleted on reboot
19:57:55.0675 4424 HKLM\SYSTEM\ControlSet002\services\UnlockerDriver5 - will be deleted on reboot
19:57:55.0679 4424 C:\Program Files\Unlocker\UnlockerDriver5.sys - will be deleted on reboot
19:57:55.0679 4424 UnlockerDriver5 ( UnsignedFile.Multi.Generic ) - User select action: Delete
19:57:55.0738 4424 C:\Windows\system32\Drivers\uzm2mzyy.sys - copied to quarantine
19:57:55.0744 4424 HKLM\SYSTEM\ControlSet001\services\uzm2mzyy - will be deleted on reboot
19:57:55.0745 4424 HKLM\SYSTEM\ControlSet002\services\uzm2mzyy - will be deleted on reboot
19:57:55.0748 4424 C:\Windows\system32\Drivers\uzm2mzyy.sys - will be deleted on reboot
19:57:55.0749 4424 uzm2mzyy ( UnsignedFile.Multi.Generic ) - User select action: Delete
19:57:55.0804 4424 C:\Program Files\VMware\VMware Workstation\vmware-authd.exe - copied to quarantine
19:57:55.0812 4424 HKLM\SYSTEM\ControlSet001\services\VMAuthdService - will be deleted on reboot
19:57:55.0812 4424 HKLM\SYSTEM\ControlSet002\services\VMAuthdService - will be deleted on reboot
19:57:55.0816 4424 C:\Program Files\VMware\VMware Workstation\vmware-authd.exe - will be deleted on reboot
19:57:55.0816 4424 VMAuthdService ( UnsignedFile.Multi.Generic ) - User select action: Delete
19:57:56.0174 4424 C:\Program Files\VMware\VMware Workstation\vmware-hostd.exe - copied to quarantine
19:57:56.0273 4424 HKLM\SYSTEM\ControlSet001\services\VMwareHostd - will be deleted on reboot
19:57:56.0299 4424 HKLM\SYSTEM\ControlSet002\services\VMwareHostd - will be deleted on reboot
19:57:56.0303 4424 C:\Program Files\VMware\VMware Workstation\vmware-hostd.exe - will be deleted on reboot
19:57:56.0303 4424 VMwareHostd ( UnsignedFile.Multi.Generic ) - User select action: Delete
19:57:56.0447 4424 C:\Users\D395~1\AppData\Local\Temp\YVWIZXHE.exe - copied to quarantine
19:57:56.0461 4424 HKLM\SYSTEM\ControlSet001\services\YVWIZXHE - will be deleted on reboot
19:57:56.0462 4424 HKLM\SYSTEM\ControlSet002\services\YVWIZXHE - will be deleted on reboot
19:57:56.0466 4424 C:\Users\D395~1\AppData\Local\Temp\YVWIZXHE.exe - will be deleted on reboot
19:57:56.0466 4424 YVWIZXHE ( UnsignedFile.Multi.Generic ) - User select action: Delete
19:58:03.0965 1320 Deinitialize success
при попытке переустановить оборудование вылетала ошибка BSOD - STOP 0000000xxx
эту ошибку вывзывали две службы:
Microsoft protectet platform - защита программной платформы
Microsoft program inchenering - служба разработки ПО microsoft
Но при этом компьютер вообще не грузился - тогда в BIOS - выставил
BIOS PROTECTET - защищенный режим БОИС
отключил контроллер для дисект -
у меня вообще системная плата не поддерживает driver floppy controler
выставил PCI Expres Card
и первое устройство загрузки ferst boot device - HARDISK
Два раза при загрузке - первый при загрузке БИОС - затем снова жал F8 - выбрал опцию - устранение проблем связанных с загрузкой ОС.
Процедура востановления файлов загрузки и загрузочных секторов завершилась успешно - перезагрузил комп, ну и естественно активатор слетел - систему поновому активировал, и удалил службы, они блокировали доступ программам к памяти на уровне ядра, модифицировали службу контроля доступа к памяти appidshema.dll - модифицирована во всех процессах - таки образом микропрограммы уровня HAL не могли работать нормально.
Загрузился в безопасном режиме и выполнил сканирование и обнаружил. что активирована встроенная учетная запись администратора, которую я отключил -отключил ее и очистил папку Temp
C:\Users\Пользователь\Apddata\Local\Temp - перезагрузился в безопасном режиме и выполнил следующи скрепт лечения:
begin
// Антируткит
SearchRootkit(true, true);
// Обновление баз
ExecuteAVUpdate ;
// Перезагрузка
RebootWindows(true);
end.
этот не запустился:
begin
// Очистка карантина
ClearQuarantine;
// Антируткит
SearchRootkit(true, true);
// Обновление баз
ExecuteAVUpdate ;
// Добавление указанного файла в карантин
QuarantineFile(' ',' ');
// Выполнение автокарантина
ExecuteAutoQuarantine;
// Завершение процесса по имени файла
TerminateProcessByName('');
// Удаление файла
DeleteFile();
// Очистка файла Hosts
ClearHostsFile;
DelCLSID('');
// Удаление службы
DeleteService('', true);
// Удаление элемента Winlogon
DelWinlogonNotifyByFileName('');
// Эвристическая чистка системы
ExecuteSysClean;
// Создание архива с содержимым карантина за текущий день
CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
// Перезагрузка
RebootWindows(true);
end.
затем выбрал стандартные скрипты:
AVZ - нейтрализовал руткиты. Выполнил исследование системы, вот привожу XML-отчет:
Протокол исследования системы
AVZ 4.39 http://z-oleg.com/secur/avz/
Список процессов
Имя файла PID Описание Copyright MD5 Информация
304 ?? ?,ошибка получения информации о файле
Командная строка:
404 ?? ?,ошибка получения информации о файле
Командная строка:
472 ?? ?,ошибка получения информации о файле
Командная строка:
988 ?? ?,ошибка получения информации о файле
Командная строка:
1184 ?? ?,ошибка получения информации о файле
Командная строка:
1720 ?? ?,ошибка получения информации о файле
Командная строка:
1768 ?? ?,ошибка получения информации о файле
Командная строка:
1852 ?? ?,ошибка получения информации о файле
Командная строка:
1860 ?? ?,ошибка получения информации о файле
Командная строка:
1920 ?? ?,ошибка получения информации о файле
Командная строка:
2456 ?? ?,ошибка получения информации о файле
Командная строка:
2464 ?? ?,ошибка получения информации о файле
Командная строка:
2476 ?? ?,ошибка получения информации о файле
Командная строка:
2600 ?? ?,ошибка получения информации о файле
Командная строка:
2836 ?? ?,ошибка получения информации о файле
Командная строка:
2900 ?? ?,ошибка получения информации о файле
Командная строка:
2924 ?? ?,ошибка получения информации о файле
Командная строка:
3044 ?? ?,ошибка получения информации о файле
Командная строка:
3064 ?? ?,ошибка получения информации о файле
Командная строка:
3100 ?? ?,ошибка получения информации о файле
Командная строка:
3120 ?? ?,ошибка получения информации о файле
Командная строка:
3292 ?? ?,ошибка получения информации о файле
Командная строка:
3416 ?? ?,ошибка получения информации о файле
Командная строка:
3432 ?? ?,ошибка получения информации о файле
Командная строка:
3520 ?? ?,ошибка получения информации о файле
Командная строка:
3552 ?? ?,ошибка получения информации о файле
Командная строка:
3760 ?? ?,ошибка получения информации о файле
Командная строка:
4060 ?? ?,ошибка получения информации о файле
Командная строка:
2244 ?? ?,ошибка получения информации о файле
Командная строка:
2804 ?? ?,ошибка получения информации о файле
Командная строка:
2812 ?? ?,ошибка получения информации о файле
Командная строка:
2908 ?? ?,ошибка получения информации о файле
Командная строка:
c:\program files\divx\divx update\divxupdate.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2496 DivX Update © Copyright 2000 - 2011 DivX, LLC ?? 1234.33 кб, rsAh,
создан: 13.02.2013 06:37:16,
изменен: 13.02.2013 06:37:16
Командная строка:
"C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
c:\program files\common files\java\java update\jusched.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2484 Java™ Update Scheduler Copyright © 2012 ?? 247.87 кб, rsAh,
создан: 12.03.2013 07:32:50,
изменен: 12.03.2013 07:32:50
Командная строка:
"C:\Program Files\Common Files\Java\Java Update\jusched.exe"
c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 312 Хост-процесс для служб Windows © Корпорация Майкрософт. Все права защищены. ?? 20.50 кб, rsAh,
создан: 14.07.2009 03:19:28,
изменен: 14.07.2009 05:14:41
Командная строка:
C:\Windows\System32\svchost.exe -k secsvcs
Обнаружено:71, из них опознаны как безопасные 37
Имя модуля Handle Описание Copyright MD5 Используется процессами
C:\Program Files\DivX\DivX Update\DivXUpdateCheck.dll
Скрипт: Kарантин, Удалить, Удалить через BC 268435456 DivX Update © Copyright 2000 - 2011 DivX, LLC -- 2496
C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{56B0A004-DCF8-4D7E-9701-A4AFD0146FDA}\mpengine.dll
Скрипт: Kарантин, Удалить, Удалить через BC 1841954816 Microsoft Malware Protection Engine © Microsoft Corporation. All rights reserved. -- 312
Обнаружено модулей:416, из них опознаны как безопасные 414
Модули пространства ядра
Модуль Базовый адрес Размер в памяти Описание Производитель
C:\Windows\System32\Drivers\aswKbd.SYS
Скрипт: Kарантин, Удалить, Удалить через BC 8C575000 009000 (36864) avast! Keyboard Filter Driver Copyright © 2013 AVAST Software
C:\Windows\System32\Drivers\dump_atapi.sys
Скрипт: Kарантин, Удалить, Удалить через BC 98170000 009000 (36864)
C:\Windows\System32\Drivers\dump_dumpata.sys
Скрипт: Kарантин, Удалить, Удалить через BC 98165000 00B000 (45056)
C:\Windows\System32\Drivers\dump_dumpfve.sys
Скрипт: Kарантин, Удалить, Удалить через BC 98179000 011000 (69632)
C:\Windows\system32\DRIVERS\PavProc.sys
Скрипт: Kарантин, Удалить, Удалить через BC 9DAF3000 027000 (159744) Panda Protection driver © Panda 2012
Обнаружено модулей - 195, опознано как безопасные - 190
Службы
Служба Описание Статус Файл Группа Зависимости
Обнаружено - 55, опознано как безопасные - 55
Драйверы
Служба Описание Статус Файл Группа Зависимости
aswKbd
Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC aswKbd Работает C:\Windows\system32\Drivers\aswKbd.sys
Скрипт: Kарантин, Удалить, Удалить через BC Keyboard Port
msahci
Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC msahci Работает C:\Windows\SystemRoot\system32\DRIVERS\msahci.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI Miniport
PavProc
Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC Panda Process Protection Driver Работает C:\Windows\system32\DRIVERS\PavProc.sys
Скрипт: Kарантин, Удалить, Удалить через BC
Обнаружено - 121, опознано как безопасные - 118
Автозапуск
Имя файла Статус Метод запуска Описание
C:\Program Files\Active Data Recovery Software\Active@ Disk Image\msg.dll
Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Applica tion\Active Disk Image, EventMessageFile
C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, Adobe ARM
Удалить
C:\Program Files\Common Files\Java\Java Update\jusched.exe
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, SunJavaUpdateSched
Удалить
C:\Program Files\DivX\DivX Media Server\DivXMediaServer.exe
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, DivXMediaServer
Удалить
C:\Program Files\DivX\DivX Update\DivXUpdate.exe
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, DivXUpdate
Удалить
C:\Program Files\Google\Chrome\Application\chrome.exe
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ярлык в папке автозагрузки C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk,
C:\Program Files\Hotspot Shield\HssWPR\hsssrv.exe
Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Applica tion\HssSrv, EventMessageFile
C:\Program Files\Hotspot Shield\bin\hsswd.exe
Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Applica tion\HssWd, EventMessageFile
C:\Program Files\Panda Security\Panda Antivirus Pro 2013\APVXDWIN.EXE
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, APVXDWIN
Удалить
C:\Program Files\Panda Security\Panda Antivirus Pro 2013\APVXDWIN.EXE
Скрипт: Kарантин, Удалить, Удалить через BC Отключен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run-, APVXDWIN
Удалить
C:\Program Files\Panda Security\Panda Antivirus Pro 2013\sentrsc.dll
Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Applica tion\Sentinel, EventMessageFile
C:\Program Files\Trident Software\Pragma6\wodUpdS2.exe
Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Applica tion\wodAppUpdateService2, EventMessageFile
C:\Program Files\Unlocker\UnlockerAssistant.exe
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, UnlockerAssistant
Удалить
C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\QuickStores.url
Скрипт: Kарантин, Удалить, Удалить через BC Активен Файл в папке автозагрузки C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\QuickStores.url,
C:\Windows\System32\drivers\amm8660.sys
Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\ Anti-Malware FSM, EventMessageFile
C:\Windows\System32\drivers\vmci.sys
Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\ vmci, EventMessageFile
C:\Windows\system32\psxss.exe
Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix
avldr.dll
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\avldr, DLLName
Удалить
progman.exe
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, shell
Удалить
vgafix.fon
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fixedfon.fon
Удалить
vgaoem.fon
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, oemfonts.fon
Удалить
vgasys.fon
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fonts.fon
Удалить
Обнаружено элементов автозапуска - 724, опознано как безопасные - 702
Модули расширения Internet Explorer (BHO, панели ...)
Имя файла Тип Описание Производитель CLSID
BHO {312f84fb-8970-4fd3-bddb-7012eac4afc9}
Удалить
C:\Program Files\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll
Скрипт: Kарантин, Удалить, Удалить через BC BHO DivX Plus Web Player HTML5 version 2.1.2.172 © 2000-2013 DivX, LLC. {326E768D-4182-46FD-9C16-1449A49795F4}
Удалить
BHO {72853161-30C5-4D22-B7F9-0BBC1D38A37E}
Удалить
C:\Program Files\Java\jre7\bin\ssv.dll
Скрипт: Kарантин, Удалить, Удалить через BC BHO Java™ Platform SE binary Copyright © 2013 {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
Удалить
BHO {8984B388-A5BB-4DF7-B274-77B879E179DB}
Удалить
BHO {B4F3A835-0E21-4959-BA22-42B3008E02FF}
Удалить
C:\Program Files\Java\jre7\bin\jp2ssv.dll
Скрипт: Kарантин, Удалить, Удалить через BC BHO Java™ Platform SE binary Copyright © 2013 {DBC80044-A445-435b-BC74-9C25C1C588A9}
Удалить
Панель {98889811-442D-49dd-99D7-DC866BE87DBC}
Удалить
Панель {48586425-6bb7-4f51-8dc6-38c88e3ebb58}
Удалить
Панель {10EDB994-47F8-43F7-AE96-F2EA63E9F90F}
Удалить
Модуль расширения {2670000A-7350-4f3c-8081-5663EE0C6C49}
Удалить
Модуль расширения {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}
Удалить
URLSearchHook {93a3111f-4f74-4ed8-895e-d9708497629e}
Удалить
Обнаружено элементов - 13, опознано как безопасные - 0
Модули расширения проводника
Имя файла Назначение Описание Производитель CLSID
Groove Namespace Extension {3D60EDA7-9AB4-4DA8-864C-D9B5F2E7281D}
Удалить
Groove GFS Browser Helper {72853161-30C5-4D22-B7F9-0BBC1D38A37E}
Удалить
Groove GFS Context Menu Handler {6C467336-8281-4E60-8204-430CED96822D}
Удалить
Groove GFS Explorer Bar {2A541AE1-5BF6-4665-A8A3-CFA9672E4291}
Удалить
Groove Explorer Icon Overlay 3 (GFS Folder) {16F3DD56-1AF5-4347-846D-7C10C4192619}
Удалить
Groove GFS Stub Execution Hook {B5A7F190-DDA6-4420-B3BA-52453494E6CD}
Удалить
Groove GFS Stub Icon Handler {A449600E-1DC6-4232-B948-9BD794D62056}
Удалить
Groove Explorer Icon Overlay 2 (GFS Stub) {AB5C5600-7E6E-4B06-9197-9ECEF74D31CC}
Удалить
Groove Explorer Icon Overlay 2.5 (GFS Unread Folder) {920E6DB1-9907-4370-B3A0-BAFC03D81399}
Удалить
Groove Explorer Icon Overlay 4 (GFS Unread Mark) {2916C86E-86A6-43FE-8112-43ABE6BF8DCC}
Удалить
Groove Explorer Icon Overlay 1 (GFS Unread Stub) {99FD978C-D287-4F50-827F-B2C658EDA8E7}
Удалить
Groove XML Icon Handler {387E725D-DC16-4D76-B310-2C93ED4752A0}
Удалить
Microsoft Outlook Desktop Icon Handler {00020D75-0000-0000-C000-000000000046}
Удалить
Glary Utilities Context Menu Shell Extension {72923739-5A47-40A3-9895-25AF0DFBB9E4}
Удалить
C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll
Скрипт: Kарантин, Удалить, Удалить через BC ColumnHandler PDF Shell Extension Copyright 1984-2012 Adobe Systems Incorporated and its licensors. All rights reserved. {F9DB5320-233E-11D1-9F84-707F02C10627}
Удалить
Обнаружено элементов - 26, опознано как безопасные - 11
Модули расширения системы печати (мониторы печати, провайдеры)
Имя файла Тип Наименование Описание Производитель
C:\Windows\system32\ZEGLMB2K.DLL
Скрипт: Kарантин, Удалить, Удалить через BC Монитор Panasonic KX-MB261 Language Monitor Panlmon Application Copyright © 2005
Обнаружено элементов - 8, опознано как безопасные - 7
Задания планировщика задач Task Scheduler
Имя файла Имя задания Состояние задания Описание Производитель
C:\Users\D395~1\AppData\Local\Temp\97ncnk99.exe
Скрипт: Kарантин, Удалить, Удалить через BC 94inxzkmi.job
Скрипт: Удалить The task has not yet run.
C:\Windows\system32\Macromed\Flash\FlashPlayerUpda teService.exe
Скрипт: Kарантин, Удалить, Удалить через BC Adobe Flash Player Updater.job
Скрипт: Удалить The task is ready to run at its next scheduled time. Adobe® Flash® Player Update Service 11.7 r700 Copyright © 1996 Adobe Systems Incorporated
C:\Program Files\Glary Utilities\initialize.exe
Скрипт: Kарантин, Удалить, Удалить через BC GlaryInitialize.job
Скрипт: Удалить The task has not yet run. Glary Utilities Initialize Copyright © 2003-2013 Glarysoft Ltd
C:\Program Files\RegClean Pro\RegCleanPro.exe
Скрипт: Kарантин, Удалить, Удалить через BC RegClean Pro_DEFAULT.job
Скрипт: Удалить One or more of the properties that are needed to run this task on a schedule have not been set.
C:\Program Files\RegClean Pro\RegCleanPro.exe
Скрипт: Kарантин, Удалить, Удалить через BC RegClean Pro_UPDATES.job
Скрипт: Удалить One or more of the properties that are needed to run this task on a schedule have not been set.
Обнаружено элементов - 7, опознано как безопасные - 2
Настройки SPI/LSP
Поставщики пространства имен (NSP) Поставщик Статус Исп. файл Описание GUID
Обнаружено - 6, опознано как безопасные - 6
Поставщики транспортных протоколов (TSP, LSP) Поставщик Исп. файл Описание
Обнаружено - 52, опознано как безопасные - 52
Результаты автоматического анализа настроек SPI Настройки LSP проверены. Ошибок не обнаружено
Порты TCP/UDP
Порт Статус Remote Host Remote Port Приложение Примечания
Порты TCP
135 LISTENING 0.0.0.0 0 [888] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
139 LISTENING 0.0.0.0 0 [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445 LISTENING 0.0.0.0 0 [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
2559 LISTENING 0.0.0.0 0 [2056] c:\program files\nvidia corporation\nvidia updatus\daemonu.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
5357 LISTENING 0.0.0.0 0 [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49152 LISTENING 0.0.0.0 0 [480] c:\windows\system32\wininit.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49153 LISTENING 0.0.0.0 0 [1032] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49154 LISTENING 0.0.0.0 0 [1116] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49155 LISTENING 0.0.0.0 0 [556] c:\windows\system32\services.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49156 LISTENING 0.0.0.0 0 [580] c:\windows\system32\lsass.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
Порты UDP
137 LISTENING -- -- [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138 LISTENING -- -- [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
500 LISTENING -- -- [1116] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
3702 LISTENING -- -- [420] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
3702 LISTENING -- -- [420] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
4500 LISTENING -- -- [1116] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
5355 LISTENING -- -- [960] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
48000 LISTENING -- -- [2056] c:\program files\nvidia corporation\nvidia updatus\daemonu.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
48001 LISTENING -- -- [2816] c:\program files\nvidia corporation\display\nvtray.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
54263 LISTENING -- -- [420] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
65496 LISTENING -- -- [2496] c:\program files\divx\divx update\divxupdate.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
Downloaded Program Files (DPF)
Имя файла Описание Производитель CLSID URL загрузки
C:\Program Files\Java\jre7\bin\jp2iexp.dll
Скрипт: Kарантин, Удалить, Удалить через BC {8AD9C840-044E-11D1-B3E9-00805F499D93}
Удалить http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
C:\Program Files\Java\jre7\bin\jp2iexp.dll
Скрипт: Kарантин, Удалить, Удалить через BC {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
Удалить http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
C:\Program Files\Java\jre7\bin\jp2iexp.dll
Скрипт: Kарантин, Удалить, Удалить через BC {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Удалить http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
Обнаружено элементов - 4, опознано как безопасные - 1
Апплеты панели управления (CPL)
Имя файла Описание Производитель
C:\Windows\system32\DivXControlPanelApplet.cpl
Скрипт: Kарантин, Удалить, Удалить через BC DivX Control Panel © Copyright 2000 - 2009 DivX, Inc.
C:\Windows\system32\FlashPlayerCPLApp.cpl
Скрипт: Kарантин, Удалить, Удалить через BC Adobe Flash Player Control Panel Applet Copyright © 1996 Adobe Systems Incorporated. All Rights Reserved. Adobe and Flash are either trademarks or registered trademarks in the United States and/or other countries.
Обнаружено элементов - 22, опознано как безопасные - 20
Active Setup
Имя файла Описание Производитель CLSID
C:\Program Files\Google\Chrome\Application\26.0.1410.64\Insta ller\chrmstp.exe
Скрипт: Kарантин, Удалить, Удалить через BC Google Chrome Copyright 2012 Google Inc. All rights reserved. {8A69D345-D564-463c-AFF1-A69D9E530F96}
Удалить
Обнаружено элементов - 10, опознано как безопасные - 9
Файл HOSTS
Запись файла Hosts
127.0.0.1 vk.com
127.0.0.1 genuine.microsoft.com
127.0.0.1 mpa.one.microsoft.com
127.0.0.1 sls.microsoft.com
Очистка файла Hosts
Протоколы и обработчики
Имя файла Тип Описание Производитель CLSID
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
Обнаружено элементов - 15, опознано как безопасные - 12
Подозрительные объекты
Файл Описание Тип
переустановил программу виртуализации WMware Workstation 8 и получил доступ к своей виртуальной сети - несколько запущенных виртуалок. Зловред активно использовал пакет DIVX PLUS - то есть и туда сумел встроиться, но AVZ смог восстановить оригинальные системные dll-ки, затем через AVZ удалил все ключи PROGRA~1, маскировался под системные утилиты и нейтрализовал вредоносное ПО.
Источник http://www.cyberforum.ru/viruses/thread975539.html