keyloggerы и что с ними делать? [Архив]

Просмотр полной версии : keyloggerы и что с ними делать?

02.03.2005, 16:39

вообщем тут история у меня продолжается, вернее не у меня, а в нашей сети, я то свой комп от агобота излечила, теперь попросили с другими седлать

вот лог одного компа:
Протокол антивирусной утилиты AVZ версии 3.00
Сканирование запущено в 02.03.2005 15:43:06
Загружена база: 9901 сигнатур, 1 нейропрофилей, 9 микропрограмм лечения, 0 микропрограмм эвристики
Загружены цифровые подписи системных файлов: 23996 шт.
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:FindFirstFileExW (200) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции FindFirstFileExW нейтрализован
Функция kernel32.dll:FindNextFileW (208) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции FindNextFileW нейтрализован
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:LdrGetDllHandle (59) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции LdrGetDllHandle нейтрализован
Функция ntdll.dll:NtQuerySystemInformation (258) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции NtQuerySystemInformation нейтрализован
Функция ntdll.dll:NtResumeThread (292) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции NtResumeThread нейтрализован
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:EnumServicesStatusA (209) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции EnumServicesStatusA нейтрализован
Функция advapi32.dll:EnumServicesStatusW (212) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции EnumServicesStatusW нейтрализован
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Эталонная KeServiceDescriptorTable найдена (FC=074C00, RVA=074C00)
2. Проверка памяти
Количество найденных процессов: 22
Процесс c:\windows\system32\winlogon.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll,rasapi32.dll, tapi32.dll)
Процесс c:\program files\kaspersky lab\kaspersky anti-virus personal pro\avpcc.exe может работать с сетью (ws2_32.dll,ws2help.dll)
Процесс c:\program files\adaptec\easy cd creator 5\directcd\directcd.exe может работать с сетью (netapi32.dll)
c:\windows\system32\mkscan.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
Процесс c:\windows\system32\mkscan.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll)
Процесс c:\totalcmd\totalcmd.exe может работать с сетью (netapi32.dll)
Процесс c:\program files\avz-betta2\avz.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll)
Количество загруженных модулей: 242
Проверка памяти завершена
3. Сканирование дисков
C:\WINDOWS\system32\CD_CLINT.DLL>>>>> Вирус !! AdvWare.Cydoor успешно удален
C:\WINDOWS\system32\mkscan.bak>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\WINDOWS\system32\winhlpp32.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\Program Files\take two\finder.exe>>> подозрение на Trojan-Dropper.Win32.Small.qw ( 004FFE67 08CD8ABD 001A4072 001D9DCC 159744)
C:\Program Files\Adaptec\Easy CD Creator 5\Easy CD Creator\take two\finder.exe>>> подозрение на Trojan-Dropper.Win32.Small.qw ( 004FFE67 08CD8ABD 001A4072 001D9DCC 159744)
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP85\A0022535.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP85\A0022538.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP85\A0022539.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP85\A0022545.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP85\A0022546.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP85\A0022552.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP85\A0022553.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP85\A0022565.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP85\A0022567.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP85\A0022587.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP86\A0022631.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP86\A0022637.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP86\A0022638.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP87\A0022643.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP87\A0022652.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP87\A0022656.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP87\A0022657.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP87\A0022662.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP87\A0022663.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP87\A0022670.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP87\A0022671.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP87\A0022677.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP87\A0022685.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP87\A0022692.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\totalcmd\totalcmd.exe.bak - PE файл с нестандартным расширением(степень опасности 5)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск клавиатурных шпионов (Keylogger)
C:\Program Files\Punto Switcher\correct.dll --> Подозрение на Keylogger или троянскую DLL
Результат оценки нейросетью - файл является кейлоггером с вероятностью 97.93%
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 5 TCP портов и 7 UDP портов
>>> Опасно: Порт 5000 TCP - Bubbel, Back Door Setup, Sockets de Troie, Socket 23 (SVCHOST.EXE)
Просканировано файлов: 21936, найдено вирусов 28
Сканирование завершено в 02.03.2005 16:13:07
Внимание !!! Для завершения процесса лечения необходима перезагрузка
Сканирование длилось 00:30:01.811

02.03.2005, 16:42

Зайцев Олег

02.03.2005, 17:05

что делать с
C:\Program Files\Adaptec\Easy CD Creator 5\Easy CD Creator\take two\finder.exe>>> подозрение на Trojan-Dropper.Win32.Small.qw ( 004FFE67 08CD8ABD 001A4072 001D9DCC 159744)
и там еще где-то есть по-другому адресу, поскольку только подозрение, то что он собсна делает? не удаляет?

и что делать с keyloggerами? на другом компе тоже обнаружено два кейлоггера, только млин лога нет, забыла записать, а файлы собсна такие LGMOUSHK.DLL и CPQKH.DLL, хотя это вряд ли что скажет, логи наверно нужны?...

Подозреваемые на кейлоггеры файлы следует слать напрямую мне - на [email protected] (почти наверняка это безобыдные перехватчики клавиатуры и мыша, но проверить никогда не повредит). Аналогично, C:\Program Files\take two\finder.exe - нужно прислать на анализ на [email protected] - если это ложное срабатывание, то я подправлю базу ...

02.03.2005, 17:15

ок, пасиб
это я завтра сделаю, а то там уже ушли

03.03.2005, 15:10

млин, надеюсь еще не надоела....до того компа еще не добралась, а вот логи с другого:

Протокол антивирусной утилиты AVZ версии 3.00
Сканирование запущено в 03.03.2005 14:26:17
Загружена база: 9901 сигнатур, 1 нейропрофилей, 9 микропрограмм лечения, 0 микропрограмм эвристики
Загружены цифровые подписи системных файлов: 23996 шт.
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:FindFirstFileExW (170) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции FindFirstFileExW нейтрализован
Функция kernel32.dll:FindNextFileW (178) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции FindNextFileW нейтрализован
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:LdrGetDllHandle (42) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции LdrGetDllHandle нейтрализован
Функция ntdll.dll:NtQuerySystemInformation (214) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции NtQuerySystemInformation нейтрализован
Функция ntdll.dll:NtResumeThread (245) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции NtResumeThread нейтрализован
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:EnumServicesStatusA (174) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции EnumServicesStatusA нейтрализован
Функция advapi32.dll:EnumServicesStatusW (177) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции EnumServicesStatusW нейтрализован
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
>> Опасно ! Обнаружена маскировка процессов
>>>> Подозрение на маскировку процесса 888 c:\winnt\soundman.exe
1.2 Поиск перехватчиков API, работающих в KernelMode
Эталонная KeServiceDescriptorTable найдена (FC=07F7E0, RVA=07F7E0)
2. Проверка памяти
Количество найденных процессов: 25
Процесс c:\winnt\system32\winlogon.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll,rasapi32.dll, tapi32.dll)
Процесс c:\winnt\system32\lsass.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll)
Процесс c:\winnt\system32\mstask.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll,rasapi32.dll, tapi32.dll)
Процесс c:\winnt\system32\caprpcsk.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll)
Процесс c:\progra~1\drwebf~1\spidernt.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll)
Процесс c:\program files\drweb for windows\spiderml.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll)
c:\winnt\system32\mkscan.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
Процесс c:\winnt\system32\mkscan.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll)
Процесс c:\winnt\system32\spool\drivers\w32x86\3\cappswk.e xe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll)
Процесс c:\winnt\system32\wuauclt.exe может работать с сетью (urlmon.dll,tapi32.dll,netapi32.dll,ws2_32.dll,ws2 help.dll)
Процесс c:\program files\avz-betta2\avz.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll)
Количество загруженных модулей: 238
Проверка памяти завершена
3. Сканирование дисков
C:\COMMAND.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35)
C:\WINNT\system32\mkscan.bak>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\WINNT\Temp\UNLOCK.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35)
C:\WINNT\Temp\EJECT.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35)
C:\WINNT\Temp\LOCK.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35)
C:\WINNT\$NtServicePackUninstall$\diskcomp.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35)
C:\WINNT\$NtServicePackUninstall$\diskcopy.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35)
C:\WINNT\$NtServicePackUninstall$\format.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35)
C:\WINNT\mkscan.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\Program Files\Visio\DVS\VB Solutions\ShowArgs\Showargs.EXE>>> подозрение на Trojan.Win32.VB.gu ( 0040E09C 00304E19 000CBB47 00000000 20480)
C:\mkscan.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
D:\HACHATRI_NS\Москва 2002\Москва 3 этап\3 Реферат .doc - В имени файла больше 5 пробелов(степень опасности 5)
D:\UserDOc\mkscan.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
D:\Информация с Pentium1105\DP1105\FAERMAN\Губернатору Вологодской области Позгалеву В.doc - В имени файла больше 5 пробелов(степень опасности 5)
D:\Информация с Pentium1105\DP1105\HACHATRI\Москва 2002\Москва 3 этап\3 Реферат .doc - В имени файла больше 5 пробелов(степень опасности 5)
D:\mkscan.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
D:\Nadya\Pentium_1105\FixKlez.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35)
D:\Celeron_1004\Disc_C\FixKlez.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск клавиатурных шпионов (Keylogger)
C:\Program Files\Maxxtro\MaxMice\mhook.dll --> Подозрение на Keylogger или троянскую DLL
Результат оценки нейросетью - файл является кейлоггером с вероятностью 1.39%
C:\WINNT\system32\DNSAPI.DLL --> Подозрение на Keylogger или троянскую DLL
Результат оценки нейросетью - файл является кейлоггером с вероятностью 1.38%
>>> C:\Program Files\Maxxtro\MaxMice\kbdhook.dll --> С высокой степенью вероятности обнаружен Keylogger или троянская DLL
Результат оценки нейросетью - файл является кейлоггером с вероятностью 97.39%
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 5 TCP портов и 1 UDP портов
Проверка завершена, подозрительные порты не обнаружены
Просканировано файлов: 23699, найдено вирусов 6
Сканирование завершено в 03.03.2005 14:30:55
Внимание !!! Для завершения процесса лечения необходима перезагрузка
Сканирование длилось 00:04:38.109

C:\Program Files\Maxxtro\MaxMice\kbdhook.dll
C:\Program Files\Visio\DVS\VB Solutions\ShowArgs\Showargs.EXE
выслала запакованными с паролем virus на [email protected]

03.03.2005, 15:14

Протокол антивирусной утилиты AVZ версии 3.00
Сканирование запущено в 03.03.2005 13:00:20
Загружена база: 9901 сигнатур, 1 нейропрофилей, 9 микропрограмм лечения, 0 микропрограмм эвристики
Загружены цифровые подписи системных файлов: 23996 шт.
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtEnumerateKey (121) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции NtEnumerateKey нейтрализован
Функция ntdll.dll:NtEnumerateValueKey (122) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции NtEnumerateValueKey нейтрализован
Функция ntdll.dll:NtQueryDirectoryFile (187) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции NtQueryDirectoryFile нейтрализован
Функция ntdll.dll:NtQuerySystemInformation (214) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции NtQuerySystemInformation нейтрализован
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Функция wininet.dll:InternetAutodial (207) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции InternetAutodial нейтрализован
Функция wininet.dll:InternetGetConnectedState (235) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции InternetGetConnectedState нейтрализован
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
>> Опасно ! Обнаружена маскировка процессов
>>>> Подозрение на маскировку процесса 1176 c:\winnt\system32\fwagvmzk.exe
1.2 Поиск перехватчиков API, работающих в KernelMode
Эталонная KeServiceDescriptorTable найдена (FC=06DFA0, RVA=06DFA0)
2. Проверка памяти
Количество найденных процессов: 26
Процесс c:\winnt\system32\nmssvc.exe может работать с сетью (ws2_32.dll,ws2help.dll,rasapi32.dll,tapi32.dll,ne tapi32.dll)
Процесс c:\program files\common files\roxio shared\project selector\projselector.exe может работать с сетью (wininet.dll)
Процесс c:\program files\roxio\easy cd creator 6\dragtodisc\drgtodsc.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll,wininet.dll)
Процесс c:\program files\roxio\easy cd creator 6\audiocentral\rxmon.exe может работать с сетью (wininet.dll)
Процесс c:\drwb32\spiderml.exe может работать с сетью (ws2_32.dll,ws2help.dll,wininet.dll)
Процесс c:\winnt\system32\fwagvmzk.exe может работать с сетью (rasapi32.dll,ws2_32.dll,ws2help.dll,tapi32.dll,ne tapi32.dll,wininet.dll)
Процесс c:\program files\internet explorer\ixplore.exe может работать с сетью (wininet.dll,rasapi32.dll,ws2_32.dll,ws2help.dll,t api32.dll)
Процесс c:\winnt\system32\w?aclt.exe может работать с сетью (urlmon.dll,wininet.dll,netapi32.dll,ws2_32.dll,ws 2help.dll,rasapi32.dll,tapi32.dll)
Процесс c:\documents and settings\zotov\application data\eude.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll,urlmon.dll,wininet.dll)
Процесс c:\program files\roxio\easy cd creator 6\audiocentral\playlist.exe может работать с сетью (wininet.dll)
Процесс c:\wincmd\wincmd32.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll,wininet.dll)
Процесс c:\program files\avz-betta2\avz.exe может работать с сетью (ws2_32.dll,ws2help.dll,wininet.dll,netapi32.dll,r asapi32.dll,tapi32.dll)
Количество загруженных модулей: 221
Проверка памяти завершена
3. Сканирование дисков
C:\Program Files\Internet Explorer\calc.exe>>> подозрение на Spy.BetterInternet ( 0A8791CE 03921C49 00234B8B 0025AC02 70144)
C:\valery v. zotov\НАУКИ И СОВРЕМЕННОСТЬ 2000.doc - В имени файла больше 5 пробелов(степень опасности 5)
C:\valery v. zotov\Мои документы\НАУКИ И СОВРЕМЕННОСТЬ 2000.doc - В имени файла больше 5 пробелов(степень опасности 5)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск клавиатурных шпионов (Keylogger)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 4 TCP портов и 1 UDP портов
Проверка завершена, подозрительные порты не обнаружены
Просканировано файлов: 6659, найдено вирусов 0
Сканирование завершено в 03.03.2005 13:01:06
Сканирование длилось 00:00:46.359

C:\Program Files\Internet Explorer\calc.exe>>> подозрение на Spy.BetterInternet ( 0A8791CE 03921C49 00234B8B 0025AC02 70144) тоже выслала

Geser

03.03.2005, 15:27

c:\winnt\system32\fwagvmzk.exe
c:\program files\internet explorer\ixplore.exe
c:\winnt\system32\w?aclt.exe - поискать все файлы с похожим названием. Возможно будет 2 файла wuaclt.exe или что-то вроде того.
c:\documents and settings\zotov\application data\eude.exe
c:\wincmd\wincmd32.exe

Файлы обязательно заархивировать с паролем virus и отправить на [email protected]
Как архивировать с паролем написано тут:
http://www.securinfo.ru/HowtoArchive
как искать файлы написано тут:
http://www.securinfo.ru/HowToSearch
В письме обязательно указать ссылку на тему!

Geser

03.03.2005, 15:30

В логе « Ответ #4 от: Сегодня в 14:10:45 »
c:\winnt\system32\caprpcsk.exe
c:\winnt\system32\spool\drivers\w32x86\3\cappswk.e xe
c:\winnt\soundman.exe

Тоже заархивировать с паролем virus и отправить на [email protected]

Зайцев Олег

03.03.2005, 15:39

Лог интересен ...
Явно виден процесс spidernt.exe - монитор от DrWeb, но при этом находится вирь:
c:\winnt\system32\mkscan.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit
Т.е. из-за руткит-системы в Backdoor.Agobot антивирус DrWeb не может его найти и убить ...

Еще следует прислать на анализ файл
c:\documents and settings\zotov\application data\eude.exe
(это странное приложение - стартует из нетипичной для программ папки, да еще с сетью работать может -возможно, это некий Backdoor ...)

Файлы пришли:
calk.exe - эвристик AVZ не соврал - это новый вид Spy.BetterInternet, его нужно удалить;
Showargs.exe - файл от Visio, ложное срабатывание
kbdhook.dll - клавиатурный перехватчик ... сказать точнее не могу, т.к. копирайтов и сведений о разработчике у него нет, анализ показывает, что он передает ниформацию о нажатиях клавиш некоемы приложению (какому - неизветсно, т.к. этот перехватчик не имеет средств установки и снятия перехвата - его кто-то должен запустить) ...

03.03.2005, 16:30

ужас, замучили меня, уже 8 компуков проверил, ща буду разбираться
сетка вирусами загажены, а на копмах че творится...ужас

kps

03.03.2005, 16:31

c:\wincmd\wincmd32.exe - Это по идее самый обычный Windows Commander, у меня он тоже стоит.

Лог интересен ...
Явно виден процесс spidernt.exe - монитор от DrWeb, но при этом находится вирь:
c:\winnt\system32\mkscan.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit
Т.е. из-за руткит-системы в Backdoor.Agobot антивирус DrWeb не может его найти и убить ...

Спайдер не может найти и обезвредить руткит в памяти, т.к. он не умеет детектировать вирусы в памяти по особым сигнатурам для поиска вирусов в памяти для сканера и не может обезвредить стелс механизм, а вот если в базе есть сигнатура для обезвреживания руткита в памяти, то при проверки сканером в памяти руткит по идее должен быть обезврежен и тогда уже можно сканировать диски...

Geser

03.03.2005, 16:39

Спайдер не может найти и обезвредить руткит в памяти, т.к. он не умеет детектировать вирусы в памяти по особым сигнатурам для поиска вирусов в памяти для сканера и не может обезвредить стелс механизм, а вот если в базе есть сигнатура для обезвреживания руткита в памяти, то при проверки сканером в памяти руткит по идее должен быть обезврежен и тогда уже можно сканировать диски...

Так ведь маскировка на самом деле не работает. Так что причина в другом.

03.03.2005, 17:05

c:\winnt\system32\fwagvmzk.exe - поиск не дает результатов????

c:\program files\internet explorer\ixplore.exe - послала

c:\winnt\system32\w?aclt.exe - поискать все файлы с похожим названием. Возможно будет 2 файла wuaclt.exe или что-то вроде того. - поиск не дает результатов??? интересно что нет этих файлов

c:\documents and settings\zotov\application data\eude.exe - хех, спйдер гад сразу определил как трояи удалил, странно, что на том копме веб не фиксирует, а спайдер гуард не включен

c:\wincmd\wincmd32.exe -послала

Файлы обязательно заархивировать с паролем virus и отправить на [email protected]
Как архивировать с паролем написано тут:
http://www.securinfo.ru/HowtoArchive
как искать файлы написано тут:
http://www.securinfo.ru/HowToSearch
В письме обязательно указать ссылку на тему!

03.03.2005, 17:09

вот, из лога спайдера достала
03-03-2005 17:02:35 A:\записать\eude.exe инфицирован Trojan.PurityAd - удален

Зайцев Олег

03.03.2005, 17:15

вот, из лога спайдера достала
03-03-2005 17:02:35 A:\записать\eude.exe инфицирован Trojan.PurityAd - удален

А сам файл eude.exe сохранился ? Если да, присылайте - в базе AVZ такого нет, у DrWeb - тоже ...

Geser

03.03.2005, 17:16

03.03.2005, 17:17

сохранился на том компуке, закопирую ....в субботу, надо тогда спайдер отключить?

03.03.2005, 17:19

а почему eude.exe в базе веба нет, ведь спайдер перехватил?...

Elena

03.03.2005, 17:48

Чем искала?

искала пуск - найти, и вручную по указанному пути искала

Elena

03.03.2005, 17:50

Elena

03.03.2005, 17:51

....
kbdhook.dll - клавиатурный перехватчик ... сказать точнее не могу, т.к. копирайтов и сведений о разработчике у него нет, анализ показывает, что он передает ниформацию о нажатиях клавиш некоемы приложению (какому - неизветсно, т.к. этот перехватчик не имеет средств установки и снятия перехвата - его кто-то должен запустить) ...

каким образом удалить dll???
там прога была какя-то MaxMice, я ее деинсталлировала, а длл остались, грит, что используется виндой