02.03.2005, 16:39
вообщем тут история у меня продолжается, вернее не у меня, а в нашей сети, я то свой комп от агобота излечила, теперь попросили с другими седлать
вот лог одного компа:
Протокол антивирусной утилиты AVZ версии 3.00
Сканирование запущено в 02.03.2005 15:43:06
Загружена база: 9901 сигнатур, 1 нейропрофилей, 9 микропрограмм лечения, 0 микропрограмм эвристики
Загружены цифровые подписи системных файлов: 23996 шт.
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:FindFirstFileExW (200) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции FindFirstFileExW нейтрализован
Функция kernel32.dll:FindNextFileW (208) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции FindNextFileW нейтрализован
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:LdrGetDllHandle (59) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции LdrGetDllHandle нейтрализован
Функция ntdll.dll:NtQuerySystemInformation (258) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции NtQuerySystemInformation нейтрализован
Функция ntdll.dll:NtResumeThread (292) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции NtResumeThread нейтрализован
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:EnumServicesStatusA (209) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции EnumServicesStatusA нейтрализован
Функция advapi32.dll:EnumServicesStatusW (212) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции EnumServicesStatusW нейтрализован
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Эталонная KeServiceDescriptorTable найдена (FC=074C00, RVA=074C00)
2. Проверка памяти
Количество найденных процессов: 22
Процесс c:\windows\system32\winlogon.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll,rasapi32.dll, tapi32.dll)
Процесс c:\program files\kaspersky lab\kaspersky anti-virus personal pro\avpcc.exe может работать с сетью (ws2_32.dll,ws2help.dll)
Процесс c:\program files\adaptec\easy cd creator 5\directcd\directcd.exe может работать с сетью (netapi32.dll)
c:\windows\system32\mkscan.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
Процесс c:\windows\system32\mkscan.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll)
Процесс c:\totalcmd\totalcmd.exe может работать с сетью (netapi32.dll)
Процесс c:\program files\avz-betta2\avz.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll)
Количество загруженных модулей: 242
Проверка памяти завершена
3. Сканирование дисков
C:\WINDOWS\system32\CD_CLINT.DLL>>>>> Вирус !! AdvWare.Cydoor успешно удален
C:\WINDOWS\system32\mkscan.bak>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\WINDOWS\system32\winhlpp32.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\Program Files\take two\finder.exe>>> подозрение на Trojan-Dropper.Win32.Small.qw ( 004FFE67 08CD8ABD 001A4072 001D9DCC 159744)
C:\Program Files\Adaptec\Easy CD Creator 5\Easy CD Creator\take two\finder.exe>>> подозрение на Trojan-Dropper.Win32.Small.qw ( 004FFE67 08CD8ABD 001A4072 001D9DCC 159744)
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP85\A0022535.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP85\A0022538.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP85\A0022539.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP85\A0022545.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP85\A0022546.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP85\A0022552.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP85\A0022553.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP85\A0022565.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP85\A0022567.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP85\A0022587.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP86\A0022631.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP86\A0022637.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP86\A0022638.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP87\A0022643.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP87\A0022652.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP87\A0022656.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP87\A0022657.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP87\A0022662.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP87\A0022663.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP87\A0022670.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP87\A0022671.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP87\A0022677.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP87\A0022685.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP87\A0022692.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\totalcmd\totalcmd.exe.bak - PE файл с нестандартным расширением(степень опасности 5)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск клавиатурных шпионов (Keylogger)
C:\Program Files\Punto Switcher\correct.dll --> Подозрение на Keylogger или троянскую DLL
Результат оценки нейросетью - файл является кейлоггером с вероятностью 97.93%
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 5 TCP портов и 7 UDP портов
>>> Опасно: Порт 5000 TCP - Bubbel, Back Door Setup, Sockets de Troie, Socket 23 (SVCHOST.EXE)
Просканировано файлов: 21936, найдено вирусов 28
Сканирование завершено в 02.03.2005 16:13:07
Внимание !!! Для завершения процесса лечения необходима перезагрузка
Сканирование длилось 00:30:01.811
вот лог одного компа:
Протокол антивирусной утилиты AVZ версии 3.00
Сканирование запущено в 02.03.2005 15:43:06
Загружена база: 9901 сигнатур, 1 нейропрофилей, 9 микропрограмм лечения, 0 микропрограмм эвристики
Загружены цифровые подписи системных файлов: 23996 шт.
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:FindFirstFileExW (200) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции FindFirstFileExW нейтрализован
Функция kernel32.dll:FindNextFileW (208) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции FindNextFileW нейтрализован
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:LdrGetDllHandle (59) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции LdrGetDllHandle нейтрализован
Функция ntdll.dll:NtQuerySystemInformation (258) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции NtQuerySystemInformation нейтрализован
Функция ntdll.dll:NtResumeThread (292) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции NtResumeThread нейтрализован
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:EnumServicesStatusA (209) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции EnumServicesStatusA нейтрализован
Функция advapi32.dll:EnumServicesStatusW (212) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции EnumServicesStatusW нейтрализован
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Эталонная KeServiceDescriptorTable найдена (FC=074C00, RVA=074C00)
2. Проверка памяти
Количество найденных процессов: 22
Процесс c:\windows\system32\winlogon.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll,rasapi32.dll, tapi32.dll)
Процесс c:\program files\kaspersky lab\kaspersky anti-virus personal pro\avpcc.exe может работать с сетью (ws2_32.dll,ws2help.dll)
Процесс c:\program files\adaptec\easy cd creator 5\directcd\directcd.exe может работать с сетью (netapi32.dll)
c:\windows\system32\mkscan.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
Процесс c:\windows\system32\mkscan.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll)
Процесс c:\totalcmd\totalcmd.exe может работать с сетью (netapi32.dll)
Процесс c:\program files\avz-betta2\avz.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll)
Количество загруженных модулей: 242
Проверка памяти завершена
3. Сканирование дисков
C:\WINDOWS\system32\CD_CLINT.DLL>>>>> Вирус !! AdvWare.Cydoor успешно удален
C:\WINDOWS\system32\mkscan.bak>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\WINDOWS\system32\winhlpp32.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\Program Files\take two\finder.exe>>> подозрение на Trojan-Dropper.Win32.Small.qw ( 004FFE67 08CD8ABD 001A4072 001D9DCC 159744)
C:\Program Files\Adaptec\Easy CD Creator 5\Easy CD Creator\take two\finder.exe>>> подозрение на Trojan-Dropper.Win32.Small.qw ( 004FFE67 08CD8ABD 001A4072 001D9DCC 159744)
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP85\A0022535.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP85\A0022538.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP85\A0022539.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP85\A0022545.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP85\A0022546.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP85\A0022552.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP85\A0022553.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP85\A0022565.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP85\A0022567.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP85\A0022587.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP86\A0022631.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP86\A0022637.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP86\A0022638.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP87\A0022643.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP87\A0022652.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP87\A0022656.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP87\A0022657.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP87\A0022662.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP87\A0022663.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP87\A0022670.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP87\A0022671.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP87\A0022677.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP87\A0022685.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\System Volume Information\_restore{994B7D02-4274-4482-AE9B-4AF30701AB96}\RP87\A0022692.exe>>>>> Вирус !! Backdoor.Agobot.Rootkit успешно удален
C:\totalcmd\totalcmd.exe.bak - PE файл с нестандартным расширением(степень опасности 5)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск клавиатурных шпионов (Keylogger)
C:\Program Files\Punto Switcher\correct.dll --> Подозрение на Keylogger или троянскую DLL
Результат оценки нейросетью - файл является кейлоггером с вероятностью 97.93%
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 5 TCP портов и 7 UDP портов
>>> Опасно: Порт 5000 TCP - Bubbel, Back Door Setup, Sockets de Troie, Socket 23 (SVCHOST.EXE)
Просканировано файлов: 21936, найдено вирусов 28
Сканирование завершено в 02.03.2005 16:13:07
Внимание !!! Для завершения процесса лечения необходима перезагрузка
Сканирование длилось 00:30:01.811