Help me!

Внимание !!! База поcледний раз обновлялась 21.12.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.35
Сканирование запущено в 09.06.2010 17:45:48
Загружена база: сигнатуры - 283632, нейропрофили - 2, микропрограммы лечения - 56, база от 21.12.2010 15:02
Загружены микропрограммы эвристики: 386
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 250325
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: Отключено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=08B520)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80562520
KiST = 804E48B0 (284)
[COLOR="Red"]Функция NtAllocateVirtualMemory (11) перехвачена (80570EDD->F7BBD088), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtCreateKey (29) перехвачена (8057791D->F74E40E0), перехватчик spyr.sys
Функция NtCreateThread (35) перехвачена (80586C45->F7BBE1E0), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtEnumerateKey (47) перехвачена (80578E14->F74FCDA4), перехватчик spyr.sys
Функция NtEnumerateValueKey (49) перехвачена (80587693->F74FD132), перехватчик spyr.sys
Функция NtFreeVirtualMemory (53) перехвачена (805713D7->F7BBD306), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtOpenKey (77) перехвачена (80572BF4->F74E40C0), перехватчик spyr.sys
Функция NtOpenSection (7D) перехвачена (8057A8AD->F7BBCED2), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtQueryKey (A0) перехвачена (80578A14->F74FD20A), перехватчик spyr.sys
Функция NtQueryValueKey (B1) перехвачена (80573037->F74FD08A), перехватчик spyr.sys
Функция NtQueueApcThread (B4) перехвачена (805E3BAD->F7BBE2E2), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtSetContextThread (D5) перехвачена (806359C3->F7BBE32E), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtSetValueKey (F7) перехвачена (8058228C->F74FD29C), перехватчик spyr.sys
Функция NtSystemDebugControl (FF) перехвачена (80650E11->F7BBCE00), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtWriteVirtualMemory (115) перехвачена (805885C4->F7BBD416), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный[/COLOR]
Проверено функций: 284, перехвачено: 15, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
[COLOR="Red"]\FileSystem\ntfs[IRP_MJ_CREATE] = 89BCC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 89BCC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 89BCC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 89BCC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 89BCC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 89BCC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 89BCC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 89BCC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 89BCC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 89BCC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 89BCC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 89BCC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 89BCC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 89BCC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 89BCC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 89BCC1F8 -> перехватчик не определен[/COLOR]
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 31
Количество загруженных модулей: 277
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 308, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 09.06.2010 17:46:47
Сканирование длилось 00:01:00
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - [url]http://virusinfo.info[/url]



страшные глюки на компе
подскажите пожалуйста что делать? до этого была еще одна ошибка (маскировка процесса drweb) но вроде как стандартный скрипт её вылечил но комп также глючит

[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]

вот еще заметил: spyr.sys после перзагрузки компа переименовался в spoo.sys

Прикрепите логи к теме согласно правил раздела.

вот он (прошу извинить если что то неправильно =) .)

В AVZ выполните скрипт:

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\securesxxx.exe\securesxxx.exe','');
DeleteService('mkdrv');
QuarantineFile('C:\WINDOWS\ksmt.sys','');
DeleteFile('C:\WINDOWS\ksmt.sys');
BC_DeleteSvc('mkdrv');
DeleteFile('C:\securesxxx.exe\securesxxx.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','securesxxx.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run','securesxxx.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','securesxxx.exe');
DeleteFileMask('C:\securesxxx.exe', '*.*', true);
DeleteDirectory('C:\securesxxx.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]


После перезагрузки

[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]

Пришлите карантин [b]quarantine.zip[/b] по красной ссылке [B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B] вверху темы.
Логи повторите.

карантин прислал щас скоро логи пришлю

[QUOTE='Locky;748290']до этого была еще одна ошибка (маскировка процесса drweb) но вроде как стандартный скрипт её вылечил но комп также глючит[/QUOTE]
Оставьте Веба в покое :)

[QUOTE='Locky;748290'] spyr.sys после перзагрузки компа переименовался в spoo.sys [/QUOTE]Это от эмулятора дисков

вот

Пофиксите в HijackThis:
[code]
O4 - HKCU\..\Run: [PCHDPlayer] C:\Program Files\pchd\PCHDPlayer.exe
[/code]
Установите правильную системную дату.

Больше ничего плохого не видно.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]