перехватчики

Добрый день. Явных симптомов заражения системы нет, но 3 день вместе с техподдержкой КМБ банка не можем добиться восстановления работоспособности новой версии клиент-банка, которая после установки функционировала несколько дней. Вот решили проверить систему на вирусы. На ПК установлен NOD32 v. 2_7.

CureIt.exe в безопасном режиме ничего стоящего не обнаружил.

avz обнаружила следующее: wininet.dll:InternetAlgIdToStringA (212) перехвачена, метод APICodeHijack.JmpTo[671F11C6].
Ранее был обнаружен заражённый файл tgt86.exe - Worm.Mail.Warezov.afd (заражение подтверждено 15 антивирусами на virustotal.com). Необходимые отчёты прикрепляю ниже.

Проверим вот эти файлы:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('wtsadpvo.dll','');
QuarantineFile('diagisr.dll','');
QuarantineFile('C:\WINDOWS\system32\linkdel.cmd','');
RebootWindows(true);
end.[/CODE]

Загрузить карантин через ссылку вверху темы.

Не удалось поместить в карантин файлы - wtsadpvo.dll, diagisr.dll

Ошибка карантина файла, попытка прямого чтения (wtsadpvo.dll, diagisr.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\wtsadpvo.dll, diagisr.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\wtsadpvo.dll, diagisr.dll)
Карантин с использованием прямого чтения - ошибка

Добавил в архив файлы, которые avz посчитала подозрительными при выполнении скриптов для темы "Помогите". Был ещё подозрительный файл c:\windows\system32\drivers\uphcleanhlp.sys но добавить его в карантин не удалось по той же причине

[size="1"][color="#666686"][B][I]Добавлено через 51 минуту[/I][/B][/color][/size]

как вариант можно попробовать вытащить эти файлы, загрузившись с infraCD. Есть такая необходимость?

Попробуй эти файлы найти через AVZ и добавить в карантин.
Хотя бы вот этот 'wtsadpvo.dll'

Павел, добрый день. Пробовал искать через avz - результат отрицательный, сообщение об ошибке в предыдущем моём посте. Пробовал загрузиться с infraCD но и таким способом найти их не удалось. Можете ещё что-то порекомендовать? Факт заражения имеет место быть?

пофиксите ...
[code]
O20 - AppInit_DLLs: wtsadpvo.dll diagisr.dll
[/code]
повторите логи начиная спункта 10 правил ...

пофикситься не удалось "Ошибка скрипта: 'BEGIN' expected, позиция [1:1]"
или так и должно быть? Логи надо повторять?

[url]http://virusinfo.info/showthread.php?t=4491[/url]
правила не дочитали по принципиальным соображениям ?

Читал конечно :-) Виноват - стормозил, исправлюсь. За то что указали, спасибо.

Пофиксил, логи ниже

Чисто,пришлите на всякий случай согласно приложению 2 правил:cpssp.dll

отправил

@Гриша Эта dll-ка от Крипто Про.

Доброе утро. Есть ещё какие-нибудь идеи или пора переходить к радикальным методам? Пока постарался не вмешиваться в систему своими активными действиями. Но время поджимает, руководство требует результат. Если у кого есть мысли буду рад.

BWMeter - у вас оригинальный ? (что -то не видно его сервиса)
віполните скрипт ...
[code]
begin
QuarantineFile('c:\program files\bwmeter\bwmeter.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил

Отправил. Сервиса не видно очевидно по причине того, что CureIt поместил файл Services.exe из папки BWMeter на карантин. "C:\Program Files\BWMeter\Service.exe является потенциально опасной программой Program.SrvAny - перемещен
". Так как я и раньше сталкивался с этим и почитав описание вируса просто вернул файл на место. Наверно CureIt ещё и службу отрегистрировал.

файл чистый ... но попробуйте деинсталировать прогрмку , частенько она конфликтует со всеми....

Деинсталлировал и NOD32 заодно, т.к. в него тоже частенько внедряют. Клиент-банк не заработал. Попробую повторно проверить CureIt и avz

[size="1"][color="#666686"][B][I]Добавлено через 1 час 23 минуты[/I][/B][/color][/size]

По прежнему "Функция wininet.dll:InternetAlgIdToStringA (212) перехвачена, метод APICodeHijack.JmpTo[671F11C6]
Функция wininet.dll:InternetAlgIdToStringW (213) перехвачена, метод APICodeHijack.JmpTo[671F1376]"
Всё-таки это точно вирусы? Может совсем не туда копаю?

wininet.dll пришлите согласно приложения 3 правил ... (хотя скорее он чистый)

отправил