Собственно PC начал подлагивать. Один раз после перезагрузки началась раасылка спама с моей машины
Printable View
Собственно PC начал подлагивать. Один раз после перезагрузки началась раасылка спама с моей машины
Не хватет лога AVZ:
---
5. Выполните сканирование системы при помощи AVZ, для этого нажмите на кнопку пуск сразу после запуска программы.
---
[CODE]Протокол антивирусной утилиты AVZ версии 4.12
Сканирование запущено в 16.01.2006 18:02:28
Загружена база: 19435 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, база от 12.01.2006 10:46
Загружены микропрограммы эвристики: 357
Загружены цифровые подписи системных файлов: 47141
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=07B180)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 80552180
KiST = 80501030 (284)
Функция ZwConnectPort (1F) перехвачена (8059841E->8590F6E8), перехватчик не определен
Функция ZwCreateKey (29) перехвачена (80618BDA->F7410B3A), перехватчик sptd.sys
Функция ZwEnumerateKey (47) перехвачена (8061941A->849BAA16), перехватчик не определен
Функция ZwEnumerateValueKey (49) перехвачена (80619684->849BAABA), перехватчик не определен
Функция ZwOpenKey (77) перехвачена (80619F70->F7410A18), перехватчик sptd.sys
Функция ZwQueryDirectoryFile (91) перехвачена (8056DF2E->849BA532), перехватчик не определен
Функция ZwQueryKey (A0) перехвачена (8061A294->F74110C0), перехватчик sptd.sys
Функция ZwQueryValueKey (B1) перехвачена (80616C94->F7410F58), перехватчик sptd.sys
Функция ZwSetValueKey (F7) перехвачена (8061729A->F7411148), перехватчик sptd.sys
Проверено функций: 284, перехвачено: 9, восстановлено: 0
2. Проверка памяти
Количество найденных процессов: 34
Количество загруженных модулей: 365
Проверка памяти завершена
3. Сканирование дисков
C:\Documents and Settings\KIKUNG\Local Settings\Temporary Internet Files\Content.IE5\CLEVOH6B\jimm-0.4.3[1].zip Invalid file - not a PKZip file
C:\Documents and Settings\KIKUNG\Local Settings\Temporary Internet Files\Content.IE5\SXAV4HUB\jimm-0.4.3[1].zip Invalid file - not a PKZip file
C:\Documents and Settings\user\Local Settings\Temp\F.tmp >>>>> Trojan-Downloader.Win32.Agent.aav
C:\Documents and Settings\user\Local Settings\Temp\svchst.exe >>>>> Trojan-Downloader.Win32.PassAlert.m
E:\Den\Dendy\Teenage Mutant Ninja Turtles Tournament Fighters (U).zip Invalid file - not a PKZip file
E:\RECYCLER\S-1-5-21-1060284298-1202660629-1708537768-1005\Dc530.zip Invalid file - not a PKZip file
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files\Stardock\Object Desktop\ThemeManager\WBlind.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Stardock\Object Desktop\ThemeManager\WBlind.dll>>> Нейросеть: файл с вероятностью 50,00% похож на типовой перехватчик событий клавиатуры/мыши
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 319 описаний портов
На данном ПК открыто 42 TCP портов и 26 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 292525, извлечено из архивов: 241701, найдено вредоносных программ 2
Сканирование завершено в 16.01.2006 18:54:21
Сканирование длилось 00:51:52[/CODE]
ну и в чем вопрос ?
лечитесь.
включайте лечение в AVZ и вперед...
ну а потом посмотрим что останется ;)
Там, вообще-то, ничего особенного не видать, за исключением пары троянов в Temp другого пользователя. Но эти вроде бы не из тех, что спам рассылают.
Есть ещё пара файлов, которые меня засмущали:
C:\WINDOWS\system32\drivers\i386p.sys
C:\WINDOWS\system32\dcom_12.dll
Их надо прислать, как написано в правилах.
А вообще-то имеет смысл прислать всё, что в исследовании AVZ выделено ярким фоном. Что безопасное - попадёт в список безопасных и перестанет отсвечивать, а если есть что-то вредное, будет детектироваться.
[QUOTE=pig]Есть ещё пара файлов, которые меня засмущали:
C:\WINDOWS\system32\drivers\i386p.sys
C:\WINDOWS\system32\dcom_12.dll
Их надо прислать, как написано в правилах.
[/QUOTE]
Я бы попросил поискать и если таковые найдутся - добавить в посылку
fldrsys.dll
sndmixex.dl
3 из тех, что просили прислать я удалил, т.к. не нашел по узанным адресам... dcom_12.dll таинствнно исчез.
Другие фаил я постораюсь в ближайшее время прислать.
[QUOTE=KIKUNG]3 из тех, что просили прислать я удалил, т.к. не нашел по узанным адресам... [/QUOTE]
что-то я не вкуриваю... как можно "удалить, т.к. не нашел"???
Посмотрел пути в логе хаиджэка, отправился, а там указанных фаилов почем-то не оказалось (отображение скытых аило включено)
ЗЫ проблема появилась после появления secure32.htm - его вроде удалил
Проваидер отключил меня от сети пару дней назад из-за спама :-\
С помощью утилиты AVZ , связанной с ядром, нашел i386p.sys, но в папке ...system32\drivers его нет, hijack тоже больше не видит. Можно поместить в карантин или выгрузить его?
[QUOTE=KIKUNG]С помощью утилиты AVZ , связанной с ядром, нашел i386p.sys, но в папке ...system32\drivers его нет, hijack тоже больше не видит. Можно поместить в карантин или выгрузить его?[/QUOTE]
сперва в карантин, потом выгрузить из памяти. после перезагрузки убедитесь, что он не появился снова.
Вернулся обратно, проделал туже операцию
Похоже у меня Spambot, дейсвует либо через Symantec Antivirus, либо через Windows Messenger, такой вопрос - через что именно? Dr. Web не распознает :(
i385p.sys сидит в ядре, как от него можно избавиться???
[QUOTE=KIKUNG]i385p.sys сидит в ядре, как от него можно избавиться???[/QUOTE]
Был i386p.sys. Имя сменил? ;)
Файл скопируйте в карантин и вышлите в архиве с паролем virus на [email][email protected][/email]
Имя не сменил - я опечатался :)
Письмо послал!
Отследил, что спам идет от фаила ccapp.exe, послать?
Можно, но это скорее всего часть NAV, которая перехватывает соединения гада, рассылающего спам.
Короче давай новые логи, а то не понятно что удалил а что нет
Выкладываю