Backdoor.Win32.Agent.uu

Началось все с того, что Касперский при посещении какого-то сайта стал ругаться на Backdoor.Win32.Agent.uu

Сканирование Касперским выявило кучу троянов.
Переустановка Windows не помогла.

В дальнейшем после перезагрузки Касперский ругался на файл maindll.dll
Лечению он не поддавался и Касперский его удалял, но после перезагрузки файл возникал снова и Касперский снова на него ругался.

На время лечения я на всякий случай отключил комп от сети (физически выдернув сетевой шнур). После лечения АVZ Касперский уже ни на что не ругается (в том числе и при сканировании всех дисков). Но AVZ по прежнему выдает, что в памяти сидит кто-то нехороший и перехватывает системные вызовы :(

Сейчас подключил комп к Интернету, высылаю логи как сказано в правилах

выполните скрипт AVZ - файл - выполнить скрипт, копьютер перезагрузиться

[code]begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINNT\ServicePackFiles\32473722.dll','');
QuarantineFile('C:\WINNT\system32\kzymfnc.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
QuarantineFile('C:\WINNT\ServicePackFiles\services.exe','');
QuarantineFile('c:\docume~1\9335~1\locals~1\temp\1076\explorer.exe','');
RebootWindows(true);
end.[/code]

после перезагрузке файлы из папки AVZ - Quarantine - сегодняшнее число залейте по правилам приложения 2

потом повторите логи AVZ с установленым драйвером расширеного мониторинга AVZPM

А вы вообще CureIt использовали?

Не забудьте вдобавок прислать те файлы , которые уже в карантин попали после стандартного скрипта , а именно :

C:\WINNT\msdrvctrl.exe >>> подозрение на AdvWare.Win32.Agent.bn ( 0A83D987 0354A6FC 001EE8BF 002107C1 32768)
C:\WINNT\ServicePackFiles\i386\mswsock.dll >>> подозрение на Trojan.Win32.Conycspa.n ( 0AA9ADB5 05EFDA46 0025C48B 002234D5 42496)
C:\WINNT\ServicePackFiles\mm.exe >>> подозрение на Trojan.Win32.Conycspa.l ( 0AE5D956 04958CAF 002377CF 00239BFB 20480)
C:\WINNT\ServicePackFiles\mm.exe.bak >>> подозрение на Trojan.Win32.Conycspa.l ( 0AE5D956 04958CAF 002377CF 00239BFB 20480)
C:\WINNT\system32\msdrives\msdrvctrl.exe >>> подозрение на AdvWare.Win32.Agent.bn ( 0A83D987 0354A6FC 001EE8BF 002107C1 32768)
C:\WINNT\Temp\msdrvctrl.exe >>> подозрение на AdvWare.Win32.Agent.bn ( 0A83D987 0354A6FC 001EE8BF 002107C)

[quote=Ego1st;101615]выполните скрипт AVZ - файл - выполнить скрипт, копьютер перезагрузиться

потом повторите логи AVZ с установленым драйвером расширеного мониторинга AVZPM

А вы вообще CureIt использовали?[/quote]
Скрипт выполнил, комп перезагрузился.

Потом поставил драйвер AVZPM, перезагрузился, повторил стандартный скрипт лечения. Потом еще раз перезагрузился (в соответствии с п.9 правил), хотел запустить скрипт сбора информации, но не успел, так как сразу после перезагрузки (как только я выключил Касперского) комп неожиданно завис, причем с красивым глюком на экране (типа шумовых помех на экране телевизора).

Утром разбираться с этим не было времени, т.к. опаздывал на работу. Вечером пришлю новые логи и файлы карантина.

P.S. CureIT я использовал (еще до сбора логов AVZ). Он нашел мне парочку SpamBot'ов, которые скстати Касперский не увидел. Но всех проблем решить не смог... :(

Сделал все как вы сказали. Правда у меня есть смутные подозрения, что я зря еще раз запускал сканирование с лечением не заархивировав предварительно результаты первого карантина. Не могли ли в результате этого карантинные файлы затереться? Повторное выполнение вашего скрипта отправило в карантин только один файл. Опыта работы с AVZ у меня пока очень мало, поэтому тупо следую вашим инструкциям.

Как бы там ни было, я закачал два архива с подозрительными файлами от двух карантинов через систему закачки.

Также прикрепляю новые логи.

Это про c:\docume~1\9335~1\locals~1\temp\1076\explorer.exe
Плюс определяет его Dr.Web.

F-Secure 6.70.13030.0 03.29.2007 W32/Malware.JSH
Ikarus T3.1.1.3 03.29.2007 no virus found
Kaspersky 4.0.2.24 03.29.2007 Trojan.Win32.KillAV.jr
McAfee 4994 03.28.2007 no virus found
Microsoft 1.2306 03.29.2007 no virus found
NOD32v2 2152 03.28.2007 no virus found
Norman 5.80.02 03.28.2007 W32/Malware.JSH
Panda 9.0.0.4 03.28.2007 Trj/Agent.EPU
Prevx1 V2 03.29.2007 Malicious

Те файлы, что просил прислать [b]Drongo[/b] - все вредоносные.

[quote=PavelA;101773]Это про c:\docume~1\9335~1\locals~1\temp\1076\explorer.exe
Плюс определяет его Dr.Web.

F-Secure 6.70.13030.0 03.29.2007 W32/Malware.JSH
Ikarus T3.1.1.3 03.29.2007 no virus found
Kaspersky 4.0.2.24 03.29.2007 Trojan.Win32.KillAV.jr
McAfee 4994 03.28.2007 no virus found
Microsoft 1.2306 03.29.2007 no virus found
NOD32v2 2152 03.28.2007 no virus found
Norman 5.80.02 03.28.2007 W32/Malware.JSH
Panda 9.0.0.4 03.28.2007 Trj/Agent.EPU
Prevx1 V2 03.29.2007 Malicious

Те файлы, что просил прислать [B]Drongo[/B] - все вредоносные.[/quote]
Ну это я уже понял. А как их теперь вылечить, и чем? Или вылечить вообще не удастся и нужно их удалять и переустанавливать с дистрибутива?

Вообще подскажите что сейчас делать? Заранее большое спасибо за помощь.

В AVZ выполнить скрипт
[CODE]begin
DeleteFile('c:\docume~1\9335~1\locals~1\temp\1076\explorer.exe');
DeleteFile('C:\WINNT\msdrvctrl.exe');
DeleteFile('C:\WINNT\ServicePackFiles\i386\mswsock.dll');
DeleteFile('C:\WINNT\ServicePackFiles\mm.exe');
DeleteFile('C:\WINNT\ServicePackFiles\mm.exe.bak');
DeleteFile('C:\WINNT\system32\msdrives\msdrvctrl.exe');
DeleteFile('C:\WINNT\Temp\msdrvctrl.exe');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]

После этого сделать лог AVZ и прислать.

многое в карантине не обнаружено, надо его получить потому что скорее всего это не здаровые файлы..
выполните скрипт AVZ - файл - выполнить скрипт, копьютер перезагрузиться

[code]begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINNT\ServicePackFiles\32473722.dll','');
QuarantineFile('C:\WINNT\system32\kzymfnc.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
QuarantineFile('C:\WINNT\ServicePackFiles\services.exe','');
QuarantineFile('c:\docume~1\9335~1\locals~1\temp\1076\explorer.exe','');
DeleteFile('c:\docume~1\9335~1\locals~1\temp\1076\explorer.exe');
DeleteFile('C:\WINNT\msdrvctrl.exe');
DeleteFile('C:\WINNT\ServicePackFiles\i386\mswsock.dll');
DeleteFile('C:\WINNT\ServicePackFiles\mm.exe');
DeleteFile('C:\WINNT\ServicePackFiles\mm.exe.bak');
DeleteFile('C:\WINNT\system32\msdrives\msdrvctrl.exe');
DeleteFile('C:\WINNT\Temp\msdrvctrl.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]

после перезагрузке файлы из папки AVZ - Quarantine - сегодняшнее число залейте по правилам приложения 2

Прогнал ваш скрипт, но в карантин опять попал только один файл. Я его выслал под именем virus29mar2007.zip Могли ли остальные файлы из вашего скрипта быть удалены раньше, во время одного из предыдущих лечений?
Мне кажется было бы удобнее, если бы имя директории карантина состояло не только из даты, но и из времени. Тогда при повторном запуске в тот же день, предыдущий карантин бы не затирался (или файлы в нем в любом случае остаются?)

Высылаю также лог очередной проверки системы. Вредоносных программ вроде не обнаружено, но что означает вот этот кусок лога?

[SIZE=2]
[/SIZE][SIZE=2][COLOR=#ff0000]>>> Внимание, таблица KiST перемещена ! (804721E8(248)->E152E008(261))
Функция NtClose (18) перехвачена (8044EAF0->BE7F42E6), перехватчик C:\WINNT\system32\Drivers\klif.sys
Функция NtCreateKey (23) перехвачена (80511E50->BFFE77D0), перехватчик C:\WINNT\system32\Drivers\d347bus.sys
Функция NtCreatePagingFile (27) перехвачена (804CC896->BFFDBA20), перехватчик C:\WINNT\system32\Drivers\d347bus.sys
Функция NtCreateProcess (29) перехвачена (804E2264->BE7F3AA6), перехватчик C:\WINNT\system32\Drivers\klif.sys
Функция NtCreateSection (2B) перехвачена (804CB10E->BE7F3F16), перехватчик C:\WINNT\system32\Drivers\klif.sys
Функция NtEnumerateKey (3C) перехвачена (8051263E->BFFDC2A8), перехватчик C:\WINNT\system32\Drivers\d347bus.sys
Функция NtEnumerateValueKey (3D) перехвачена (80512894->BFFE7910), перехватчик C:\WINNT\system32\Drivers\d347bus.sys
Функция NtOpenKey (67) перехвачена (805133F2->BFFE7794), перехватчик C:\WINNT\system32\Drivers\d347bus.sys
Функция NtOpenProcess (6A) перехвачена (804DEB24->BE7F3B26), перехватчик C:\WINNT\system32\Drivers\klif.sys
Функция NtQueryInformationFile (82) перехвачена (804A8D2E->BE7F4366), перехватчик C:\WINNT\system32\Drivers\klif.sys
Функция NtQueryKey (8B) перехвачена (80513672->BFFDC2C8), перехватчик C:\WINNT\system32\Drivers\d347bus.sys
Функция NtQueryValueKey (9B) перехвачена (80513908->BFFE7866), перехватчик C:\WINNT\system32\Drivers\d347bus.sys
Функция NtSetInformationProcess (C6) перехвачена (804DF958->BE7F259E), перехватчик C:\WINNT\system32\Drivers\klif.sys
Функция NtSetSystemPowerState (D1) перехвачена (8048B7B6->BFFE70B0), перехватчик C:\WINNT\system32\Drivers\d347bus.sys
Функция NtTerminateProcess (E0) перехвачена (804E32CC->BE7F3D06), перехватчик C:\WINNT\system32\Drivers\klif.sys
[/COLOR][/SIZE][SIZE=2]Проверено функций: 248, перехвачено: 15, восстановлено: 0
[/SIZE]

это драйвера от касперского и даемон тулз..

попробуйте найти вот эти файлы в ручную
C:\WINNT\ServicePackFiles\32473722.dll
C:\WINNT\ServicePackFiles\services.exe
C:\WINNT\system32\kzymfnc.dll
C:\Documents and Settings\All Users\Документы\Settings\partnership.dll

если найдёте в архив и с паролем тудаже куда и раньше

в HijackThis пофиксите

O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\WINNT\ServicePackFiles\32473722.dll (file missing)
O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Документы\Settings\partnership.dll (file missing)
O21 - SSODL: DCOM Server 60787 - {2C1CD3D7-86AC-4068-93BC-A02304B60787} - C:\WINNT\system32\kzymfnc.dll (file missing)

[quote=Ego1st;101871]это драйвера от касперского и даемон тулз..

попробуйте найти вот эти файлы в ручную
C:\WINNT\ServicePackFiles\32473722.dll
C:\WINNT\ServicePackFiles\services.exe
C:\WINNT\system32\kzymfnc.dll
C:\Documents and Settings\All Users\Документы\Settings\partnership.dll

если найдёте в архив и с паролем тудаже куда и раньше

в HijackThis пофиксите

O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\WINNT\ServicePackFiles\32473722.dll (file missing)
O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Документы\Settings\partnership.dll (file missing)
O21 - SSODL: DCOM Server 60787 - {2C1CD3D7-86AC-4068-93BC-A02304B60787} - C:\WINNT\system32\kzymfnc.dll (file missing)[/quote]
Нашел на диске вручную аж 3 экземпляра файла services.exe
в следующих папках:

C:\WINNT\$NtUpdateRollupPackUninstall$
C:\WINNT\SoftwareDistribution\Download\5e1e7400a0c3456a35186abd37f81d73
C:\WINNT\system32

Причем в последнем случае файл назывался SERVICES.EXE (большими буквами). Все 3 экземпляра запаковал с паролем и выслал.
Других файлов из вашего списка не нешел.

В Hijackthis 3 айтема пофиксил, прикрепляю новый лог.

В логе Hijackthis чисто.
Найденные файлы services.exe не трогайте, они нужны.

Всем огромное спасибо за помощь!

Ха, не тут-то было. :'-(
Все вроде шло нормально, но ночью Касперский попытался скачать свои обновления, и не смог... :embarasse Запуск обновления вручную привел к тому, что Касперский выключился и все попытки его запустить ни к чему не привели. Так что, по всей видимости, не вся зараза еще искоренена.
Единственные действия, которые я перед этим делал - это записал один DVD-диск и скачал почту с помощью TheBat.
Утром снова запустил AVZ на сканирование и лечение, результаты пришлю вечером.

Вам и не говорили, что лечение закончено. После анализа присланных файлов будет вердикт :)

А мне в логе HijackThis не понравилась строчка:
O4 - HKLM\..\Run: [xp_system] C:\WINNT\ServicePackFiles\services.exe

[quote=PavelA]А мне в логе HijackThis не понравилась строчка:
O4 - HKLM\..\Run: [xp_system] C:\WINNT\ServicePackFiles\services.exe[/quote]
Виноват, проглядел. Ее тоже надо фиксить.

c:\docume~1\9335~1\locals~1\temp\1076\explorer.exe - Trojan.Win32.KillAV.jr
В крайнем логе AVZ его уже не было. Возможно, в системе есть дыры, через которые он проникает.
Скачайте [url=http://www.microsoft.com/downloads/details.aspx?FamilyId=4B4ABA06-B5F9-4DAD-BE9D-7B51EC2E5AC9&displaylang=en] Microsoft Baseline Security Analyzer v2.0.1 [/url] и проверьте компьютер.
Обновите базу AVZ и сделайте в нем оба лога.

[quote=AndreyKa;101920]Виноват, проглядел. Ее тоже надо фиксить.

c:\docume~1\9335~1\locals~1\temp\1076\explorer.exe - Trojan.Win32.KillAV.jr
В крайнем логе AVZ его уже не было. Возможно, в системе есть дыры, через которые он проникает.
Скачайте [URL="http://www.microsoft.com/downloads/details.aspx?FamilyId=4B4ABA06-B5F9-4DAD-BE9D-7B51EC2E5AC9&displaylang=en"]Microsoft Baseline Security Analyzer v2.0.1 [/URL]и проверьте компьютер.
Обновите базу AVZ и сделайте в нем оба лога.[/quote]
В hijackthis указанную строчку пофиксил и перезгрузился.
Security Analyzer скачал и просканировал. Выявил отсутствие патча KB832483, патч скачал вручную и установил, правда Windows Update почему-то всё равно ругается, что этот патч не установлен, хотя я его уже устанавливал раза три. После повторного прогона MS Security Analyzer сказал, что все патчи стоят. После этого, отключил предупреждение Windows update об отсутствии этого патча.

Также SecurityAnalyzer ругался на параметр "RestrictAnonymous" в реестре. Я этот парамет исправил с 0 на 2 как там было сказано.
Остальные предупреждения он выдал по мелочи - (бесконечная жизнь паролей, отсутствие файрвола и т.п.)

Плохо то, что Касперский при обновлении почему-то не скачал ни одного файла. И еще перестал работать сканер Касперского - говорит "файл программы поврежден или другое нарушение безопасности". Придется переустанавливать, я правильно понимаю?

AVZ обновил базы, просканировал.
Попали в карантин два файла, похоже как раз эти самые патчи Microsoft. Файлы из карантина закачал на сайт. Высылаю также все свежие логи.

[quote]И еще перестал работать сканер Касперского - говорит "файл программы поврежден или другое нарушение безопасности". Придется переустанавливать, я правильно понимаю?[/quote]
Да.
В AVZ меню Сервис - Менеджер автозапуска. Удалите строки, ссылающиеся на файл:
C:\WINNT\ServicePackFiles\services.exe
(именно с таким полными путем)

[quote]Попали в карантин два файла, похоже как раз эти самые патчи Microsoft. Файлы из карантина закачал на сайт.[/quote]
Этого делать не стоило. Присылайте те файлы, которые запрашивают или явно подозрительные.

В логах не увидел подозрительных файлов.
Однако, много не известных AVZ, так что выполните, процедуру описанную здесь: [url]http://virusinfo.info/showthread.php?t=3519[/url]
Не забудьте при этом закрыть все программы, которые вы запустили сами и антивирус Касперского выгрузите, на время.

[quote]
В AVZ меню Сервис - Менеджер автозапуска. Удалите строки, ссылающиеся на файл:
C:\WINNT\ServicePackFiles\services.exe
(именно с таким полными путем)
[/quote]3 соответствующих строки удалил. Правда из рееста через AVZ удалить не удалось, пришлось удалять через regedit.

[quote]Этого делать не стоило. Присылайте те файлы, которые запрашивают или явно подозрительные.[/quote]
Ну я ж не знаю точно, может они уже успели заразиться? В следующий раз буду высылать только запрошенные.

[quote]
В логах не увидел подозрительных файлов.
Однако, много не известных AVZ, так что выполните, процедуру описанную здесь: [URL]http://virusinfo.info/showthread.php?t=3519[/URL]
Не забудьте при этом закрыть все программы, которые вы запустили сами и антивирус Касперского выгрузите, на время.
[/quote]
Сделал.
Файл 070401_104937_virusinfo_files_CELERON300_460f56018425c.zip
Размер файла 5387923
MD5 dec7c4c43a1e921d599f7f18a95330f8

Жду вердикта :)

В общем эпопея продолжается. Вчера компьютер самопроизвольно перезагрузился. Miscrosoft Security Analyzer сказал, что патч KB832483 опять не стоИт (хотя еще день назад стоял). Ни вручную, ни через WindowsUpdate установить этот патч не удалось, даже после перезагрузки. При установке система ругается, что он уже установлен и прерывает установку, хотя в списке установленных патчей его нет, деинсталировать его никак нельзя и SecurityAnalyzer продолжает на него ругаться. :(

Опять отключил комп от сети. Запутил сканирование Касперским, выявил уже как минимум 2 вида RootKit троянов и еще какой-то Conycspa.

У меня ADSL-модем со встроенным NAT, входящие TCP/UDP соединения возможны только по одному единственному порту (открытому для eMule), любые другие входящие соединения по определению невозможны. Во внутренней сети есть еще один компьютер, но его проверяли Касперским и он вроде чист.

Сейчас сканирование продолжается. Вечером сообщу точные имена троянов. Откуда это может проникать? Где может быть дыра???
Может поставить локальный файрвол на машину? Подскажите плиз простенький бесплатный файрвол под Windows 2000 sp4 ?

Про файрволлы см. [url]http://virusinfo.info/forumdisplay.php?f=40[/url]
Там вверху есть темка про freeware продукты.

На компе есть расшаренные папки ? Через них тоже могут пролезать, а Касперский может и не увидеть. Закрой их на время.

Emule тоже нужно контролировать достаточно серьезно.

Лечение зашло в тупик. Исчез драйвер AVZPM. Я его переустанавливаю, и он вроде устанавливается, но после перезагрузки опять изчезает. Пробовал сканировать в защищенном режиме - всё чисто.

Подозрение также вызывает непонятный процесс System, не связанный с какими-либо файлами.

Единственная хорошая новость - кажется удалось разобраться с бесконечной установкой (точнее неустановкой :) ) патча KB832483. Вероятно это глюк WindowsUpdate. Нашел на одном сайте (может кому-то пригодится) что для патча KB832483 нужно предварительно установить Microsoft MDAC 2.8 SP1 (скачивается отсюда: [URL]http://www.microsoft.com/downloads/details.aspx?FamilyID=78cac895-efc2-4f8e-a9e0-3a1afbd5922e&DisplayLang=en[/URL] ) и после этого установить еще один патч, который скажет WindowsUpdate.

Теперь вопрос. Что делать, если не устанавливается драйвер АVZPM?

[quote=Katalizator;102978]Лечение зашло в тупик. Исчез драйвер AVZPM. Я его переустанавливаю, и он вроде устанавливается, но после перезагрузки опять изчезает. Пробовал сканировать в защищенном режиме - всё чисто.
Теперь вопрос. Что делать, если не устанавливается драйвер АVZPM?[/quote]

Зайдите, пожалуйста, в безопасный режим, запустите AVZ; далее Сервис - Диспетчер служб и драйверов.

[B]Задайте фильтр[/B] Все - Все и откройте вкладку [I]Сервисы (по анализу реестра).[/I] Сохраните протокол и выложите его здесь.

[quote]Что делать, если не устанавливается драйвер АVZPM?[/quote]
В AVZ посмотрите в меню Справка - О программе, должна быть [B]версия 4.24 r4 от 3.04.2007[/B]. Если нет, скачайте новую версию.

[quote=AndreyKa;102981]В AVZ посмотрите в меню Справка - О программе, должна быть [B]версия 4.24 r4 от 3.04.2007[/B]. Если нет, скачайте новую версию.[/quote]
Действительно стояла версия 4.24 r2
Переустановил, драйвер встал нормально (вернее даже не пришлось его ставить, он просто появился).
После первого сканирования с лечением (как сказано в правилах) в момент перезагрузки (завершения работы Windows) выпал синий экран смерти, но загрузился потом нормально.

Прикладываю полученные логи.

[quote=NickGolovko;102979]Зайдите, пожалуйста, в безопасный режим, запустите AVZ; далее Сервис - Диспетчер служб и драйверов.

[B]Задайте фильтр[/B] Все - Все и откройте вкладку [I]Сервисы (по анализу реестра).[/I] Сохраните протокол и выложите его здесь.[/quote]
Получилось.
Да, виден какой-то непонятный драйвер, которого раньше видно не было (см. вложение):
Uodroust (имя файла d347prt.sys). Чего теперь с ним делать? :)

По идее, d347prt.sys - драйвер от Daemon Tools, но в любом случае пришлите нам в архиве с паролем этот файл, а также D:\Distrib\Antiviruses\MicrosoftPatches\RUS_Q832483_MDAC_x86.EXE и D:\Distrib\VirusesRemovalKits\rus_q832483_mdac_x86_0ff50a066e8476da8c18065d79921ea.exe.

[quote=NickGolovko;103002]По идее, d347prt.sys - драйвер от Daemon Tools, но в любом случае пришлите нам в архиве с паролем этот файл, а также D:\Distrib\Antiviruses\MicrosoftPatches\RUS_Q832483_MDAC_x86.EXE и D:\Distrib\VirusesRemovalKits\rus_q832483_mdac_x86_0ff50a066e8476da8c18065d79921ea.exe.[/quote]
Попытался положить в карантин несколько неизвестных файлов (из числа служб и драйверов, прописанных в реестре). Пять файлов положились, а на остальные три AVZ мне написал - "Карантин с испольованием прямого чтения - ошибка". Не совсем понимаю смысл этого сообщения. :?
Я пока еще нахожусь в защищенном режиме, пишу с другого компа.

Не положились три файла - InCDFatRec.sys, InCDPass.sys и как раз d347prt.sys. Чего теперь делать?

Кстати, поиск файлов по диску через AVZ не может найти на компьютере d347prt.sys ! Может он как-то прячется?

И еще заметил один симптом - при двойном щелчке мышью на .htm-файле отчета выдается ошибка:
"Приложение, выполняющее эту операцию, указанному файлу не сопоставлено. Произведите сопоставление с помощью панели управления "Свойства папки"".
Приходится нажимать правой кнопкой, далее - открыть с помощью - Internet Explorer.

Тогда сделаем так: через тот же диспетчер удалите запись в реестре, соответствующую этому драйверу. В случае ошибки можно будет переустановить Daemon Tools (хотя вряд ли это от него). После перезагрузки файл должен проявиться.

[quote=NickGolovko;103012]Тогда сделаем так: через тот же диспетчер удалите запись в реестре, соответствующую этому драйверу. В случае ошибки можно будет переустановить Daemon Tools (хотя вряд ли это от него). После перезагрузки файл должен проявиться.[/quote]
Не проявился :(

DaemonTools я снес (деинсталировал) уже где-то неделю незад, поэтому это точно не от него.

Предлагаю удалить из реестра еще и два драйвера от InCD, которые не удалось поместить в карантин.

Значит, осталась только запись в реестре от этого файла, а его самого уже нет. Печально.

В протоколах вроде бы ничего больше не видно.

Какая у вас версия Касперского?

[quote=NickGolovko;103045]Значит, осталась только запись в реестре от этого файла, а его самого уже нет. Печально.

В протоколах вроде бы ничего больше не видно.

Какая у вас версия Касперского?[/quote]
Версия Касперского 4.5.0.58
А я почему-то уверен, то файл где-то есть, только он прячется.
По крайней мере я такой файл точно не удалял, и ссылка на него в реестре видна почему-то только в безопасном режиме.
Кроме того, при обновлении вирусных баз Касперский говорил, что обновление завершено успешно, не скачав при этом ни одного файла!

И еще, объясните пожалуйста физический смысл сообщения AVZ "Карантин с испольованием прямого чтения - ошибка". Когда оно возникает, что означает и какие могут быть его последствия?

Так все-таки ссылка до сих пор существует? Вы ее удаляли? Версию Касперского обновить есть возможность?

[quote=NickGolovko;103111]Так все-таки ссылка до сих пор существует? Вы ее удаляли? Версию Касперского обновить есть возможность?[/quote]
Я вчера поступил следующим образом. Деинсталировал все программы, которые так или иначе могли быть связаны с указанными ссылками на неизвестные службы/драйвера.

Потом удалил через AVZ диспетчер служб и драйверов все эти неизвестные службы и драйвера (остались только зеленые). На всякий случай перезегрузился, проверил - по прежнему ничего неизвестного в реестре нет.

После этого перезагрузился в нормальном (многопользовательском) режиме и поставил файрвол outpost, после чего еще раз перезагрузился и только тогда подключил комп к сети.

Процесс svchost.exe сразу стал ломиться по 80-му порту на какой-то неразрешаемый по имени айпишник. traceroute сказал, что последний резолвищайся хоп на пути к этому хосту именуется как
что-то-непонятное.akamai.net

Я ему запретил туда ломиться, тогда он стал ломиться на соседние хосты в той же сетке. Тогда я запретил ему всю эту сетку. После этого постоянно вижу в логах заблокированные icmp-пакеты, направленные на разные хосты в этой сетке.

Что это может быть? Windows update? Тогда почему по такому секретному адресу (явно не Microsoft)?

P.S. А чем новый Касперский лучше моего, если базы у них те же самые?

Там функционал лучше - он может помочь в выявлении неизвестных вирусов. Сервера akamai.net могут действительно использоваться для нужд Windows Update. Проверьте: остановите службу Автоматическое обновление. Запросы должны прекратиться.

[QUOTE=Katalizator;103142]А чем новый Касперский лучше моего, если базы у них те же самые?[/QUOTE]
...а движок забыли!? Или Вы действительно считете, что Касперыч 4 года дурака валял? :D
Между прочим [B]базы [/B]Касперского используят уже многие вендоры (GData=AntivirusKit, F-Secure, MicroWorld=eScan) но [B]программу[/B] Касперского удалось перещеголять не многим.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]5[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\docume~1\\9335~1\\locals~1\\temp\\1076\\explorer.exe - [B]Trojan.Win32.KillAV.jr[/B] (DrWEB: Trojan.Click.2097)[*] c:\\winnt\\msdrvctrl.exe - [B]Trojan.Win32.Vapsup.cv[/B] (DrWEB: Adware.Videocatch)[*] c:\\winnt\\servicepackfiles\\i386\\mswsock.dll - [B]Trojan.Win32.Conycspa.n[/B] (DrWEB: Trojan.PWS.Gamania.7838)[*] c:\\winnt\\servicepackfiles\\mm.exe - [B]Trojan.Win32.Conycspa.cr[/B] (DrWEB: Trojan.Spambot)[*] c:\\winnt\\servicepackfiles\\mm.exe.bak - [B]Trojan.Win32.Conycspa.cr[/B] (DrWEB: Trojan.Spambot)[*] c:\\winnt\\system32\\msdrives\\msdrvctrl.exe - [B]Trojan.Win32.Vapsup.cv[/B] (DrWEB: Adware.Videocatch)[*] c:\\winnt\\temp\\msdrvctrl.exe - [B]Trojan.Win32.Vapsup.cv[/B] (DrWEB: Adware.Videocatch)[/LIST][/LIST]