Компьютер обращается к серверу и этих запросов висит около сотни штук
Проверка антивирусом ничего не находит
возможно что-то пытается выполнить какие-то действия по сети но никаких специализированных процесов не запущено...
во вложении скрин сервера где показаны текущие подключения
03.10.2008 19:32:03 Версия Microsoft Windows: Microsoft Windows XP, Build=2600, SP="Service Pack 2"
03.10.2008 19:32:03 Восстановление системы: включено
03.10.2008 19:32:04 1.1 Поиск перехватчиков API, работающих в пользовательском режиме
03.10.2008 19:32:04 Анализ kernel32.dll, таблица экспорта найдена в секции .text
03.10.2008 19:32:04 Функция kernel32.dll:CreateProcessA (99) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C802367->61F03F42
03.10.2008 19:32:04 Перехватчик kernel32.dll:CreateProcessA (99) нейтрализован
03.10.2008 19:32:04 Функция kernel32.dll:CreateProcessW (103) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C802332->61F04040
03.10.2008 19:32:04 Перехватчик kernel32.dll:CreateProcessW (103) нейтрализован
03.10.2008 19:32:04 Функция kernel32.dll:FreeLibrary (241) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80ABDE->61F041FC
03.10.2008 19:32:04 Перехватчик kernel32.dll:FreeLibrary (241) нейтрализован
03.10.2008 19:32:04 Функция kernel32.dll:GetModuleFileNameA (372) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80B4CF->61F040FB
03.10.2008 19:32:04 Перехватчик kernel32.dll:GetModuleFileNameA (372) нейтрализован
03.10.2008 19:32:04 Функция kernel32.dll:GetModuleFileNameW (373) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80B3D5->61F041A0
03.10.2008 19:32:04 Перехватчик kernel32.dll:GetModuleFileNameW (373) нейтрализован
03.10.2008 19:32:04 Функция kernel32.dll:GetProcAddress (408) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80ADA0->61F04648
03.10.2008 19:32:04 Перехватчик kernel32.dll:GetProcAddress (408) нейтрализован
03.10.2008 19:32:04 Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D77->61F03C6F
03.10.2008 19:32:04 Перехватчик kernel32.dll:LoadLibraryA (578) нейтрализован
03.10.2008 19:32:04 >>> Функции LoadLibraryA - прививка процесса AVZ от перехвата подменой адреса !!)
03.10.2008 19:32:04 Функция kernel32.dll:LoadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D4F->61F03DAF
03.10.2008 19:32:04 Перехватчик kernel32.dll:LoadLibraryExA (579) нейтрализован
03.10.2008 19:32:04 >>> Функции LoadLibraryExA - прививка процесса AVZ от перехвата подменой адреса !!)
03.10.2008 19:32:04 Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF1->61F03E5A
03.10.2008 19:32:04 Перехватчик kernel32.dll:LoadLibraryExW (580) нейтрализован
03.10.2008 19:32:04 Функция kernel32.dll:LoadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AE4B->61F03D0C
03.10.2008 19:32:04 Перехватчик kernel32.dll:LoadLibraryW (581) нейтрализован
03.10.2008 19:32:04 Обнаружена модификация IAT: GetModuleFileNameW - 00BD0010<>7C80B3D5
03.10.2008 19:32:04 Анализ ntdll.dll, таблица экспорта найдена в секции .text
03.10.2008 19:32:04 Анализ user32.dll, таблица экспорта найдена в секции .text
03.10.2008 19:32:04 Анализ advapi32.dll, таблица экспорта найдена в секции .text
03.10.2008 19:32:04 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
03.10.2008 19:32:04 Анализ wininet.dll, таблица экспорта найдена в секции .text
03.10.2008 19:32:04 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
03.10.2008 19:32:04 Анализ urlmon.dll, таблица экспорта найдена в секции .text
03.10.2008 19:32:04 Анализ netapi32.dll, таблица экспорта найдена в секции .text
03.10.2008 19:32:04 1.2 Поиск перехватчиков API, работающих в привилегированном режиме
03.10.2008 19:32:04 Драйвер успешно загружен
03.10.2008 19:32:04 SDT найдена (RVA=0846E0)
03.10.2008 19:32:04 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
03.10.2008 19:32:04 SDT = 8055B6E0
03.10.2008 19:32:04 KiST = 80503A70 (284)
03.10.2008 19:32:05 Проверено функций: 284, перехвачено: 0, восстановлено: 0
03.10.2008 19:32:05 1.3 Проверка IDT и SYSENTER
03.10.2008 19:32:05 Анализ для процессора 1
03.10.2008 19:32:05 Анализ для процессора 2
03.10.2008 19:32:05 Проверка IDT и SYSENTER завершена
03.10.2008 19:32:05 1.4 Поиск маскировки процессов и драйверов
03.10.2008 19:32:05 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
03.10.2008 19:32:05 Драйвер успешно загружен
03.10.2008 19:32:05 1.5 Проверка обработчиков IRP
03.10.2008 19:32:05 Проверка завершена
03.10.2008 19:32:18 >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
03.10.2008 19:32:18 >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
03.10.2008 19:32:18 >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
03.10.2008 19:32:18 >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
03.10.2008 19:32:18 >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
03.10.2008 19:32:18 >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
03.10.2008 19:32:18 > Службы: набор применяемых на компьютере служб зависит от области его применения (домашний, компьютер в сети предприятия и т.д.)!
03.10.2008 19:32:18 >> Безопасность: разрешен автозапуск программ с CDROM
03.10.2008 19:32:18 >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
03.10.2008 19:32:18 >> Безопасность: к компьютеру разрешен доступ анонимного пользователя
03.10.2008 19:32:19 >> Нарушение ассоциации SCR-файлов
03.10.2008 19:32:21 >> Отключить автозапуск с жестких дисков
03.10.2008 19:32:22 >> Отключить автозапуск с сетевых дисков
03.10.2008 19:32:22 >> Отключить автозапуск с CD-ROM
03.10.2008 19:32:22 >> Отключить автозапуск с съемных носителей
03.10.2008 19:32:22 >> Отключено автоматическое обновление системы (Windows Update)
03.10.2008 19:32:22 Выполняется исследование системы...
03.10.2008 19:32:36 Исследование системы завершено
03.10.2008 19:32:36 Удаление файла:C:\Documents and Settings\Юлия Сакмаева\Рабочий стол\Kaspersky Lab Tool\is-S8MLI\LOG\avptool_syscheck.htm
03.10.2008 19:32:36 Удаление файла:C:\Documents and Settings\Юлия Сакмаева\Рабочий стол\Kaspersky Lab Tool\is-S8MLI\LOG\avptool_syscheck.xml
03.10.2008 19:32:36 Удаление службы/драйвера: utm3mtq3
03.10.2008 19:32:36 Удаление файла:C:\WINDOWS\system32\Drivers\utm3mtq3.sys
03.10.2008 19:32:36 Удаление службы/драйвера: ujm3mtq3
03.10.2008 19:32:36 Скрипт выполнен без ошибок
Последний раз редактировалось Rene-gad; 03.10.2008 в 21:34.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
