-
Junior Member (OID)
- Вес репутации
- 44
Автоматически закрываются программы.
Word, Excel, Notepad. Несколько секунда прога открывается, затем сама автоматом закрывается не успеваешь ни сохранить ни пустить на печать, Help!
Внимание !!! База поcледний раз обновлялась 04.09.2015 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.45
Сканирование запущено в 24.09.2015 13:32:59
Загружена база: сигнатуры - 297570, нейропрофили - 2, микропрограммы лечения - 56, база от 04.09.2015 13:03
Загружены микропрограммы эвристики: 394
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 759075
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, Service Pack 3 "Microsoft Windows XP", дата инсталляции 07.12.2012 12:48:42 ; AVZ работает с правами администратора (+)
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
>> Опасно ! Обнаружена маскировка процессов
>>>> Обнаружена маскировка процесса 2308 C:\WINDOWS\system32\svchost.exe
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtQuerySystemInformation (263) перехвачена, метод APICodeHijack.JmpTo[04651606]
Функция ntdll.dll:NtResumeThread (297) перехвачена, метод APICodeHijack.JmpTo[04651696]
Функция ntdll.dll:RtlGetNativeSystemInformation (610) перехвачена, метод APICodeHijack.JmpTo[04651606]
Функция ntdll.dll:ZwQuerySystemInformation (1073) перехвачена, метод APICodeHijack.JmpTo[04651606]
Функция ntdll.dll:ZwResumeThread (1107) перехвачена, метод APICodeHijack.JmpTo[04651696]
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:DispatchMessageA (162) перехвачена, метод APICodeHijack.JmpTo[0465152E]
Функция user32.dll:DispatchMessageW (163) перехвачена, метод APICodeHijack.JmpTo[04651576]
Функция user32.dll:SetThreadDesktop (634) перехвачена, метод APICodeHijack.JmpTo[0465164E]
Функция user32.dll:WaitMessage (721) перехвачена, метод APICodeHijack.JmpTo[046515BE]
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=08B520)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80562520
KiST = 804E48B0 (284)
Функция NtCreateKey (29) перехвачена (8057791D->F74E40E0), перехватчик spoy.sys
Функция NtCreateSection (32) перехвачена (8056DB66->F7B368DC), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtCreateThread (35) перехвачена (80586C45->F7B36A62), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtEnumerateKey (47) перехвачена (80578E14->F74FCDA4), перехватчик spoy.sys
Функция NtEnumerateValueKey (49) перехвачена (80587693->F74FD132), перехватчик spoy.sys
Функция NtMakeTemporaryObject (69) перехвачена (805E713F->F7B36852), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtOpenKey (77) перехвачена (80572BF4->F74E40C0), перехватчик spoy.sys
Функция NtOpenProcess (7A) перехвачена (80581702->F7B32FB8), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtOpenSection (7D) перехвачена (8057A8AD->F7B3338E), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtOpenThread (80) перехвачена (805E1961->F7B331AA), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtQueryKey (A0) перехвачена (80578A14->F74FD20A), перехватчик spoy.sys
Функция NtQueryValueKey (B1) перехвачена (80573037->F74FD08A), перехватчик spoy.sys
Функция NtQueueApcThread (B4) перехвачена (805E3BB5->F7B36B82), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtSetContextThread (D5) перехвачена (806359D3->F7B36CA2), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtSetSystemInformation (F0) перехвачена (805AABE4->F7B32D74), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtSetSystemTime (F2) перехвачена (8064EEEF->F7B32F2A), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtSetValueKey (F7) перехвачена (8058228C->F74FD29C), перехватчик spoy.sys
Функция NtSystemDebugControl (FF) перехвачена (80650E21->F7B32A4E), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtUnmapViewOfSection (10B) перехвачена (8057DEF1->F7B367C4), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtWriteVirtualMemory (115) перехвачена (805885C4->F7B349F8), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный
Проверено функций: 284, перехвачено: 20, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
\FileSystem\ntfs[IRP_MJ_CREATE] = 894AE468 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 89C50390 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8A99A8F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8AC041F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8AC041F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8AC041F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8AC041F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8AC041F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8AC041F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 89F95A48 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 89FCB578 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8AC041F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8AC041F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8AC041F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8AC041F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8AC041F8 -> перехватчик не определен
\driver\tcpip[IRP_MJ_CREATE] = F7BA17D0 -> C:\WINDOWS\system32\Drivers\DrWebLwf.sys, драйвер опознан как безопасный
\driver\tcpip[IRP_MJ_DEVICE_CONTROL] = F7BA1990 -> C:\WINDOWS\system32\Drivers\DrWebLwf.sys, драйвер опознан как безопасный
\driver\tcpip[IRP_MJ_INTERNAL_DEVICE_CONTROL] = F7BA1C40 -> C:\WINDOWS\system32\Drivers\DrWebLwf.sys, драйвер опознан как безопасный
\driver\tcpip[IRP_MJ_CLEANUP] = F7BA18B0 -> C:\WINDOWS\system32\Drivers\DrWebLwf.sys, драйвер опознан как безопасный
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 37
Количество загруженных модулей: 363
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Опасно - отладчик процесса "mbam.exe" = "bxsrjngbsx.exe"
Опасно - отладчик процесса "mbamgui.exe" = "bfvjkphttl.exe"
Опасно - отладчик процесса "rstrui.exe" = "cpcnm.exe"
Обнаружен вызов интерпретатора командной строки в автозапуске [DR=1] HKCU\Software\Microsoft\Windows\CurrentVersion\Run \AlcoholAutomount = ["C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount]
Обнаружен вызов интерпретатора командной строки в автозапуске [DR=1] HKLM\Software\Microsoft\Windows\CurrentVersion\Run \HotKeysCmds = [C:\WINDOWS\system32\hkcmd.exe]
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
>> Обнаружен отладчик системного процесса
>> Таймаут завершения процессов находится за пределами допустимых значений
>> Заблокирован пункт меню Справка и техподдержка
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
>> Обнаружены опасные расширения в списке типов файлов, не представляющих угрозы
>> Обнаружен набор команд, запускаемых при старте cmd.exe
Проверка завершена
Просканировано файлов: 66980, извлечено из архивов: 52402, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 24.09.2015 14:15:43
Сканирование длилось 00:42:45
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ
можно использовать сервис http://virusdetector.ru/
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Toxa Tolsty, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Обновите базы AVZ ("Файл" -> "Обновление баз") и предоставьте логи по правилам.
-
Ответить с цитированием
