Порядочный софт в таких местах обычно не живёт.Сообщение от Shifra
Порядочный софт в таких местах обычно не живёт.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Понятно. Значит это был шпионский файл.
Пока с траффиком проблем не наблюдается. Посмотрю что дальше будет.
Я проверила систему антивирусом NOD32 Antivirus System - вот какие подозрения а вирусы он выдал:
MBR sector of the 1. physical disk contains probably unknown TSR.BOOT virus
C:\WINDOWS\system32\divx_xx0c.dll - probably unknown CRYPT.WIN32 virus
C:\WINDOWS\system32\divx_xx07.dll - probably unknown CRYPT.WIN32 virus
C:\Program Files\Common Files\Ahead\AudioPluginszmsa.dll - probably unknown CRYPT.WIN32 virus
C:\Program Files\WebMoney\KSP\DefaultKSP.dll - probably unknown CRYPT.WIN32 virus
C:\Program Files\WebMoney\KSP\Enum.dll - probably unknown CRYPT.WIN32 virus
Здесь есть что-то опасное?
P.S. Доктором Вэбом ещё потом проверю.
Файлы можно проверить на virustotal.com или прислать по правилам. Скорее всего, NOD перебдел. А вот насчёт MBR sector я в затылке чешу. У вас никакого дополнительного Boot Manager не стоит (Парагон или что-нибудь от Linux)?
Я к своему стыду не знаю что такое Boot Manager и Парагон.
От Linux насколько я знаю, вроде ничего не стоит...
У меня по прежнему в процессах семь процессов SVCHOST.EXE - это не означает что там троянские программы?
Проверила сейчас файлы на этом сайте (спасибо за ссылку!) - вроде никаких вирусов.
AVZ в последнем логе их не показывает - значит, все честные.
Ну в таком случае, теперь можно не волноваться!
Похоже этот скрипт полностью удалил трояна!!! Наконец-то! Активность траффика нормальная второй день - с того момента как выполнился скрипт. Огромное, огромное спасибо Вам, Кто?, и конечно создателю супер программки AVZ!
Также огромное спасибо всем кто помогал и отвечал на мои вопросы! Вы действительно делаете нужное людям дело! Я обязательно буду советовать всем ваш форум, и конечно как смогу поддержу ваш проект!
Ещё раз, огромное спасибо вам всем!!! Всего всего вам хорошего, и развития-процветания вашему пректу!!!
Shifra
И Вам чистых сетей.
Спасибо!
У меня вот ещё один вопрос возник - я установила Касперский Интернет Секьюрити, и он иногда, после загрузки системы или при подключении к интернету, выдаёт такой сообщение:
"Анти-хакер
Файл изменен
Имя процесса: SVCHOST.EXE
ID процесса: 860
Производитель: Microsoft Corporation
Версия: 5.1.2600.2180
Действие:
Исполняемый файл был изменен. Разрешить сетевой доступ для нового файла?"
Иногда, он предупреждает о изменении файла IEXPLORER.EXE
Что это может значить? Это не нормально?
И ещё, можно ли как-то отдельным файлом скачивать обновления сигнатур? (С помощью файлового менеджера например). Просто скорость у меня не большая и если делать он-лайн обновления Касперского, то при обрыве связи все эти 10-15 мегабайт приходиться скачивать заново...
Про svchost можно почитать зесь: http://saule-spb.ru/library/svchost.html
Чтобы снова проверить систему, нужны новые логи.
По поводу обновлений не on-line почитайте здесь. Всё достаточно подробно.
Последний раз редактировалось Кто?; 20.03.2007 в 07:58. Причина: Добавил про svchost
Спасибо! Разберусь с SVCHOST.EXE - потом если будут какие-то подозрения, выложу опять логи.
Просмотреть список служб, выполняющихся в каком-либо процессе svchost.exe мне не удалось - выполняю: Пуск > Выполнить
Вписываю: CMD
Нажимаю ОК.
В появившемся приложении ввожу команду: tasklist /SVC
И нажимаю ENTER.
Но вместо процессов там появляется вот что:
Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.
C:\Documents and Settings\tester>tasklist /SVC
"tasklist" не является внутренней или внешней
командой, исполняемой программой или пакетным файлом.
C:\Documents and Settings\tester>_
Я всё-таки решила подстраховаться и сделать логи ещё раз...
И как мне кажется не зря... Мой Касперский за эти несколько дней уже два раза отражал хакерские атаки.
Вот логи, посмотрите пожалуйста что там ещё осталось:
Ничего опасного в логах не увидел.
Хакерские атаки идут к вам извне и прекратить их нельзя.
Значит у вас нет файла tasklist.exe в папке C:\WINDOWS\system32В появившемся приложении ввожу команду: tasklist /SVC
И нажимаю ENTER.
Но вместо процессов там появляется вот что:
Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.
C:\Documents and Settings\tester>tasklist /SVC
"tasklist" не является внутренней или внешней
командой, исполняемой программой или пакетным файлом.
http://www.tech-recipes.com/windows_tips679.html
- ссылочка на описание tasklist. Это дополнительная программа.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Спасибо за ссылку!
Вот что у меня получилось:
Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.
C:\Documents and Settings\tester>tasklist /SVC
Image Name PID Services
========================= ====== =============================================
System Idle Process 0 N/A
System 4 N/A
SMSS.EXE 484 N/A
CSRSS.EXE 548 N/A
WINLOGON.EXE 572 N/A
SERVICES.EXE 616 Eventlog, PlugPlay
LSASS.EXE 628 PolicyAgent, ProtectedStorage, SamSs
SVCHOST.EXE 768 DcomLaunch
SVCHOST.EXE 816 RpcSs
SVCHOST.EXE 852 AudioSrv, CryptSvc, Dhcp, ERSvc,
EventSystem, helpsvc, lanmanserver,
lanmanworkstation, Netman, Nla, RasMan,
Schedule, seclogon, SENS, ShellHWDetection,
srservice, TapiSrv, Themes, TrkWks, W32Time,
winmgmt, WZCSVC
SVCHOST.EXE 920 Dnscache
SVCHOST.EXE 1012 LmHosts, SSDPSRV, WebClient
anbmServ.exe 1360 anbmService
EXPLORER.EXE 1368 N/A
IGFXTRAY.EXE 1472 N/A
HKCMD.EXE 1480 N/A
SOUNDMAN.EXE 1488 N/A
AGRSMMSG.EXE 1500 N/A
LTMOH.EXE 1508 N/A
SynTPLpr.exe 1516 N/A
SynTPEnh.exe 1528 N/A
EPM-DM.EXE 1572 N/A
LManager.EXE 1588 N/A
RUNDLL32.EXE 1612 N/A
AVP.EXE 1620 N/A
CTFMON.EXE 1628 N/A
MSMSGS.EXE 1636 N/A
WCESCOMM.EXE 1644 N/A
AVP.EXE 1692 AVP
SVCHOST.EXE 1744 BthServ
SVCHOST.EXE 1924 stisvc
CMD.EXE 1208 N/A
tasklist.exe 676 N/A
wmiprvse.exe 1804 N/A
C:\Documents and Settings\tester>
Но когда проходит сканирование, в браузере AVZ выделяет красным строчки где написано о каких-то перехватчиках - это не опасно? И что это за перехватчики?
Вот что пишет AVZ в браузере (протокол):
Протокол антивирусной утилиты AVZ версии 4.24
Сканирование запущено в 21.03.2007 10:20:41
Загружена база: 98021 сигнатура, 2 нейропрофиля, 55 микропрограмм лечения, база от 20.03.2007 10:42
Загружены микропрограммы эвристики: 369
Загружены цифровые подписи системных файлов: 57395
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:GetProcAddress (408) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AC28->7C882FEC
Перехватчик kernel32.dll:GetProcAddress (408) нейтрализован
Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D77->7C882F9C
Перехватчик kernel32.dll:LoadLibraryA (578) нейтрализован
>>> Функции LoadLibraryA - прививка процесса AVZ от перехвата подменой адреса !!)
Функция kernel32.dll:LoadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D4F->7C882FB0
Перехватчик kernel32.dll:LoadLibraryExA (579) нейтрализован
>>> Функции LoadLibraryExA - прививка процесса AVZ от перехвата подменой адреса !!)
Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF1->7C882FD8
Перехватчик kernel32.dll:LoadLibraryExW (580) нейтрализован
Функция kernel32.dll:LoadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80ACD3->7C882FC4
Перехватчик kernel32.dll:LoadLibraryW (581) нейтрализован
Детектирована модификация IAT: LoadLibraryA - 7C882F9C<>7C801D77
Адрес в IAT восстановлен: LoadLibraryA
Детектирована модификация IAT: GetProcAddress - 7C882FEC<>7C80AC28
Адрес в IAT восстановлен: GetProcAddress
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082480)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559480
KiST = FF628008 (297)
>>> Внимание, таблица KiST перемещена ! (804E26A8(284)->FF628008(297))
Функция NtClose (19) перехвачена (80566B49->B271B5B0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateKey (29) перехвачена (8056E761->B2710280), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateProcess (2F) перехвачена (805AD314->B271B2C0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateProcessEx (30) перехвачена (8058041A->B271B440), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateSection (32) перехвачена (8056441B->B271BEE0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateSymbolicLinkObject (34) перехвачена (8059D4DB->B271BB2E), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateThread (35) перехвачена (8057B1C5->B271C830), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDeleteKey (3F) перехвачена (80590F78->B2710340), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDeleteValueKey (41) перехвачена (8058E9FA->B27103C0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDuplicateObject (44) перехвачена (80573AB6->B271B710), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateKey (47) перехвачена (8056EE68->B2710450), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateValueKey (49) перехвачена (8057EB28->B2710500), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtFlushKey (4F) перехвачена (805DA2D0->B27105B0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtInitializeRegistry (5C) перехвачена (8059F813->B2710630), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtLoadKey (62) перехвачена (805AACF0->B2710E00), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtLoadKey2 (63) перехвачена (805AAB3E->B2710650), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtNotifyChangeKey (6F) перехвачена (8058C141->B27106F0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenFile (74) перехвачена (80570CE3->F9C75028), перехватчик C:\WINDOWS\system32\Drivers\kl1.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenKey (77) перехвачена (80567AFB->B27107D0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenProcess (7A) перехвачена (80573C96->B271B050), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenSection (7D) перехвачена (8057769B->B271BD2E), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryKey (A0) перехвачена (8056EB71->B2710870), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryMultipleValueKey (A1) перехвачена (8064C8F8->B2710920), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQuerySystemInformation (AD) перехвачена (8057C4AA->B271C4C6), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryValueKey (B1) перехвачена (8056B0BB->B27109D0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtReplaceKey (C1) перехвачена (8064D232->B2710A80), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtRestoreKey (CC) перехвачена (8064BD56->B2710B10), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtResumeThread (CE) перехвачена (8057B838->B271C7A0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSaveKey (CF) перехвачена (8064BDFD->B2710BA0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetContextThread (D5) перехвачена (8062C143->B271CB80), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetInformationFile (E0) перехвачена (80577E2C->B271D270), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetInformationKey (E2) перехвачена (8064C45B->B2710C30), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetInformationProcess (E4) перехвачена (8056BD05->B271FCD0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetValueKey (F7) перехвачена (80574C1D->B2710CD0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSuspendThread (FE) перехвачена (805DF81E->B271C750), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtTerminateProcess (101) перехвачена (80582C2B->B271C300), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtUnloadKey (107) перехвачена (8064C02B->B2710DC0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtWriteVirtualMemory (115) перехвачена (8057E5E0->B271B5D0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Проверено функций: 284, перехвачено: 38, восстановлено: 38
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
Количество найденных процессов: 28
Количество загруженных модулей: 253
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\WINDOWS\Temp\~DFE3EB.tmp
C:\Documents and Settings\tester\Local\Temporary Internet Files\Temporary Internet Files\Content.IE5\8L6B4HIJ\SDFix[1].zip Invalid file - not a PKZip file
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll"
Проверка завершена
Просканировано файлов: 78674, извлечено из архивов: 61367, найдено вредоносных программ 0
Сканирование завершено в 21.03.2007 10:27:12
!!! Внимание !!! Восстановлено 38 функций KiST в ходе работы антируткита
Это может нарушить нормальную работу ряда программ, поэтому настоятельно рекомендуется перезагрузить компьютер
Сканирование длилось 00:06:31
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info
Создание архива с файлами из карантина
Создание архива с файлами из карантина завершено
Выполняется исследование системы
Исследование системы завершено
Всё ли здесь нормально?
Касперский Интернет Секьюрити продолжает предупреждать о том что файл IEXPLORER.EXE и файлы SVCHOST.EXE - изменены и спрашивает пускать ли их в сеть?
Уважаемый(ая) Shifra, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
