-
Junior Member
- Вес репутации
- 52
Отчет после сканирование AVZ
Это нормально или нет ?
D:\Windows\System32\diskcomp.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\Windows\System32\diskcopy.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\Windows\System32\graftabl.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\Windows\System32\LogFiles\Scm\SCM.EVM.2 >>> подозрение на Trojan-Downloader.Win32.AutoIt.q ( 1CE8AFC6 1E621768 004D6E44 004D6E44 491520)
D:\Windows\System32\LogFiles\Scm\SCM.EVM.5 >>> подозрение на Trojan-Downloader.Win32.AutoIt.q ( 1CEF319D 1E621768 004D6E44 004D6E44 491520)
Прямое чтение D:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEve ntLog-System.etl
D:\Windows\System32\ru-RU\PeerDistSvc.dll.mui >>> подозрение на HackTool.Win32.VB.bv ( 036A16E7 04B9FB70 000B930E 0008F378 24064)
D:\Windows\System32\vdmredir.dll >>> подозрение на Trojan-PSW.Win32.OnLineGames.hqu ( 08D0C866 04E4F8B0 001EE919 00221568 19456)
D:\Windows\System32\win.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\Windows\winsxs\Backup\x86_microsoft-windows-ntvdm-system32_31bf3856ad364e35_6.1.7600.16385_none_fde3 cf3dd3e16d0d_vdmredir.dll_6eee2d39 >>> подозрение на Trojan-PSW.Win32.OnLineGames.hqu ( 08D0C866 04E4F8B0 001EE919 00221568 19456)
D:\Windows\winsxs\x86_microsoft-windows-f..opycompareutilities_31bf3856ad364e35_6.1.7600.1 6385_none_d9573758d681d8ec\diskcomp.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\Windows\winsxs\x86_microsoft-windows-f..opycompareutilities_31bf3856ad364e35_6.1.7600.1 6385_none_d9573758d681d8ec\diskcopy.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\Windows\winsxs\x86_microsoft-windows-ntvdm-system32_31bf3856ad364e35_6.1.7600.16385_none_fde3 cf3dd3e16d0d\graftabl.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\Windows\winsxs\x86_microsoft-windows-ntvdm-system32_31bf3856ad364e35_6.1.7600.16385_none_fde3 cf3dd3e16d0d\vdmredir.dll >>> подозрение на Trojan-PSW.Win32.OnLineGames.hqu ( 08D0C866 04E4F8B0 001EE919 00221568 19456)
D:\Windows\winsxs\x86_microsoft-windows-ntvdm-system32_31bf3856ad364e35_6.1.7600.16385_none_fde3 cf3dd3e16d0d\win.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\Windows\winsxs\x86_microsoft-windows-peerdist.resources_31bf3856ad364e35_6.1.7600.16385 _ru-ru_59bc2eebe67d8c59\PeerDistSvc.dll.mui >>> подозрение на HackTool.Win32.VB.bv ( 036A16E7 04B9FB70 000B930E 0008F378 24064)
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
Radionik
Это нормально или нет ?
Сделайте по правилам логи, тогда узнаем нормально ли это
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
shapel
Сделайте по правилам логи, тогда узнаем нормально ли это
Код:
Протокол антивирусной утилиты AVZ версии 4.32
Сканирование запущено в 22.02.2010 15:47:11
Загружена база: сигнатуры - 263977, нейропрофили - 2, микропрограммы лечения - 56, база от 21.02.2010 12:37
Загружены микропрограммы эвристики: 379
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 177756
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: Отключено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 89BCD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 89BCD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 89BCD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 89BCD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 89BCD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 89BCD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 89BCD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 89BCD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 89BCD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 89BCD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 89BCD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 89BCD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 89BCD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 89BCD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 89BCD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 89BCD1F8 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 25
Количество загруженных модулей: 368
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
Прямое чтение C:\Documents and Settings\Admin\NTUSER.DAT
Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Data\iswift.dat
Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Data\sfdb.dat
Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Data\stat\gui-general.bin
Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\01\00000002_events.dat
Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\01\00000002_objbt.dat
Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\01\00000002_objdt.dat
Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\01\00000002_objid.dat
Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\02\00000002_events.dat
Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\02\00000002_objbt.dat
Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\02\00000002_objdt.dat
Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\02\00000002_objid.dat
Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\03\00000002_events.dat
Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\03\00000002_objdt.dat
Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\03\00000002_objid.dat
Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\05\00000001_events.dat
Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\05\00000001_objbt.dat
Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\05\00000001_objdt.dat
Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\05\00000001_objid.dat
Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\06\00000001_events.dat
Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\07\00000001_events.dat
Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\08\00000001_events.dat
Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\0C\00000001_objbt.dat
Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\0C\00000001_objdt.dat
Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\0C\00000001_objid.dat
Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\detected.idx
Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\detected.rpt
Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\g_objbt.dat
Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\g_objdt.dat
Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\g_objid.dat
Прямое чтение C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
Прямое чтение C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
Прямое чтение C:\Documents and Settings\LocalService\Cookies\index.dat
Прямое чтение C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
Прямое чтение C:\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat
Прямое чтение C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat
Прямое чтение C:\Documents and Settings\LocalService\NTUSER.DAT
Прямое чтение C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
Прямое чтение C:\Documents and Settings\NetworkService\NTUSER.DAT
Прямое чтение C:\System Volume Information\ISwift3.dat
Прямое чтение C:\WINDOWS\SchedLgU.Txt
Прямое чтение C:\WINDOWS\SoftwareDistribution\ReportingEvents.log
Прямое чтение C:\WINDOWS\system32\CatRoot2\edb.log
Прямое чтение C:\WINDOWS\system32\CatRoot2\tmp.edb
Прямое чтение C:\WINDOWS\system32\config\AppEvent.Evt
Прямое чтение C:\WINDOWS\system32\config\default
Прямое чтение C:\WINDOWS\system32\config\Internet.evt
Прямое чтение C:\WINDOWS\system32\config\SAM
Прямое чтение C:\WINDOWS\system32\config\SecEvent.Evt
Прямое чтение C:\WINDOWS\system32\config\SECURITY
Прямое чтение C:\WINDOWS\system32\config\software
Прямое чтение C:\WINDOWS\system32\config\SysEvent.Evt
Прямое чтение C:\WINDOWS\system32\config\system
Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys
Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR
Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP
Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP
Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP
Прямое чтение C:\WINDOWS\Temp\Perflib_Perfdata_e0.dat
Прямое чтение C:\WINDOWS\WindowsUpdate.log
Прямое чтение D:\System Volume Information\ISwift3.dat
Прямое чтение D:\System Volume Information\Syscache.hve
Прямое чтение D:\System Volume Information\Syscache.hve.LOG1
Прямое чтение D:\Users\Radik\AppData\Local\Microsoft\CardSpace\CardSpaceSP2.db
D:\Windows\System32\diskcomp.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\Windows\System32\diskcopy.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\Windows\System32\graftabl.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\Windows\System32\LogFiles\Scm\SCM.EVM.2 >>> подозрение на Trojan-Downloader.Win32.AutoIt.q ( 1CE8AFC6 1E621768 004D6E44 004D6E44 491520)
D:\Windows\System32\LogFiles\Scm\SCM.EVM.5 >>> подозрение на Trojan-Downloader.Win32.AutoIt.q ( 1CEF319D 1E621768 004D6E44 004D6E44 491520)
Прямое чтение D:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-System.etl
D:\Windows\System32\ru-RU\PeerDistSvc.dll.mui >>> подозрение на HackTool.Win32.VB.bv ( 036A16E7 04B9FB70 000B930E 0008F378 24064)
D:\Windows\System32\vdmredir.dll >>> подозрение на Trojan-PSW.Win32.OnLineGames.hqu ( 08D0C866 04E4F8B0 001EE919 00221568 19456)
D:\Windows\System32\win.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\Windows\winsxs\Backup\x86_microsoft-windows-ntvdm-system32_31bf3856ad364e35_6.1.7600.16385_none_fde3cf3dd3e16d0d_vdmredir.dll_6eee2d39 >>> подозрение на Trojan-PSW.Win32.OnLineGames.hqu ( 08D0C866 04E4F8B0 001EE919 00221568 19456)
D:\Windows\winsxs\x86_microsoft-windows-f..opycompareutilities_31bf3856ad364e35_6.1.7600.16385_none_d9573758d681d8ec\diskcomp.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\Windows\winsxs\x86_microsoft-windows-f..opycompareutilities_31bf3856ad364e35_6.1.7600.16385_none_d9573758d681d8ec\diskcopy.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\Windows\winsxs\x86_microsoft-windows-ntvdm-system32_31bf3856ad364e35_6.1.7600.16385_none_fde3cf3dd3e16d0d\graftabl.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\Windows\winsxs\x86_microsoft-windows-ntvdm-system32_31bf3856ad364e35_6.1.7600.16385_none_fde3cf3dd3e16d0d\vdmredir.dll >>> подозрение на Trojan-PSW.Win32.OnLineGames.hqu ( 08D0C866 04E4F8B0 001EE919 00221568 19456)
D:\Windows\winsxs\x86_microsoft-windows-ntvdm-system32_31bf3856ad364e35_6.1.7600.16385_none_fde3cf3dd3e16d0d\win.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\Windows\winsxs\x86_microsoft-windows-peerdist.resources_31bf3856ad364e35_6.1.7600.16385_ru-ru_59bc2eebe67d8c59\PeerDistSvc.dll.mui >>> подозрение на HackTool.Win32.VB.bv ( 036A16E7 04B9FB70 000B930E 0008F378 24064)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 4 TCP портов и 5 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 178779, извлечено из архивов: 65568, найдено вредоносных программ 0, подозрений - 7
Сканирование завершено в 22.02.2010 16:01:28
Сканирование длилось 00:14:19
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info
Последний раз редактировалось pig; 23.02.2010 в 00:37.
Причина: утоптал
-
Внимательно прочтите и в точности выполните http://virusinfo.info/pravila.html
-