-
Junior Member
- Вес репутации
- 49
Похоже вирус
В общем мне кажется у меня вирус
У меня стоит avast и doctor spyware
Решил проверить на наличии вирусов через avz
Вот что пишит
Протокол антивирусной утилиты AVZ версии 4.35
Сканирование запущено в 31.05.2011 20:10:56
Загружена база: сигнатуры - 289379, нейропрофили - 2, микропрограммы лечения - 56, база от 29.05.2011 16:30
Загружены микропрограммы эвристики: 388
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 279085
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 6.1.7601, Service Pack 1 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dlldrLoadDll (137) перехвачена, метод APICodeHijack.JmpTo[000601EE]
Функция ntdll.dlldrUnloadDll (161) перехвачена, метод APICodeHijack.JmpTo[000603F2]
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:SetWinEventHook (2216) перехвачена, метод APICodeHijack.JmpTo[001101EE]
Функция user32.dll:SetWindowsHookExA (2231) перехвачена, метод APICodeHijack.JmpTo[001105F6]
Функция user32.dll:SetWindowsHookExW (2232) перехвачена, метод APICodeHijack.JmpTo[001107FA]
Функция user32.dll:UnhookWinEvent (2279) перехвачена, метод APICodeHijack.JmpTo[001103F2]
Функция user32.dll:UnhookWindowsHookEx (2281) перехвачена, метод APICodeHijack.JmpTo[001109FE]
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка в работе антируткита [Failed to set data for 'ImagePath'], шаг [14]
2. Проверка памяти
Количество найденных процессов: 49
Количество загруженных модулей: 611
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\PROGRA~2\VKSaver\vksaver3.dll --> Подозрение на Keylogger или троянскую DLL
C:\PROGRA~2\VKSaver\vksaver3.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~2\VKSaver\vksaver3.dll"
>>> C:\Users\Администратор\appdata\local\{DA6994BC-F559-C034-4895-1D04AA5DE6D5}\.exe ЭПС: подозрение на Файл с подозрительным именем (CH)
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
>> Безопасность: разрешен автоматический вход в систему
Проверка завершена
9. Мастер поиска и устранения проблем
>> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
>> Таймаут завершения процессов находится за пределами допустимых значений
>> Таймаут, по истечению которого принимается решение о том, что процесс не отвечает, находится за пределами допустимых значений
>> Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 660, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 31.05.2011 20:11:29
Сканирование длилось 00:00:36
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в систему http://kaspersky-911.ru
Это стало писать после обновления avz баз,а до этого было тоже самое но жаловалось на аваст,и аваст постоянно в себе находит вирус
P.s если темка не правильно составлена прошу не удалять,так как долго писал
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
shoop
P.s если темка не правильно составлена прошу не удалять,так как долго писал
Не правильно. Вот так правильно.
-
-
Junior Member
- Вес репутации
- 49
-
Здравствуйте.
Отключите:
-Все защитные приложения
-ПК от интернета
-Восстановление системы
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Users\Администратор\appdata\local\{DA6994BC-F559-C034-4895-1D04AA5DE6D5}\.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\xpsp2res.dll','');
DeleteFile('C:\Program Files\Internet Explorer\xpsp2res.dll');
DeleteFile('C:\Users\Администратор\appdata\local\{DA6994BC-F559-C034-4895-1D04AA5DE6D5}\.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
Какие ещё браузеры установлены в системе?
Откройте все браузеры и сделайте повторные логи.
-
-
Junior Member
- Вес репутации
- 49
hedgars, Доктор , а он будет жив
А логи это какой фаил?
Запустить браузер ?
Стоит explorer,rambler chrome,opera,google,firefox но во сновном только firefox
-
Откройте все браузеры, которые Вы перечислили и выполните рекомендацию Olejah заново.
Сообщение от
shoop
будет жив
Будет, будет.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\\users\\администратор\\appdata\\local\\{da6994b c-f559-c034-4895-1d04aa5de6d5}\\.exe - Trojan-Dropper.Win32.ArchSMS.xg ( DrWEB: Trojan.Siggen.64661, BitDefender: Trojan.Generic.6125415, AVAST4: Win32:MalOb-IJ [Cryp] )
-