13.01.2012 7:33:59 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(1580) модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа очистка невозможна - вот такую фигню высветил сегодня Nod32.
До этого при запуске системы была ругань на какую-то подмену или переименовку файла в AppPatch. Папку AppPatch я скопировал с другого компа (с аналогичной системой) и вставил за место той (ту удалил и эту на чистую).Всеравно ругань продолжилась.
AVZ чета пошуршал в системе выкинул несколько подозрительных строк и несоздал даже архива для пересылки.\
ниже то что он рисовал.
Что самое интересное - Он не обновляется сам и ругается на обновленные базы скачаные в ручную
База поcледний раз обновлялась 02.10.2011 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.35
Сканирование запущено в 13.01.2012 08:17:03
Загружена база: сигнатуры - 294259, нейропрофили - 2, микропрограммы лечения - 56, база от 02.10.2011 18:18
Загружены микропрограммы эвристики: 388
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 298864
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: Отключено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=085700)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 8055C700
KiST = 80504460 (284)
Проверено функций: 284, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
CmpCallCallBacks = 00093D84
Disable callback - уже нейтирализованы
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=3320, имя = "632dc_xp.exe", полное имя = "\Device\HarddiskVolume1\WINDOWS\Temp\96F1BA9F-31FFB59-F7F02007-3D3CC894\632dc_xp.exe"
>> обнаружена подмена PID (текущий PID=2308357668, реальный = 3320)
>> обнаружена подмена имени, новое имя = ""
Поиск маскировки процессов и драйверов завершен
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
\FileSystem\ntfs[IRP_MJ_CREATE] = 89979828 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 897A29A8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 89C52AD8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8954E298 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 89D22F30 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 27
Анализатор - изучается процесс 252 C:\WINDOWS\system32\nvsvc32.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
Количество загруженных модулей: 302
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Documents and Settings\Admin\Cookies\index.dat
Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\CardSpace\CardSpaceSP2.db
Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
Прямое чтение C:\Documents and Settings\Admin\Local Settings\History\History.IE5\index.dat
Прямое чтение C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\index.dat
Прямое чтение C:\Documents and Settings\Admin\NTUSER.DAT
AION UA Skaniya x5.exe MailBomb detected !
dotNetFx40_Client_setup.exe MailBomb detected !
launcherUpdater.exe MailBomb detected !
Прямое чтение C:\Documents and Settings\All Users\Application Data\ESET\ESET NOD32 Antivirus\Charon\CACHE.NDB
Прямое чтение C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
Прямое чтение C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
Прямое чтение C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
Прямое чтение C:\Documents and Settings\LocalService\NTUSER.DAT
Прямое чтение C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
Прямое чтение C:\Documents and Settings\NetworkService\NTUSER.DAT
AION UA Skaniya x5.exe MailBomb detected !
dotNetFx40_Client_setup.exe MailBomb detected !
launcherUpdater.exe MailBomb detected !
Прямое чтение C:\WINDOWS\SchedLgU.Txt
Прямое чтение C:\WINDOWS\system32\CatRoot2\edb.log
Прямое чтение C:\WINDOWS\system32\CatRoot2\tmp.edb
Прямое чтение C:\WINDOWS\system32\config\AppEvent.Evt
Прямое чтение C:\WINDOWS\system32\config\default
Прямое чтение C:\WINDOWS\system32\config\Internet.evt
Прямое чтение C:\WINDOWS\system32\config\SAM
Прямое чтение C:\WINDOWS\system32\config\SAM.LOG
Прямое чтение C:\WINDOWS\system32\config\SecEvent.Evt
Прямое чтение C:\WINDOWS\system32\config\SECURITY
Прямое чтение C:\WINDOWS\system32\config\SysEvent.Evt
Прямое чтение C:\WINDOWS\system32\config\system
Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR
Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP
Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP
Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
>>> C:\WINDOWS\system32\cpldapu\produkey.exe ЭПС: подозрение на Файл с подозрительным именем (CH)
Файл успешно помещен в карантин (C:\WINDOWS\system32\cpldapu\produkey.exe)
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
>> Некорректный элемент автозапуска
Проверка завершена
Просканировано файлов: 273424, извлечено из архивов: 202094, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 13.01.2012 08:46:46
Сканирование длилось 00:29:44
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в систему
http://kaspersky-911.ru
Создание архива с файлами из карантина
Создание архива с файлами из карантина завершено
Выполняется исследование системы
Исследование системы завершено
Скрыть