помогите вирус Trojan.Win32.Agent2.byu использует API перехватчики. что делать

**otomo** · 23.04.2012, 19:27

Это 1 компьютер

Протокол антивирусной утилиты AVZ версии 4.37
Сканирование запущено в 23.04.2012 15:04:39
Загружена база: сигнатуры - 297616, нейропрофили - 2, микропрограммы лечения - 56, база от 15.04.2012 04:00
Загружены микропрограммы эвристики: 399
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 402883
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: включено
Версия Windows: 6.1.7601, Service Pack 1 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:CreateRemoteThread (172) перехвачена, метод APICodeHijack.JmpTo[7577416B]
Функция kernel32.dll

penThread (902) перехвачена, метод APICodeHijack.JmpTo[75701218]
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtLoadDriver (335) перехвачена, метод APICodeHijack.JmpTo[76F50DD4]
Функция ntdll.dll

wLoadDriver (1585) перехвачена, метод APICodeHijack.JmpTo[76F50DD4]
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:FindWindowExA (1757) перехвачена, метод APICodeHijack.JmpTo[749600D9]
Функция user32.dll:FindWindowExW (175

перехвачена, метод APICodeHijack.JmpTo[7497F588]
Функция user32.dll:SendMessageA (2144) перехвачена, метод APICodeHijack.JmpTo[7496612E]
Функция user32.dll:SendMessageW (2149) перехвачена, метод APICodeHijack.JmpTo[74959679]
Функция user32.dll:SetWindowsHookExA (2231) перехвачена, метод APICodeHijack.JmpTo[7496835C]
Функция user32.dll:SetWindowsHookExW (2232) перехвачена, метод APICodeHijack.JmpTo[74967603]
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:RegRestoreKeyA (162

перехвачена, метод APICodeHijack.JmpTo[76583453]
Функция advapi32.dll:RegRestoreKeyW (1629) перехвачена, метод APICodeHijack.JmpTo[76567CBA]
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка загрузки драйвера - проверка прервана [C000036B]
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Ошибка загрузки драйвера - проверка прервана [C000036B]
2. Проверка памяти
Количество найденных процессов: 19
Анализатор - изучается процесс 792 C:\Program Files (x86)\IObit\Advanced SystemCare 5\ASCService.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
>>> Реальный размер предположительно = 2039808
Анализатор - изучается процесс 2044 C:\Program Files (x86)\PANDORA.TV\PanService\PandoraService.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Приложение не имеет видимых окон
[ES]:EXE упаковщик ?
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 2352 C:\Program Files (x86)\IObit\Advanced SystemCare 5\ASCTray.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Количество загруженных модулей: 215
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
Проверка отключена пользователем
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 16 TCP портов и 6 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 234, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 23.04.2012 15:05:34
Сканирование длилось 00:00:56
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Выполняется исследование системы
Исследование системы завершено

Это 2 компьютер
Протокол антивирусной утилиты AVZ версии 4.37
Сканирование запущено в 23.04.2012 16:34:14
Загружена база: сигнатуры - 297616, нейропрофили - 2, микропрограммы лечения - 56, база от 15.04.2012 04:00
Загружены микропрограммы эвристики: 399
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 402883
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 6.1.7601, Service Pack 1 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:CreateRemoteThread (172) перехвачена, метод APICodeHijack.JmpTo[7515416B]
Функция kernel32.dll

penThread (902) перехвачена, метод APICodeHijack.JmpTo[750E1218]
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtLoadDriver (335) перехвачена, метод APICodeHijack.JmpTo[776C0DD4]
Функция ntdll.dll

wLoadDriver (1585) перехвачена, метод APICodeHijack.JmpTo[776C0DD4]
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:FindWindowExA (1757) перехвачена, метод APICodeHijack.JmpTo[756200D9]
Функция user32.dll:FindWindowExW (175

перехвачена, метод APICodeHijack.JmpTo[7563F588]
Функция user32.dll:SendMessageA (2144) перехвачена, метод APICodeHijack.JmpTo[7562612E]
Функция user32.dll:SendMessageW (2149) перехвачена, метод APICodeHijack.JmpTo[75619679]
Функция user32.dll:SetWindowsHookExA (2231) перехвачена, метод APICodeHijack.JmpTo[7562835C]
Функция user32.dll:SetWindowsHookExW (2232) перехвачена, метод APICodeHijack.JmpTo[75627603]
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:RegRestoreKeyA (162

перехвачена, метод APICodeHijack.JmpTo[75E13453]
Функция advapi32.dll:RegRestoreKeyW (1629) перехвачена, метод APICodeHijack.JmpTo[75DF7CBA]
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка загрузки драйвера - проверка прервана [C000036B]
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Ошибка загрузки драйвера - проверка прервана [C000036B]
2. Проверка памяти
Количество найденных процессов: 30
Количество загруженных модулей: 285
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
Проверка отключена пользователем
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 316, извлечено из архивов: 1, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 23.04.2012 16:35:23
Сканирование длилось 00:01:13
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Выполняется исследование системы
Исследование системы завершено

Добавлено через 1 минуту

смайлы сайт по вставлял сам

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 23.04.2012, 19:29

Уважаемый(ая) otomo, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**otomo** · 23.04.2012, 19:29

утилета AVZ пишет на подозрение Trojan.Win32.Agent2.byu и удаляет его. и этой заразы бывает достаточно до 9 тысяч находит при выходе в инет на 30 минут