Показано с 1 по 1 из 1.

Улетное исследование )))

  1. #1
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103

    Улетное исследование )))

    Есть Вирусы специально написанные с использованием доступа к исходникам всех программных продуктов антивирусных компаний - полиморфный вирус, я приведу меры по противодействию полиморфу и нейтрализации вредоносного ПО.

    Решил задачу. Вообщем стал просматривать диагностический отчет STDKiller и заметил, что зловред использовал активно драйверы, проводил модификацию исходного кода, следующего оборудования:

    принтер Panasonik KX-MB263
    драйвер видеокараты NVIDIA GEFORCE
    обновления NVIDIA
    cистемное программное обеспечение NVIDIA GEFORCE G4 440

    а также flashplayer 11 - версия 11.7.700.169

    в автозагрузку прописал путь к системной dll-ки userinit.exe

    привожу отчет TDSKILLER:


    Код:
    19:55:33.0844 4424 Detected object count: 10 
    19:55:33.0844 4424 Actual detected object count: 10 
    19:57:55.0295 4424 C:\Users\D395~1\AppData\Local\Temp\ABKDFIDNFB.exe - copied to quarantine 
    19:57:55.0335 4424 HKLM\SYSTEM\ControlSet001\services\ABKDFIDNFB - will be deleted on reboot 
    19:57:55.0353 4424 HKLM\SYSTEM\ControlSet002\services\ABKDFIDNFB - will be deleted on reboot 
    19:57:55.0442 4424 C:\Users\D395~1\AppData\Local\Temp\ABKDFIDNFB.exe - will be deleted on reboot 
    19:57:55.0442 4424 ABKDFIDNFB ( UnsignedFile.Multi.Generic ) - User select action: Delete 
    19:57:55.0444 4424 KMService ( UnsignedFile.Multi.Generic ) - skipped by user 
    19:57:55.0444 4424 KMService ( UnsignedFile.Multi.Generic ) - User select action: Skip 
    19:57:55.0490 4424 C:\Users\D395~1\AppData\Local\Temp\OGGFT.exe - copied to quarantine 
    19:57:55.0507 4424 HKLM\SYSTEM\ControlSet001\services\OGGFT - will be deleted on reboot 
    19:57:55.0508 4424 HKLM\SYSTEM\ControlSet002\services\OGGFT - will be deleted on reboot 
    19:57:55.0511 4424 C:\Users\D395~1\AppData\Local\Temp\OGGFT.exe - will be deleted on reboot 
    19:57:55.0511 4424 OGGFT ( UnsignedFile.Multi.Generic ) - User select action: Delete 
    19:57:55.0514 4424 Panasonic Local Printer Service ( UnsignedFile.Multi.Generic ) - skipped by user 
    19:57:55.0514 4424 Panasonic Local Printer Service ( UnsignedFile.Multi.Generic ) - User select action: Skip 
    19:57:55.0575 4424 C:\PROGRA~1\PANASO~1\TRAPMO~1\Trapmnnt.exe - copied to quarantine 
    19:57:55.0584 4424 HKLM\SYSTEM\ControlSet001\services\Panasonic Trap Monitor Service - will be deleted on reboot 
    19:57:55.0601 4424 HKLM\SYSTEM\ControlSet002\services\Panasonic Trap Monitor Service - will be deleted on reboot 
    19:57:55.0605 4424 C:\PROGRA~1\PANASO~1\TRAPMO~1\Trapmnnt.exe - will be deleted on reboot 
    19:57:55.0605 4424 Panasonic Trap Monitor Service ( UnsignedFile.Multi.Generic ) - User select action: Delete 
    19:57:55.0647 4424 C:\Program Files\Unlocker\UnlockerDriver5.sys - copied to quarantine 
    19:57:55.0653 4424 HKLM\SYSTEM\ControlSet001\services\UnlockerDriver5 - will be deleted on reboot 
    19:57:55.0675 4424 HKLM\SYSTEM\ControlSet002\services\UnlockerDriver5 - will be deleted on reboot 
    19:57:55.0679 4424 C:\Program Files\Unlocker\UnlockerDriver5.sys - will be deleted on reboot 
    19:57:55.0679 4424 UnlockerDriver5 ( UnsignedFile.Multi.Generic ) - User select action: Delete 
    19:57:55.0738 4424 C:\Windows\system32\Drivers\uzm2mzyy.sys - copied to quarantine 
    19:57:55.0744 4424 HKLM\SYSTEM\ControlSet001\services\uzm2mzyy - will be deleted on reboot 
    19:57:55.0745 4424 HKLM\SYSTEM\ControlSet002\services\uzm2mzyy - will be deleted on reboot 
    19:57:55.0748 4424 C:\Windows\system32\Drivers\uzm2mzyy.sys - will be deleted on reboot 
    19:57:55.0749 4424 uzm2mzyy ( UnsignedFile.Multi.Generic ) - User select action: Delete 
    19:57:55.0804 4424 C:\Program Files\VMware\VMware Workstation\vmware-authd.exe - copied to quarantine 
    19:57:55.0812 4424 HKLM\SYSTEM\ControlSet001\services\VMAuthdService - will be deleted on reboot 
    19:57:55.0812 4424 HKLM\SYSTEM\ControlSet002\services\VMAuthdService - will be deleted on reboot 
    19:57:55.0816 4424 C:\Program Files\VMware\VMware Workstation\vmware-authd.exe - will be deleted on reboot 
    19:57:55.0816 4424 VMAuthdService ( UnsignedFile.Multi.Generic ) - User select action: Delete 
    19:57:56.0174 4424 C:\Program Files\VMware\VMware Workstation\vmware-hostd.exe - copied to quarantine 
    19:57:56.0273 4424 HKLM\SYSTEM\ControlSet001\services\VMwareHostd - will be deleted on reboot 
    19:57:56.0299 4424 HKLM\SYSTEM\ControlSet002\services\VMwareHostd - will be deleted on reboot 
    19:57:56.0303 4424 C:\Program Files\VMware\VMware Workstation\vmware-hostd.exe - will be deleted on reboot 
    19:57:56.0303 4424 VMwareHostd ( UnsignedFile.Multi.Generic ) - User select action: Delete 
    19:57:56.0447 4424 C:\Users\D395~1\AppData\Local\Temp\YVWIZXHE.exe - copied to quarantine 
    19:57:56.0461 4424 HKLM\SYSTEM\ControlSet001\services\YVWIZXHE - will be deleted on reboot 
    19:57:56.0462 4424 HKLM\SYSTEM\ControlSet002\services\YVWIZXHE - will be deleted on reboot 
    19:57:56.0466 4424 C:\Users\D395~1\AppData\Local\Temp\YVWIZXHE.exe - will be deleted on reboot 
    19:57:56.0466 4424 YVWIZXHE ( UnsignedFile.Multi.Generic ) - User select action: Delete 
    19:58:03.0965 1320 Deinitialize success
    при попытке переустановить оборудование вылетала ошибка BSOD - STOP 0000000xxx
    эту ошибку вывзывали две службы:

    Microsoft protectet platform - защита программной платформы
    Microsoft program inchenering - служба разработки ПО microsoft

    Но при этом компьютер вообще не грузился - тогда в BIOS - выставил
    BIOS PROTECTET - защищенный режим БОИС
    отключил контроллер для дисект -
    у меня вообще системная плата не поддерживает driver floppy controler
    выставил PCI Expres Card
    и первое устройство загрузки ferst boot device - HARDISK
    Два раза при загрузке - первый при загрузке БИОС - затем снова жал F8 - выбрал опцию - устранение проблем связанных с загрузкой ОС.
    Процедура востановления файлов загрузки и загрузочных секторов завершилась успешно - перезагрузил комп, ну и естественно активатор слетел - систему поновому активировал, и удалил службы, они блокировали доступ программам к памяти на уровне ядра, модифицировали службу контроля доступа к памяти appidshema.dll - модифицирована во всех процессах - таки образом микропрограммы уровня HAL не могли работать нормально.
    Загрузился в безопасном режиме и выполнил сканирование и обнаружил. что активирована встроенная учетная запись администратора, которую я отключил -отключил ее и очистил папку Temp

    C:\Users\Пользователь\Apddata\Local\Temp - перезагрузился в безопасном режиме и выполнил следующи скрепт лечения:


    Код:
    begin 
    // Антируткит 
    SearchRootkit(true, true); 
    // Обновление баз 
    ExecuteAVUpdate ; 
    // Перезагрузка 
    RebootWindows(true); 
    end.
    этот не запустился:


    Код:
    begin 
    // Очистка карантина 
    ClearQuarantine; 
    // Антируткит 
    SearchRootkit(true, true); 
    // Обновление баз 
    ExecuteAVUpdate ; 
    // Добавление указанного файла в карантин 
    QuarantineFile(' ',' '); 
    // Выполнение автокарантина 
    ExecuteAutoQuarantine; 
    // Завершение процесса по имени файла 
    TerminateProcessByName(''); 
    // Удаление файла 
    DeleteFile(); 
    // Очистка файла Hosts 
    ClearHostsFile; 
    DelCLSID(''); 
    // Удаление службы 
    DeleteService('', true); 
    // Удаление элемента Winlogon 
    DelWinlogonNotifyByFileName(''); 
    // Эвристическая чистка системы 
    ExecuteSysClean; 
    // Создание архива с содержимым карантина за текущий день 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    // Перезагрузка 
    RebootWindows(true); 
    end.
    затем выбрал стандартные скрипты:



    AVZ - нейтрализовал руткиты. Выполнил исследование системы, вот привожу XML-отчет:

    Протокол исследования системы
    AVZ 4.39 http://z-oleg.com/secur/avz/


    Код:
    Список процессов 
    Имя файла PID Описание Copyright MD5 Информация 
    304 ?? ?,ошибка получения информации о файле 
    Командная строка: 
    404 ?? ?,ошибка получения информации о файле 
    Командная строка: 
    472 ?? ?,ошибка получения информации о файле 
    Командная строка: 
    988 ?? ?,ошибка получения информации о файле 
    Командная строка: 
    1184 ?? ?,ошибка получения информации о файле 
    Командная строка: 
    1720 ?? ?,ошибка получения информации о файле 
    Командная строка: 
    1768 ?? ?,ошибка получения информации о файле 
    Командная строка: 
    1852 ?? ?,ошибка получения информации о файле 
    Командная строка: 
    1860 ?? ?,ошибка получения информации о файле 
    Командная строка: 
    1920 ?? ?,ошибка получения информации о файле 
    Командная строка: 
    2456 ?? ?,ошибка получения информации о файле 
    Командная строка: 
    2464 ?? ?,ошибка получения информации о файле 
    Командная строка: 
    2476 ?? ?,ошибка получения информации о файле 
    Командная строка: 
    2600 ?? ?,ошибка получения информации о файле 
    Командная строка: 
    2836 ?? ?,ошибка получения информации о файле 
    Командная строка: 
    2900 ?? ?,ошибка получения информации о файле 
    Командная строка: 
    2924 ?? ?,ошибка получения информации о файле 
    Командная строка: 
    3044 ?? ?,ошибка получения информации о файле 
    Командная строка: 
    3064 ?? ?,ошибка получения информации о файле 
    Командная строка: 
    3100 ?? ?,ошибка получения информации о файле 
    Командная строка: 
    3120 ?? ?,ошибка получения информации о файле 
    Командная строка: 
    3292 ?? ?,ошибка получения информации о файле 
    Командная строка: 
    3416 ?? ?,ошибка получения информации о файле 
    Командная строка: 
    3432 ?? ?,ошибка получения информации о файле 
    Командная строка: 
    3520 ?? ?,ошибка получения информации о файле 
    Командная строка: 
    3552 ?? ?,ошибка получения информации о файле 
    Командная строка: 
    3760 ?? ?,ошибка получения информации о файле 
    Командная строка: 
    4060 ?? ?,ошибка получения информации о файле 
    Командная строка: 
    2244 ?? ?,ошибка получения информации о файле 
    Командная строка: 
    2804 ?? ?,ошибка получения информации о файле 
    Командная строка: 
    2812 ?? ?,ошибка получения информации о файле 
    Командная строка: 
    2908 ?? ?,ошибка получения информации о файле 
    Командная строка: 
    c:\program files\divx\divx update\divxupdate.exe 
    Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2496 DivX Update © Copyright 2000 - 2011 DivX, LLC ?? 1234.33 кб, rsAh, 
    создан: 13.02.2013 06:37:16, 
    изменен: 13.02.2013 06:37:16 
    Командная строка: 
    "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW 
    c:\program files\common files\java\java update\jusched.exe 
    Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2484 Java™ Update Scheduler Copyright © 2012 ?? 247.87 кб, rsAh, 
    создан: 12.03.2013 07:32:50, 
    изменен: 12.03.2013 07:32:50 
    Командная строка: 
    "C:\Program Files\Common Files\Java\Java Update\jusched.exe" 
    c:\windows\system32\svchost.exe 
    Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 312 Хост-процесс для служб Windows © Корпорация Майкрософт. Все права защищены. ?? 20.50 кб, rsAh, 
    создан: 14.07.2009 03:19:28, 
    изменен: 14.07.2009 05:14:41 
    Командная строка: 
    C:\Windows\System32\svchost.exe -k secsvcs 
    Обнаружено:71, из них опознаны как безопасные 37 
    Имя модуля Handle Описание Copyright MD5 Используется процессами 
    C:\Program Files\DivX\DivX Update\DivXUpdateCheck.dll 
    Скрипт: Kарантин, Удалить, Удалить через BC 268435456 DivX Update © Copyright 2000 - 2011 DivX, LLC -- 2496 
    C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{56B0A004-DCF8-4D7E-9701-A4AFD0146FDA}\mpengine.dll 
    Скрипт: Kарантин, Удалить, Удалить через BC 1841954816 Microsoft Malware Protection Engine © Microsoft Corporation. All rights reserved. -- 312 
    Обнаружено модулей:416, из них опознаны как безопасные 414 
    
    Модули пространства ядра 
    Модуль Базовый адрес Размер в памяти Описание Производитель 
    C:\Windows\System32\Drivers\aswKbd.SYS 
    Скрипт: Kарантин, Удалить, Удалить через BC 8C575000 009000 (36864) avast! Keyboard Filter Driver Copyright © 2013 AVAST Software 
    C:\Windows\System32\Drivers\dump_atapi.sys 
    Скрипт: Kарантин, Удалить, Удалить через BC 98170000 009000 (36864) 
    C:\Windows\System32\Drivers\dump_dumpata.sys 
    Скрипт: Kарантин, Удалить, Удалить через BC 98165000 00B000 (45056) 
    C:\Windows\System32\Drivers\dump_dumpfve.sys 
    Скрипт: Kарантин, Удалить, Удалить через BC 98179000 011000 (69632) 
    C:\Windows\system32\DRIVERS\PavProc.sys 
    Скрипт: Kарантин, Удалить, Удалить через BC 9DAF3000 027000 (159744) Panda Protection driver © Panda 2012 
    Обнаружено модулей - 195, опознано как безопасные - 190 
    
    Службы 
    Служба Описание Статус Файл Группа Зависимости 
    Обнаружено - 55, опознано как безопасные - 55 
    
    Драйверы 
    Служба Описание Статус Файл Группа Зависимости 
    aswKbd 
    Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC aswKbd Работает C:\Windows\system32\Drivers\aswKbd.sys 
    Скрипт: Kарантин, Удалить, Удалить через BC Keyboard Port 
    msahci 
    Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC msahci Работает C:\Windows\SystemRoot\system32\DRIVERS\msahci.sys 
    Скрипт: Kарантин, Удалить, Удалить через BC SCSI Miniport 
    PavProc 
    Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC Panda Process Protection Driver Работает C:\Windows\system32\DRIVERS\PavProc.sys 
    Скрипт: Kарантин, Удалить, Удалить через BC 
    Обнаружено - 121, опознано как безопасные - 118 
    
    Автозапуск 
    Имя файла Статус Метод запуска Описание 
    C:\Program Files\Active Data Recovery Software\Active@ Disk Image\msg.dll 
    Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Active Disk Image, EventMessageFile 
    C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe 
    Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, Adobe ARM 
    Удалить 
    C:\Program Files\Common Files\Java\Java Update\jusched.exe 
    Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, SunJavaUpdateSched 
    Удалить 
    C:\Program Files\DivX\DivX Media Server\DivXMediaServer.exe 
    Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, DivXMediaServer 
    Удалить 
    C:\Program Files\DivX\DivX Update\DivXUpdate.exe 
    Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, DivXUpdate 
    Удалить 
    C:\Program Files\Google\Chrome\Application\chrome.exe 
    Скрипт: Kарантин, Удалить, Удалить через BC Активен Ярлык в папке автозагрузки C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk, 
    C:\Program Files\Hotspot Shield\HssWPR\hsssrv.exe 
    Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\HssSrv, EventMessageFile 
    C:\Program Files\Hotspot Shield\bin\hsswd.exe 
    Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\HssWd, EventMessageFile 
    C:\Program Files\Panda Security\Panda Antivirus Pro 2013\APVXDWIN.EXE 
    Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, APVXDWIN 
    Удалить 
    C:\Program Files\Panda Security\Panda Antivirus Pro 2013\APVXDWIN.EXE 
    Скрипт: Kарантин, Удалить, Удалить через BC Отключен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run-, APVXDWIN 
    Удалить 
    C:\Program Files\Panda Security\Panda Antivirus Pro 2013\sentrsc.dll 
    Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Sentinel, EventMessageFile 
    C:\Program Files\Trident Software\Pragma6\wodUpdS2.exe 
    Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\wodAppUpdateService2, EventMessageFile 
    C:\Program Files\Unlocker\UnlockerAssistant.exe 
    Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, UnlockerAssistant 
    Удалить 
    C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\QuickStores.url 
    Скрипт: Kарантин, Удалить, Удалить через BC Активен Файл в папке автозагрузки C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\QuickStores.url, 
    C:\Windows\System32\drivers\amm8660.sys 
    Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\Anti-Malware FSM, EventMessageFile 
    C:\Windows\System32\drivers\vmci.sys 
    Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\vmci, EventMessageFile 
    C:\Windows\system32\psxss.exe 
    Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix 
    avldr.dll 
    Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\avldr, DLLName 
    Удалить 
    progman.exe 
    Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, shell 
    Удалить 
    vgafix.fon 
    Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fixedfon.fon 
    Удалить 
    vgaoem.fon 
    Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, oemfonts.fon 
    Удалить 
    vgasys.fon 
    Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fonts.fon 
    Удалить 
    Обнаружено элементов автозапуска - 724, опознано как безопасные - 702 
    
    Модули расширения Internet Explorer (BHO, панели ...) 
    Имя файла Тип Описание Производитель CLSID 
    BHO {312f84fb-8970-4fd3-bddb-7012eac4afc9} 
    Удалить 
    C:\Program Files\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll 
    Скрипт: Kарантин, Удалить, Удалить через BC BHO DivX Plus Web Player HTML5 version 2.1.2.172 © 2000-2013 DivX, LLC. {326E768D-4182-46FD-9C16-1449A49795F4} 
    Удалить 
    BHO {72853161-30C5-4D22-B7F9-0BBC1D38A37E} 
    Удалить 
    C:\Program Files\Java\jre7\bin\ssv.dll 
    Скрипт: Kарантин, Удалить, Удалить через BC BHO Java™ Platform SE binary Copyright © 2013 {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} 
    Удалить 
    BHO {8984B388-A5BB-4DF7-B274-77B879E179DB} 
    Удалить 
    BHO {B4F3A835-0E21-4959-BA22-42B3008E02FF} 
    Удалить 
    C:\Program Files\Java\jre7\bin\jp2ssv.dll 
    Скрипт: Kарантин, Удалить, Удалить через BC BHO Java™ Platform SE binary Copyright © 2013 {DBC80044-A445-435b-BC74-9C25C1C588A9} 
    Удалить 
    Панель {98889811-442D-49dd-99D7-DC866BE87DBC} 
    Удалить 
    Панель {48586425-6bb7-4f51-8dc6-38c88e3ebb58} 
    Удалить 
    Панель {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} 
    Удалить 
    Модуль расширения {2670000A-7350-4f3c-8081-5663EE0C6C49} 
    Удалить 
    Модуль расширения {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} 
    Удалить 
    URLSearchHook {93a3111f-4f74-4ed8-895e-d9708497629e} 
    Удалить 
    Обнаружено элементов - 13, опознано как безопасные - 0 
    
    Модули расширения проводника 
    Имя файла Назначение Описание Производитель CLSID 
    Groove Namespace Extension {3D60EDA7-9AB4-4DA8-864C-D9B5F2E7281D} 
    Удалить 
    Groove GFS Browser Helper {72853161-30C5-4D22-B7F9-0BBC1D38A37E} 
    Удалить 
    Groove GFS Context Menu Handler {6C467336-8281-4E60-8204-430CED96822D} 
    Удалить 
    Groove GFS Explorer Bar {2A541AE1-5BF6-4665-A8A3-CFA9672E4291} 
    Удалить 
    Groove Explorer Icon Overlay 3 (GFS Folder) {16F3DD56-1AF5-4347-846D-7C10C4192619} 
    Удалить 
    Groove GFS Stub Execution Hook {B5A7F190-DDA6-4420-B3BA-52453494E6CD} 
    Удалить 
    Groove GFS Stub Icon Handler {A449600E-1DC6-4232-B948-9BD794D62056} 
    Удалить 
    Groove Explorer Icon Overlay 2 (GFS Stub) {AB5C5600-7E6E-4B06-9197-9ECEF74D31CC} 
    Удалить 
    Groove Explorer Icon Overlay 2.5 (GFS Unread Folder) {920E6DB1-9907-4370-B3A0-BAFC03D81399} 
    Удалить 
    Groove Explorer Icon Overlay 4 (GFS Unread Mark) {2916C86E-86A6-43FE-8112-43ABE6BF8DCC} 
    Удалить 
    Groove Explorer Icon Overlay 1 (GFS Unread Stub) {99FD978C-D287-4F50-827F-B2C658EDA8E7} 
    Удалить 
    Groove XML Icon Handler {387E725D-DC16-4D76-B310-2C93ED4752A0} 
    Удалить 
    Microsoft Outlook Desktop Icon Handler {00020D75-0000-0000-C000-000000000046} 
    Удалить 
    Glary Utilities Context Menu Shell Extension {72923739-5A47-40A3-9895-25AF0DFBB9E4} 
    Удалить 
    C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll 
    Скрипт: Kарантин, Удалить, Удалить через BC ColumnHandler PDF Shell Extension Copyright 1984-2012 Adobe Systems Incorporated and its licensors. All rights reserved. {F9DB5320-233E-11D1-9F84-707F02C10627} 
    Удалить 
    Обнаружено элементов - 26, опознано как безопасные - 11 
    
    Модули расширения системы печати (мониторы печати, провайдеры) 
    Имя файла Тип Наименование Описание Производитель 
    C:\Windows\system32\ZEGLMB2K.DLL 
    Скрипт: Kарантин, Удалить, Удалить через BC Монитор Panasonic KX-MB261 Language Monitor Panlmon Application Copyright © 2005 
    Обнаружено элементов - 8, опознано как безопасные - 7 
    
    Задания планировщика задач Task Scheduler 
    Имя файла Имя задания Состояние задания Описание Производитель 
    C:\Users\D395~1\AppData\Local\Temp\97ncnk99.exe 
    Скрипт: Kарантин, Удалить, Удалить через BC 94inxzkmi.job 
    Скрипт: Удалить The task has not yet run. 
    C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe 
    Скрипт: Kарантин, Удалить, Удалить через BC Adobe Flash Player Updater.job 
    Скрипт: Удалить The task is ready to run at its next scheduled time. Adobe® Flash® Player Update Service 11.7 r700 Copyright © 1996 Adobe Systems Incorporated 
    C:\Program Files\Glary Utilities\initialize.exe 
    Скрипт: Kарантин, Удалить, Удалить через BC GlaryInitialize.job 
    Скрипт: Удалить The task has not yet run. Glary Utilities Initialize Copyright © 2003-2013 Glarysoft Ltd 
    C:\Program Files\RegClean Pro\RegCleanPro.exe 
    Скрипт: Kарантин, Удалить, Удалить через BC RegClean Pro_DEFAULT.job 
    Скрипт: Удалить One or more of the properties that are needed to run this task on a schedule have not been set. 
    C:\Program Files\RegClean Pro\RegCleanPro.exe 
    Скрипт: Kарантин, Удалить, Удалить через BC RegClean Pro_UPDATES.job 
    Скрипт: Удалить One or more of the properties that are needed to run this task on a schedule have not been set. 
    Обнаружено элементов - 7, опознано как безопасные - 2 
    
    Настройки SPI/LSP 
    Поставщики пространства имен (NSP) Поставщик Статус Исп. файл Описание GUID 
    Обнаружено - 6, опознано как безопасные - 6 
    Поставщики транспортных протоколов (TSP, LSP) Поставщик Исп. файл Описание 
    Обнаружено - 52, опознано как безопасные - 52 
    Результаты автоматического анализа настроек SPI Настройки LSP проверены. Ошибок не обнаружено 
    
    Порты TCP/UDP 
    Порт Статус Remote Host Remote Port Приложение Примечания 
    Порты TCP 
    135 LISTENING 0.0.0.0 0 [888] c:\windows\system32\svchost.exe 
    Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 
    139 LISTENING 0.0.0.0 0 [4] System 
    Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 
    445 LISTENING 0.0.0.0 0 [4] System 
    Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 
    2559 LISTENING 0.0.0.0 0 [2056] c:\program files\nvidia corporation\nvidia updatus\daemonu.exe 
    Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 
    5357 LISTENING 0.0.0.0 0 [4] System 
    Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 
    49152 LISTENING 0.0.0.0 0 [480] c:\windows\system32\wininit.exe 
    Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 
    49153 LISTENING 0.0.0.0 0 [1032] c:\windows\system32\svchost.exe 
    Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 
    49154 LISTENING 0.0.0.0 0 [1116] c:\windows\system32\svchost.exe 
    Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 
    49155 LISTENING 0.0.0.0 0 [556] c:\windows\system32\services.exe 
    Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 
    49156 LISTENING 0.0.0.0 0 [580] c:\windows\system32\lsass.exe 
    Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 
    Порты UDP 
    137 LISTENING -- -- [4] System 
    Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 
    138 LISTENING -- -- [4] System 
    Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 
    500 LISTENING -- -- [1116] c:\windows\system32\svchost.exe 
    Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 
    3702 LISTENING -- -- [420] c:\windows\system32\svchost.exe 
    Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 
    3702 LISTENING -- -- [420] c:\windows\system32\svchost.exe 
    Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 
    4500 LISTENING -- -- [1116] c:\windows\system32\svchost.exe 
    Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 
    5355 LISTENING -- -- [960] c:\windows\system32\svchost.exe 
    Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 
    48000 LISTENING -- -- [2056] c:\program files\nvidia corporation\nvidia updatus\daemonu.exe 
    Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 
    48001 LISTENING -- -- [2816] c:\program files\nvidia corporation\display\nvtray.exe 
    Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 
    54263 LISTENING -- -- [420] c:\windows\system32\svchost.exe 
    Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 
    65496 LISTENING -- -- [2496] c:\program files\divx\divx update\divxupdate.exe 
    Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 
    
    Downloaded Program Files (DPF) 
    Имя файла Описание Производитель CLSID URL загрузки 
    C:\Program Files\Java\jre7\bin\jp2iexp.dll 
    Скрипт: Kарантин, Удалить, Удалить через BC {8AD9C840-044E-11D1-B3E9-00805F499D93} 
    Удалить http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab 
    C:\Program Files\Java\jre7\bin\jp2iexp.dll 
    Скрипт: Kарантин, Удалить, Удалить через BC {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} 
    Удалить http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab 
    C:\Program Files\Java\jre7\bin\jp2iexp.dll 
    Скрипт: Kарантин, Удалить, Удалить через BC {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} 
    Удалить http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab 
    Обнаружено элементов - 4, опознано как безопасные - 1 
    
    Апплеты панели управления (CPL) 
    Имя файла Описание Производитель 
    C:\Windows\system32\DivXControlPanelApplet.cpl 
    Скрипт: Kарантин, Удалить, Удалить через BC DivX Control Panel © Copyright 2000 - 2009 DivX, Inc. 
    C:\Windows\system32\FlashPlayerCPLApp.cpl 
    Скрипт: Kарантин, Удалить, Удалить через BC Adobe Flash Player Control Panel Applet Copyright © 1996 Adobe Systems Incorporated. All Rights Reserved. Adobe and Flash are either trademarks or registered trademarks in the United States and/or other countries. 
    Обнаружено элементов - 22, опознано как безопасные - 20 
    
    Active Setup 
    Имя файла Описание Производитель CLSID 
    C:\Program Files\Google\Chrome\Application\26.0.1410.64\Installer\chrmstp.exe 
    Скрипт: Kарантин, Удалить, Удалить через BC Google Chrome Copyright 2012 Google Inc. All rights reserved. {8A69D345-D564-463c-AFF1-A69D9E530F96} 
    Удалить 
    Обнаружено элементов - 10, опознано как безопасные - 9 
    
    Файл HOSTS 
    Запись файла Hosts 
    127.0.0.1 vk.com 
    
    127.0.0.1 genuine.microsoft.com 
    
    127.0.0.1 mpa.one.microsoft.com 
    
    127.0.0.1 sls.microsoft.com 
    
    Очистка файла Hosts 
    
    Протоколы и обработчики 
    Имя файла Тип Описание Производитель CLSID 
    mscoree.dll 
    Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D} 
    Удалить 
    mscoree.dll 
    Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D} 
    Удалить 
    mscoree.dll 
    Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D} 
    Удалить 
    Обнаружено элементов - 15, опознано как безопасные - 12
    Подозрительные объекты
    Файл Описание Тип


    переустановил программу виртуализации WMware Workstation 8 и получил доступ к своей виртуальной сети - несколько запущенных виртуалок. Зловред активно использовал пакет DIVX PLUS - то есть и туда сумел встроиться, но AVZ смог восстановить оригинальные системные dll-ки, затем через AVZ удалил все ключи PROGRA~1, маскировался под системные утилиты и нейтрализовал вредоносное ПО.

    Источник http://www.cyberforum.ru/viruses/thread975539.html
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  2. Это понравилось:


  3. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

Похожие темы

  1. Исследование антивирусов 7
    От Shu_b в разделе Тестирование
    Ответов: 668
    Последнее сообщение: 15.08.2013, 05:20
  2. Исследование антивирусов 6
    От ALEX(XX) в разделе Тестирование
    Ответов: 426
    Последнее сообщение: 05.11.2008, 09:24
  3. Исследование антивирусов 5
    От anton_dr в разделе Тестирование
    Ответов: 313
    Последнее сообщение: 05.10.2007, 09:33
  4. Исследование антивирусов 4
    От Geser в разделе Антивирусы
    Ответов: 325
    Последнее сообщение: 08.01.2007, 15:36
  5. Исследование антивирусов 3
    От Geser в разделе Тестирование
    Ответов: 188
    Последнее сообщение: 03.07.2006, 10:00

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00345 seconds with 17 queries