Показано с 1 по 2 из 2.

вирус (заявка № 27257)

  1. #1
    Junior Member Репутация
    Регистрация
    29.07.2008
    Сообщений
    1
    Вес репутации
    35

    вирус

    <AVZ_CollectSysInfo> : завершен
    -------------------------------
    Запуск: 29.07.2008 22:16:06
    Длительность: 00:02:33
    Завершение: 29.07.2008 22:18:39

    <AVZ_CollectSysInfo> : завершен
    -------------------------------
    Время Событие
    ----- -------
    29.07.2008 22:16:12 1.1 Поиск перехватчиков API, работающих в пользовательском режиме
    29.07.2008 22:16:12 Анализ kernel32.dll, таблица экспорта найдена в секции .text
    29.07.2008 22:16:12 Функция kernel32.dll:CreateProcessA (99) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C802367->61F03F42
    29.07.2008 22:16:12 Перехватчик kernel32.dll:CreateProcessA (99) нейтрализован
    29.07.2008 22:16:12 Функция kernel32.dll:CreateProcessW (103) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C802332->61F04040
    29.07.2008 22:16:12 Перехватчик kernel32.dll:CreateProcessW (103) нейтрализован
    29.07.2008 22:16:12 Функция kernel32.dll:FreeLibrary (241) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AA66->61F041FC
    29.07.2008 22:16:12 Перехватчик kernel32.dll:FreeLibrary (241) нейтрализован
    29.07.2008 22:16:12 Функция kernel32.dll:GetModuleFileNameA (372) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80B357->61F040FB
    29.07.2008 22:16:12 Перехватчик kernel32.dll:GetModuleFileNameA (372) нейтрализован
    29.07.2008 22:16:12 Функция kernel32.dll:GetModuleFileNameW (373) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80B25D->61F041A0
    29.07.2008 22:16:12 Перехватчик kernel32.dll:GetModuleFileNameW (373) нейтрализован
    29.07.2008 22:16:12 Функция kernel32.dll:GetProcAddress (40 перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AC28->61F04648
    29.07.2008 22:16:12 Перехватчик kernel32.dll:GetProcAddress (40 нейтрализован
    29.07.2008 22:16:12 Функция kernel32.dlloadLibraryA (57 перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D77->61F03C6F
    29.07.2008 22:16:12 Перехватчик kernel32.dlloadLibraryA (57 нейтрализован
    29.07.2008 22:16:12 >>> Функции LoadLibraryA - прививка процесса AVZ от перехвата подменой адреса !!)
    29.07.2008 22:16:12 Функция kernel32.dlloadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D4F->61F03DAF
    29.07.2008 22:16:12 Перехватчик kernel32.dlloadLibraryExA (579) нейтрализован
    29.07.2008 22:16:12 >>> Функции LoadLibraryExA - прививка процесса AVZ от перехвата подменой адреса !!)
    29.07.2008 22:16:12 Функция kernel32.dlloadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF1->61F03E5A
    29.07.2008 22:16:12 Перехватчик kernel32.dlloadLibraryExW (580) нейтрализован
    29.07.2008 22:16:12 Функция kernel32.dlloadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80ACD3->61F03D0C
    29.07.2008 22:16:12 Перехватчик kernel32.dlloadLibraryW (581) нейтрализован
    29.07.2008 22:16:12 Обнаружена модификация IAT: GetModuleFileNameW - 009A0010<>7C80B25D
    29.07.2008 22:16:12 Анализ ntdll.dll, таблица экспорта найдена в секции .text
    29.07.2008 22:16:12 Анализ user32.dll, таблица экспорта найдена в секции .text
    29.07.2008 22:16:12 Анализ advapi32.dll, таблица экспорта найдена в секции .text
    29.07.2008 22:16:12 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    29.07.2008 22:16:12 Анализ wininet.dll, таблица экспорта найдена в секции .text
    29.07.2008 22:16:12 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    29.07.2008 22:16:12 Анализ urlmon.dll, таблица экспорта найдена в секции .text
    29.07.2008 22:16:12 Анализ netapi32.dll, таблица экспорта найдена в секции .text
    29.07.2008 22:16:15 1.2 Поиск перехватчиков API, работающих в привилегированном режиме
    29.07.2008 22:16:15 Драйвер успешно загружен
    29.07.2008 22:16:15 SDT найдена (RVA=082B80)
    29.07.2008 22:16:15 Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
    29.07.2008 22:16:15 SDT = 80559B80
    29.07.2008 22:16:15 KiST = 804E2D20 (284)
    29.07.2008 22:16:20 Проверено функций: 284, перехвачено: 0, восстановлено: 0
    29.07.2008 22:16:20 1.3 Проверка IDT и SYSENTER
    29.07.2008 22:16:20 Анализ для процессора 1
    29.07.2008 22:16:20 Проверка IDT и SYSENTER завершена
    29.07.2008 22:16:23 1.4 Поиск маскировки процессов и драйверов
    29.07.2008 22:16:23 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
    29.07.2008 22:16:23 Драйвер успешно загружен
    29.07.2008 22:16:23 1.5 Проверка обработчиков IRP
    29.07.2008 22:16:24 Проверка завершена
    29.07.2008 22:16:26 C:\Program Files\Kaspersky Lab Tool\is-KOEA5\avzkrnl.dll --> Подозрение на перехватчик клавиатуры или троянскую программу, маскирующуюся под системный файл
    29.07.2008 22:16:26 C:\Program Files\Kaspersky Lab Tool\is-KOEA5\avzkrnl.dll>>> Поведенческий анализ
    29.07.2008 22:16:26 1. Реагирует на события: клавиатура, все события
    29.07.2008 22:16:26 C:\Program Files\Kaspersky Lab Tool\is-KOEA5\avzkrnl.dll>>> Нейросеть: файл с вероятностью 0.00% похож на типовой перехватчик клавиатуры/мыши
    29.07.2008 22:16:26 Совет: заподозренные файлы НЕ следует удалять, их следует отправить на исследование (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
    29.07.2008 22:16:47 >>> C:\WINDOWS\system32\amvo.exe Эвристический анализ системы: подозрение на Файл с подозрительным именем(Trojan-PSW.Win32.OnLineGames) (высокая степень вероятности)
    29.07.2008 22:16:47 >>> C:\WINDOWS\system32\amvo0.dll Эвристический анализ системы: подозрение на Файл с подозрительным именем(Trojan-PSW.Win32.OnLineGames) (высокая степень вероятности)
    29.07.2008 22:16:47 Внимание! Обнаружен отладчик процесса "cmd.exe" = "setuprs1.PIF"
    29.07.2008 22:16:47 Внимание! Обнаружен отладчик процесса "msconfig.exe" = "4635.PIF"
    29.07.2008 22:16:47 Внимание! Обнаружен отладчик процесса "regedit.exe" = "setuprs1.PIF"
    29.07.2008 22:16:47 Внимание! Обнаружен отладчик процесса "regedt32.exe" = "setuprs1.PIF"
    29.07.2008 22:16:48 >>> C:\autorun.inf Эвристический анализ системы: подозрение на скрытый автозапуск (высокая степень вероятности)
    29.07.2008 22:16:48 >>> C:\h.cmd Эвристический анализ системы: подозрение на скрытый автозапуск C:\autorun.inf [Autorun\Open]
    29.07.2008 22:16:48 >>> C:\h.cmd Эвристический анализ системы: подозрение на скрытый автозапуск C:\autorun.inf [Autorun\shell\open\command]
    29.07.2008 22:16:48 >>> D:\autorun.inf Эвристический анализ системы: подозрение на скрытый автозапуск (высокая степень вероятности)
    29.07.2008 22:16:48 >>> D:\h.cmd Эвристический анализ системы: подозрение на скрытый автозапуск D:\autorun.inf [Autorun\Open]
    29.07.2008 22:16:48 >>> D:\h.cmd Эвристический анализ системы: подозрение на скрытый автозапуск D:\autorun.inf [Autorun\shell\open\command]
    29.07.2008 22:16:48 >>> F:\autorun.inf Эвристический анализ системы: подозрение на скрытый автозапуск (высокая степень вероятности)
    29.07.2008 22:16:48 >>> F:\h.cmd Эвристический анализ системы: подозрение на скрытый автозапуск F:\autorun.inf [Autorun\Open]
    29.07.2008 22:16:48 >>> F:\h.cmd Эвристический анализ системы: подозрение на скрытый автозапуск F:\autorun.inf [Autorun\shell\open\command]
    29.07.2008 22:16:48 >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    29.07.2008 22:16:48 >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    29.07.2008 22:16:48 >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    29.07.2008 22:16:48 >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    29.07.2008 22:16:48 >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    29.07.2008 22:16:48 >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    29.07.2008 22:16:48 > Службы: набор применяемых на компьютере служб зависит от области его применения (домашний, компьютер в сети предприятия и т.д.)!
    29.07.2008 22:16:48 >> Безопасность: разрешен автозапуск программ с CDROM
    29.07.2008 22:16:48 >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    29.07.2008 22:16:48 >> Безопасность: к компьютеру разрешен доступ анонимного пользователя
    29.07.2008 22:16:48 >>> Безопасность: в Microsoft Internet Explorer разрешено использование ActiveX-элементов, не помеченных как безопасные
    29.07.2008 22:16:50 >> Нарушение ассоциации REG-файлов
    29.07.2008 22:16:51 >> Microsoft Internet Explorer: разрешено использование элементов ActiveX, не помеченных как безопасные
    29.07.2008 22:16:52 >> Обнаружен отладчик системного процесса
    29.07.2008 22:16:56 >> Отключить автозапуск с жестких дисков
    29.07.2008 22:16:56 >> Отключить автозапуск с сетевых дисков
    29.07.2008 22:16:56 >> Отключить автозапуск с CD-ROM
    29.07.2008 22:16:56 >> Отключить автозапуск с съемных носителей
    29.07.2008 22:16:56 >> Отключено автоматическое обновление системы (Windows Update)
    29.07.2008 22:16:57 Выполняется исследование системы...
    29.07.2008 22:18:39 Исследование системы завершено
    29.07.2008 22:18:39 Удаление файла:C:\Program Files\Kaspersky Lab Tool\is-KOEA5\LOG\avptool_syscheck.htm
    29.07.2008 22:18:39 Удаление файла:C:\Program Files\Kaspersky Lab Tool\is-KOEA5\LOG\avptool_syscheck.xml
    29.07.2008 22:18:39 Скрипт выполнен без ошибок
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    То, что Вы показали - это не то.
    Логи нужны по правилам http://virusinfo.info/showthread.php?t=1235
    И их нужно прикрепить в виде вложений.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  • Уважаемый(ая) ssj-02, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00130 seconds with 16 queries