Показано с 1 по 2 из 2.

ПОМОГИТЕ ВИРУС ПОРАЗИЛ КОМП :( (заявка № 33998)

  1. #1
    Junior Member Репутация
    Регистрация
    17.11.2008
    Сообщений
    7
    Вес репутации
    34

    ПОМОГИТЕ ВИРУС ПОРАЗИЛ КОМП :(

    <AVZ_CollectSysInfo> : завершен
    -------------------------------
    Запуск: 17.11.2008 20:38:08
    Длительность: 00:00:57
    Завершение: 17.11.2008 20:39:05

    <AVZ_CollectSysInfo> : завершен
    -------------------------------
    Время Событие
    ----- -------
    17.11.2008 20:38:09 1.1 Поиск перехватчиков API, работающих в пользовательском режиме
    17.11.2008 20:38:09 Анализ kernel32.dll, таблица экспорта найдена в секции .text
    17.11.2008 20:38:09 Функция kernel32.dll:CreateProcessA (99) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C802367->61F03F42
    17.11.2008 20:38:09 Перехватчик kernel32.dll:CreateProcessA (99) нейтрализован
    17.11.2008 20:38:09 Функция kernel32.dll:CreateProcessW (103) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C802332->61F04040
    17.11.2008 20:38:09 Перехватчик kernel32.dll:CreateProcessW (103) нейтрализован
    17.11.2008 20:38:09 Функция kernel32.dll:FreeLibrary (241) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80ABDE->61F041FC
    17.11.2008 20:38:09 Перехватчик kernel32.dll:FreeLibrary (241) нейтрализован
    17.11.2008 20:38:09 Функция kernel32.dll:GetModuleFileNameA (372) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80B4CF->61F040FB
    17.11.2008 20:38:09 Перехватчик kernel32.dll:GetModuleFileNameA (372) нейтрализован
    17.11.2008 20:38:09 Функция kernel32.dll:GetModuleFileNameW (373) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80B3D5->61F041A0
    17.11.2008 20:38:09 Перехватчик kernel32.dll:GetModuleFileNameW (373) нейтрализован
    17.11.2008 20:38:09 Функция kernel32.dll:GetProcAddress (40 перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80ADA0->61F04648
    17.11.2008 20:38:09 Перехватчик kernel32.dll:GetProcAddress (40 нейтрализован
    17.11.2008 20:38:09 Функция kernel32.dlloadLibraryA (57 перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D77->61F03C6F
    17.11.2008 20:38:09 Перехватчик kernel32.dlloadLibraryA (57 нейтрализован
    17.11.2008 20:38:09 >>> Функции LoadLibraryA - прививка процесса AVZ от перехвата подменой адреса !!)
    17.11.2008 20:38:09 Функция kernel32.dlloadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D4F->61F03DAF
    17.11.2008 20:38:09 Перехватчик kernel32.dlloadLibraryExA (579) нейтрализован
    17.11.2008 20:38:09 >>> Функции LoadLibraryExA - прививка процесса AVZ от перехвата подменой адреса !!)
    17.11.2008 20:38:09 Функция kernel32.dlloadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF1->61F03E5A
    17.11.2008 20:38:09 Перехватчик kernel32.dlloadLibraryExW (580) нейтрализован
    17.11.2008 20:38:09 Функция kernel32.dlloadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AE4B->61F03D0C
    17.11.2008 20:38:09 Перехватчик kernel32.dlloadLibraryW (581) нейтрализован
    17.11.2008 20:38:09 Обнаружена модификация IAT: GetModuleFileNameW - 009B0010<>7C80B3D5
    17.11.2008 20:38:09 Анализ ntdll.dll, таблица экспорта найдена в секции .text
    17.11.2008 20:38:09 Анализ user32.dll, таблица экспорта найдена в секции .text
    17.11.2008 20:38:09 Анализ advapi32.dll, таблица экспорта найдена в секции .text
    17.11.2008 20:38:09 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    17.11.2008 20:38:09 Анализ wininet.dll, таблица экспорта найдена в секции .text
    17.11.2008 20:38:09 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    17.11.2008 20:38:09 Анализ urlmon.dll, таблица экспорта найдена в секции .text
    17.11.2008 20:38:09 Анализ netapi32.dll, таблица экспорта найдена в секции .text
    17.11.2008 20:38:10 1.2 Поиск перехватчиков API, работающих в привилегированном режиме
    17.11.2008 20:38:10 Драйвер успешно загружен
    17.11.2008 20:38:10 SDT найдена (RVA=0846E0)
    17.11.2008 20:38:10 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
    17.11.2008 20:38:10 SDT = 8055B6E0
    17.11.2008 20:38:10 KiST = 80503748 (284)
    17.11.2008 20:38:11 Проверено функций: 284, перехвачено: 0, восстановлено: 0
    17.11.2008 20:38:11 1.3 Проверка IDT и SYSENTER
    17.11.2008 20:38:11 Анализ для процессора 1
    17.11.2008 20:38:11 Анализ для процессора 2
    17.11.2008 20:38:11 Проверка IDT и SYSENTER завершена
    17.11.2008 20:38:12 >>>> Подозрение на руткит utgymji2 C:\WINDOWS\system32\Drivers\utgymji2.sys
    17.11.2008 20:38:12 1.4 Поиск маскировки процессов и драйверов
    17.11.2008 20:38:12 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
    17.11.2008 20:38:12 Драйвер успешно загружен
    17.11.2008 20:38:12 1.5 Проверка обработчиков IRP
    17.11.2008 20:38:12 Проверка завершена
    17.11.2008 20:38:13 C:\Documents and Settings\All Users\Рабочий стол\Kaspersky Lab Tool\is-69KH7\avzkrnl.dll --> Подозрение на перехватчик клавиатуры или троянскую программу, маскирующуюся под системный файл
    17.11.2008 20:38:13 C:\Documents and Settings\All Users\Рабочий стол\Kaspersky Lab Tool\is-69KH7\avzkrnl.dll>>> Поведенческий анализ
    17.11.2008 20:38:13 1. Реагирует на события: клавиатура, все события
    17.11.2008 20:38:13 C:\Documents and Settings\All Users\Рабочий стол\Kaspersky Lab Tool\is-69KH7\avzkrnl.dll>>> Нейросеть: файл с вероятностью 0.00% похож на типовой перехватчик клавиатуры/мыши
    17.11.2008 20:38:13 Совет: заподозренные файлы НЕ следует удалять, их следует отправить на исследование (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
    17.11.2008 20:38:21 >>> C:\autorun.inf Эвристический анализ системы: подозрение на скрытый автозапуск (высокая степень вероятности)
    17.11.2008 20:38:21 >>> C:\0w.com Эвристический анализ системы: подозрение на скрытый автозапуск C:\autorun.inf [Autorun\Open]
    17.11.2008 20:38:21 >>> C:\0w.com Эвристический анализ системы: подозрение на скрытый автозапуск C:\autorun.inf [Autorun\shell\open\command]
    17.11.2008 20:38:21 >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    17.11.2008 20:38:21 >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    17.11.2008 20:38:21 >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    17.11.2008 20:38:21 >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    17.11.2008 20:38:21 > Службы: набор применяемых на компьютере служб зависит от области его применения (домашний, компьютер в сети предприятия и т.д.)!
    17.11.2008 20:38:21 >> Безопасность: разрешен автозапуск программ с CDROM
    17.11.2008 20:38:21 >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    17.11.2008 20:38:21 >> Безопасность: к компьютеру разрешен доступ анонимного пользователя
    17.11.2008 20:38:21 >> Безопасность: разрешена отправка приглашений удаленному помошнику
    17.11.2008 20:38:24 >> Тайм-аут завершения служб находится за пределами допустимых значений
    17.11.2008 20:38:24 >> Отключить автозапуск с жестких дисков
    17.11.2008 20:38:24 >> Отключить автозапуск с сетевых дисков
    17.11.2008 20:38:24 >> Отключить автозапуск с CD-ROM
    17.11.2008 20:38:24 >> Отключить автозапуск с съемных носителей
    17.11.2008 20:38:24 >> Отключено автоматическое обновление системы (Windows Update)
    17.11.2008 20:38:24 Выполняется исследование системы...
    17.11.2008 20:39:05 Исследование системы завершено
    17.11.2008 20:39:05 Удаление файла:C:\Documents and Settings\All Users\Рабочий стол\Kaspersky Lab Tool\is-69KH7\LOG\avptool_syscheck.htm
    17.11.2008 20:39:05 Удаление файла:C:\Documents and Settings\All Users\Рабочий стол\Kaspersky Lab Tool\is-69KH7\LOG\avptool_syscheck.xml
    17.11.2008 20:39:05 Скрипт выполнен без ошибок

    Добавлено через 1 минуту

    есть кто живой!?
    Последний раз редактировалось koskoskos; 17.11.2008 в 14:47. Причина: Добавлено

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2

  • Уважаемый(ая) koskoskos, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 1
      Последнее сообщение: 02.02.2011, 19:36
    2. Вирус поразил работу в локальной сети
      От irina_ptgh в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 16.07.2009, 08:43
    3. Ответов: 50
      Последнее сообщение: 22.02.2009, 04:48
    4. Пользователей «ВКонтакте.Ру» поразил вирус
      От Bratez в разделе Вредоносные программы
      Ответов: 100
      Последнее сообщение: 07.06.2008, 15:18
    5. Европейский интернет поразил новый футбольный вирус
      От MOCT в разделе Новости интернет-пространства
      Ответов: 1
      Последнее сообщение: 12.06.2006, 18:50

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00511 seconds with 16 queries