Показано с 1 по 6 из 6.

троянская угроза (заявка № 40081)

  1. #1
    Junior Member Репутация
    Регистрация
    18.02.2009
    Адрес
    Россия
    Сообщений
    17
    Вес репутации
    33

    Exclamation троянская угроза

    При перезагрузке компьютера появляется сообщение:"Windows не может найти файл csrcs.exe" и предлагает найти его самостоятельно.
    А также при попытке получить фотографии с фотокамеры Nicon L16 при помощи программы Nicon Transfer появляется сообщение, что система не может найти файл vcredist.msi и также предлагает найти его самостоятельно. Попытки же получить снимки через пуск-панель управления-сканеры и камеры результатов не дают, система просто отказывается что либо делать. Карт ридер тоже не дает никаких результатов! Я думала, что проблема в флешке, но на другом компьютере всё нормально-флешка работает. Подскажите в чем проблема!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
     DeleteFile('C:\WINDOWS\system32\csrcs.exe');
    BC_ImportALL;  
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(16);    
    RebootWindows(true);
    end.
    Пришлите карантин по правилам и повторите логи...

  4. #3
    Junior Member Репутация
    Регистрация
    18.02.2009
    Адрес
    Россия
    Сообщений
    17
    Вес репутации
    33
    Протокол антивирусной утилиты AVZ версии 4.30
    Сканирование запущено в 21.02.2009 18:29:41
    Загружена база: сигнатуры - 209302, нейропрофили - 2, микропрограммы лечения - 56, база от 08.02.2009 18:56
    Загружены микропрограммы эвристики: 372
    Загружены микропрограммы ИПУ: 9
    Загружены цифровые подписи системных файлов: 91560
    Режим эвристического анализатора: Максимальный уровень эвристики
    Режим лечения: выключено
    Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
    Восстановление системы: включено
    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    SDT найдена (RVA=07BFA0)
    Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
    SDT = 80552FA0
    KiST = 80501B8C (284)
    Функция NtAdjustPrivilegesToken (0B) перехвачена (805E1E0C->EC06581A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
    Функция NtClose (19) перехвачена (805B1C3A->EC065DC6), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
    Функция NtConnectPort (1F) перехвачена (805998E8->EC06782A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
    Функция NtCreateFile (25) перехвачена (8056E27C->EC0671E0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
    Функция NtCreateKey (29) перехвачена (8061A286->EC064F90), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
    Функция NtCreateSymbolicLinkObject (34) перехвачена (805B9594->EC06918C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
    Функция NtCreateThread (35) перехвачена (805C7208->EC065BC2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
    Функция NtDeleteKey (3F) перехвачена (8061A716->EC0653D2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
    Функция NtDeleteValueKey (41) перехвачена (8061A8E6->EC0655D2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
    Функция NtDeviceIoControlFile (42) перехвачена (8056E442->EC0674EC), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
    Функция NtDuplicateObject (44) перехвачена (805B384E->EC06969, перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
    Функция NtEnumerateKey (47) перехвачена (8061AAC6->EC0656E, перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
    Функция NtEnumerateValueKey (49) перехвачена (8061AD30->EC065750), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
    Функция NtFsControlFile (54) перехвачена (8056E476->EC0673A2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
    Функция NtLoadDriver (61) перехвачена (80579588->EC068C50), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
    Функция NtOpenFile (74) перехвачена (8056F39A->EC06703C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
    Функция NtOpenKey (77) перехвачена (8061B658->EC0650F2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
    Функция NtOpenProcess (7A) перехвачена (805C1296->EC0659E, перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
    Функция NtOpenSection (7D) перехвачена (8059F722->EC0691B6), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
    Функция NtOpenThread (80) перехвачена (805C1522->EC06593E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
    Функция NtQueryKey (A0) перехвачена (8061B97E->EC0657B, перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
    Функция NtQueryMultipleValueKey (A1) перехвачена (806193D4->EC0654BC), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
    Функция NtQueryValueKey (B1) перехвачена (806184BE->EC06529A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
    Функция NtQueueApcThread (B4) перехвачена (805C7466->EC068EB, перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
    Функция NtReplaceKey (C1) перехвачена (8061C332->EC064C12), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
    Функция NtRequestWaitReplyPort (C перехвачена (8059808E->EC0680B4), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
    Функция NtRestoreKey (CC) перехвачена (8061BC3E->EC064D74), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
    Функция NtResumeThread (CE) перехвачена (805CAC22->EC06956, перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
    Функция NtSaveKey (CF) перехвачена (8061BD3A->EC064A10), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
    Функция NtSecureConnectPort (D2) перехвачена (8059907C->EC0676CC), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
    Функция NtSetContextThread (D5) перехвачена (805C792A->EC065CC0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
    Функция NtSetSecurityObject (ED) перехвачена (805B5FC0->EC068D4A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
    Функция NtSetSystemInformation (F0) перехвачена (80605E76->EC0691E0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
    Функция NtSetValueKey (F7) перехвачена (8061880C->EC06514, перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
    Функция NtSuspendProcess (FD) перехвачена (805CACEA->EC0692C4), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
    Функция NtSuspendThread (FE) перехвачена (805CAB5C->EC0693F0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
    Функция NtSystemDebugControl (FF) перехвачена (8060E1DA->EC068B7C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
    Функция NtTerminateProcess (101) перехвачена (805C8C2A->EC065A92), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
    Функция NtWriteVirtualMemory (115) перехвачена (805A981C->EC065B04), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
    Функция FsRtlCheckLockForReadAccess (804E9F90) - модификация машинного кода. Метод JmpTo. jmp EC07C01C \SystemRoot\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
    Функция IoIsOperationSynchronous (804EE86E) - модификация машинного кода. Метод JmpTo. jmp EC07C3D6 \SystemRoot\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
    Проверено функций: 284, перехвачено: 39, восстановлено: 0
    1.3 Проверка IDT и SYSENTER
    Анализ для процессора 1
    Проверка IDT и SYSENTER завершена
    1.4 Поиск маскировки процессов и драйверов
    Проверка не производится, так как не установлен драйвер мониторинга AVZPM
    Драйвер успешно загружен
    1.5 Проверка обработчиков IRP
    Проверка завершена
    2. Проверка памяти
    Количество найденных процессов: 41
    Анализатор - изучается процесс 576 C:\Program Files\Lexmark 2300 Series\lxcgmon.exe
    [ES]:Приложение не имеет видимых окон
    [ES]:Записан в автозапуск !!
    Анализатор - изучается процесс 584 C:\Program Files\Lexmark 2300 Series\ezprint.exe
    [ES]:Приложение не имеет видимых окон
    [ES]:Записан в автозапуск !!
    Анализатор - изучается процесс 184 C:\Program Files\SMSC\Seticon.exe
    [ES]:Приложение не имеет видимых окон
    [ES]:Записан в автозапуск !!
    Анализатор - изучается процесс 228 C:\Program Files\Google\GoogleToolbarNotifier\1.2.911.3380\Go ogleToolbarNotifier.exe
    [ES]:Может работать с сетью
    [ES]:Приложение не имеет видимых окон
    [ES]:Записан в автозапуск !!
    [ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
    Анализатор - изучается процесс 796 C:\Program Files\Common Files\LightScribe\LSSrvc.exe
    [ES]:Приложение не имеет видимых окон
    Количество загруженных модулей: 372
    Проверка памяти завершена
    3. Сканирование дисков
    4. Проверка Winsock Layered Service Provider (SPI/LSP)
    Настройки LSP проверены. Ошибок не обнаружено
    5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
    6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
    Проверка отключена пользователем
    7. Эвристичеcкая проверка системы
    Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGR A~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASP ER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KAS PER~1\kloehk.dll acaptuser32.dll"
    Нестандартный ключ Winlogon\Shell, подозрение на скрытый запуск "explorer.exe csrcs.exe"
    Проверка завершена
    8. Поиск потенциальных уязвимостей
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Проверка завершена
    9. Мастер поиска и устранения проблем
    >> Модифицирован ключ запуска проводника
    >> Разрешен автозапуск с HDD
    >> Разрешен автозапуск с сетевых дисков
    >> Разрешен автозапуск со сменных носителей
    Проверка завершена
    Просканировано файлов: 413, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
    Сканирование завершено в 21.02.2009 18:30:18
    Сканирование длилось 00:00:38
    Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
    то Вы можете обратиться в конференцию - http://virusinfo.info
    Выполняется исследование системы
    Исследование системы завершено

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Нужно повторить http://virusinfo.info/showthread.php?t=1235

  6. #5
    Junior Member Репутация
    Регистрация
    18.02.2009
    Адрес
    Россия
    Сообщений
    17
    Вес репутации
    33
    при запуске выдает сообщение BEGIN expected в позиции 1.1, поэтому не могу прислать карантин...

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Скрипт копируйте аккуратнее...

  • Уважаемый(ая) juliana, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. угроза: iframe-inf
      От zoneclear в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 01.04.2012, 11:54
    2. Угроза заражения!
      От Arinchic в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 14.02.2012, 14:04
    3. угроза в памяти
      От Dr. motory в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 21.11.2010, 02:04
    4. Угроза блокировки за SMS
      От Нилхор в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 10.09.2010, 22:58
    5. Угроза DefLib.sys
      От IRON PRIEST в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 01.01.2008, 15:23

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00327 seconds with 17 queries