Собственно PC начал подлагивать. Один раз после перезагрузки началась раасылка спама с моей машины
Собственно PC начал подлагивать. Один раз после перезагрузки началась раасылка спама с моей машины
Не хватет лога AVZ:
---
5. Выполните сканирование системы при помощи AVZ, для этого нажмите на кнопку пуск сразу после запуска программы.
---
Код:Протокол антивирусной утилиты AVZ версии 4.12 Сканирование запущено в 16.01.2006 18:02:28 Загружена база: 19435 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, база от 12.01.2006 10:46 Загружены микропрограммы эвристики: 357 Загружены цифровые подписи системных файлов: 47141 Режим эвристического анализатора: Средний уровень эвристики Режим лечения: выключено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=07B180) Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000 SDT = 80552180 KiST = 80501030 (284) Функция ZwConnectPort (1F) перехвачена (8059841E->8590F6E8), перехватчик не определен Функция ZwCreateKey (29) перехвачена (80618BDA->F7410B3A), перехватчик sptd.sys Функция ZwEnumerateKey (47) перехвачена (8061941A->849BAA16), перехватчик не определен Функция ZwEnumerateValueKey (49) перехвачена (80619684->849BAABA), перехватчик не определен Функция ZwOpenKey (77) перехвачена (80619F70->F7410A18), перехватчик sptd.sys Функция ZwQueryDirectoryFile (91) перехвачена (8056DF2E->849BA532), перехватчик не определен Функция ZwQueryKey (A0) перехвачена (8061A294->F74110C0), перехватчик sptd.sys Функция ZwQueryValueKey (B1) перехвачена (80616C94->F7410F58), перехватчик sptd.sys Функция ZwSetValueKey (F7) перехвачена (8061729A->F7411148), перехватчик sptd.sys Проверено функций: 284, перехвачено: 9, восстановлено: 0 2. Проверка памяти Количество найденных процессов: 34 Количество загруженных модулей: 365 Проверка памяти завершена 3. Сканирование дисков C:\Documents and Settings\KIKUNG\Local Settings\Temporary Internet Files\Content.IE5\CLEVOH6B\jimm-0.4.3[1].zip Invalid file - not a PKZip file C:\Documents and Settings\KIKUNG\Local Settings\Temporary Internet Files\Content.IE5\SXAV4HUB\jimm-0.4.3[1].zip Invalid file - not a PKZip file C:\Documents and Settings\user\Local Settings\Temp\F.tmp >>>>> Trojan-Downloader.Win32.Agent.aav C:\Documents and Settings\user\Local Settings\Temp\svchst.exe >>>>> Trojan-Downloader.Win32.PassAlert.m E:\Den\Dendy\Teenage Mutant Ninja Turtles Tournament Fighters (U).zip Invalid file - not a PKZip file E:\RECYCLER\S-1-5-21-1060284298-1202660629-1708537768-1005\Dc530.zip Invalid file - not a PKZip file 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) C:\Program Files\Stardock\Object Desktop\ThemeManager\WBlind.dll --> Подозрение на Keylogger или троянскую DLL C:\Program Files\Stardock\Object Desktop\ThemeManager\WBlind.dll>>> Нейросеть: файл с вероятностью 50,00% похож на типовой перехватчик событий клавиатуры/мыши На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами В базе 319 описаний портов На данном ПК открыто 42 TCP портов и 26 UDP портов Проверка завершена, подозрительные порты не обнаружены 7. Эвристичеcкая проверка системы Проверка завершена Просканировано файлов: 292525, извлечено из архивов: 241701, найдено вредоносных программ 2 Сканирование завершено в 16.01.2006 18:54:21 Сканирование длилось 00:51:52
ну и в чем вопрос ?
лечитесь.
включайте лечение в AVZ и вперед...
ну а потом посмотрим что останется
а я дедушка-лето !
Там, вообще-то, ничего особенного не видать, за исключением пары троянов в Temp другого пользователя. Но эти вроде бы не из тех, что спам рассылают.
Есть ещё пара файлов, которые меня засмущали:
C:\WINDOWS\system32\drivers\i386p.sys
C:\WINDOWS\system32\dcom_12.dll
Их надо прислать, как написано в правилах.
А вообще-то имеет смысл прислать всё, что в исследовании AVZ выделено ярким фоном. Что безопасное - попадёт в список безопасных и перестанет отсвечивать, а если есть что-то вредное, будет детектироваться.
Я бы попросил поискать и если таковые найдутся - добавить в посылкуСообщение от pig
fldrsys.dll
sndmixex.dl
3 из тех, что просили прислать я удалил, т.к. не нашел по узанным адресам... dcom_12.dll таинствнно исчез.
Другие фаил я постораюсь в ближайшее время прислать.
что-то я не вкуриваю... как можно "удалить, т.к. не нашел"???Сообщение от KIKUNG
Посмотрел пути в логе хаиджэка, отправился, а там указанных фаилов почем-то не оказалось (отображение скытых аило включено)
ЗЫ проблема появилась после появления secure32.htm - его вроде удалил
Проваидер отключил меня от сети пару дней назад из-за спама
Последний раз редактировалось KIKUNG; 18.01.2006 в 22:24.
С помощью утилиты AVZ , связанной с ядром, нашел i386p.sys, но в папке ...system32\drivers его нет, hijack тоже больше не видит. Можно поместить в карантин или выгрузить его?
Последний раз редактировалось KIKUNG; 18.01.2006 в 22:51.
сперва в карантин, потом выгрузить из памяти. после перезагрузки убедитесь, что он не появился снова.Сообщение от KIKUNG
Вернулся обратно, проделал туже операцию
Похоже у меня Spambot, дейсвует либо через Symantec Antivirus, либо через Windows Messenger, такой вопрос - через что именно? Dr. Web не распознает
i385p.sys сидит в ядре, как от него можно избавиться???
Был i386p.sys. Имя сменил?Сообщение от KIKUNG
Файл скопируйте в карантин и вышлите в архиве с паролем virus на [email protected]
Имя не сменил - я опечатался
Письмо послал!
Отследил, что спам идет от фаила ccapp.exe, послать?
Можно, но это скорее всего часть NAV, которая перехватывает соединения гада, рассылающего спам.
Короче давай новые логи, а то не понятно что удалил а что нет
Выкладываю
Уважаемый(ая) KIKUNG, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.