Заметных изменений в работе винды нет, но смущает результат проверки AVZ, к которой прибегнул после удаления обнаруженного Dr. Web вируса braviax.exe (не факт, что он всему причина). К сожалению, не получается сформировать логи AVZ: при выполнении скрипта №3 программа закрывается, а при выполнении скрипта 2 зависает на стадии исследования системы. Сама AVZ стала какой-то покоцанной: не доступны функции AVZРМ, Диспетчер служб и драйверов, Модули пространства ядра, хотя в безопасном режиме все работает. Проверка антивирусниками ничего не дает, впрочем AVZ нашел еще 2 каких-то трояна: internet.fne (в карантине) и eAPI.fne (пришлось удалить, в карантин не помещался).
Может сможете чем помочь.... :(
__________________________________________________ __________
Протокол антивирусной утилиты AVZ версии 4.32
Сканирование запущено в 25.08.2009 15:16:22
Загружена база: сигнатуры - 238351, нейропрофили - 2, микропрограммы лечения - 56, база от 24.08.2009 22:57
Загружены микропрограммы эвристики: 374
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 136938
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 4.10.2222,
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:CopyFileExW (66) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C827B32->71688490
Функция kernel32.dll:CreateFileMappingA (81) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80950A->7167BD42
Функция kernel32.dll:CreateFileMappingW (82) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80943C->7167BBBF
Функция kernel32.dll:DuplicateHandle (146) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80DE9E->7167B5E4
Функция kernel32.dll:FindClose (205) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80EE77->7167D680
Функция kernel32.dll:FindNextFileA (218) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C834EE1->7167D404
Функция kernel32.dll:FindNextFileW (219) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80EFDA->7167B304
Функция kernel32.dll:GetModuleFileNameA (373) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80B56F->7167DBA7
Функция kernel32.dll:LoadLibraryA (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D7B->71686703
Функция kernel32.dll:LoadLibraryExA (582) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D53->71686807
Функция kernel32.dll:LoadLibraryExW (583) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF5->71686A15
Функция kernel32.dll:LoadLibraryW (584) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AEEB->71686911
Функция kernel32.dll:MoveFileWithProgressW (614) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C81F72E->7167770C
Функция kernel32.dll:OpenFile (625) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C821982->7167B028
Функция kernel32.dll:OpenFileMappingW (627) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80BB7A->7167BDCA
Функция kernel32.dll:ReadFile (679) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801812->71683B74
Функция kernel32.dll:RemoveDirectoryA (694) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C85C1F1->7167D709
Функция kernel32.dll:WinExec (901) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C86250D->7167FCF4
Функция kernel32.dll:WriteFile (913) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C810E27->7168272E
Детектирована модификация IAT: LoadLibraryA - 71686703<>7C801D7B
Детектирована модификация IAT: GetProcAddress - 5D077774<>7C80AE40
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:RtlAllocateHeap (405) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C9100C4->7167E253
Функция ntdll.dll:RtlFreeHeap (582) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90FF2D->7167EB4A
Функция ntdll.dll:RtlReAllocateHeap (761) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C919BA0->7167EAC3
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:DestroyWindow (154) перехвачена, метод ProcAddressHijack.GetProcAddress ->7E37B19C->71684957
Функция user32.dll:ExitWindowsEx (226) перехвачена, метод ProcAddressHijack.GetProcAddress ->7E3AA275->71682950
Функция user32.dll:ShowWindow (659) перехвачена, метод ProcAddressHijack.GetProcAddress ->7E37AF56->7168216D
Функция user32.dll:wvsprintfA (731) перехвачена, метод ProcAddressHijack.GetProcAddress ->7E36A610->716856D5
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:RegCloseKey (460) перехвачена, метод ProcAddressHijack.GetProcAddress ->77DC6C27->7168D07E
Функция advapi32.dll:RegConnectRegistryW (462) перехвачена, метод ProcAddressHijack.GetProcAddress ->77DE817A->7168EBD0
Функция advapi32.dll:RegCreateKeyA (463) перехвачена, метод ProcAddressHijack.GetProcAddress ->77DEBCF3->7168F11F
Функция advapi32.dll:RegCreateKeyExA (464) перехвачена, метод ProcAddressHijack.GetProcAddress ->77DCE9F4->7168F178
Функция advapi32.dll:RegCreateKeyExW (465) перехвачена, метод ProcAddressHijack.GetProcAddress ->77DC776C->7168E911
Функция advapi32.dll:RegCreateKeyW (466) перехвачена, метод ProcAddressHijack.GetProcAddress ->77DEBA55->7168E8B6
Функция advapi32.dll:RegEnumKeyA (473) перехвачена, метод ProcAddressHijack.GetProcAddress ->77DD53B8->7168F32D
Функция advapi32.dll:RegEnumKeyExA (474) перехвачена, метод ProcAddressHijack.GetProcAddress ->77DD51B6->7168F2DD
Функция advapi32.dll:RegEnumKeyExW (475) перехвачена, метод ProcAddressHijack.GetProcAddress ->77DC7BD9->7168EA7D
Функция advapi32.dll:RegEnumKeyW (476) перехвачена, метод ProcAddressHijack.GetProcAddress ->77DCD5E4->7168EACD
Функция advapi32.dll:RegEnumValueA (477) перехвачена, метод ProcAddressHijack.GetProcAddress ->77DE9BBF->7168F284
Функция advapi32.dll:RegEnumValueW (478) перехвачена, метод ProcAddressHijack.GetProcAddress ->77DC7EED->7168EA24
Функция advapi32.dll:RegOpenKeyA (485) перехвачена, метод ProcAddressHijack.GetProcAddress ->77DCEFC8->7168F1D6
Функция advapi32.dll:RegOpenKeyExA (486) перехвачена, метод ProcAddressHijack.GetProcAddress ->77DC7852->7168F22E
Функция advapi32.dll:RegOpenKeyExW (487) перехвачена, метод ProcAddressHijack.GetProcAddress ->77DC6AAF->7168E9CC
Функция advapi32.dll:RegOpenKeyW (488) перехвачена, метод ProcAddressHijack.GetProcAddress ->77DC7946->7168E972
Функция advapi32.dll:RegQueryInfoKeyA (491) перехвачена, метод ProcAddressHijack.GetProcAddress ->77DD4332->7168F37E
Функция advapi32.dll:RegQueryInfoKeyW (492) перехвачена, метод ProcAddressHijack.GetProcAddress ->77DD49CE->7168EB1E
Функция advapi32.dll:RegQueryValueA (495) перехвачена, метод ProcAddressHijack.GetProcAddress ->77DEBB8D->7168CF89
Функция advapi32.dll:RegQueryValueExA (496) перехвачена, метод ProcAddressHijack.GetProcAddress ->77DC7ABB->7168D45D
Функция advapi32.dll:RegQueryValueExW (497) перехвачена, метод ProcAddressHijack.GetProcAddress ->77DC6FFF->7168D02B
Функция advapi32.dll:RegQueryValueW (498) перехвачена, метод ProcAddressHijack.GetProcAddress ->77DCD87A->7168CFDA
Функция advapi32.dll:RegSetValueExA (509) перехвачена, метод ProcAddressHijack.GetProcAddress ->77DCEAE7->7168D4B0
Функция advapi32.dll:RegSetValueExW (510) перехвачена, метод ProcAddressHijack.GetProcAddress ->77DCD767->7168D0C5
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.4 Поиск маскировки процессов и драйверов
Видимый процесс с PID=1476, имя = "\Device\HarddiskVolume2\Program Files\DrWeb\SPIDERNT.EXE"
>> обнаружена подмена имени, новое имя = "d:\progra~1\drweb\spidernt.exe"
Видимый процесс с PID=1952, имя = "\Device\HarddiskVolume2\Program Files\DrWeb\SPIDERNT.EXE"
>> обнаружена подмена имени, новое имя = "d:\progra~1\drweb\spidernt.exe"
Поиск маскировки процессов и драйверов завершен
Ошибка загрузки драйвера - проверка прервана [00000000]
2. Проверка памяти
Количество найденных процессов: 21
Количество загруженных модулей: 235
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Ошибка LSP NameSpace: "Поставщик пространства имен PNRP-имени" --> нумерация начинается не с 1 (000000000005)
Ошибка LSP NameSpace: "Поставщик пространства имен PNRP-облака" --> сбой в нумерации
Ошибка LSP NameSpace: "Пространство имен службы сетевого расположения (NLA)" --> сбой в нумерации
Ошибка LSP NameSpace: "NTDS" --> сбой в нумерации
Ошибка LSP NameSpace: "TCP/IP" --> сбой в нумерации
Ошибка LSP Protocol = "" --> отсутствует файл
Ошибка LSP Protocol: "" --> нумерация начинается не с 1 (000000000026)
Ошибка LSP Protocol = "" --> отсутствует файл
Ошибка LSP Protocol: "" --> сбой в нумерации
Ошибка LSP Protocol = "" --> отсутствует файл
Ошибка LSP Protocol: "" --> сбой в нумерации
Ошибка LSP Protocol = "" --> отсутствует файл
Ошибка LSP Protocol: "" --> сбой в нумерации
Ошибка LSP Protocol = "" --> отсутствует файл
Ошибка LSP Protocol: "" --> сбой в нумерации
Ошибка LSP Protocol = "" --> отсутствует файл
Ошибка LSP Protocol: "" --> сбой в нумерации
Ошибка LSP Protocol = "" --> отсутствует файл
Ошибка LSP Protocol: "" --> сбой в нумерации
Ошибка LSP Protocol = "" --> отсутствует файл
Ошибка LSP Protocol: "" --> сбой в нумерации
Ошибка LSP Protocol = "" --> отсутствует файл
Ошибка LSP Protocol: "" --> сбой в нумерации
Ошибка LSP Protocol = "" --> отсутствует файл
Ошибка LSP Protocol: "" --> сбой в нумерации
Ошибка LSP Protocol = "" --> отсутствует файл
Ошибка LSP Protocol: "" --> сбой в нумерации
Ошибка LSP Protocol = "" --> отсутствует файл
Ошибка LSP Protocol: "" --> сбой в нумерации
Ошибка LSP Protocol = "" --> отсутствует файл
Ошибка LSP Protocol: "" --> сбой в нумерации
Ошибка LSP Protocol = "" --> отсутствует файл
Ошибка LSP Protocol: "" --> сбой в нумерации
Ошибка LSP Protocol = "" --> отсутствует файл
Ошибка LSP Protocol: "" --> сбой в нумерации
Ошибка LSP Protocol = "" --> отсутствует файл
Ошибка LSP Protocol: "" --> сбой в нумерации
Ошибка LSP Protocol = "" --> отсутствует файл
Ошибка LSP Protocol: "" --> сбой в нумерации
Ошибка LSP Protocol = "" --> отсутствует файл
Ошибка LSP Protocol: "" --> сбой в нумерации
Ошибка LSP Protocol = "" --> отсутствует файл
Ошибка LSP Protocol: "" --> сбой в нумерации
Ошибка LSP Protocol = "" --> отсутствует файл
Ошибка LSP Protocol: "" --> сбой в нумерации
Ошибка LSP Protocol = "" --> отсутствует файл
Ошибка LSP Protocol: "" --> сбой в нумерации
Ошибка LSP Protocol = "" --> отсутствует файл
Ошибка LSP Protocol: "" --> сбой в нумерации
Ошибка LSP Protocol = "" --> отсутствует файл
Ошибка LSP Protocol: "" --> сбой в нумерации
Ошибка LSP Protocol = "" --> отсутствует файл
Ошибка LSP Protocol: "" --> сбой в нумерации
Ошибка LSP Protocol = "" --> отсутствует файл
Ошибка LSP Protocol: "" --> сбой в нумерации
Ошибка LSP Protocol = "" --> отсутствует файл
Ошибка LSP Protocol: "" --> сбой в нумерации
Внимание ! Обнаружены ошибки в SPI/LSP. Количество ошибок - 57
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 5 TCP портов и 0 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Внимание - файл Hosts перемещен и находится в папке "d:\windows\system32\drivers\etc"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
>> Разрешен автозапуск с HDD
Проверка завершена
Просканировано файлов: 256, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 25.08.2009 15:16:57
Сканирование длилось 00:00:37
Последний раз редактировалось Rene-gad; 25.08.2009 в 15:53.
Причина: формат текста
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Windows 98? логи надо делать правильно - по правилам, отключая защитный софт. DrWeb и Online Armor. Если и при их отключении сохраняться не будут, то тогда в безопасном режиме или выдадим Вам полиморфную версию.
Не знаю, почему так. У меня ХР SP3. В безопасном режиме перехват функций не обнаруживался, поэтому логи там делать не пробовал. По Вашей просьбе сделал - вот они:
На диске С:\ у меня стоит 98-я, на D:\ XP SP3. AVZ как и все остальное я естественно запускал из XP
Последний раз редактировалось Rene-gad; 25.08.2009 в 15:50.
Удалил вручную asuiahmu.sys и все записи о нем в реестре, вроде все стало нормально, сообщений о перехвате функций больше нет, логи в нормальном режиме получиль, прилагаю.
Проверьте пожалуйста.
В логах чисто.
Если сохранилась копия asuiahmu.sys, пришлите в zip архиве с паролем virus , используя ссылку Прислать запрошенный карантин, вверху этой темы.
Подскажите, плиз, что означают сообщения в протоколе AVZ следующего типа:
Детектирована функция IAT
и нормально ли следующее сообщение при сканировании с запущенным Dr. Web:
1.4 Поиск маскировки процессов и драйверов
Видимый процесс с PID=1544, имя = "\Device\HarddiskVolume2\Program Files\DrWeb\SPIDERNT.EXE"
>> обнаружена подмена имени, новое имя = "d:\progra~1\drweb\spidernt.exe"
Видимый процесс с PID=124, имя = "\Device\HarddiskVolume2\Program Files\DrWeb\SPIDERNT.EXE"
>> обнаружена подмена имени, новое имя = "d:\progra~1\drweb\spidernt.exe"
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: