Показано с 1 по 18 из 18.

Вопрос по заподозренным объектам (заявка № 6770)

  1. #1
    Junior Member Репутация
    Регистрация
    15.11.2006
    Адрес
    МО, г. Лыткарино
    Сообщений
    12
    Вес репутации
    64

    Thumbs up Вопрос по заподозренным объектам

    Всем привет.
    При открытии IExplorer выскакивало окно знакомств (раньше такого не было), правда последние два дня окно не появлялось. При проверке компа на вирусы (базы обновляются регулярно) Web ничего не находит. При проверке компьютера AVZ вот что было написано в протоколе, привожу выдержки:
    1. Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    2. Проверка IDT и SYSENTER
    Анализ для процессора 1
    >>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [EDCBE83B] C:\WINDOWS\system32\drivers\HaspNT.sys, драйвер опознан как безопасный
    >>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [EDCBE780] C:\WINDOWS\system32\drivers\HaspNT.sys, драйвер опознан как безопасный
    3. Анализатор - изучается процесс 2332 C:\Program Files\Opera\opera.exe
    [ES]:Может работать с сетью
    [ES]:EXE упаковщик ?
    [ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
    4. C:\Program Files\Opera\spellcheck.dll >>> подозрение на Trojan-Proxy.Win32.Agent.hd ( 0682A9DB 05DA20A5 00296237 00265560 37376)
    5. C:\System Volume Information\_restore{ECAD2D83-BF84-4620-A19E-DB72A68E79AB}\RP91\A0028813.exe - Подозрение на Virus.Win32.PE_Type1(степень опасности 75%)
    C:\WINDOWS\Installer\{39E9516D-9846-4E6F-979C-8B28BECE9104}\NewShortcut10.chm - PE файл с нестандартным расширением(степень опасности 5%)
    6. D:\Temp\BCDW\DSKTOOLS\Bootman2\MSYS.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
    D:\Temp\BCDW\DSKTOOLS\Bootman2\STARTER.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
    7. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
    C:\WINDOWS\system32\lsp.dll --> Подозрение на Keylogger или троянскую DLL
    C:\WINDOWS\system32\lsp.dll>>> Поведенческий анализ:
    Типичное для кейлоггеров поведение не зарегистрировано
    8. Эвристичеcкая проверка системы
    >>> C:\WINDOWS\system32\vbsys2.dll ЭПС: подозрение на Trojan-Clicker.Win32.Agent (высокая степень вероятности)

    Что с этим делать и на сколько это опасно?
    Если кто-то может рассказать по этим пунктам буду очень благодарен.
    Спасибо!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    959
    -если АVZ подозревает какой-либо объект, то его нужно прислать согласно Приложения 2 Правил для изучения, а в общем-то Вам нужно, как и всем, выполнить всё теже Правила, начиная с 8-го пункта...
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Судя по наличию vbsys2.dll, нужен именно полный набор логов.

  5. #4
    Junior Member Репутация
    Регистрация
    15.11.2006
    Адрес
    МО, г. Лыткарино
    Сообщений
    12
    Вес репутации
    64
    Спасибо за советы. Все сделал и высылаю файлы логов.
    Вложения Вложения

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Пришлите, так как сказано в приложении 2 Правил, следующие файлы:
    Код:
    C:\WINDOWS\system32\lsp.dll
    C:\WINDOWS\system32\vbsys2.dll
    D:\PROGRA~2\DOWNLO~1\DOWNLO~1\dmiehlp.dll
    Nh.sys
    C:\Program Files\Opera\spellcheck.dll
    PS. vbsys2.dll, скорее всего, найден не будет.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Цитата Сообщение от AndreyKa
    vbsys2.dll, скорее всего, найден не будет.
    Похоже на то. Пока можно пофиксить:
    Код:
    O16 - DPF: {33331111-1111-1111-1111-611111193423} - 
    O16 - DPF: {33331111-1111-1111-1111-615111193427} - 
    O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - (no file)

  8. #7
    Junior Member Репутация
    Регистрация
    15.11.2006
    Адрес
    МО, г. Лыткарино
    Сообщений
    12
    Вес репутации
    64
    Профиксил, мне что-то Вам высылать нужно или нет?

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Цитата Сообщение от svk
    Профиксил, мне что-то Вам высылать нужно или нет?
    Нужно прислать те файлы, что я указал в предыдущем сообщении.
    Ссылка на вашу тему:
    http://virusinfo.info/showthread.php?t=6770

  10. #9
    Junior Member Репутация
    Регистрация
    15.11.2006
    Адрес
    МО, г. Лыткарино
    Сообщений
    12
    Вес репутации
    64
    Файл отправил только один, других не было (virus2.zip)

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    У вас в списке установленных программ (Панель управления - Установка и удаление программ) есть ShopAtHomeSelect? Если есть, то лучше ее удалить.

  12. #11
    Junior Member Репутация
    Регистрация
    15.11.2006
    Адрес
    МО, г. Лыткарино
    Сообщений
    12
    Вес репутации
    64
    Такой программы у меня нет.

  13. #12
    Junior Member Репутация
    Регистрация
    15.11.2006
    Адрес
    МО, г. Лыткарино
    Сообщений
    12
    Вес репутации
    64
    Посмотрите новые файлы. Комп почему-то иногда виснит, а потом вроде нормально работает.
    Вложения Вложения

  14. #13
    Junior Member Репутация
    Регистрация
    15.11.2006
    Адрес
    МО, г. Лыткарино
    Сообщений
    12
    Вес репутации
    64
    Не бросайте меня, скажите хоть что-то.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    959
    -это чтоб Вы не чувствовали себя брошенным ...из присланных файлов:
    C:\Program Files\Opera\spellcheck.dll - скорее всего, Spell check engine из Opera, и опасности, видимо, не представляет... кстати, какая у Вас версия Оперы?..
    C:\System Volume Information\_restore{ECAD2D83-BF84-4620-A19E-DB72A68E79AB}\RP91\A0028813.exe - "альтернативная обновлялка" для Dr.Web, очевидно, Вы ею когда-то пользовались, вот система и затащила её в раздел для восстановления
    C:\WINDOWS\Installer\{39E9516D-9846-4E6F-979C-8B28BECE9104}\NewShortcut10.chm - скомпилированный HTML-файл, возможно битый, т.к. декомпилировать сходу не получилось...
    D:\Temp\BCDW\DSKTOOLS\Bootman2\MSYS.COM & D:\Temp\BCDW\DSKTOOLS\Bootman2\STARTER.COM - похоже, от софтины для загрузки различных операционных систем на одном компьютере...
    C:\WINDOWS\system32\lsp.dll - есть подозрение на троян, требуется дополнительное изучение вирусными аналитиками


    -кроме того, пофиксите в HijackThis:
    O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  16. #15
    Junior Member Репутация
    Регистрация
    15.11.2006
    Адрес
    МО, г. Лыткарино
    Сообщений
    12
    Вес репутации
    64
    Спасибо за ответ.
    Версия оперы 7.54u1, сборка 3918. Выслал архив virus3.zip.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    959
    Цитата Сообщение от Alex Plutoff
    ...C:\WINDOWS\system32\lsp.dll - есть подозрение на троян, требуется дополнительное изучение вирусными аналитиками...
    -есть результат анализа, это не вирус...

    Цитата Сообщение от svk
    Спасибо за ответ.
    Версия оперы 7.54u1, сборка 3918. Выслал архив virus3.zip.
    -именно lsp.dll, повторно отсылать не стоило...
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  18. #17
    Junior Member Репутация
    Регистрация
    15.11.2006
    Адрес
    МО, г. Лыткарино
    Сообщений
    12
    Вес репутации
    64
    Спасибо большое. Если будут подозрения, буду обращаться. Еще есть последний вопрос: "При включении компьетера, он сначала начинает запускаться, а потом резко отключается, после этого нажимая на кнопку запуска ничего не происходит, пока не отключишь питание и не включишь заново. Что это может быть?".

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Возможно блок питания не тянет. Попробуйте поменять на более мощный.

  • Уважаемый(ая) svk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вопрос про AVZ
      От yur4egg в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 30.07.2010, 13:02
    2. Вопрос.
      От Greenge в разделе Общая сетевая безопасность
      Ответов: 5
      Последнее сообщение: 13.07.2010, 22:32
    3. Вопрос
      От Павлик Rofl в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 08.02.2010, 16:52
    4. Вопрос по AVZ
      От Vagon в разделе Юмор
      Ответов: 20
      Последнее сообщение: 17.02.2009, 12:57

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01353 seconds with 20 queries