Help me!

[Locky]

Внимание !!! База поcледний раз обновлялась 21.12.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.35
Сканирование запущено в 09.06.2010 17:45:48
Загружена база: сигнатуры - 283632, нейропрофили - 2, микропрограммы лечения - 56, база от 21.12.2010 15:02
Загружены микропрограммы эвристики: 386
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 250325
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: Отключено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=08B520)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80562520
KiST = 804E48B0 (284)
Функция NtAllocateVirtualMemory (11) перехвачена (80570EDD->F7BBD08, перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtCreateKey (29) перехвачена (8057791D->F74E40E0), перехватчик spyr.sys
Функция NtCreateThread (35) перехвачена (80586C45->F7BBE1E0), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtEnumerateKey (47) перехвачена (80578E14->F74FCDA4), перехватчик spyr.sys
Функция NtEnumerateValueKey (49) перехвачена (80587693->F74FD132), перехватчик spyr.sys
Функция NtFreeVirtualMemory (53) перехвачена (805713D7->F7BBD306), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtOpenKey (77) перехвачена (80572BF4->F74E40C0), перехватчик spyr.sys
Функция NtOpenSection (7D) перехвачена (8057A8AD->F7BBCED2), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtQueryKey (A0) перехвачена (80578A14->F74FD20A), перехватчик spyr.sys
Функция NtQueryValueKey (B1) перехвачена (80573037->F74FD08A), перехватчик spyr.sys
Функция NtQueueApcThread (B4) перехвачена (805E3BAD->F7BBE2E2), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtSetContextThread (D5) перехвачена (806359C3->F7BBE32E), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtSetValueKey (F7) перехвачена (8058228C->F74FD29C), перехватчик spyr.sys
Функция NtSystemDebugControl (FF) перехвачена (80650E11->F7BBCE00), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtWriteVirtualMemory (115) перехвачена (805885C4->F7BBD416), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный
Проверено функций: 284, перехвачено: 15, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
\FileSystem\ntfs[IRP_MJ_CREATE] = 89BCC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 89BCC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 89BCC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 89BCC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 89BCC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 89BCC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 89BCC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 89BCC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 89BCC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 89BCC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 89BCC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 89BCC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 89BCC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 89BCC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 89BCC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 89BCC1F8 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 31
Количество загруженных модулей: 277
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 308, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 09.06.2010 17:46:47
Сканирование длилось 00:01:00
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info



страшные глюки на компе
подскажите пожалуйста что делать? до этого была еще одна ошибка (маскировка процесса drweb) но вроде как стандартный скрипт её вылечил но комп также глючит

Добавлено через 9 минут

вот еще заметил: spyr.sys после перзагрузки компа переименовался в spoo.sys

[миднайт]

Прикрепите логи к теме согласно правил раздела.

[Locky]

вот он (прошу извинить если что то неправильно =) .)

[миднайт]

В AVZ выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('C:\securesxxx.exe\securesxxx.exe','');
 DeleteService('mkdrv');
 QuarantineFile('C:\WINDOWS\ksmt.sys','');
 DeleteFile('C:\WINDOWS\ksmt.sys');
 BC_DeleteSvc('mkdrv');
 DeleteFile('C:\securesxxx.exe\securesxxx.exe');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','securesxxx.exe');
 RegKeyParamDel('HKEY_USERS','S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run','securesxxx.exe');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','securesxxx.exe');
DeleteFileMask('C:\securesxxx.exe', '*.*', true);
DeleteDirectory('C:\securesxxx.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Логи повторите.

[Locky]

карантин прислал щас скоро логи пришлю

[light59]

до этого была еще одна ошибка (маскировка процесса drweb) но вроде как стандартный скрипт её вылечил но комп также глючит

Оставьте Веба в покое

spyr.sys после перзагрузки компа переименовался в spoo.sys

Это от эмулятора дисков

[Locky]

вот

[Bratez]

Пофиксите в HijackThis:

Код:

O4 - HKCU\..\Run: [PCHDPlayer] C:\Program Files\pchd\PCHDPlayer.exe

Установите правильную системную дату.

Больше ничего плохого не видно.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 4
• В ходе лечения вредоносные программы в карантинах не обнаружены