-
Junior Member
- Вес репутации
- 49
Help me!
Внимание !!! База поcледний раз обновлялась 21.12.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.35
Сканирование запущено в 09.06.2010 17:45:48
Загружена база: сигнатуры - 283632, нейропрофили - 2, микропрограммы лечения - 56, база от 21.12.2010 15:02
Загружены микропрограммы эвристики: 386
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 250325
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: Отключено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=08B520)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80562520
KiST = 804E48B0 (284)
Функция NtAllocateVirtualMemory (11) перехвачена (80570EDD->F7BBD08, перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtCreateKey (29) перехвачена (8057791D->F74E40E0), перехватчик spyr.sys
Функция NtCreateThread (35) перехвачена (80586C45->F7BBE1E0), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtEnumerateKey (47) перехвачена (80578E14->F74FCDA4), перехватчик spyr.sys
Функция NtEnumerateValueKey (49) перехвачена (80587693->F74FD132), перехватчик spyr.sys
Функция NtFreeVirtualMemory (53) перехвачена (805713D7->F7BBD306), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtOpenKey (77) перехвачена (80572BF4->F74E40C0), перехватчик spyr.sys
Функция NtOpenSection (7D) перехвачена (8057A8AD->F7BBCED2), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtQueryKey (A0) перехвачена (80578A14->F74FD20A), перехватчик spyr.sys
Функция NtQueryValueKey (B1) перехвачена (80573037->F74FD08A), перехватчик spyr.sys
Функция NtQueueApcThread (B4) перехвачена (805E3BAD->F7BBE2E2), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtSetContextThread (D5) перехвачена (806359C3->F7BBE32E), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtSetValueKey (F7) перехвачена (8058228C->F74FD29C), перехватчик spyr.sys
Функция NtSystemDebugControl (FF) перехвачена (80650E11->F7BBCE00), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtWriteVirtualMemory (115) перехвачена (805885C4->F7BBD416), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный
Проверено функций: 284, перехвачено: 15, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
\FileSystem\ntfs[IRP_MJ_CREATE] = 89BCC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 89BCC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 89BCC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 89BCC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 89BCC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 89BCC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 89BCC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 89BCC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 89BCC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 89BCC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 89BCC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 89BCC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 89BCC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 89BCC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 89BCC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 89BCC1F8 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 31
Количество загруженных модулей: 277
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 308, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 09.06.2010 17:46:47
Сканирование длилось 00:01:00
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info
страшные глюки на компе
подскажите пожалуйста что делать? до этого была еще одна ошибка (маскировка процесса drweb) но вроде как стандартный скрипт её вылечил но комп также глючит
Добавлено через 9 минут
вот еще заметил: spyr.sys после перзагрузки компа переименовался в spoo.sys
Последний раз редактировалось Locky; 22.12.2010 в 17:58.
Причина: Добавлено
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Прикрепите логи к теме согласно правил раздела.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 49
вот он (прошу извинить если что то неправильно =) .)
Последний раз редактировалось Locky; 22.12.2010 в 18:44.
-
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\securesxxx.exe\securesxxx.exe','');
DeleteService('mkdrv');
QuarantineFile('C:\WINDOWS\ksmt.sys','');
DeleteFile('C:\WINDOWS\ksmt.sys');
BC_DeleteSvc('mkdrv');
DeleteFile('C:\securesxxx.exe\securesxxx.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','securesxxx.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run','securesxxx.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','securesxxx.exe');
DeleteFileMask('C:\securesxxx.exe', '*.*', true);
DeleteDirectory('C:\securesxxx.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Логи повторите.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 49
карантин прислал щас скоро логи пришлю
-
Сообщение от
Locky
до этого была еще одна ошибка (маскировка процесса drweb) но вроде как стандартный скрипт её вылечил но комп также глючит
Оставьте Веба в покое
Сообщение от
Locky
spyr.sys после перзагрузки компа переименовался в spoo.sys
Это от эмулятора дисков
-
-
Junior Member
- Вес репутации
- 49
-
Пофиксите в HijackThis:
Код:
O4 - HKCU\..\Run: [PCHDPlayer] C:\Program Files\pchd\PCHDPlayer.exe
Установите правильную системную дату.
Больше ничего плохого не видно.
I am not young enough to know everything...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
-