kirdrop

Всё началось с того,что комп повис и заработал только после четвёртого включения.Страшно тормозил,после проверки касперским и доктором вебом удалил все вирусы.Теперь не работают некоторые службы,такие как дефрагментация,проверка тома на наличие ошибок,восстановление системы.Происходит подмена сайтов, при попытке зайти на виндус апдейт,перекидывает на почтовый сервер мнс.В протоколе интернета(в свойствах подключения по локальной сети)появился адрес dns сервера 85.255.113.131,хотя его там быть не должно,и больше не удаляется!Регулярно появляется всплывающее окно адвертисемент.Проверка всеми антивирусами не дает никаких результатов.Кто встречался с подобной проблемой,помогите!!!

old

была такая проблемка, что нашел каспер?

kirdrop

А он много чего находил,я даже писал в службу тех поддержки,так как он после этого отказывался обновляться,сейчас обновляюсь с временного сервера обновлений.Рекомендовали скачать утилиту поиска вирусов,она ничего не находит...

old

поищи на диске С. Comment

kirdrop

Как поискать?Что поискать?Я не умею!!!!Можно рассказать по-подробнее?

old

открой диск С. в поиске пропиши comment, если найдешь, сразу в реестр. Пуск- выполнить-пропиши "regedit",в реестре нажми-Ctrl+P - все что найдет удаляй.

kirdrop

Что значит открой диск С?При его открытии нет никакого поиска!Только папки.Поиск есть только в пуске!И что значит сразу в реестр?

old

но это еще не все, comment обычно работает в паре с WIN32 и антивирус его не берет, удаляется только в реестре

Добавлено 01.01.2009 13:01:30:
Еще раз,зайти в реестр - " ПУСК - ВЫПОЛНИТЬ - (прописать) REGEDIT - (нажать)CTRL+Р" - (прописать)comment, поисковик выделит что нашел.

kirdrop

После ПУСК - ВЫПОЛНИТЬ - (прописать) REGEDIT,можно нажать только окей!CTRL+Р ничего не дает!А после окей открывается ветвь от моего компьютера с пятью папками.В этих пяти папках ПКМ можно выделить строку поиск и этом поиске в некоторых папках находятся эти самые comment.Это мне и нужно?А если я это всё удалю хуже не станет?

old

хуже не станет comment инородное тело. Вот с WIN32 надо осторожней, некоторые используются WINDOWS. Рекомендую сохранить копию реестра через ФАЙЛ (слева в верху) - импортировать файлы - назвать папку, запомнить куда сохранилась.

Добавлено 01.01.2009 14:01:08:
извиняюсь за CTRL+P, НОВЫЙ ГОД знаете ли, поиск - CTRL+F

kirdrop

Безрезультатно,или я что-то не правильно сделал...

old

уже в реестре Ctrl+F, откроится поисковая строка, пишешь comment, когда найдет нажимаешь delete, ENTER, опять ctrl+F, delete, enter и т.д

Добавлено 01.01.2009 15:01:58:
извиняюсь еще раз, не импорт а экспорт

Denesis

kirdrop, скачайте утилиту AVZ, просканируйте компьютер указав в параметрах сканирования максимальный уровень эвристики. Отчет, если можете, скопируйте сюда. Программа должна что-то найти.

Nexus

А каким образом они не работают: просто не запускаются, или ошибку выкидывают?

kirdrop

Внимание !!! База поcледний раз обновлялась 06.04.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.30
Сканирование запущено в 01.01.2009 22:41:09
Загружена база: сигнатуры - 157571, нейропрофили - 2, микропрограммы лечения - 55, база от 06.04.2008 17:09
Загружены микропрограммы эвристики: 370
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 70476
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=07C020)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 80553020
KiST = 80501B9C (284)
Функция NtAdjustPrivilegesToken (0B) перехвачена (805E1E98->9D99381A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtClose (19) перехвачена (805B1CC6->9D993DC6), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtConnectPort (1F) перехвачена (80599968->9D99582A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateFile (25) перехвачена (8056E2FC->9D9951E0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateKey (29) перехвачена (8061A312->9D992F90), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateSymbolicLinkObject (34) перехвачена (805B9620->9D99718C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateThread (35) перехвачена (805C7294->AE8F22AC), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDeleteKey (3F) перехвачена (8061A7A2->9D9933D2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDeleteValueKey (41) перехвачена (8061A972->9D9935D2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDeviceIoControlFile (42) перехвачена (8056E4C2->9D9954EC), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDuplicateObject (44) перехвачена (805B38DA->9D997698), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateKey (47) перехвачена (8061AB52->9D9936E8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateValueKey (49) перехвачена (8061ADBC->9D993750), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtFlushInstructionCache (4E) - модификация машинного кода. Метод JmpTo. jmp 8A3644EC
>>> Функция воcстановлена успешно !
Функция NtFsControlFile (54) перехвачена (8056E4F6->9D9953A2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtLoadDriver (61) перехвачена (80579608->9D996C50), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenFile (74) перехвачена (8056F41A->9D99503C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenKey (77) перехвачена (8061B6E4->9D9930F2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenProcess (7A) перехвачена (805C1322->AE8F2298), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenSection (7D) перехвачена (8059F7A2->9D9971B6), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenThread (80) перехвачена (805C15AE->AE8F229D), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryKey (A0) перехвачена (8061BA0A->9D9937B8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryMultipleValueKey (A1) перехвачена (80619460->9D9934BC), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryValueKey (B1) перехвачена (8061854A->9D99329A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueueApcThread (B4) перехвачена (805C74F2->9D996EB8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtReplaceKey (C1) перехвачена (8061C3BE->9D992C12), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtRequestWaitReplyPort (C8) перехвачена (8059810E->9D9960B4), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtRestoreKey (CC) перехвачена (8061BCCA->9D992D74), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtResumeThread (CE) перехвачена (805CACAE->9D997568), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSaveKey (CF) перехвачена (8061BDC6->9D992A10), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSecureConnectPort (D2) перехвачена (805990FC->9D9956CC), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetContextThread (D5) перехвачена (805C79B6->9D993CC0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetSecurityObject (ED) перехвачена (805B604C->9D996D4A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetSystemInformation (F0) перехвачена (80605F02->9D9971E0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetValueKey (F7) перехвачена (80618898->9D993148), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSuspendProcess (FD) перехвачена (805CAD76->9D9972C4), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSuspendThread (FE) перехвачена (805CABE8->9D9973F0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSystemDebugControl (FF) перехвачена (8060E266->9D996B7C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtTerminateProcess (101) перехвачена (805C8CB6->AE8F22A7), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtWriteVirtualMemory (115) перехвачена (805A989C->AE8F22A2), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция FsRtlCheckLockForReadAccess (804E9FA0) - модификация машинного кода. Метод JmpTo. jmp 9D9AA01C \SystemRoot\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
Функция IoIsOperationSynchronous (804EE87E) - модификация машинного кода. Метод JmpTo. jmp 9D9AA3D6 \SystemRoot\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
Функция IofCallDriver (804EE130) - модификация машинного кода. Метод JmpTo. jmp 8A364B53
>>> Функция воcстановлена успешно !
Функция IofCompleteRequest (804EE1C0) - модификация машинного кода. Метод JmpTo. jmp 8A364DBB
>>> Функция воcстановлена успешно !
Проверено функций: 284, перехвачено: 39, восстановлено: 44
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
>>>> Обнаружена маскировка процесса 1388 ?
>>>> Обнаружена маскировка процесса 1076 ?
>>>> Обнаружена маскировка процесса 1216 ?
>>>> Обнаружена маскировка процесса 4064 ?
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 34
Анализатор - изучается процесс 928 C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 2224 C:\Program Files\Microsoft IntelliType Pro\type32.exe
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 2236 C:\Program Files\Microsoft IntelliPoint\point32.exe
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 2496 C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 2600 C:\Program Files\Common Files\ARS Company\Agent\Agent.exe
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 2636 C:\Program Files\Punto Switcher\punto.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 69600 C:\Program Files\WinRAR\WinRAR.exe
[ES]:Может работать с сетью
Количество загруженных модулей: 454
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\PROGRA~1\KASPER~1\KASPER~2\mzvkbd.dll --> Подозрение на Keylogger или троянскую DLL
C:\PROGRA~1\KASPER~1\KASPER~2\mzvkbd.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (C:\PROGRA~1\KASPER~1\KASPER~2\mzvkbd.dll)
C:\PROGRA~1\KASPER~1\KASPER~2\mzvkbd3.dll --> Подозрение на Keylogger или троянскую DLL
C:\PROGRA~1\KASPER~1\KASPER~2\mzvkbd3.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (C:\PROGRA~1\KASPER~1\KASPER~2\mzvkbd3.dll)
C:\Program Files\Punto Switcher\pshook.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Punto Switcher\pshook.dll>>> Поведенческий анализ
1. Реагирует на события: клавиатура, мышь
2. Выясняет, какое окно находится в фокусе ввода
3. Опрашивает состояние клавиш
4. Опрашивает состояние клавиатуры
5. Опрашивает активную раскладку клавиатуры
C:\Program Files\Punto Switcher\pshook.dll>>> Нейросеть: файл с вероятностью 83.43% похож на типовой перехватчик событий клавиатуры/мыши
Файл успешно помещен в карантин (C:\Program Files\Punto Switcher\pshook.dll)
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 81 TCP портов и 16 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~2\mzvkbd.dll,C:\PROGR A~1\KASPER~1\KASPER~2\mzvkbd3.dll"
>>> C:\WINDOWS\kernel32.exe ЭПС: подозрение на Файл с подозрительным именем (высокая степень вероятности)
Файл успешно помещен в карантин (C:\WINDOWS\kernel32.exe)
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 488, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 01.01.2009 22:41:41
!!! Внимание !!! Восстановлено 44 функций KiST в ходе работы антируткита
Это может нарушить нормальную работу ряда программ, поэтому настоятельно рекомендуется перезагрузить компьютер
Сканирование длилось 00:00:32
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info
Это первый отчет до обновления!
Протокол антивирусной утилиты AVZ версии 4.30
Сканирование запущено в 01.01.2009 22:46:45
Загружена база: сигнатуры - 203765, нейропрофили - 2, микропрограммы лечения - 56, база от 01.01.2009 22:26
Загружены микропрограммы эвристики: 372
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 74370
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=07C020)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 80553020
KiST = 80501B9C (284)
Проверено функций: 284, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
>>>> Обнаружена маскировка процесса 1388 ?
>>>> Обнаружена маскировка процесса 1216 ?
>>>> Обнаружена маскировка процесса 4064 ?
>>>> Обнаружена маскировка процесса 2808 ?
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 34
Количество загруженных модулей: 450
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files\Punto Switcher\pshook.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Punto Switcher\pshook.dll>>> Поведенческий анализ
1. Реагирует на события: клавиатура, мышь
2. Выясняет, какое окно находится в фокусе ввода
3. Опрашивает состояние клавиш
4. Опрашивает состояние клавиатуры
5. Опрашивает активную раскладку клавиатуры
C:\Program Files\Punto Switcher\pshook.dll>>> Нейросеть: файл с вероятностью 83.43% похож на типовой перехватчик событий клавиатуры/мыши
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~2\mzvkbd.dll,C:\PROGR A~1\KASPER~1\KASPER~2\mzvkbd3.dll"
>>> C:\WINDOWS\kernel32.exe ЭПС: подозрение на Файл с подозрительным именем (высокая степень вероятности)
>>> Подозрение на троянский DNS ({03842AAB-2B88-43CD-846F-74B5E681C95B} "Подключение по локальной сети 5")
>>> Подозрение на троянский DNS ({9454ACC7-7442-4ACB-BF5B-FD8EECE88579})
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 484, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 01.01.2009 22:47:01
Сканирование длилось 00:00:17
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info
А это второй отчет!
После перезагрузки все проблемы остались!

Добавлено 01.01.2009 21:01:38:
Службы не запускаются,проверка тома пишет,что виндус не удалось запустить проверку диска.А дефрагментация,что не удалось запустить дефрагментатор диска.У восстановления системы после определения даты востановления не срабатывает кнопка далее.

Добавлено 01.01.2009 21:01:10:
А вот и третий отчет!!!

Протокол антивирусной утилиты AVZ версии 4.30
Сканирование запущено в 01.01.2009 23:06:09
Загружена база: сигнатуры - 203765, нейропрофили - 2, микропрограммы лечения - 56, база от 01.01.2009 22:26
Загружены микропрограммы эвристики: 372
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 74370
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=07C020)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 80553020
KiST = 80501B9C (284)
Функция NtAdjustPrivilegesToken (0B) перехвачена (805E1E98->9D95881A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtClose (19) перехвачена (805B1CC6->9D958DC6), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtConnectPort (1F) перехвачена (80599968->9D95A82A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateFile (25) перехвачена (8056E2FC->9D95A1E0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateKey (29) перехвачена (8061A312->9D957F90), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateSymbolicLinkObject (34) перехвачена (805B9620->9D95C18C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateThread (35) перехвачена (805C7294->BAF6940C), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDeleteKey (3F) перехвачена (8061A7A2->9D9583D2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDeleteValueKey (41) перехвачена (8061A972->9D9585D2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDeviceIoControlFile (42) перехвачена (8056E4C2->9D95A4EC), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDuplicateObject (44) перехвачена (805B38DA->9D95C698), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateKey (47) перехвачена (8061AB52->9D9586E8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateValueKey (49) перехвачена (8061ADBC->9D958750), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtFlushInstructionCache (4E) - модификация машинного кода. Метод JmpTo. jmp 8A39AE1C
>>> Функция воcстановлена успешно !
Функция NtFsControlFile (54) перехвачена (8056E4F6->9D95A3A2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtLoadDriver (61) перехвачена (80579608->9D95BC50), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenFile (74) перехвачена (8056F41A->9D95A03C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenKey (77) перехвачена (8061B6E4->9D9580F2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenProcess (7A) перехвачена (805C1322->BAF693F8), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenSection (7D) перехвачена (8059F7A2->9D95C1B6), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenThread (80) перехвачена (805C15AE->BAF693FD), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryKey (A0) перехвачена (8061BA0A->9D9587B8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryMultipleValueKey (A1) перехвачена (80619460->9D9584BC), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryValueKey (B1) перехвачена (8061854A->9D95829A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueueApcThread (B4) перехвачена (805C74F2->9D95BEB8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtReplaceKey (C1) перехвачена (8061C3BE->9D957C12), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtRequestWaitReplyPort (C8) перехвачена (8059810E->9D95B0B4), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtRestoreKey (CC) перехвачена (8061BCCA->9D957D74), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtResumeThread (CE) перехвачена (805CACAE->9D95C568), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSaveKey (CF) перехвачена (8061BDC6->9D957A10), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSecureConnectPort (D2) перехвачена (805990FC->9D95A6CC), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetContextThread (D5) перехвачена (805C79B6->9D958CC0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetSecurityObject (ED) перехвачена (805B604C->9D95BD4A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetSystemInformation (F0) перехвачена (80605F02->9D95C1E0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetValueKey (F7) перехвачена (80618898->9D958148), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSuspendProcess (FD) перехвачена (805CAD76->9D95C2C4), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSuspendThread (FE) перехвачена (805CABE8->9D95C3F0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSystemDebugControl (FF) перехвачена (8060E266->9D95BB7C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtTerminateProcess (101) перехвачена (805C8CB6->BAF69407), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtWriteVirtualMemory (115) перехвачена (805A989C->BAF69402), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция FsRtlCheckLockForReadAccess (804E9FA0) - модификация машинного кода. Метод JmpTo. jmp 9D96F01C \SystemRoot\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
Функция IoIsOperationSynchronous (804EE87E) - модификация машинного кода. Метод JmpTo. jmp 9D96F3D6 \SystemRoot\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
Функция IofCallDriver (804EE130) - модификация машинного кода. Метод JmpTo. jmp 8A39B84B
>>> Функция воcстановлена успешно !
Функция IofCompleteRequest (804EE1C0) - модификация машинного кода. Метод JmpTo. jmp 8A39BE63
>>> Функция воcстановлена успешно !
Проверено функций: 284, перехвачено: 39, восстановлено: 44
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 31
Анализатор - изучается процесс 188 C:\Program Files\Microsoft IntelliType Pro\type32.exe
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 676 C:\Program Files\Microsoft IntelliPoint\point32.exe
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 1784 C:\Program Files\Common Files\ARS Company\Agent\Agent.exe
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 2076 C:\Program Files\Punto Switcher\punto.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 3440 C:\Program Files\WinRAR\WinRAR.exe
[ES]:Может работать с сетью
Количество загруженных модулей: 376
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files\Punto Switcher\pshook.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Punto Switcher\pshook.dll>>> Поведенческий анализ
1. Реагирует на события: клавиатура, мышь
2. Выясняет, какое окно находится в фокусе ввода
3. Опрашивает состояние клавиш
4. Опрашивает состояние клавиатуры
5. Опрашивает активную раскладку клавиатуры
C:\Program Files\Punto Switcher\pshook.dll>>> Нейросеть: файл с вероятностью 83.43% похож на типовой перехватчик событий клавиатуры/мыши
Файл успешно помещен в карантин (C:\Program Files\Punto Switcher\pshook.dll)
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 16 TCP портов и 11 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~2\mzvkbd.dll,C:\PROGR A~1\KASPER~1\KASPER~2\mzvkbd3.dll"
>>> C:\WINDOWS\kernel32.exe ЭПС: подозрение на Файл с подозрительным именем (высокая степень вероятности)
Файл успешно помещен в карантин (C:\WINDOWS\kernel32.exe)
>>> Подозрение на троянский DNS ({03842AAB-2B88-43CD-846F-74B5E681C95B} "Подключение по локальной сети 5")
>>> Подозрение на троянский DNS ({9454ACC7-7442-4ACB-BF5B-FD8EECE88579})
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 407, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 01.01.2009 23:06:34
!!! Внимание !!! Восстановлено 44 функций KiST в ходе работы антируткита
Это может нарушить нормальную работу ряда программ, поэтому настоятельно рекомендуется перезагрузить компьютер
Сканирование длилось 00:00:25
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info