01.01.2009, 16:03 | #1 (ссылка) |
Новичок
Регистрация: 15.12.2008
Сообщений: 238
Репутация: 7
|
После вирусной атаки
Всё началось с того,что комп повис и заработал только после четвёртого включения.Страшно тормозил,после проверки касперским и доктором вебом удалил все вирусы.Теперь не работают некоторые службы,такие как дефрагментация,проверка тома на наличие ошибок,восстановление системы.Происходит подмена сайтов, при попытке зайти на виндус апдейт,перекидывает на почтовый сервер мнс.В протоколе интернета(в свойствах подключения по локальной сети)появился адрес dns сервера 85.255.113.131,хотя его там быть не должно,и больше не удаляется!Регулярно появляется всплывающее окно адвертисемент.Проверка всеми антивирусами не дает никаких результатов.Кто встречался с подобной проблемой,помогите!!!
|
01.01.2009, 16:26 | #3 (ссылка) |
Новичок
Регистрация: 15.12.2008
Сообщений: 238
Репутация: 7
|
А он много чего находил,я даже писал в службу тех поддержки,так как он после этого отказывался обновляться,сейчас обновляюсь с временного сервера обновлений.Рекомендовали скачать утилиту поиска вирусов,она ничего не находит...
|
01.01.2009, 16:50 | #8 (ссылка) |
Новичок
Регистрация: 30.12.2008
Сообщений: 18
Репутация: 0
|
но это еще не все, comment обычно работает в паре с WIN32 и антивирус его не берет, удаляется только в реестре
Добавлено 01.01.2009 13:01:30: Еще раз,зайти в реестр - " ПУСК - ВЫПОЛНИТЬ - (прописать) REGEDIT - (нажать)CTRL+Р" - (прописать)comment, поисковик выделит что нашел. |
Ads | |
01.01.2009, 17:21 | #9 (ссылка) |
Новичок
Регистрация: 15.12.2008
Сообщений: 238
Репутация: 7
|
После ПУСК - ВЫПОЛНИТЬ - (прописать) REGEDIT,можно нажать только окей!CTRL+Р ничего не дает!А после окей открывается ветвь от моего компьютера с пятью папками.В этих пяти папках ПКМ можно выделить строку поиск и этом поиске в некоторых папках находятся эти самые comment.Это мне и нужно?А если я это всё удалю хуже не станет?
|
01.01.2009, 17:45 | #10 (ссылка) |
Новичок
Регистрация: 30.12.2008
Сообщений: 18
Репутация: 0
|
хуже не станет comment инородное тело. Вот с WIN32 надо осторожней, некоторые используются WINDOWS. Рекомендую сохранить копию реестра через ФАЙЛ (слева в верху) - импортировать файлы - назвать папку, запомнить куда сохранилась.
Добавлено 01.01.2009 14:01:08: извиняюсь за CTRL+P, НОВЫЙ ГОД знаете ли, поиск - CTRL+F |
01.01.2009, 23:20 | #14 (ссылка) | |
Новичок
Регистрация: 21.12.2008
Сообщений: 279
Репутация: 0
|
Цитата:
|
|
01.01.2009, 23:56 | #15 (ссылка) | |||
Новичок
Регистрация: 15.12.2008
Сообщений: 238
Репутация: 7
|
Внимание !!! База поcледний раз обновлялась 06.04.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.30 Сканирование запущено в 01.01.2009 22:41:09 Загружена база: сигнатуры - 157571, нейропрофили - 2, микропрограммы лечения - 55, база от 06.04.2008 17:09 Загружены микропрограммы эвристики: 370 Загружены микропрограммы ИПУ: 9 Загружены цифровые подписи системных файлов: 70476 Режим эвристического анализатора: Максимальный уровень эвристики Режим лечения: включено Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора Восстановление системы: включено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=07C020) Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000 SDT = 80553020 KiST = 80501B9C (284) Функция NtAdjustPrivilegesToken (0B) перехвачена (805E1E98->9D99381A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtClose (19) перехвачена (805B1CC6->9D993DC6), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtConnectPort (1F) перехвачена (80599968->9D99582A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtCreateFile (25) перехвачена (8056E2FC->9D9951E0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtCreateKey (29) перехвачена (8061A312->9D992F90), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtCreateSymbolicLinkObject (34) перехвачена (805B9620->9D99718C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtCreateThread (35) перехвачена (805C7294->AE8F22AC), перехватчик не определен >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtDeleteKey (3F) перехвачена (8061A7A2->9D9933D2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtDeleteValueKey (41) перехвачена (8061A972->9D9935D2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtDeviceIoControlFile (42) перехвачена (8056E4C2->9D9954EC), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtDuplicateObject (44) перехвачена (805B38DA->9D997698), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtEnumerateKey (47) перехвачена (8061AB52->9D9936E8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtEnumerateValueKey (49) перехвачена (8061ADBC->9D993750), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtFlushInstructionCache (4E) - модификация машинного кода. Метод JmpTo. jmp 8A3644EC >>> Функция воcстановлена успешно ! Функция NtFsControlFile (54) перехвачена (8056E4F6->9D9953A2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtLoadDriver (61) перехвачена (80579608->9D996C50), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtOpenFile (74) перехвачена (8056F41A->9D99503C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtOpenKey (77) перехвачена (8061B6E4->9D9930F2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtOpenProcess (7A) перехвачена (805C1322->AE8F2298), перехватчик не определен >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtOpenSection (7D) перехвачена (8059F7A2->9D9971B6), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtOpenThread (80) перехвачена (805C15AE->AE8F229D), перехватчик не определен >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtQueryKey (A0) перехвачена (8061BA0A->9D9937B8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtQueryMultipleValueKey (A1) перехвачена (80619460->9D9934BC), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtQueryValueKey (B1) перехвачена (8061854A->9D99329A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtQueueApcThread (B4) перехвачена (805C74F2->9D996EB8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtReplaceKey (C1) перехвачена (8061C3BE->9D992C12), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtRequestWaitReplyPort (C8) перехвачена (8059810E->9D9960B4), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtRestoreKey (CC) перехвачена (8061BCCA->9D992D74), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtResumeThread (CE) перехвачена (805CACAE->9D997568), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSaveKey (CF) перехвачена (8061BDC6->9D992A10), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSecureConnectPort (D2) перехвачена (805990FC->9D9956CC), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSetContextThread (D5) перехвачена (805C79B6->9D993CC0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSetSecurityObject (ED) перехвачена (805B604C->9D996D4A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSetSystemInformation (F0) перехвачена (80605F02->9D9971E0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSetValueKey (F7) перехвачена (80618898->9D993148), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSuspendProcess (FD) перехвачена (805CAD76->9D9972C4), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSuspendThread (FE) перехвачена (805CABE8->9D9973F0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSystemDebugControl (FF) перехвачена (8060E266->9D996B7C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtTerminateProcess (101) перехвачена (805C8CB6->AE8F22A7), перехватчик не определен >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtWriteVirtualMemory (115) перехвачена (805A989C->AE8F22A2), перехватчик не определен >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция FsRtlCheckLockForReadAccess (804E9FA0) - модификация машинного кода. Метод JmpTo. jmp 9D9AA01C \SystemRoot\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! Функция IoIsOperationSynchronous (804EE87E) - модификация машинного кода. Метод JmpTo. jmp 9D9AA3D6 \SystemRoot\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! Функция IofCallDriver (804EE130) - модификация машинного кода. Метод JmpTo. jmp 8A364B53 >>> Функция воcстановлена успешно ! Функция IofCompleteRequest (804EE1C0) - модификация машинного кода. Метод JmpTo. jmp 8A364DBB >>> Функция воcстановлена успешно ! Проверено функций: 284, перехвачено: 39, восстановлено: 44 1.3 Проверка IDT и SYSENTER Анализ для процессора 1 Проверка IDT и SYSENTER завершена >>>> Обнаружена маскировка процесса 1388 ? >>>> Обнаружена маскировка процесса 1076 ? >>>> Обнаружена маскировка процесса 1216 ? >>>> Обнаружена маскировка процесса 4064 ? 1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM Драйвер успешно загружен 1.5 Проверка обработчиков IRP Проверка завершена 2. Проверка памяти Количество найденных процессов: 34 Анализатор - изучается процесс 928 C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe [ES]:Может работать с сетью [ES]:Прослушивает порты TCP ! [ES]:Приложение не имеет видимых окон [ES]:Записан в автозапуск !! [ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ? Анализатор - изучается процесс 2224 C:\Program Files\Microsoft IntelliType Pro\type32.exe [ES]:Приложение не имеет видимых окон [ES]:Записан в автозапуск !! Анализатор - изучается процесс 2236 C:\Program Files\Microsoft IntelliPoint\point32.exe [ES]:Приложение не имеет видимых окон [ES]:Записан в автозапуск !! Анализатор - изучается процесс 2496 C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe [ES]:Может работать с сетью [ES]:Приложение не имеет видимых окон [ES]:Записан в автозапуск !! [ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ? Анализатор - изучается процесс 2600 C:\Program Files\Common Files\ARS Company\Agent\Agent.exe [ES]:Приложение не имеет видимых окон [ES]:Записан в автозапуск !! Анализатор - изучается процесс 2636 C:\Program Files\Punto Switcher\punto.exe [ES]:Может работать с сетью [ES]:Приложение не имеет видимых окон [ES]:Записан в автозапуск !! [ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ? Анализатор - изучается процесс 69600 C:\Program Files\WinRAR\WinRAR.exe [ES]:Может работать с сетью Количество загруженных модулей: 454 Проверка памяти завершена 3. Сканирование дисков 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) C:\PROGRA~1\KASPER~1\KASPER~2\mzvkbd.dll --> Подозрение на Keylogger или троянскую DLL C:\PROGRA~1\KASPER~1\KASPER~2\mzvkbd.dll>>> Поведенческий анализ Типичное для кейлоггеров поведение не зарегистрировано Файл успешно помещен в карантин (C:\PROGRA~1\KASPER~1\KASPER~2\mzvkbd.dll) C:\PROGRA~1\KASPER~1\KASPER~2\mzvkbd3.dll --> Подозрение на Keylogger или троянскую DLL C:\PROGRA~1\KASPER~1\KASPER~2\mzvkbd3.dll>>> Поведенческий анализ Типичное для кейлоггеров поведение не зарегистрировано Файл успешно помещен в карантин (C:\PROGRA~1\KASPER~1\KASPER~2\mzvkbd3.dll) C:\Program Files\Punto Switcher\pshook.dll --> Подозрение на Keylogger или троянскую DLL C:\Program Files\Punto Switcher\pshook.dll>>> Поведенческий анализ 1. Реагирует на события: клавиатура, мышь 2. Выясняет, какое окно находится в фокусе ввода 3. Опрашивает состояние клавиш 4. Опрашивает состояние клавиатуры 5. Опрашивает активную раскладку клавиатуры C:\Program Files\Punto Switcher\pshook.dll>>> Нейросеть: файл с вероятностью 83.43% похож на типовой перехватчик событий клавиатуры/мыши Файл успешно помещен в карантин (C:\Program Files\Punto Switcher\pshook.dll) На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами В базе 317 описаний портов На данном ПК открыто 81 TCP портов и 16 UDP портов Проверка завершена, подозрительные порты не обнаружены 7. Эвристичеcкая проверка системы Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~2\mzvkbd.dll,C:\PROGR A~1\KASPER~1\KASPER~2\mzvkbd3.dll" >>> C:\WINDOWS\kernel32.exe ЭПС: подозрение на Файл с подозрительным именем (высокая степень вероятности) Файл успешно помещен в карантин (C:\WINDOWS\kernel32.exe) Проверка завершена 8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику Проверка завершена 9. Мастер поиска и устранения проблем Проверка завершена Просканировано файлов: 488, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0 Сканирование завершено в 01.01.2009 22:41:41 !!! Внимание !!! Восстановлено 44 функций KiST в ходе работы антируткита Это может нарушить нормальную работу ряда программ, поэтому настоятельно рекомендуется перезагрузить компьютер Сканирование длилось 00:00:32 Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам, то Вы можете обратиться в конференцию - http://virusinfo.info Это первый отчет до обновления! Протокол антивирусной утилиты AVZ версии 4.30 Сканирование запущено в 01.01.2009 22:46:45 Загружена база: сигнатуры - 203765, нейропрофили - 2, микропрограммы лечения - 56, база от 01.01.2009 22:26 Загружены микропрограммы эвристики: 372 Загружены микропрограммы ИПУ: 9 Загружены цифровые подписи системных файлов: 74370 Режим эвристического анализатора: Средний уровень эвристики Режим лечения: выключено Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора Восстановление системы: включено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=07C020) Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000 SDT = 80553020 KiST = 80501B9C (284) Проверено функций: 284, перехвачено: 0, восстановлено: 0 1.3 Проверка IDT и SYSENTER Анализ для процессора 1 Проверка IDT и SYSENTER завершена >>>> Обнаружена маскировка процесса 1388 ? >>>> Обнаружена маскировка процесса 1216 ? >>>> Обнаружена маскировка процесса 4064 ? >>>> Обнаружена маскировка процесса 2808 ? 1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM Драйвер успешно загружен 1.5 Проверка обработчиков IRP Проверка завершена 2. Проверка памяти Количество найденных процессов: 34 Количество загруженных модулей: 450 Проверка памяти завершена 3. Сканирование дисков 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) C:\Program Files\Punto Switcher\pshook.dll --> Подозрение на Keylogger или троянскую DLL C:\Program Files\Punto Switcher\pshook.dll>>> Поведенческий анализ 1. Реагирует на события: клавиатура, мышь 2. Выясняет, какое окно находится в фокусе ввода 3. Опрашивает состояние клавиш 4. Опрашивает состояние клавиатуры 5. Опрашивает активную раскладку клавиатуры C:\Program Files\Punto Switcher\pshook.dll>>> Нейросеть: файл с вероятностью 83.43% похож на типовой перехватчик событий клавиатуры/мыши На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами Проверка отключена пользователем 7. Эвристичеcкая проверка системы Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~2\mzvkbd.dll,C:\PROGR A~1\KASPER~1\KASPER~2\mzvkbd3.dll" >>> C:\WINDOWS\kernel32.exe ЭПС: подозрение на Файл с подозрительным именем (высокая степень вероятности) >>> Подозрение на троянский DNS ({03842AAB-2B88-43CD-846F-74B5E681C95B} "Подключение по локальной сети 5") >>> Подозрение на троянский DNS ({9454ACC7-7442-4ACB-BF5B-FD8EECE88579}) Проверка завершена 8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику Проверка завершена 9. Мастер поиска и устранения проблем Проверка завершена Просканировано файлов: 484, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0 Сканирование завершено в 01.01.2009 22:47:01 Сканирование длилось 00:00:17 Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам, то Вы можете обратиться в конференцию - http://virusinfo.info А это второй отчет! После перезагрузки все проблемы остались! Добавлено 01.01.2009 21:01:38: Цитата:
Добавлено 01.01.2009 21:01:10: Цитата:
Протокол антивирусной утилиты AVZ версии 4.30 Сканирование запущено в 01.01.2009 23:06:09 Загружена база: сигнатуры - 203765, нейропрофили - 2, микропрограммы лечения - 56, база от 01.01.2009 22:26 Загружены микропрограммы эвристики: 372 Загружены микропрограммы ИПУ: 9 Загружены цифровые подписи системных файлов: 74370 Режим эвристического анализатора: Максимальный уровень эвристики Режим лечения: включено Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора Восстановление системы: включено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=07C020) Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000 SDT = 80553020 KiST = 80501B9C (284) Функция NtAdjustPrivilegesToken (0B) перехвачена (805E1E98->9D95881A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtClose (19) перехвачена (805B1CC6->9D958DC6), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtConnectPort (1F) перехвачена (80599968->9D95A82A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtCreateFile (25) перехвачена (8056E2FC->9D95A1E0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtCreateKey (29) перехвачена (8061A312->9D957F90), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtCreateSymbolicLinkObject (34) перехвачена (805B9620->9D95C18C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtCreateThread (35) перехвачена (805C7294->BAF6940C), перехватчик не определен >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtDeleteKey (3F) перехвачена (8061A7A2->9D9583D2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtDeleteValueKey (41) перехвачена (8061A972->9D9585D2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtDeviceIoControlFile (42) перехвачена (8056E4C2->9D95A4EC), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtDuplicateObject (44) перехвачена (805B38DA->9D95C698), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtEnumerateKey (47) перехвачена (8061AB52->9D9586E8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtEnumerateValueKey (49) перехвачена (8061ADBC->9D958750), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtFlushInstructionCache (4E) - модификация машинного кода. Метод JmpTo. jmp 8A39AE1C >>> Функция воcстановлена успешно ! Функция NtFsControlFile (54) перехвачена (8056E4F6->9D95A3A2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtLoadDriver (61) перехвачена (80579608->9D95BC50), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtOpenFile (74) перехвачена (8056F41A->9D95A03C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtOpenKey (77) перехвачена (8061B6E4->9D9580F2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtOpenProcess (7A) перехвачена (805C1322->BAF693F8), перехватчик не определен >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtOpenSection (7D) перехвачена (8059F7A2->9D95C1B6), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtOpenThread (80) перехвачена (805C15AE->BAF693FD), перехватчик не определен >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtQueryKey (A0) перехвачена (8061BA0A->9D9587B8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtQueryMultipleValueKey (A1) перехвачена (80619460->9D9584BC), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtQueryValueKey (B1) перехвачена (8061854A->9D95829A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtQueueApcThread (B4) перехвачена (805C74F2->9D95BEB8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtReplaceKey (C1) перехвачена (8061C3BE->9D957C12), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtRequestWaitReplyPort (C8) перехвачена (8059810E->9D95B0B4), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtRestoreKey (CC) перехвачена (8061BCCA->9D957D74), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtResumeThread (CE) перехвачена (805CACAE->9D95C568), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSaveKey (CF) перехвачена (8061BDC6->9D957A10), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSecureConnectPort (D2) перехвачена (805990FC->9D95A6CC), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSetContextThread (D5) перехвачена (805C79B6->9D958CC0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSetSecurityObject (ED) перехвачена (805B604C->9D95BD4A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSetSystemInformation (F0) перехвачена (80605F02->9D95C1E0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSetValueKey (F7) перехвачена (80618898->9D958148), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSuspendProcess (FD) перехвачена (805CAD76->9D95C2C4), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSuspendThread (FE) перехвачена (805CABE8->9D95C3F0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSystemDebugControl (FF) перехвачена (8060E266->9D95BB7C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtTerminateProcess (101) перехвачена (805C8CB6->BAF69407), перехватчик не определен >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtWriteVirtualMemory (115) перехвачена (805A989C->BAF69402), перехватчик не определен >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция FsRtlCheckLockForReadAccess (804E9FA0) - модификация машинного кода. Метод JmpTo. jmp 9D96F01C \SystemRoot\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! Функция IoIsOperationSynchronous (804EE87E) - модификация машинного кода. Метод JmpTo. jmp 9D96F3D6 \SystemRoot\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! Функция IofCallDriver (804EE130) - модификация машинного кода. Метод JmpTo. jmp 8A39B84B >>> Функция воcстановлена успешно ! Функция IofCompleteRequest (804EE1C0) - модификация машинного кода. Метод JmpTo. jmp 8A39BE63 >>> Функция воcстановлена успешно ! Проверено функций: 284, перехвачено: 39, восстановлено: 44 1.3 Проверка IDT и SYSENTER Анализ для процессора 1 Проверка IDT и SYSENTER завершена 1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM Драйвер успешно загружен 1.5 Проверка обработчиков IRP Проверка завершена 2. Проверка памяти Количество найденных процессов: 31 Анализатор - изучается процесс 188 C:\Program Files\Microsoft IntelliType Pro\type32.exe [ES]:Приложение не имеет видимых окон [ES]:Записан в автозапуск !! Анализатор - изучается процесс 676 C:\Program Files\Microsoft IntelliPoint\point32.exe [ES]:Приложение не имеет видимых окон [ES]:Записан в автозапуск !! Анализатор - изучается процесс 1784 C:\Program Files\Common Files\ARS Company\Agent\Agent.exe [ES]:Приложение не имеет видимых окон [ES]:Записан в автозапуск !! Анализатор - изучается процесс 2076 C:\Program Files\Punto Switcher\punto.exe [ES]:Может работать с сетью [ES]:Приложение не имеет видимых окон [ES]:Записан в автозапуск !! [ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ? Анализатор - изучается процесс 3440 C:\Program Files\WinRAR\WinRAR.exe [ES]:Может работать с сетью Количество загруженных модулей: 376 Проверка памяти завершена 3. Сканирование дисков 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) C:\Program Files\Punto Switcher\pshook.dll --> Подозрение на Keylogger или троянскую DLL C:\Program Files\Punto Switcher\pshook.dll>>> Поведенческий анализ 1. Реагирует на события: клавиатура, мышь 2. Выясняет, какое окно находится в фокусе ввода 3. Опрашивает состояние клавиш 4. Опрашивает состояние клавиатуры 5. Опрашивает активную раскладку клавиатуры C:\Program Files\Punto Switcher\pshook.dll>>> Нейросеть: файл с вероятностью 83.43% похож на типовой перехватчик событий клавиатуры/мыши Файл успешно помещен в карантин (C:\Program Files\Punto Switcher\pshook.dll) На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами В базе 317 описаний портов На данном ПК открыто 16 TCP портов и 11 UDP портов Проверка завершена, подозрительные порты не обнаружены 7. Эвристичеcкая проверка системы Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~2\mzvkbd.dll,C:\PROGR A~1\KASPER~1\KASPER~2\mzvkbd3.dll" >>> C:\WINDOWS\kernel32.exe ЭПС: подозрение на Файл с подозрительным именем (высокая степень вероятности) Файл успешно помещен в карантин (C:\WINDOWS\kernel32.exe) >>> Подозрение на троянский DNS ({03842AAB-2B88-43CD-846F-74B5E681C95B} "Подключение по локальной сети 5") >>> Подозрение на троянский DNS ({9454ACC7-7442-4ACB-BF5B-FD8EECE88579}) Проверка завершена 8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику Проверка завершена 9. Мастер поиска и устранения проблем Проверка завершена Просканировано файлов: 407, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0 Сканирование завершено в 01.01.2009 23:06:34 !!! Внимание !!! Восстановлено 44 функций KiST в ходе работы антируткита Это может нарушить нормальную работу ряда программ, поэтому настоятельно рекомендуется перезагрузить компьютер Сканирование длилось 00:00:25 Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам, то Вы можете обратиться в конференцию - http://virusinfo.info |
|||
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Помоготи решить проблему,возникшую после атаки вирусов | Renin | Windows 7 | 1 | 16.01.2011 20:17 |
После перезагрузки компа пропадают ярлыки. Было гдето 50 а после перостается штук 10. | typoi | Windows XP | 1 | 23.11.2010 18:10 |
Атаки на svchost. Помогите. | Sobi1214 | Windows XP | 1 | 11.11.2010 20:51 |
Руины после сетевой атаки! | Тоныч | Windows XP | 13 | 05.09.2010 20:16 |
Можно ли востановить Касперский 2010 после атаки вирусов??????? | TaTaRin56 | Безопасность | 1 | 02.07.2010 12:31 |
Помогите разобраться после вирусной атаки | Lonely Ranger | Безопасность | 8 | 12.05.2010 20:04 |
DOS-атаки. Как быть? | maximusVBG | Безопасность | 12 | 10.05.2010 23:02 |
Последствия вирусной атаки | Шатолька | Безопасность | 3 | 01.04.2010 00:27 |
Восстановление после вирусной атаки | ДИВЕРСАНТ | Безопасность | 1 | 08.01.2010 23:48 |
Последствия атаки порнобанером | ВикторSm | Безопасность | 0 | 22.12.2009 21:48 |
Атаки на комп | ABSOLUT | Безопасность | 1 | 05.12.2009 11:10 |
Порт 445. Сетевые атаки. | SVIM | Безопасность | 1 | 12.02.2009 00:22 |