[iskander-k]

Выложите логи в соответствии с этими инструкциями.

[impulse101]

Внимание !!! База поcледний раз обновлялась 08.07.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

читать дальше »

Протокол антивирусной утилиты AVZ версии 4.34
Сканирование запущено в 07.02.2011 19:07:00
Загружена база: сигнатуры - 275419, нейропрофили - 2, микропрограммы лечения - 56, база от 08.07.2010 09:40
Загружены микропрограммы эвристики: 383
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 213048
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=083220)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 8055A220
KiST = 804E26A8 (284)
Функция NtAdjustPrivilegesToken (0B) перехвачена (8058E481->B126A5FA), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtClose (19) перехвачена (80567A7D->B126AEFE), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtConnectPort (1F) перехвачена (80588DCB->B126BD32), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateEvent (23) перехвачена (8056FDCA->B126C27C), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateFile (25) перехвачена (8056F610->B126B1DA), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateKey (29) перехвачена (80572EAD->B126946A), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateMutant (2B) перехвачена (8057AB4F->B126C162), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateNamedPipeFile (2C) перехвачена (8058531F->B126A1E8), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreatePort (2E) перехвачена (805975C1->B126C036), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateSection (32) перехвачена (805652B3->B126A390), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateSemaphore (33) перехвачена (80579605->B126C39C), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateThread (35) перехвачена (8057BD8A->B126AB86), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateWaitablePort (38) перехвачена (805DB12C->B126C0CC), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDebugActiveProcess (39) перехвачена (8065B21D->B126DA84), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDeleteKey (3F) перехвачена (805952CE->B1269A74), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDeleteValueKey (41) перехвачена (80592D60->B1269E28), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDeviceIoControlFile (42) перехвачена (8057CB40->B126B65C), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDuplicateObject (44) перехвачена (80573FF9->B126EC90), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtEnumerateKey (47) перехвачена (805735B4->B1269F74), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtEnumerateValueKey (49) перехвачена (80590679->B126A00C), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtFsControlFile (54) перехвачена (8057A667->B126B46A), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtLoadDriver (61) перехвачена (805A3B11->B126DB76), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtLoadKey (62) перехвачена (805AED7D->B1269446), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtLoadKey2 (63) перехвачена (805AEBBA->B1269458), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtMapViewOfSection (6C) перехвачена (80578A91->B126E2DE), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtNotifyChangeKey (6F) перехвачена (8058BA6D->B126A138), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenEvent (72) перехвачена (8057F73C->B126C312), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenFile (74) перехвачена (8056F5AB->B126AF80), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenKey (77) перехвачена (80568EF9->B126962A), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenMutant (78) перехвачена (8057ABFD->B126C1F2), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenProcess (7A) перехвачена (805741E0->B126A836), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenSection (7D) перехвачена (8056E213->B126E078), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenSemaphore (7E) перехвачена (8059EFD5->B126C432), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenThread (80) перехвачена (8058B59D->B126A728), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueryKey (A0) перехвачена (805732BD->B126A0A4), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueryMultipleValueKey (A1) перехвачена (8064E370->B1269CDC), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQuerySection (A7) перехвачена (8057E904->B126E618), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueryValueKey (B1) перехвачена (8056A392->B1269906), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueueApcThread (B4) перехвачена (80591099->B126DF0A), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtRenameKey (C0) перехвачена (8064E7EE->B1269B96), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtReplaceKey (C1) перехвачена (8064F14A->B1268E80), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtReplyPort (C2) перехвачена (8057E113->B126C796), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtReplyWaitReceivePort (C3) перехвачена (8056B9CE->B126C65C), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtRequestWaitReplyPort (C8) перехвачена (8056DA30->B126D81E), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtRestoreKey (CC) перехвачена (8064ECE1->B12691F8), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtResumeThread (CE) перехвачена (8057C3FD->B126EB32), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSaveKey (CF) перехвачена (8064EDE2->B1268E18), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSecureConnectPort (D2) перехвачена (8058F4EC->B126BA78), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetContextThread (D5) перехвачена (8062DD2F->B126ADA2), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetInformationToken (E6) перехвачена (805A8710->B126D0BE), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetSecurityObject (ED) перехвачена (8059B1AB->B126DD14), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetSystemInformation (F0) перехвачена (805A7BFD->B126E768), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetValueKey (F7) перехвачена (80579A53->B1269780), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSuspendProcess (FD) перехвачена (8062F911->B126E85A), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSuspendThread (FE) перехвачена (805E0466->B126E994), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSystemDebugControl (FF) перехвачена (80649D33->B126D9A8), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtTerminateProcess (101) перехвачена (805836C0->B126A9D2), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtTerminateThread (102) перехвачена (8057B4A6->B126A932), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtUnmapViewOfSection (10B) перехвачена (80578616->B126E4BC), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtWriteVirtualMemory (115) перехвачена (8057F1A8->B126AABC), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция FsRtlCheckLockForReadAccess (80512919) - модификация машинного кода. Метод JmpTo. jmp B125CFEC \SystemRoot\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция IoIsOperationSynchronous (804E875A) - модификация машинного кода. Метод JmpTo. jmp B125D3C8 \SystemRoot\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Проверено функций: 284, перехвачено: 60, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
\FileSystem\ntfs[IRP_MJ_CREATE] = 8A22E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8A22E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8A22E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8A22E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8A22E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8A22E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8A22E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A22E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8A22E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8A22E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A22E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8A22E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8A22E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8A22E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8A22E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8A22E1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 8945C1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 8945C1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 8945C1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 8945C1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 8945C1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 8945C1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 8945C1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8945C1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 8945C1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 8945C1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 8945C1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 8945C1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 8945C1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 8945C1F8 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 30
Количество загруженных модулей: 641
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение D:\WINDOWS.1\system32\drivers\sptd.sys
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
D:\Program Files\SmartFTP Client\sfShellTools.dll --> Подозрение на Keylogger или троянскую DLL
D:\Program Files\SmartFTP Client\sfShellTools.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
D:\WINDOWS.1\system32\MSVCP100.dll --> Подозрение на Keylogger или троянскую DLL
D:\WINDOWS.1\system32\MSVCP100.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
D:\Program Files\SmartFTP Client\ru-RU\sfShellTools.dll.mui --> Подозрение на Keylogger или троянскую DLL
D:\Program Files\SmartFTP Client\ru-RU\sfShellTools.dll.mui>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Нестандартный ключ Winlogon\Shell, подозрение на скрытый запуск "explorer.exe csrcs.exe"
>>> F:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)
>>> F:\gFHMuM.eXE ЭПС: подозрение на скрытый автозапуск F:\autorun.inf [Autorun\Open]
>>> F:\GfhMum.eXE ЭПС: подозрение на скрытый автозапуск F:\autorun.inf [Autorun\shell\open\command]
>>> C:\Program Files\Internet Explorer\setupapi.dll ЭПС: подозрение на скрытый автозапуск AppCertDlls (высокая степень вероятности)
>>> D:\thumbs.db ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
>> Модифицирован ключ запуска проводника
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 6587, извлечено из архивов: 1339, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 07.02.2011 19:13:30
Сканирование длилось 00:06:42
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info

вроди ничего не ссылается на это

[iskander-k]

Внимательно читаем правила - нужны архивы из папки LOG.

[goredey]

impulse101, выложите отчеты от АВЗ!!

[impulse101]

ну все завтра предоставлю, времени нету

[impulse101]

ну каспером проверил и вирус удалил...теперь експлорер пожирает процесор....на 99% работает на него...но не всегда.....пока что проверяю авз 4.35

[impulse101]

антивиры вирусов не выявили.......скайп только не могу запустить, в остальном тишина.....как только он грузится, выдает радосный звук запуска и берет 100%! процесора....ну и виснет.....

и еще
редактор реестра не грузится, мол у меня нет прав на доступ...

Внимание !!! База поcледний раз обновлялась 29.01.2011 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.35
Сканирование запущено в 01.01.2002 00:35:17
Загружена база: сигнатуры - 285065, нейропрофили - 2, микропрограммы лечения - 56, база от 29.01.2011 14:47
Загружены микропрограммы эвристики: 386
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 259599
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
\FileSystem\ntfs[IRP_MJ_CREATE] = 8A2271F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8A2271F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8A2271F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8A2271F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8A2271F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8A2271F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8A2271F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A2271F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8A2271F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8A2271F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A2271F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8A2271F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8A2271F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8A2271F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8A2271F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8A2271F8 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 20
Количество загруженных модулей: 298
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение D:\WINDOWS.1\system32\drivers\sptd.sys
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
D:\Program Files\SmartFTP Client\sfShellTools.dll --> Подозрение на Keylogger или троянскую DLL
D:\Program Files\SmartFTP Client\sfShellTools.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
D:\Program Files\SmartFTP Client\ru-RU\sfShellTools.dll.mui --> Подозрение на Keylogger или троянскую DLL
D:\Program Files\SmartFTP Client\ru-RU\sfShellTools.dll.mui>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 24 TCP портов и 18 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "D:\PROGRA~1\KASPER~1\KASPER~3\mzvkbd3.dll,D:\PROGRA~1\KASPER~1\KASPER~3\kloehk.dll"
>>> C:\Program Files\Internet Explorer\setupapi.dll ЭПС: подозрение на скрытый автозапуск AppCertDlls (высокая степень вероятности)
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
>> Разрешен автозапуск с HDD
>>> Разрешен автозапуск с HDD - исправлено
>> Разрешен автозапуск с сетевых дисков
>>> Разрешен автозапуск с сетевых дисков - исправлено
>> Разрешен автозапуск со сменных носителей
>>> Разрешен автозапуск со сменных носителей - исправлено
Проверка завершена
Просканировано файлов: 28140, извлечено из архивов: 20395, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 01.01.2002 00:40:02
Сканирование длилось 00:04:48
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в систему http://kaspersky-911.ru

[zirreX]

Прикрепите логи AVZ (virusinfo_syscheck.zip, virusinfo_syscure.zip) и RSIT (log.txt, info.txt)

[impulse101]

как его сохранить в лог???а то только протокол, что я в пребидущем сообщении могу сохранить))