[ники]

На virustotal.com проверяю программу даже если скачена с офф. сайта обязательно найдет Suspicious File(wwdc 1.41) или Trojan.Generic(winrar) эти вирусы опасны или сигнатуры кривые.

[Pili]

ники, В логах чисто. AVP.EXE и ACS.EXE - легитмные, KIS и Outpost не рекомендую использовать совместно.
Как насчет wpabalan.exe?
Suspicious - это ещё не значит что зловред.
Другими утилитами проверяться будем?

[ники]

В логах чисто
а как насчет этого, они опознаны как безапасные в этом то и проблема, когда фаервол кричал о пепрехвате нажатий клавиш я отправил соответсвуюшуюю дллку в вир лаб оказалась что она изменена.
Подозрительные объектыФайл Описание Тип
C:\WINDOWS\system32\DRIVERS\klif.sys
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit Перехватчик KernelMode
C:\WINDOWS\system32\DRIVERS\SandBox.sys
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit Перехватчик KernelMode
C:\WINDOWS\system32\drivers\afwcore.sys
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit Перехватчик KernelMode

AVP.EXE и ACS.EXE - легитмные
это понятно НО неужили разработчики встроили в касперского перехват нажатий клавишь? я так недумаю.

KIS и Outpost не рекомендую использовать совместно.
слепой фаевол небудет беспокоить или что?

Как насчет wpabalan.exe?
этот процесс напоминает об активации хр

Другими утилитами проверяться будем?
желательно т.к хочется найте этого гада и чтоб он попал базы сигнатур.

[Pili]

Цитата ники:

огда фаервол кричал о пепрехвате нажатий клавиш я отправил соответсвуюшуюю дллку в вир лаб оказалась что она изменена. »

Имя dll и как её классифицировал вирлаб?

Цитата:

C:\WINDOWS\system32\DRIVERS\klif.sys C:\WINDOWS\system32\DRIVERS\SandBox.sys C:\WINDOWS\system32\drivers\afwcore.sys

Легитимные.

Цитата ники:

разработчики встроили в касперского перехват нажатий клавишь »

Имхо, есть такое. Подробнее можете узнать, написав сюда

Цитата ники:

слепой фаевол небудет беспокоить или что? »

Вопрос переформулируйте. В KIS и Outpost есть модули, выполняющие одинаковые функции.

Цитата ники:

Как насчет wpabalan.exe? этот процесс напоминает об активации хр »

Я спрашивал о wpabalan.exe, а не wpabaln.exe (который связан с активацией)

Цитата ники:

В диспетчере задач странный процесс wpabalan.exe и два avp.exe »

Цитата Pili:

Точно wpabalan.exe, а не wpabaln.exe? Покажите скриншот, где у вас wpabalan.exe в процессах? »

Цитата ники:

желательно т.к хочется найте этого гада и чтоб он попал базы сигнатур. »

Имхо, никакого "гада" у вас нет, но если хотите дальше проверяться:
Проведите сканирование системы с помощью F-Secure Online Scanner
После проверки нажмите "Show report" и скопируйте лог проверки в сообщение.
Деинсталлируйте Outpost
Скачайте Rooter.exe
Запустите, полученный лог C:\Rooter.txt вложите в следующее сообщение.

Скачайте DDS DDS.scr, DDS.pif или DDS.com сохраните на рабочий стол, отключите антивирус и запустите DDS, когда сканирование закончится, скопируйте текст из файлов DDS.txt и Attach.txt в сообщение или запакуйте файлы и вложите в сообщение.

Скачайте Lop S&D
Запустите, выберите язык (нажмите "E", выберите Option 1 (Search)
После окончания сканирования скопируйте текст из файла C:\lopR.txt в сообщение или запакуйте файл и вложите в сообщение

Скачайте GetSystemInfo (GSI) здесь или здесь, запустите, укажите с помощью обзора папку для сохранения протокола, полученный файл протокола в архиве прикрепите к сообщению.

[ники]

Имя dll и как её классифицировал вирлаб?
кажется adialhak.dll никак не классифицировал это файл касперского только был немного изменен,

Как насчет wpabalan.exe?
этот процесс напоминает об активации хр, когда ставлю хр лицензионная просит ключ ввожу, и потом еще 30 дней мне об активации напоминает на 31 забывает.

[Pili]

ники, об активации вам напоминает wpabaln.exe, он есть в логах, wpabalan.exe в логах нет, и если вы обнаружили такой wpabalan.exe, то это м.б. зловред, отошлите wpabalan.exe в архиве с паролем virus на newvirus@kaspersky.com

Цитата ники:

кажется adialhak.dll никак не классифицировал это файл касперского только был немного изменен, »

adialhak.dll легитмный, от касперского, м.б. изменен при обновлении, какие по поводу него беспокойства?

[ники]

Просил оутпост деинсталиравать? драйвер сам выгрузился!
На диске С и на флешке образовалась папка "..." в папке копия диска С т.е все что есть на диске С есть в этой папке ток же дело обстоит и с флешкой - вирус?

[Pili]

ники, остальные логи сделайте, логи dds переделайте, см. пост 14. Что насчет wpabalan.exe?

[ники]

Как запретить доступ анонимному пользователю?

Что за перехват, может где "дырка", после переустановки чистую ОС проверял ничего подобного небыло.

Функция user32.dll:ChangeDisplaySettingsExA (34) перехвачена, метод APICodeHijack.JmpTo[100AB842]
Функция user32.dll:ChangeDisplaySettingsExW (35) перехвачена, метод APICodeHijack.JmpTo[100AB86E]
Функция user32.dll:EndTask (202) перехвачена, метод APICodeHijack.JmpTo[100AB52A]
Функция user32.dll:SetForegroundWindow (600) перехвачена, метод APICodeHijack.JmpTo[100AB4D2]
Функция user32.dll:SetWindowPos (644) перехвачена, метод APICodeHijack.JmpTo[100AB4FE]

KiST = 804E2D20 (284)
Функция NtAdjustPrivilegesToken (0B) перехвачена (80598539->F7D681DA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtAssignProcessToJobObject (13) перехвачена (805A4567->F7BD1B4A), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtClose (19) перехвачена (805675D9->F7BB1C16), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtConnectPort (1F) перехвачена (80598C34->F7BD414E), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtCreateFile (25) перехвачена (8057164C->F7BA9DA2), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtCreateKey (29) перехвачена (8056F063->F7BBAD92), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtCreateProcess (2F) перехвачена (805B3543->F7BC9646), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtCreateProcessEx (30) перехвачена (805885D3->F7BCA15E), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtCreateSection (32) перехвачена (80564B1B->F7BA82FE), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtCreateSymbolicLinkObject (34) перехвачена (805A27B0->F7BBA682), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtCreateThread (35) перехвачена (8057F262->F7BC7CC6), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtDeleteFile (3E) перехвачена (805D8CF7->F7BB8F26), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtDeleteKey (3F) перехвачена (8059D6BD->F7BBCD4E), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtDeleteValueKey (41) перехвачена (80597430->F7BC47A2), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtDeviceIoControlFile (42) перехвачена (8057FBD0->F7D69EAC), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDuplicateObject (44) перехвачена (805743BE->F7D6C084), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtEnumerateKey (47) перехвачена (8056F76A->F7D680A8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtEnumerateValueKey (49) перехвачена (805801FE->F7D68110), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtFsControlFile (54) перехвачена (8057DA0D->F7D69D5E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtLoadDriver (61) перехвачена (805A6B26->F7BC6666), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtMakeTemporaryObject (69) перехвачена (805A2C6E->F7BB9D86), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtOpenFile (74) перехвачена (805715E7->F7BB00CF), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtOpenKey (77) перехвачена (805684D5->F7BBC154), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtOpenProcess (7A) перехвачена (8057459E->F7BCC8B6), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtOpenSection (7D) перехвачена (805766CC->F7BA8D5E), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtOpenThread (80) перехвачена (80597C0A->F7BCBB36), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtProtectVirtualMemory (89) перехвачена (8057494D->F7BD3342), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtQueryDirectoryFile (91) перехвачена (80574DAD->F7BB2C8D), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtQueryKey (A0) перехвачена (8056F473->F7BBDB82), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtQueryMultipleValueKey (A1) перехвачена (8064CF58->F7D67E7C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueryValueKey (B1) перехвачена (8056B9A8->F7BBE65E), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtQueueApcThread (B4) перехвачена (80580A00->F7BD0D92), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtRenameKey (C0) перехвачена (8064D39F->F7BC369E), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtReplaceKey (C1) перехвачена (8064D892->F7BC0216), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtRequestPort (C7) перехвачена (805DF2BF->F7BD6636), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtRequestWaitReplyPort (C8) перехвачена (8057860F->F7BD6C1A), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtRestoreKey (CC) перехвачена (8064C3B0->F7BC2B6A), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtResumeThread (CE) перехвачена (8057F8D5->F7D6BF56), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSaveKey (CF) перехвачена (8064C457->F7BC16CA), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtSaveKeyEx (D0) перехвачена (8064C4EF->F7BC2112), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtSecureConnectPort (D2) перехвачена (80585D7D->F7BD4E36), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtSetContextThread (D5) перехвачена (8062C85B->F7BD01B6), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtSetInformationFile (E0) перехвачена (80579E7E->F7BB4BDE), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtSetSecurityObject (ED) перехвачена (8059DB78->F7D6B71A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetSystemInformation (F0) перехвачена (805A5110->F7BC59C2), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtSetValueKey (F7) перехвачена (80575527->F7BBF1BA), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtSuspendProcess (FD) перехвачена (8062E431->F7BCEEE6), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtSuspendThread (FE) перехвачена (805DC61B->F7BCF80E), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtSystemDebugControl (FF) перехвачена (8064872D->F7BD781A), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtTerminateProcess (101) перехвачена (8058AE1E->F7BCD66E), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtTerminateThread (102) перехвачена (8057E97C->F7BCE386), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtUnloadDriver (106) перехвачена (80618B6E->F7BC723E), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtWriteVirtualMemory (115) перехвачена (8057C123->F7BD25E6), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция FsRtlCheckLockForReadAccess (804FDAF1) - модификация машинного кода. Метод JmpTo. jmp F7D7F626 \SystemRoot\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция IoIsOperationSynchronous (804E8EBA) - модификация машинного кода. Метод JmpTo. jmp F7D7F9E0 \SystemRoot\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Проверено функций: 284, перехвачено: 53, восстановлено: 0

опять легитимно?

[Pili]

Цитата ники:

Как запретить доступ анонимному пользователю? »

Выполните в AVZ скрипт

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
end.

Цитата ники:

опять легитимно? »

Что вас беспокоит конкретно?
По логам зловредов нет, ещё раз прочитайте внимательно пост 14, деинсталлируйте Outpost и сделайте все логи по рекомендациям, в т.ч. логи F-Secure Online Scanner.

Цитата Pili:

Что насчет wpabalan.exe? »

Если будет и дальше игнорирование вопросов и рекомендаций, тема будет закрыта.