Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] подозрение на вирус

1 2 Следующая >
Ответить
Настройки темы
[решено] подозрение на вирус

Новый участник


Сообщения: 31
Благодарности: 0

Профиль | Отправить PM | Цитировать

Изменения
Автор: Zubastic
Дата: 11-04-2011
Вообщем проблема такая: при старте винды начинает грузиться автозагрузка (аська, скайп, драйвера, каспер и тд), но тут же вылезает ошибка затем закрывается explorer.exe и еще пара драйверов. После система перезапускает рабочий стол и можно дальше работать, но это не очень удобно + отключаются драйвера, которые необходимы для работы системы, а рестартить их каждый раз неудобно. Подозрение на вирус тк вчера просматривал ссклинером систему: было 5 точек восстановления. Сегодня уже 0, у касперского повреждены все базы и обновиться он не может в обычном режиме (обновился в безопасном, но ничего не найдено)
HijackThis
читать дальше »
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 16:06:14, on 11.04.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Xerox\PanelMgr\SSMMgr.exe
C:\WINDOWS\ALCMTR.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe
C:\Program Files\Punto Switcher\ps.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ctfmon.exe
F:\FRAPS\FRAPS.EXE
C:\Program Files\QIP\qip.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
C:\Program Files\LogMeIn Hamachi\hamachi-2.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\MySQL\MySQL Server 5.1\bin\mysqld.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Opera\opera.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\msiexec.exe
C:\Documents and Settings\Никита\Рабочий стол\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ostnet.ru/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.4.8.11.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\ievkbd.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Xerox PanelMgr] C:\WINDOWS\Xerox\PanelMgr\SSMMgr.exe /autorun
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe"
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [nwiz] C:\Program Files\NVIDIA Corporation\nView\nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] "C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start
O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Fraps] F:\FRAPS\FRAPS.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: QIP 2005.lnk = C:\Program Files\QIP\qip.exe
O4 - Global Startup: procexp.lnk = C:\procexp.exe
O4 - Global Startup: Procmon.lnk = C:\Procmon.exe
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Загрузить &с помощью BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: Загрузить всё с помощью BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O9 - Extra button: &Виртуальная клавиатура - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O9 - Extra button: Проверка ссы&лок - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.4.8.11.dll/206 (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{7851E1A1-5CC7-4A25-9CCD-7C8F05723D3C}: NameServer = 10.11.12.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll C:\WINDOWS\system32\vksaver.dll
O22 - SharedTaskScheduler: Предзагрузчик Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Демон кэша категорий компонентов - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Program Files\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: MySQL - Unknown owner - C:\Program.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 9440 bytes

AVZ сейчас проверяет систему на вирусы и прочую гадость. Пока есть только его лог:
читать дальше »

Сканирование запущено в 11.04.2011 16:38:36
Загружены микропрограммы эвристики: 383
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 220217
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=085700)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 8055C700
KiST = 80504480 (284)
Функция NtAdjustPrivilegesToken (0B) перехвачена (805EC494->B2BC058C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtClose (19) перехвачена (805BC55C->B825C7EA), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtConnectPort (1F) перехвачена (805A45FC->B2BC1922), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateEvent (23) перехвачена (8060EF7E->B2BC1E94), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateFile (25) перехвачена (805790A8->B2BC10EE), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateKey (29) перехвачена (80624120->B825C5E0), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtCreateMutant (2B) перехвачена (806176CE->B2BC1D6C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateNamedPipeFile (2C) перехвачена (805790E2->B2BC0192), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreatePort (2E) перехвачена (805A5118->B2BC1C28), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateSection (32) перехвачена (805AB3F4->B2BC034E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateSemaphore (33) перехвачена (8061507E->B2BC1FC6), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateSymbolicLinkObject (34) перехвачена (805C3A26->B2BC3C08), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateThread (35) перехвачена (805D1048->B2BC0AAA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateWaitablePort (38) перехвачена (805A513C->B2BC1CCA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDebugActiveProcess (39) перехвачена (80643B60->B2BC35FA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDeleteKey (3F) перехвачена (806245BC->B825C488), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtDeleteValueKey (41) перехвачена (8062478C->B825C4CE), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtDeviceIoControlFile (42) перехвачена (8057926E->B2BC1576), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDuplicateObject (44) перехвачена (805BE034->B2BC45CA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtEnumerateKey (47) перехвачена (8062496C->B825C3CE), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtEnumerateValueKey (49) перехвачена (80624BD6->B825C32A), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtFlushKey (4F) перехвачена (80624E40->B825C422), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtFsControlFile (54) перехвачена (805792A2->B2BC1382), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtLoadDriver (61) перехвачена (80584160->B2BC368C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtLoadKey (62) перехвачена (80626344->B825C94E), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtLoadKey2 (63) перехвачена (80625F50->B2BBF424), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtMapViewOfSection (6C) перехвачена (805B2066->B2BC3CBC), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtNotifyChangeKey (6F) перехвачена (8062630E->B2BC00C0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenEvent (72) перехвачена (8060F07E->B2BC1F36), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenFile (74) перехвачена (8057A1A6->B2BC0E8E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenKey (77) перехвачена (806254FE->B825C7AC), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtOpenMutant (78) перехвачена (806177A6->B2BC1E04), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenProcess (7A) перехвачена (805CB470->B2BC0792), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenSection (7D) перехвачена (805AA418->B2BC3C32), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenSemaphore (7E) перехвачена (80615178->B2BC2068), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenThread (80) перехвачена (805CB6FC->B2BC06B6), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueryKey (A0) перехвачена (80625840->B825C01A), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtQueryMultipleValueKey (A1) перехвачена (8062326E->B2BBFC46), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQuerySection (A7) перехвачена (805B860C->B2BC3FD4), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueryValueKey (B1) перехвачена (80622344->B825C0B2), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtQueueApcThread (B4) перехвачена (805D12A6->B2BC3922), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtRenameKey (C0) перехвачена (80623B42->B2BBFB0E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtReplaceKey (C1) перехвачена (806261F4->B2BBF2B0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtReplyPort (C2) перехвачена (805A5518->B2BC23F2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtReplyWaitReceivePort (C3) перехвачена (805A64E0->B2BC22B8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtRequestWaitReplyPort (C8) перехвачена (805A2DA2->B2BC339A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtRestoreKey (CC) перехвачена (80625B00->B2BC6E2C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtResumeThread (CE) перехвачена (805D49EA->B2BC44AC), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSaveKey (CF) перехвачена (80625BFC->B2BBF248), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSecureConnectPort (D2) перехвачена (805A3D90->B2BC165C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetContextThread (D5) перехвачена (805D176A->B2BC0CC8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetInformationToken (E6) перехвачена (805FA7E4->B2BC2C4A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetSecurityObject (ED) перехвачена (805C065A->B2BC3786), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetSystemInformation (F0) перехвачена (8060FD36->B2BC4114), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetValueKey (F7) перехвачена (80622692->B825C1D6), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtSuspendProcess (FD) перехвачена (805D4AB2->B2BC41F8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSuspendThread (FE) перехвачена (805D4924->B2BC4320), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSystemDebugControl (FF) перехвачена (806180EA->B2BC3526), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtTerminateProcess (101) перехвачена (805D2A12->B2BC090A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtTerminateThread (102) перехвачена (805D2C0C->B2BC0860), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtUnloadKey (107) перехвачена (806229BC->B825CA9E), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtUnmapViewOfSection (10B) перехвачена (805B2E74->B2BC3E8A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtWriteVirtualMemory (115) перехвачена (805B43F8->B2BC09EA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция FsRtlCheckLockForReadAccess (804EAF84) - модификация машинного кода. Метод JmpTo. jmp B2BB54DC \SystemRoot\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция IoIsOperationSynchronous (804EF912) - модификация машинного кода. Метод JmpTo. jmp B2BB58B6 \SystemRoot\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Проверено функций: 284, перехвачено: 63, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
\FileSystem\ntfs[IRP_MJ_CREATE] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8AD991F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 8A355500 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 36
Анализатор - изучается процесс 812 C:\WINDOWS\Xerox\PanelMgr\SSMMgr.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
[ES]:Записан в автозапуск !!
Количество загруженных модулей: 425
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение D:\28610aba319fe7ae87\commonfiles\hdaprop.dll
Прямое чтение D:\28610aba319fe7ae87\commonfiles\hdashcut.exe
Прямое чтение D:\28610aba319fe7ae87\commonfiles\hdaudbus.inf
Прямое чтение D:\28610aba319fe7ae87\commonfiles\hdaudbus.sys
Прямое чтение D:\28610aba319fe7ae87\commonfiles\hdaudio.inf
Прямое чтение D:\28610aba319fe7ae87\commonfiles\hdaudio.sys
Прямое чтение D:\28610aba319fe7ae87\commonfiles\hdaudres.dll
Прямое чтение D:\28610aba319fe7ae87\update\spcustom.dll
Прямое чтение D:\28610aba319fe7ae87\update\spmsg.dll
Прямое чтение D:\28610aba319fe7ae87\update\update.exe
Прямое чтение D:\28610aba319fe7ae87\update\update.inf
Прямое чтение D:\28610aba319fe7ae87\update\updspapi.dll
Прямое чтение D:\28610aba319fe7ae87\winxpsp2\portcls.sys
D:\Program Files\Lineage II Interlude\Lineage II Interlude\system\nwindow.dll.bak - PE файл с нестандартным расширением(степень опасности 5%)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\system32\vksaver.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\vksaver.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
F:\FRAPS\FRAPS.DLL --> Подозрение на Keylogger или троянскую DLL
F:\FRAPS\FRAPS.DLL>>> Поведенческий анализ
1. Реагирует на события: клавиатура, мышь
F:\FRAPS\FRAPS.DLL>>> Нейросеть: файл с вероятностью 1.98% похож на типовой перехватчик событий клавиатуры/мыши
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll C:\WINDOWS\system32\vksaver.dll"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 23180, извлечено из архивов: 3528, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 11.04.2011 16:42:58
Сканирование длилось 00:04:24
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info
Выполняется исследование системы
Исследование системы завершено

еще вчера установился непонятно как скринсейвер с животными, ходящими по панели задач и некий сайт стал по умолчанию поисковиком (ествественно выпилино и удалено)

Отправлено: 16:26, 11-04-2011

 

Аватара для icotonev

Старожил


Сообщения: 288
Благодарности: 90

Профиль | Отправить PM | Цитировать

Привет ..! Ждем результатов сканирования .. еще раз напомнить: Нам нужны ваши логи!
Это сообщение посчитали полезным следующие участники:

Отправлено: 17:20, 11-04-2011 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Новый участник


Сообщения: 31
Благодарности: 0

Профиль | Отправить PM | Цитировать

Вложения
Тип файла: txt info.txt
(25.2 Kb, 2 просмотров)
Тип файла: txt log.txt
(31.9 Kb, 1 просмотров)

Привет) После ребута окна не закрываются и ошибка исчезла, но почему-то CoD BO не запускается, без всяких ошибок, программа была переустановлена, собственно непонятно...возможно вирус постарался, логи сейчас залью
и наверно не в тему, но все же: иногда при выключении компьютера вылезает синий экран с драйвером psi.sys и кодом ошибки, можно ли его как-то исправить?

Отправлено: 20:09, 11-04-2011 | #3


Аватара для icotonev

Старожил


Сообщения: 288
Благодарности: 90

Профиль | Отправить PM | Цитировать

HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код: Выделить весь код
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ostnet.ru/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код: Выделить весь код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SetAVZGuardStatus(True);
 QuarantineFile('D:\Program Files\Lineage II Interlude\Lineage II Interlude\system\nwindow.dll.bak','');
 QuarantineFile('C:\WINDOWS\Installer\83fcc.msi','');
 QuarantineFile('C:\Program Files\QIP\Users\381925409\RcvdFiles\314832636_DrOzD\Total Video Converter\Total Video Converter\Total Video Converter\tvc.exe.bak','');
 QuarantineFile('C:\Documents and Settings\Никита\Рабочий стол\l2wmx.3.2.0\Loader.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\PROCMON20.SYS','');
 QuarantineFile('C:\Procmon.exe','');
 QuarantineFile('C:\WINDOWS\System32\fyrihyj.dll','');
 DeleteFile('C:\WINDOWS\System32\fyrihyj.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код: Выделить весь код
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через этой формы

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Сделайте еще раз логи АВЗ + RSIT и приложите к посту.
Изменения какие-либо есть?

Последний раз редактировалось icotonev, 11-04-2011 в 23:18.

Это сообщение посчитали полезным следующие участники:

Отправлено: 22:27, 11-04-2011 | #4


Новый участник


Сообщения: 31
Благодарности: 0

Профиль | Отправить PM | Цитировать

Код: Выделить весь код
 DeleteFile('C:\WINDOWS\System32\fyrihyj.dll');
лучше этого не делать) тут же произошел ребут компьютера и отключился выход в интернет QIP ссылался на закрытые порты, после восстановления данного файлика интернет появился)
компьютер стал нормально загружаться, ошибок explorer и прочего нет, впринципе проблема решена, я думаю, кроме двух вещей:

при запуске скана или обновления Malwarebytes' Anti-Malware
и при фиксе
Код: Выделить весь код
O10 - Unknown file in Winsock LSP: fyrihyj.dll

Отправлено: 11:26, 12-04-2011 | #5


Новый участник


Сообщения: 31
Благодарности: 0

Профиль | Отправить PM | Цитировать

Вложения
Тип файла: txt log.txt
(30.7 Kb, 2 просмотров)
Тип файла: txt info.txt
(25.2 Kb, 0 просмотров)

вот новые логи

Отправлено: 11:41, 12-04-2011 | #6


Аватара для icotonev

Старожил


Сообщения: 288
Благодарности: 90

Профиль | Отправить PM | Цитировать

Необходимо, чтобы воспользоваться программой LSPFix.exe .После выполнения скрипт, восстановить доступ к Интернет с помощью LSP-Fix

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код: Выделить весь код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\fyrihyj.dll','');
 QuarantineFile('C:\WINDOWS\system32\vksaver.dll','');
 DeleteFile('C:\WINDOWS\System32\fyrihyj.dll');
 DeleteFile('C:\WINDOWS\system32\vksaver.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код: Выделить весь код
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через этой формы
Это сообщение посчитали полезным следующие участники:

Отправлено: 12:15, 12-04-2011 | #7


Новый участник


Сообщения: 31
Благодарности: 0

Профиль | Отправить PM | Цитировать

icotonev, вксейвер это не вирус, а первый файл уже был в предыдущем архиве, Вы уверены, что нужно повторно его высылать?

Отправлено: 12:56, 12-04-2011 | #8


Аватара для icotonev

Старожил


Сообщения: 288
Благодарности: 90

Профиль | Отправить PM | Цитировать

http://heavenward.ru/ru/removeany_se...38.vksaver.dll

Отправлено: 13:17, 12-04-2011 | #9


Новый участник


Сообщения: 31
Благодарности: 0

Профиль | Отправить PM | Цитировать

ну это анализ файла, там нет уверенности, что это вирус
http://audiovkontakte.ru/

Отправлено: 13:23, 12-04-2011 | #10

1 2 Следующая >


Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] подозрение на вирус

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Непонятная программа Shredder подозрение на вирус Jo-iZo Лечение систем от вредоносных программ 1 16-12-2010 00:52
подозрение на вирус.. svchost foxbat Лечение систем от вредоносных программ 11 28-06-2010 16:14
Не работают скрипты в браузере. Есть подозрение на вирус!:( zhefran Лечение систем от вредоносных программ 14 19-09-2008 17:49
Подозрение на вирус Tanusik Лечение систем от вредоносных программ 2 13-04-2008 16:30
Kaspersky стал в программе Remote admin определять вирус - не вирус, почему? Dionin Защита компьютерных систем 5 30-03-2005 08:27


« Предыдущая тема | Следующая тема »


 
Переход