Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] подозрение на вирус

< Предыдущая 1 2
Ответить
Настройки темы
[решено] подозрение на вирус

Новый участник


Сообщения: 31
Благодарности: 0

Профиль | Отправить PM | Цитировать

Изменения
Автор: Zubastic
Дата: 11-04-2011
Вообщем проблема такая: при старте винды начинает грузиться автозагрузка (аська, скайп, драйвера, каспер и тд), но тут же вылезает ошибка затем закрывается explorer.exe и еще пара драйверов. После система перезапускает рабочий стол и можно дальше работать, но это не очень удобно + отключаются драйвера, которые необходимы для работы системы, а рестартить их каждый раз неудобно. Подозрение на вирус тк вчера просматривал ссклинером систему: было 5 точек восстановления. Сегодня уже 0, у касперского повреждены все базы и обновиться он не может в обычном режиме (обновился в безопасном, но ничего не найдено)
HijackThis
читать дальше »
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 16:06:14, on 11.04.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Xerox\PanelMgr\SSMMgr.exe
C:\WINDOWS\ALCMTR.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe
C:\Program Files\Punto Switcher\ps.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ctfmon.exe
F:\FRAPS\FRAPS.EXE
C:\Program Files\QIP\qip.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
C:\Program Files\LogMeIn Hamachi\hamachi-2.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\MySQL\MySQL Server 5.1\bin\mysqld.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Opera\opera.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\msiexec.exe
C:\Documents and Settings\Никита\Рабочий стол\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ostnet.ru/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.4.8.11.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\ievkbd.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Xerox PanelMgr] C:\WINDOWS\Xerox\PanelMgr\SSMMgr.exe /autorun
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe"
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [nwiz] C:\Program Files\NVIDIA Corporation\nView\nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] "C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start
O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Fraps] F:\FRAPS\FRAPS.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: QIP 2005.lnk = C:\Program Files\QIP\qip.exe
O4 - Global Startup: procexp.lnk = C:\procexp.exe
O4 - Global Startup: Procmon.lnk = C:\Procmon.exe
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Загрузить &с помощью BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: Загрузить всё с помощью BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O9 - Extra button: &Виртуальная клавиатура - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O9 - Extra button: Проверка ссы&лок - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.4.8.11.dll/206 (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{7851E1A1-5CC7-4A25-9CCD-7C8F05723D3C}: NameServer = 10.11.12.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll C:\WINDOWS\system32\vksaver.dll
O22 - SharedTaskScheduler: Предзагрузчик Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Демон кэша категорий компонентов - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Program Files\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: MySQL - Unknown owner - C:\Program.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 9440 bytes

AVZ сейчас проверяет систему на вирусы и прочую гадость. Пока есть только его лог:
читать дальше »

Сканирование запущено в 11.04.2011 16:38:36
Загружены микропрограммы эвристики: 383
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 220217
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=085700)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 8055C700
KiST = 80504480 (284)
Функция NtAdjustPrivilegesToken (0B) перехвачена (805EC494->B2BC058C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtClose (19) перехвачена (805BC55C->B825C7EA), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtConnectPort (1F) перехвачена (805A45FC->B2BC1922), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateEvent (23) перехвачена (8060EF7E->B2BC1E94), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateFile (25) перехвачена (805790A8->B2BC10EE), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateKey (29) перехвачена (80624120->B825C5E0), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtCreateMutant (2B) перехвачена (806176CE->B2BC1D6C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateNamedPipeFile (2C) перехвачена (805790E2->B2BC0192), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreatePort (2E) перехвачена (805A5118->B2BC1C28), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateSection (32) перехвачена (805AB3F4->B2BC034E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateSemaphore (33) перехвачена (8061507E->B2BC1FC6), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateSymbolicLinkObject (34) перехвачена (805C3A26->B2BC3C08), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateThread (35) перехвачена (805D1048->B2BC0AAA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateWaitablePort (38) перехвачена (805A513C->B2BC1CCA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDebugActiveProcess (39) перехвачена (80643B60->B2BC35FA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDeleteKey (3F) перехвачена (806245BC->B825C488), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtDeleteValueKey (41) перехвачена (8062478C->B825C4CE), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtDeviceIoControlFile (42) перехвачена (8057926E->B2BC1576), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDuplicateObject (44) перехвачена (805BE034->B2BC45CA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtEnumerateKey (47) перехвачена (8062496C->B825C3CE), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtEnumerateValueKey (49) перехвачена (80624BD6->B825C32A), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtFlushKey (4F) перехвачена (80624E40->B825C422), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtFsControlFile (54) перехвачена (805792A2->B2BC1382), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtLoadDriver (61) перехвачена (80584160->B2BC368C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtLoadKey (62) перехвачена (80626344->B825C94E), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtLoadKey2 (63) перехвачена (80625F50->B2BBF424), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtMapViewOfSection (6C) перехвачена (805B2066->B2BC3CBC), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtNotifyChangeKey (6F) перехвачена (8062630E->B2BC00C0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenEvent (72) перехвачена (8060F07E->B2BC1F36), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenFile (74) перехвачена (8057A1A6->B2BC0E8E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenKey (77) перехвачена (806254FE->B825C7AC), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtOpenMutant (78) перехвачена (806177A6->B2BC1E04), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenProcess (7A) перехвачена (805CB470->B2BC0792), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenSection (7D) перехвачена (805AA418->B2BC3C32), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenSemaphore (7E) перехвачена (80615178->B2BC2068), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenThread (80) перехвачена (805CB6FC->B2BC06B6), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueryKey (A0) перехвачена (80625840->B825C01A), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtQueryMultipleValueKey (A1) перехвачена (8062326E->B2BBFC46), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQuerySection (A7) перехвачена (805B860C->B2BC3FD4), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueryValueKey (B1) перехвачена (80622344->B825C0B2), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtQueueApcThread (B4) перехвачена (805D12A6->B2BC3922), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtRenameKey (C0) перехвачена (80623B42->B2BBFB0E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtReplaceKey (C1) перехвачена (806261F4->B2BBF2B0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtReplyPort (C2) перехвачена (805A5518->B2BC23F2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtReplyWaitReceivePort (C3) перехвачена (805A64E0->B2BC22B8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtRequestWaitReplyPort (C8) перехвачена (805A2DA2->B2BC339A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtRestoreKey (CC) перехвачена (80625B00->B2BC6E2C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtResumeThread (CE) перехвачена (805D49EA->B2BC44AC), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSaveKey (CF) перехвачена (80625BFC->B2BBF248), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSecureConnectPort (D2) перехвачена (805A3D90->B2BC165C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetContextThread (D5) перехвачена (805D176A->B2BC0CC8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetInformationToken (E6) перехвачена (805FA7E4->B2BC2C4A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetSecurityObject (ED) перехвачена (805C065A->B2BC3786), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetSystemInformation (F0) перехвачена (8060FD36->B2BC4114), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetValueKey (F7) перехвачена (80622692->B825C1D6), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtSuspendProcess (FD) перехвачена (805D4AB2->B2BC41F8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSuspendThread (FE) перехвачена (805D4924->B2BC4320), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSystemDebugControl (FF) перехвачена (806180EA->B2BC3526), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtTerminateProcess (101) перехвачена (805D2A12->B2BC090A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtTerminateThread (102) перехвачена (805D2C0C->B2BC0860), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtUnloadKey (107) перехвачена (806229BC->B825CA9E), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtUnmapViewOfSection (10B) перехвачена (805B2E74->B2BC3E8A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtWriteVirtualMemory (115) перехвачена (805B43F8->B2BC09EA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция FsRtlCheckLockForReadAccess (804EAF84) - модификация машинного кода. Метод JmpTo. jmp B2BB54DC \SystemRoot\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция IoIsOperationSynchronous (804EF912) - модификация машинного кода. Метод JmpTo. jmp B2BB58B6 \SystemRoot\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Проверено функций: 284, перехвачено: 63, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
\FileSystem\ntfs[IRP_MJ_CREATE] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8AD991F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 8A355500 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 36
Анализатор - изучается процесс 812 C:\WINDOWS\Xerox\PanelMgr\SSMMgr.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
[ES]:Записан в автозапуск !!
Количество загруженных модулей: 425
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение D:\28610aba319fe7ae87\commonfiles\hdaprop.dll
Прямое чтение D:\28610aba319fe7ae87\commonfiles\hdashcut.exe
Прямое чтение D:\28610aba319fe7ae87\commonfiles\hdaudbus.inf
Прямое чтение D:\28610aba319fe7ae87\commonfiles\hdaudbus.sys
Прямое чтение D:\28610aba319fe7ae87\commonfiles\hdaudio.inf
Прямое чтение D:\28610aba319fe7ae87\commonfiles\hdaudio.sys
Прямое чтение D:\28610aba319fe7ae87\commonfiles\hdaudres.dll
Прямое чтение D:\28610aba319fe7ae87\update\spcustom.dll
Прямое чтение D:\28610aba319fe7ae87\update\spmsg.dll
Прямое чтение D:\28610aba319fe7ae87\update\update.exe
Прямое чтение D:\28610aba319fe7ae87\update\update.inf
Прямое чтение D:\28610aba319fe7ae87\update\updspapi.dll
Прямое чтение D:\28610aba319fe7ae87\winxpsp2\portcls.sys
D:\Program Files\Lineage II Interlude\Lineage II Interlude\system\nwindow.dll.bak - PE файл с нестандартным расширением(степень опасности 5%)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\system32\vksaver.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\vksaver.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
F:\FRAPS\FRAPS.DLL --> Подозрение на Keylogger или троянскую DLL
F:\FRAPS\FRAPS.DLL>>> Поведенческий анализ
1. Реагирует на события: клавиатура, мышь
F:\FRAPS\FRAPS.DLL>>> Нейросеть: файл с вероятностью 1.98% похож на типовой перехватчик событий клавиатуры/мыши
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll C:\WINDOWS\system32\vksaver.dll"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 23180, извлечено из архивов: 3528, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 11.04.2011 16:42:58
Сканирование длилось 00:04:24
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info
Выполняется исследование системы
Исследование системы завершено

еще вчера установился непонятно как скринсейвер с животными, ходящими по панели задач и некий сайт стал по умолчанию поисковиком (ествественно выпилино и удалено)

Отправлено: 16:26, 11-04-2011

 

Аватара для icotonev

Старожил


Сообщения: 288
Благодарности: 90

Профиль | Отправить PM | Цитировать

Пожалуйста, пришлите файл: vksaver.dll на VirusТotal,и сообщить о результатах в своем следующем посте

Последний раз редактировалось icotonev, 12-04-2011 в 22:47.

Отправлено: 13:29, 12-04-2011 | #11



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Новый участник


Сообщения: 31
Благодарности: 0

Профиль | Отправить PM | Цитировать

File name:
vksaver.dll
Submission date:
2011-04-12 19:00:28 (UTC)
Current status:
finished
Result:
0/ 42 (0.0%)

Compact
Print results Antivirus Version Last Update Result
AhnLab-V3 2011.04.12.01 2011.04.12 -
AntiVir 7.11.6.66 2011.04.12 -
Antiy-AVL 2.0.3.7 2011.04.12 -
Avast 4.8.1351.0 2011.04.12 -
Avast5 5.0.677.0 2011.04.12 -
AVG 10.0.0.1190 2011.04.12 -
BitDefender 7.2 2011.04.12 -
CAT-QuickHeal 11.00 2011.04.12 -
ClamAV 0.97.0.0 2011.04.12 -
Commtouch 5.2.11.5 2011.04.06 -
Comodo 8317 2011.04.12 -
DrWeb 5.0.2.03300 2011.04.12 -
Emsisoft 5.1.0.5 2011.04.12 -
eSafe 7.0.17.0 2011.04.12 -
eTrust-Vet 36.1.8268 2011.04.12 -
F-Prot 4.6.2.117 2011.04.12 -
F-Secure 9.0.16440.0 2011.04.12 -
Fortinet 4.2.254.0 2011.04.12 -
GData 22 2011.04.12 -
Ikarus T3.1.1.103.0 2011.04.12 -
Jiangmin 13.0.900 2011.04.12 -
K7AntiVirus 9.96.4360 2011.04.11 -
Kaspersky 7.0.0.125 2011.04.12 -
McAfee 5.400.0.1158 2011.04.12 -
McAfee-GW-Edition 2010.1C 2011.04.12 -
Microsoft 1.6702 2011.04.11 -
NOD32 6037 2011.04.12 -
Norman 6.07.07 2011.04.12 -
Panda 10.0.3.5 2011.04.12 -
PCTools 7.0.3.5 2011.04.12 -
Prevx 3.0 2011.04.12 -
Rising 23.53.01.06 2011.04.12 -
Sophos 4.64.0 2011.04.12 -
SUPERAntiSpyware 4.40.0.1006 2011.04.12 -
Symantec 20101.3.2.89 2011.04.12 -
TheHacker 6.7.0.1.171 2011.04.12 -
TrendMicro 9.200.0.1012 2011.04.12 -
TrendMicro-HouseCall 9.200.0.1012 2011.04.12 -
VBA32 3.12.14.3 2011.04.12 -
VIPRE 8999 2011.04.12 -
ViRobot 2011.4.12.4406 2011.04.12 -
VirusBuster 13.6.301.0 2011.04.12 -

Отправлено: 23:08, 12-04-2011 | #12


Аватара для icotonev

Старожил


Сообщения: 288
Благодарности: 90

Профиль | Отправить PM | Цитировать

Последняя проверка..:

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."
Это сообщение посчитали полезным следующие участники:

Отправлено: 23:30, 12-04-2011 | #13


Новый участник


Сообщения: 31
Благодарности: 0

Профиль | Отправить PM | Цитировать

Вложения
Тип файла: txt ComboFix.txt
(15.7 Kb, 4 просмотров)

комбофикс

Отправлено: 16:51, 13-04-2011 | #14


Аватара для zirreX

Ветеран


Сообщения: 876
Благодарности: 287

Профиль | Отправить PM | Цитировать

1) Проверьте на VirusTotal и дайте ссылку на результат проверки!
Код: Выделить весь код
c:\windows\system32\winsys2.exe
2) Скачайте LSPFix до выполнения скрипта ComboFix.

3) Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код: Выделить весь код
File::
c:\windows\system32\fyrihyj.dll
Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.


Компьютер перезагрузится!

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

4) Запустите LSPFix, отметьте галочкой "I know what I'm doing" и нажмите на кнопку Finish.

После этого сделайте лог полного сканирования MBAM.

-------

Это сообщение посчитали полезным следующие участники:

Отправлено: 00:48, 14-04-2011 | #15


Новый участник


Сообщения: 31
Благодарности: 0

Профиль | Отправить PM | Цитировать

File name:
WinSys2.exe
Submission date:
2011-04-13 21:07:26 (UTC)
Current status:
finished
Result:
1/ 42 (2.4%)

читать дальше »
Compact
Print results Antivirus Version Last Update Result
AhnLab-V3 2011.04.13.01 2011.04.13 -
AntiVir 7.11.6.99 2011.04.13 -
Antiy-AVL 2.0.3.7 2011.04.13 -
Avast 4.8.1351.0 2011.04.13 -
Avast5 5.0.677.0 2011.04.13 -
AVG 10.0.0.1190 2011.04.13 -
BitDefender 7.2 2011.04.13 -
CAT-QuickHeal 11.00 2011.04.13 -
ClamAV 0.97.0.0 2011.04.13 -
Commtouch 5.2.11.5 2011.04.13 -
Comodo 8331 2011.04.13 -
DrWeb 5.0.2.03300 2011.04.13 -
Emsisoft 5.1.0.5 2011.04.13 -
eSafe 7.0.17.0 2011.04.13 Win32.TrojanHorse
eTrust-Vet 36.1.8270 2011.04.13 -
F-Prot 4.6.2.117 2011.04.13 -
F-Secure 9.0.16440.0 2011.04.13 -
Fortinet 4.2.257.0 2011.04.13 -
GData 22 2011.04.13 -
Ikarus T3.1.1.103.0 2011.04.13 -
Jiangmin 13.0.900 2011.04.13 -
K7AntiVirus 9.96.4382 2011.04.13 -
Kaspersky 7.0.0.125 2011.04.13 -
McAfee 5.400.0.1158 2011.04.13 -
McAfee-GW-Edition 2010.1C 2011.04.13 -
Microsoft 1.6702 2011.04.11 -
NOD32 6038 2011.04.13 -
Norman 6.07.07 2011.04.13 -
Panda 10.0.3.5 2011.04.13 -
PCTools 7.0.3.5 2011.04.13 -
Prevx 3.0 2011.04.13 -
Rising 23.53.02.06 2011.04.13 -
Sophos 4.64.0 2011.04.13 -
SUPERAntiSpyware 4.40.0.1006 2011.04.12 -
Symantec 20101.3.2.89 2011.04.13 -
TheHacker 6.7.0.1.173 2011.04.13 -
TrendMicro 9.200.0.1012 2011.04.13 -
TrendMicro-HouseCall 9.200.0.1012 2011.04.13 -
VBA32 3.12.16.0 2011.04.13 -
VIPRE 9010 2011.04.13 -
ViRobot 2011.4.13.4408 2011.04.13 -
VirusBuster 13.6.303.0 2011.04.13 -

Отправлено: 01:14, 14-04-2011 | #16


Новый участник


Сообщения: 31
Благодарности: 0

Профиль | Отправить PM | Цитировать

всем спасибо, тему закрываю, проблемы больше нет

Отправлено: 00:22, 16-04-2011 | #17


Аватара для zirreX

Ветеран


Сообщения: 876
Благодарности: 287

Профиль | Отправить PM | Цитировать

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall(Обязательно должен быть пробел между combofix и /u), нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

-------

Это сообщение посчитали полезным следующие участники:

Отправлено: 01:40, 16-04-2011 | #18

< Предыдущая 1 2


Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] подозрение на вирус

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Непонятная программа Shredder подозрение на вирус Jo-iZo Лечение систем от вредоносных программ 1 16-12-2010 00:52
подозрение на вирус.. svchost foxbat Лечение систем от вредоносных программ 11 28-06-2010 16:14
Не работают скрипты в браузере. Есть подозрение на вирус!:( zhefran Лечение систем от вредоносных программ 14 19-09-2008 17:49
Подозрение на вирус Tanusik Лечение систем от вредоносных программ 2 13-04-2008 16:30
Kaspersky стал в программе Remote admin определять вирус - не вирус, почему? Dionin Защита компьютерных систем 5 30-03-2005 08:27


« Предыдущая тема | Следующая тема »


 
Переход