Перехват API функций
 

Есть подозрение на зловреда. AVZ постоянно показывает перехват функций API и маскеровку PID.

сразу несколько вопросов...
КИС нашел ВПО C:\RECYCLER\S-1-5-21-515967899-1383384898-1957994488-1004,
на флешке тоже присутствует скрытая папка RECYCLER\ можно ли ее удалить? и файлы с расширением .vbs на xp легитимны?,
старою тему ненашел

ники, Перепутали "virusinfo_syscheck.zip" с "virusinfo_cure.zip"
Нужен "virusinfo_syscheck.zip"

iskander-k, virusinfo_syscheck.zip а как получить этот зип?

Не до конца прочитали правила. Выделено жирным.

ники, В логах чисто, вероятно антивирус отработал, плюс у вас отключен автозапуск, заразиться вы могли только из сети, если червь типа kido (обновления все установлены, брандмауэр включен?) Всё из RECYCLER на диске С: и флешке можете удалить, файлы vbs могут быть и легитмные, но в вашем случае скорее всего зловреды (тем более если на флешке), если их не определяет антивирус, можете запаковать с паролем virus и отправить в вирлаб на newvirus@kaspersky.com, подозрительные фалы также сами можете проверить на virustotal.com
Рекомендую установить WindowsXP SP3 и все последующие обновления - http://windowsupdate.microsoft.com

файл "virusinfo_syscheck.zip" непоявляется пробовал 3 раза запускаю 3-й скрипт успешно выполняется но файла нету в папке лог.
в протоколе:
!!! Внимание !!! Восстановлено 41 функций KiST в ходе работы антируткита
Это может нарушить нормальную работу ряда программ, поэтому настоятельно рекомендуется перезагрузить компьютер
компьютер перегружаю, но окончательно руткита неудается удалить т.к при каждом новом запуске системы авз обезвреживает руткит, скорее всего гдето драйвер .
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\1224\KASPER~1\mzvkbd.dll,C:\PROGRA~1\1224\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\1224\KASPER~ 1\adialhk.dll"

virusinfo_syscheck.zip - результат 2-го скрипта AVZ, лог от 3-го скрипта virusinfo_syscure.zip вы уже выложили в 1-м посте, по нему чисто.
Библиотеки от антивируса касперского.
Какие проблемы, связанные с вирусами, наблюдаются?

Антивирус работает нормально, ессли же в статистике 6 вредоносных програм и 2 трояна, а удалено только 1 вредоносная.
И кис сообщает что неизвестное приложение, или же опера, проводник обрашается к архиву на рабочет столе, в архиве запароленный хиренс бутсиди как к ниму опера может обращатся напонятно.
В диспетчере задач странный процесс wpabalan.exe и два avp.exe

ники, в логах чисто.
Точно wpabalan.exe, а не wpabaln.exe? Покажите скриншот, где у вас wpabalan.exe в процессах?
Очистите кэш браузера с помощью ATF Cleaner.

Скачайте Malwarebytes Anti-Malware здесь,здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите Remove Selected (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть)

Скачайте OTListIt2, сохраните на рабочий стол и запустите, выберите: Scan All Users, Minimal Output, File Age: 30 Days, поставьте галочку LOP Check, Purity Check и в Extra Registry - Use Safe list. Нажмите Run Scan, когда закончится процесс сканирования, откроются два файла OTListIt.Txt и Extras.txt , скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте полученные логи C:\OTListIt.Txt и C:\Extras.txt и прикрепите к сообщению.

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение

Malwarebytes Anti-Malware ничего ненашол в логе все по нулям - невыкладываю.

после установки оутпоста и перезагрузки появилось следующее:
1) Приложение пытается перехватить нажатия клавиш
Приложение: AVP.EXE
Метод: AttachThreadInput
2) Generic Host Process for Win32 Services
прилож. пытается получить контроль над поведением другого сетевего прилож. с помощью OLE
Приложение: SVCHOST.EXE
Данные: C:\PROGRAM FILES\2355\OUTPOST FIREWALL PRO\ACS.EXE
Порт: \RPC Control\OLE572D5D7205F3449F90B.............

На virustotal.com проверяю программу даже если скачена с офф. сайта обязательно найдет Suspicious File(wwdc 1.41) или Trojan.Generic(winrar) эти вирусы опасны или сигнатуры кривые.

ники, В логах чисто. AVP.EXE и ACS.EXE - легитмные, KIS и Outpost не рекомендую использовать совместно.
Как насчет wpabalan.exe?
Suspicious - это ещё не значит что зловред.
Другими утилитами проверяться будем?

В логах чисто
а как насчет этого, они опознаны как безапасные в этом то и проблема, когда фаервол кричал о пепрехвате нажатий клавиш я отправил соответсвуюшуюю дллку в вир лаб оказалась что она изменена.
Подозрительные объектыФайл Описание Тип
C:\WINDOWS\system32\DRIVERS\klif.sys
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit Перехватчик KernelMode
C:\WINDOWS\system32\DRIVERS\SandBox.sys
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit Перехватчик KernelMode
C:\WINDOWS\system32\drivers\afwcore.sys
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit Перехватчик KernelMode

AVP.EXE и ACS.EXE - легитмные
это понятно НО неужили разработчики встроили в касперского перехват нажатий клавишь? я так недумаю.

KIS и Outpost не рекомендую использовать совместно.
слепой фаевол небудет беспокоить или что?

Как насчет wpabalan.exe?
этот процесс напоминает об активации хр

Другими утилитами проверяться будем?
желательно т.к хочется найте этого гада и чтоб он попал базы сигнатур.

Имя dll и как её классифицировал вирлаб?
Легитимные.
Имхо, есть такое. Подробнее можете узнать, написав сюда
Вопрос переформулируйте. В KIS и Outpost есть модули, выполняющие одинаковые функции.
Я спрашивал о wpabalan.exe, а не wpabaln.exe (который связан с активацией)
Имхо, никакого "гада" у вас нет, но если хотите дальше проверяться:
Проведите сканирование системы с помощью F-Secure Online Scanner
После проверки нажмите "Show report" и скопируйте лог проверки в сообщение.
Деинсталлируйте Outpost
Скачайте Rooter.exe
Запустите, полученный лог C:\Rooter.txt вложите в следующее сообщение.

Скачайте DDS DDS.scr, DDS.pif или DDS.com сохраните на рабочий стол, отключите антивирус и запустите DDS, когда сканирование закончится, скопируйте текст из файлов DDS.txt и Attach.txt в сообщение или запакуйте файлы и вложите в сообщение.

Скачайте Lop S&D
Запустите, выберите язык (нажмите "E", выберите Option 1 (Search)
После окончания сканирования скопируйте текст из файла C:\lopR.txt в сообщение или запакуйте файл и вложите в сообщение

Скачайте GetSystemInfo (GSI) здесь или здесь, запустите, укажите с помощью обзора папку для сохранения протокола, полученный файл протокола в архиве прикрепите к сообщению.

Имя dll и как её классифицировал вирлаб?
кажется adialhak.dll никак не классифицировал это файл касперского только был немного изменен,

Как насчет wpabalan.exe?
этот процесс напоминает об активации хр, когда ставлю хр лицензионная просит ключ ввожу, и потом еще 30 дней мне об активации напоминает на 31 забывает.

ники, об активации вам напоминает wpabaln.exe, он есть в логах, wpabalan.exe в логах нет, и если вы обнаружили такой wpabalan.exe, то это м.б. зловред, отошлите wpabalan.exe в архиве с паролем virus на newvirus@kaspersky.com
adialhak.dll легитмный, от касперского, м.б. изменен при обновлении, какие по поводу него беспокойства?

Просил оутпост деинсталиравать? драйвер сам выгрузился!
На диске С и на флешке образовалась папка "..." в папке копия диска С т.е все что есть на диске С есть в этой папке ток же дело обстоит и с флешкой - вирус?

ники, остальные логи сделайте, логи dds переделайте, см. пост 14. Что насчет wpabalan.exe?

Как запретить доступ анонимному пользователю?

Что за перехват, может где "дырка", после переустановки чистую ОС проверял ничего подобного небыло.

Функция user32.dll:ChangeDisplaySettingsExA (34) перехвачена, метод APICodeHijack.JmpTo[100AB842]
Функция user32.dll:ChangeDisplaySettingsExW (35) перехвачена, метод APICodeHijack.JmpTo[100AB86E]
Функция user32.dll:EndTask (202) перехвачена, метод APICodeHijack.JmpTo[100AB52A]
Функция user32.dll:SetForegroundWindow (600) перехвачена, метод APICodeHijack.JmpTo[100AB4D2]
Функция user32.dll:SetWindowPos (644) перехвачена, метод APICodeHijack.JmpTo[100AB4FE]

KiST = 804E2D20 (284)
Функция NtAdjustPrivilegesToken (0B) перехвачена (80598539->F7D681DA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtAssignProcessToJobObject (13) перехвачена (805A4567->F7BD1B4A), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtClose (19) перехвачена (805675D9->F7BB1C16), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtConnectPort (1F) перехвачена (80598C34->F7BD414E), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtCreateFile (25) перехвачена (8057164C->F7BA9DA2), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtCreateKey (29) перехвачена (8056F063->F7BBAD92), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtCreateProcess (2F) перехвачена (805B3543->F7BC9646), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtCreateProcessEx (30) перехвачена (805885D3->F7BCA15E), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtCreateSection (32) перехвачена (80564B1B->F7BA82FE), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtCreateSymbolicLinkObject (34) перехвачена (805A27B0->F7BBA682), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtCreateThread (35) перехвачена (8057F262->F7BC7CC6), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtDeleteFile (3E) перехвачена (805D8CF7->F7BB8F26), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtDeleteKey (3F) перехвачена (8059D6BD->F7BBCD4E), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtDeleteValueKey (41) перехвачена (80597430->F7BC47A2), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtDeviceIoControlFile (42) перехвачена (8057FBD0->F7D69EAC), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDuplicateObject (44) перехвачена (805743BE->F7D6C084), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtEnumerateKey (47) перехвачена (8056F76A->F7D680A8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtEnumerateValueKey (49) перехвачена (805801FE->F7D68110), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtFsControlFile (54) перехвачена (8057DA0D->F7D69D5E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtLoadDriver (61) перехвачена (805A6B26->F7BC6666), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtMakeTemporaryObject (69) перехвачена (805A2C6E->F7BB9D86), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtOpenFile (74) перехвачена (805715E7->F7BB00CF), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtOpenKey (77) перехвачена (805684D5->F7BBC154), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtOpenProcess (7A) перехвачена (8057459E->F7BCC8B6), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtOpenSection (7D) перехвачена (805766CC->F7BA8D5E), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtOpenThread (80) перехвачена (80597C0A->F7BCBB36), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtProtectVirtualMemory (89) перехвачена (8057494D->F7BD3342), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtQueryDirectoryFile (91) перехвачена (80574DAD->F7BB2C8D), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtQueryKey (A0) перехвачена (8056F473->F7BBDB82), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtQueryMultipleValueKey (A1) перехвачена (8064CF58->F7D67E7C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueryValueKey (B1) перехвачена (8056B9A8->F7BBE65E), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtQueueApcThread (B4) перехвачена (80580A00->F7BD0D92), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtRenameKey (C0) перехвачена (8064D39F->F7BC369E), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtReplaceKey (C1) перехвачена (8064D892->F7BC0216), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtRequestPort (C7) перехвачена (805DF2BF->F7BD6636), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtRequestWaitReplyPort (C8) перехвачена (8057860F->F7BD6C1A), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtRestoreKey (CC) перехвачена (8064C3B0->F7BC2B6A), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtResumeThread (CE) перехвачена (8057F8D5->F7D6BF56), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSaveKey (CF) перехвачена (8064C457->F7BC16CA), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtSaveKeyEx (D0) перехвачена (8064C4EF->F7BC2112), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtSecureConnectPort (D2) перехвачена (80585D7D->F7BD4E36), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtSetContextThread (D5) перехвачена (8062C85B->F7BD01B6), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtSetInformationFile (E0) перехвачена (80579E7E->F7BB4BDE), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtSetSecurityObject (ED) перехвачена (8059DB78->F7D6B71A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetSystemInformation (F0) перехвачена (805A5110->F7BC59C2), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtSetValueKey (F7) перехвачена (80575527->F7BBF1BA), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtSuspendProcess (FD) перехвачена (8062E431->F7BCEEE6), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtSuspendThread (FE) перехвачена (805DC61B->F7BCF80E), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtSystemDebugControl (FF) перехвачена (8064872D->F7BD781A), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtTerminateProcess (101) перехвачена (8058AE1E->F7BCD66E), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtTerminateThread (102) перехвачена (8057E97C->F7BCE386), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtUnloadDriver (106) перехвачена (80618B6E->F7BC723E), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtWriteVirtualMemory (115) перехвачена (8057C123->F7BD25E6), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция FsRtlCheckLockForReadAccess (804FDAF1) - модификация машинного кода. Метод JmpTo. jmp F7D7F626 \SystemRoot\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция IoIsOperationSynchronous (804E8EBA) - модификация машинного кода. Метод JmpTo. jmp F7D7F9E0 \SystemRoot\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Проверено функций: 284, перехвачено: 53, восстановлено: 0

опять легитимно?

Выполните в AVZ скрипт
Что вас беспокоит конкретно?
По логам зловредов нет, ещё раз прочитайте внимательно пост 14, деинсталлируйте Outpost и сделайте все логи по рекомендациям, в т.ч. логи F-Secure Online Scanner.
Если будет и дальше игнорирование вопросов и рекомендаций, тема будет закрыта.

Если будет и дальше игнорирование вопросов и рекомендаций, тема будет закрыта.

покажите вопросы и рекомендации которые я игнорировал.
Я не эксперт по процессам которые сидят в диспетчере задач все что я мог сказать по поводу wpabalan.exe я написал выше.

По поводу wpabalan.exe вопрос неоднократно поднимался, скриншотов нет, в вирлаб вы его видимо не отправили и на virustotal.com не проверяли, если ошиблись названием файла, то ничего по этому поводу не отписали.
Ещё раз см. пост 14., логи делались без деинсталяции outpost, лога F-Secure Online Scanner нет.
Неоднократно говорилось, что в логах чисто, если не верите, можете самостоятельно проверять файлы процессов на virustotal.com, если изъявили желание проверятся другими утилитами, выполняйте рекомендации.

:cool:

Предупреждение было.

Тема закрыта. Для открытия темы топикстартер может обратиться в РМ, для всех остальных - создавайте новую тему с учетом правил