Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   csrss.exe нету (http://forum.oszone.net/showthread.php?t=198857)

impulse101 07-02-2011 20:03 1607083
csrss.exe нету
 
был вирус под маскировкой csrss.exe, каспер нашел, но не вылечил....удалил...теперь скайп невероятно виснет...работать не дает....постоянно выскакивает на рабочий стол при запуске системы......но вы не поверите!!!в диспечере он есть!!!от какого имени запущен не показывает...наверно вирус...чтобы проверить и вырубить процес не буду, так как батарейка сдохла и опять розганять проц не хочу.....что ж за байда такая???

iskander-k 07-02-2011 20:05 1607084
Выложите логи в соответствии с этими инструкциями.

impulse101 07-02-2011 20:14 1607092
Внимание !!! База поcледний раз обновлялась 08.07.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
читать дальше »
Протокол антивирусной утилиты AVZ версии 4.34
Сканирование запущено в 07.02.2011 19:07:00
Загружена база: сигнатуры - 275419, нейропрофили - 2, микропрограммы лечения - 56, база от 08.07.2010 09:40
Загружены микропрограммы эвристики: 383
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 213048
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=083220)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 8055A220
KiST = 804E26A8 (284)
Функция NtAdjustPrivilegesToken (0B) перехвачена (8058E481->B126A5FA), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtClose (19) перехвачена (80567A7D->B126AEFE), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtConnectPort (1F) перехвачена (80588DCB->B126BD32), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateEvent (23) перехвачена (8056FDCA->B126C27C), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateFile (25) перехвачена (8056F610->B126B1DA), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateKey (29) перехвачена (80572EAD->B126946A), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateMutant (2B) перехвачена (8057AB4F->B126C162), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateNamedPipeFile (2C) перехвачена (8058531F->B126A1E8), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreatePort (2E) перехвачена (805975C1->B126C036), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateSection (32) перехвачена (805652B3->B126A390), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateSemaphore (33) перехвачена (80579605->B126C39C), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateThread (35) перехвачена (8057BD8A->B126AB86), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateWaitablePort (38) перехвачена (805DB12C->B126C0CC), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDebugActiveProcess (39) перехвачена (8065B21D->B126DA84), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDeleteKey (3F) перехвачена (805952CE->B1269A74), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDeleteValueKey (41) перехвачена (80592D60->B1269E28), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDeviceIoControlFile (42) перехвачена (8057CB40->B126B65C), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDuplicateObject (44) перехвачена (80573FF9->B126EC90), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtEnumerateKey (47) перехвачена (805735B4->B1269F74), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtEnumerateValueKey (49) перехвачена (80590679->B126A00C), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtFsControlFile (54) перехвачена (8057A667->B126B46A), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtLoadDriver (61) перехвачена (805A3B11->B126DB76), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtLoadKey (62) перехвачена (805AED7D->B1269446), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtLoadKey2 (63) перехвачена (805AEBBA->B1269458), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtMapViewOfSection (6C) перехвачена (80578A91->B126E2DE), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtNotifyChangeKey (6F) перехвачена (8058BA6D->B126A138), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenEvent (72) перехвачена (8057F73C->B126C312), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenFile (74) перехвачена (8056F5AB->B126AF80), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenKey (77) перехвачена (80568EF9->B126962A), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenMutant (78) перехвачена (8057ABFD->B126C1F2), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenProcess (7A) перехвачена (805741E0->B126A836), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenSection (7D) перехвачена (8056E213->B126E078), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenSemaphore (7E) перехвачена (8059EFD5->B126C432), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenThread (80) перехвачена (8058B59D->B126A728), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueryKey (A0) перехвачена (805732BD->B126A0A4), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueryMultipleValueKey (A1) перехвачена (8064E370->B1269CDC), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQuerySection (A7) перехвачена (8057E904->B126E618), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueryValueKey (B1) перехвачена (8056A392->B1269906), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueueApcThread (B4) перехвачена (80591099->B126DF0A), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtRenameKey (C0) перехвачена (8064E7EE->B1269B96), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtReplaceKey (C1) перехвачена (8064F14A->B1268E80), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtReplyPort (C2) перехвачена (8057E113->B126C796), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtReplyWaitReceivePort (C3) перехвачена (8056B9CE->B126C65C), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtRequestWaitReplyPort (C8) перехвачена (8056DA30->B126D81E), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtRestoreKey (CC) перехвачена (8064ECE1->B12691F8), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtResumeThread (CE) перехвачена (8057C3FD->B126EB32), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSaveKey (CF) перехвачена (8064EDE2->B1268E18), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSecureConnectPort (D2) перехвачена (8058F4EC->B126BA78), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetContextThread (D5) перехвачена (8062DD2F->B126ADA2), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetInformationToken (E6) перехвачена (805A8710->B126D0BE), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetSecurityObject (ED) перехвачена (8059B1AB->B126DD14), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetSystemInformation (F0) перехвачена (805A7BFD->B126E768), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetValueKey (F7) перехвачена (80579A53->B1269780), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSuspendProcess (FD) перехвачена (8062F911->B126E85A), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSuspendThread (FE) перехвачена (805E0466->B126E994), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSystemDebugControl (FF) перехвачена (80649D33->B126D9A8), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtTerminateProcess (101) перехвачена (805836C0->B126A9D2), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtTerminateThread (102) перехвачена (8057B4A6->B126A932), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtUnmapViewOfSection (10B) перехвачена (80578616->B126E4BC), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtWriteVirtualMemory (115) перехвачена (8057F1A8->B126AABC), перехватчик D:\WINDOWS.1\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция FsRtlCheckLockForReadAccess (80512919) - модификация машинного кода. Метод JmpTo. jmp B125CFEC \SystemRoot\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция IoIsOperationSynchronous (804E875A) - модификация машинного кода. Метод JmpTo. jmp B125D3C8 \SystemRoot\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Проверено функций: 284, перехвачено: 60, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
\FileSystem\ntfs[IRP_MJ_CREATE] = 8A22E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8A22E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8A22E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8A22E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8A22E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8A22E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8A22E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A22E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8A22E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8A22E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A22E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8A22E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8A22E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8A22E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8A22E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8A22E1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 8945C1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 8945C1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 8945C1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 8945C1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 8945C1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 8945C1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 8945C1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8945C1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 8945C1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 8945C1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 8945C1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 8945C1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 8945C1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 8945C1F8 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 30
Количество загруженных модулей: 641
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение D:\WINDOWS.1\system32\drivers\sptd.sys
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
D:\Program Files\SmartFTP Client\sfShellTools.dll --> Подозрение на Keylogger или троянскую DLL
D:\Program Files\SmartFTP Client\sfShellTools.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
D:\WINDOWS.1\system32\MSVCP100.dll --> Подозрение на Keylogger или троянскую DLL
D:\WINDOWS.1\system32\MSVCP100.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
D:\Program Files\SmartFTP Client\ru-RU\sfShellTools.dll.mui --> Подозрение на Keylogger или троянскую DLL
D:\Program Files\SmartFTP Client\ru-RU\sfShellTools.dll.mui>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Нестандартный ключ Winlogon\Shell, подозрение на скрытый запуск "explorer.exe csrcs.exe"
>>> F:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)
>>> F:\gFHMuM.eXE ЭПС: подозрение на скрытый автозапуск F:\autorun.inf [Autorun\Open]
>>> F:\GfhMum.eXE ЭПС: подозрение на скрытый автозапуск F:\autorun.inf [Autorun\shell\open\command]
>>> C:\Program Files\Internet Explorer\setupapi.dll ЭПС: подозрение на скрытый автозапуск AppCertDlls (высокая степень вероятности)
>>> D:\thumbs.db ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
>> Модифицирован ключ запуска проводника
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 6587, извлечено из архивов: 1339, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 07.02.2011 19:13:30
Сканирование длилось 00:06:42
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info

вроди ничего не ссылается на это

iskander-k 07-02-2011 20:21 1607102
Внимательно читаем правила - нужны архивы из папки LOG.

goredey 07-02-2011 20:22 1607104
impulse101, выложите отчеты от АВЗ!!

impulse101 07-02-2011 20:35 1607116
ну все завтра предоставлю, времени нету

impulse101 08-02-2011 17:50 1607748
ну каспером проверил и вирус удалил...теперь експлорер пожирает процесор....на 99% работает на него...но не всегда.....пока что проверяю авз 4.35

impulse101 08-02-2011 18:13 1607764
антивиры вирусов не выявили.......скайп только не могу запустить, в остальном тишина.....как только он грузится, выдает радосный звук запуска и берет 100%! процесора....ну и виснет.....

и еще
редактор реестра не грузится, мол у меня нет прав на доступ...

Внимание !!! База поcледний раз обновлялась 29.01.2011 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.35
Сканирование запущено в 01.01.2002 00:35:17
Загружена база: сигнатуры - 285065, нейропрофили - 2, микропрограммы лечения - 56, база от 29.01.2011 14:47
Загружены микропрограммы эвристики: 386
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 259599
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
\FileSystem\ntfs[IRP_MJ_CREATE] = 8A2271F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8A2271F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8A2271F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8A2271F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8A2271F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8A2271F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8A2271F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A2271F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8A2271F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8A2271F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A2271F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8A2271F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8A2271F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8A2271F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8A2271F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8A2271F8 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 20
Количество загруженных модулей: 298
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение D:\WINDOWS.1\system32\drivers\sptd.sys
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
D:\Program Files\SmartFTP Client\sfShellTools.dll --> Подозрение на Keylogger или троянскую DLL
D:\Program Files\SmartFTP Client\sfShellTools.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
D:\Program Files\SmartFTP Client\ru-RU\sfShellTools.dll.mui --> Подозрение на Keylogger или троянскую DLL
D:\Program Files\SmartFTP Client\ru-RU\sfShellTools.dll.mui>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 24 TCP портов и 18 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "D:\PROGRA~1\KASPER~1\KASPER~3\mzvkbd3.dll,D:\PROGRA~1\KASPER~1\KASPER~3\kloehk.dll"
>>> C:\Program Files\Internet Explorer\setupapi.dll ЭПС: подозрение на скрытый автозапуск AppCertDlls (высокая степень вероятности)
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
>> Разрешен автозапуск с HDD
>>> Разрешен автозапуск с HDD - исправлено
>> Разрешен автозапуск с сетевых дисков
>>> Разрешен автозапуск с сетевых дисков - исправлено
>> Разрешен автозапуск со сменных носителей
>>> Разрешен автозапуск со сменных носителей - исправлено
Проверка завершена
Просканировано файлов: 28140, извлечено из архивов: 20395, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 01.01.2002 00:40:02
Сканирование длилось 00:04:48
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в систему http://kaspersky-911.ru

zirreX 08-02-2011 18:40 1607784
Прикрепите логи AVZ (virusinfo_syscheck.zip, virusinfo_syscure.zip) и RSIT (log.txt, info.txt)

impulse101 08-02-2011 18:55 1607796
как его сохранить в лог???а то только протокол, что я в пребидущем сообщении могу сохранить))

zirreX 08-02-2011 19:07 1607806
Цитата:
Цитата impulse101
как его сохранить в лог???а то только протокол, что я в пребидущем сообщении могу сохранить)) »
Логи AVZ (virusinfo_syscure.zip, virusinfo_syscheck.zip )сохранены в папке LOG в директории AVZ. Прикрепите их через Расширенный режим -- Прикрепить файл.
Также прикрепите логи RSIT (log.txt, info.txt)

impulse101 08-02-2011 19:09 1607808
нету такой папки!!!!

Drongo 08-02-2011 19:27 1607825
impulse101, Вы запускали AVZ из архива или предварительно распаковывали?

zirreX 08-02-2011 19:27 1607827
Стандартные скрипты №3 и №2 выполняли в AVZ? Внимательно прочитайте правила раздела, подготовьте и прикрепите логи утилит AVZ и RSIT

impulse101 08-02-2011 19:33 1607839
Цитата:
Цитата Drongo
impulse101, Вы запускали AVZ из архива или предварительно распаковывали? »
я сначала розпаковал, там только папки backup и base(((

Цитата:
Цитата zirreX
Стандартные скрипты №3 и №2 выполняли в AVZ? Внимательно прочитайте правила раздела, подготовьте и прикрепите логи утилит AVZ и RSIT »
выполняю


Время: 22:04.

Время: 22:04.
© OSzone.net 2001-