[Severny]

Bondy,

Цитата Severny:

логи делать НЕ в безопасном режиме. »

[Bondy]

Я понимаю, я на всякий случай...

Лог в безопасном режиме

Протокол антивирусной утилиты AVZ версии 4.29
Сканирование запущено в 28.12.2007 16:47:08
Загружена база: сигнатуры - 141572, нейропрофили - 2, микропрограммы лечения - 55, база от 28.12.2007 16:36
Загружены микропрограммы эвристики: 371
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 68055
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
Восстановление системы: включено
Система загружена в режиме защиты от сбоев (SafeMode)
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
Ошибка обмена с драйвером [00000002] - [1]
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
Количество найденных процессов: 10
Количество загруженных модулей: 163
Проверка памяти завершена
3. Сканирование дисков
C:\Program Files\DAEMON Tools\SetupDTSB.exe >>>>> AdvWare.Win32.SaveNow.bo
C:\System Volume Information\_restore{0DF0E5A5-E57E-4056-89D6-88ACB277A493}\RP263\A0340595.sys >>> подозрение на Trojan-Downloader.Win32.Agent.ggt ( 0A167E32 0651A629 00230334 00240DA7 21760)
C:\System Volume Information\_restore{0DF0E5A5-E57E-4056-89D6-88ACB277A493}\RP263\A0350980.exe >>>>> AdvWare.Win32.RuPorn.d
C:\System Volume Information\_restore{0DF0E5A5-E57E-4056-89D6-88ACB277A493}\RP263\A0350981.dll >>>>> AdvWare.Win32.BHO.kj
C:\System Volume Information\_restore{0DF0E5A5-E57E-4056-89D6-88ACB277A493}\RP263\A0351174.sys >>>>> Rootkit.Win32.Agent.pr
C:\System Volume Information\_restore{0DF0E5A5-E57E-4056-89D6-88ACB277A493}\RP263\A0352105.sys >>>>> Rootkit.Win32.Agent.pr
C:\System Volume Information\_restore{0DF0E5A5-E57E-4056-89D6-88ACB277A493}\RP263\A0352434.sys >>>>> Rootkit.Win32.Agent.pr
C:\System Volume Information\_restore{0DF0E5A5-E57E-4056-89D6-88ACB277A493}\RP263\A0352435.sys >>> подозрение на Trojan-Downloader.Win32.Agent.ggt ( 0A167E32 0651A629 00230334 00240DA7 21760)
Прямое чтение C:\WINDOWS\system32\drivers\atapi.sys
Прямое чтение C:\WINDOWS\system32\drivers\dtscsi.sys
Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys
C:\WINDOWS\Wdj63.sys >>> подозрение на Trojan-Downloader.Win32.Agent.ggt ( 0A167E32 0651A629 00230334 00240DA7 21760)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 134025, извлечено из архивов: 78993, найдено вредоносных программ 6, подозрений - 3
Сканирование завершено в 28.12.2007 17:02:17
Сканирование длилось 00:15:10
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info

Лог в обычном режиме

Протокол антивирусной утилиты AVZ версии 4.29
Сканирование запущено в 28.12.2007 17:05:52
Загружена база: сигнатуры - 141572, нейропрофили - 2, микропрограммы лечения - 55, база от 28.12.2007 16:36
Загружены микропрограммы эвристики: 371
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 68055
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D77->7C882FC4
Функция kernel32.dll:LoadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D4F->7C882FD3
Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF1->7C882FF1
Функция kernel32.dll:LoadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80ACD3->7C882FE2
Детектирована модификация IAT: LoadLibraryA - 7C882FC4<>7C801D77
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082B80)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559B80
KiST = 8549CB58 (297)
>>> Внимание, таблица KiST перемещена ! (804E2D20(284)->8549CB58(297))
Функция NtClose (19) перехвачена (805675D9->EB79AD00), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtCreateKey (29) перехвачена (8056F063->F735CFE0), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
Функция NtCreatePagingFile (2D) перехвачена (805BD9D8->F7350B00), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
Функция NtCreateProcess (2F) перехвачена (805B3543->EB79AA20), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtCreateProcessEx (30) перехвачена (805885D3->EB79AB90), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtCreateSection (32) перехвачена (80564B1B->EB79AE40), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtCreateThread (35) перехвачена (8057F262->EB79B630), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtEnumerateKey (47) перехвачена (8056F76A->F73515DC), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
Функция NtEnumerateValueKey (49) перехвачена (805801FE->F735D120), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
Функция NtOpenFile (74) перехвачена (805715E7->F789BCF0), перехватчик C:\WINDOWS\system32\Drivers\kl1.sys, драйвер опознан как безопасный
Функция NtOpenKey (77) перехвачена (805684D5->F735CFA4), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
Функция NtOpenProcess (7A) перехвачена (8057459E->EB79A7B0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtQueryInformationFile (97) перехвачена (80572D12->EB79B2F0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtQueryKey (A0) перехвачена (8056F473->F73515FC), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
Функция NtQuerySystemInformation (AD) перехвачена (8057CC27->EB79B430), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtQueryValueKey (B1) перехвачена (8056B9A8->F735D076), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
Функция NtResumeThread (CE) перехвачена (8057F8D5->EB79B5E0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtSetInformationProcess (E4) перехвачена (8056C608->EB79D1F0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtSetSystemPowerState (F1) перехвачена (8066608F->F735C550), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
Функция NtSetValueKey (F7) перехвачена (80575527->F7395D56), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtSuspendThread (FE) перехвачена (805DC61B->EB79B590), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtTerminateProcess (101) перехвачена (8058AE1E->EB79B1C0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Проверено функций: 284, перехвачено: 22, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
Количество найденных процессов: 30
Количество загруженных модулей: 271
Проверка памяти завершена
3. Сканирование дисков
C:\Program Files\DAEMON Tools\SetupDTSB.exe >>>>> AdvWare.Win32.SaveNow.bo
C:\System Volume Information\_restore{0DF0E5A5-E57E-4056-89D6-88ACB277A493}\RP263\A0340595.sys >>> подозрение на Trojan-Downloader.Win32.Agent.ggt ( 0A167E32 0651A629 00230334 00240DA7 21760)
C:\System Volume Information\_restore{0DF0E5A5-E57E-4056-89D6-88ACB277A493}\RP263\A0350980.exe >>>>> AdvWare.Win32.RuPorn.d
C:\System Volume Information\_restore{0DF0E5A5-E57E-4056-89D6-88ACB277A493}\RP263\A0350981.dll >>>>> AdvWare.Win32.BHO.kj
C:\System Volume Information\_restore{0DF0E5A5-E57E-4056-89D6-88ACB277A493}\RP263\A0351174.sys >>>>> Rootkit.Win32.Agent.pr
C:\System Volume Information\_restore{0DF0E5A5-E57E-4056-89D6-88ACB277A493}\RP263\A0352105.sys >>>>> Rootkit.Win32.Agent.pr
C:\System Volume Information\_restore{0DF0E5A5-E57E-4056-89D6-88ACB277A493}\RP263\A0352434.sys >>>>> Rootkit.Win32.Agent.pr
C:\System Volume Information\_restore{0DF0E5A5-E57E-4056-89D6-88ACB277A493}\RP263\A0352435.sys >>> подозрение на Trojan-Downloader.Win32.Agent.ggt ( 0A167E32 0651A629 00230334 00240DA7 21760)
C:\System Volume Information\_restore{0DF0E5A5-E57E-4056-89D6-88ACB277A493}\RP263\A0353512.exe >>>>> AdvWare.Win32.SaveNow.bo
Прямое чтение C:\WINDOWS\system32\drivers\atapi.sys
Прямое чтение C:\WINDOWS\system32\drivers\dtscsi.sys
Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys
C:\WINDOWS\Wdj63.sys >>> подозрение на Trojan-Downloader.Win32.Agent.ggt ( 0A167E32 0651A629 00230334 00240DA7 21760)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 112292, извлечено из архивов: 79361, найдено вредоносных программ 7, подозрений - 3
Сканирование завершено в 28.12.2007 17:44:10
Сканирование длилось 00:38:19
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info

[Severny]

Bondy, Чтиво интересное конечно, только ты не внимательно читаешь.
Нужно запаковать и выложить лог в формате *.htm, который создает AVZ.
Лог HijackThis будет текстовый.

Еще зайди в свойства системы и отключи Восстановление системы.
(Отключить Восстановление системы на всех дисках -- Применить -- ОК).
После этого нужно перегрузиться. У тебя опасное ПО в папках System Volume Information.
После лечения можно включить обратно.

[Bondy]

Спасибо, сейчас же сделаю.
Логи прикрепил в нужном формате (в архивчиках).

Запустил проверку AVZ. С лечением. Надо ли включать поиск каких-то там портов троянских программ? (UDP/IS кажется, или что-то вроде).

Лечить чем-нибудь еще? Ad-adware SE например...

на отметке 96% проверка перешла в стату "Не отвечает"...
Сейчас попробую еще раз...

[Bondy]

Отключил, полечил, не вылечил Все так же...

[Djdfy]

Bondy, однозначного ответа у меня нет, так как все антивири работают по разному, попробуй в нете най ти NOD32 AntiVirus 3.0.566 и им просканить.

[Bondy]

Сканирую НОДом. Долго... Мож хоть он найдет... иначе - веревка и мыло)

[Djdfy]

Bondy, Да не бери в голову, если так тяжнло мож легче просто переустановить винду?

[Bondy]

Проверил НОДом. Теперь комп в обычном режиме зависает при смене языка, вводе символа в окно пароля, или попытку выключить корректно. Похоже ты прав, Прощай любимая Винда моя, и снов аздравствуй...

[Djdfy]

Bondy, но нод хотя бы что то нашел?