Security Teams



:::
  Ответ в темуСоздание новой темыСоздание опроса

> Троян?!, Помощь.
Antonio78rus
Дата 11.11.2010 - 07:13
Цитировать сообщение
Offline



Junior
*

Профиль
Группа: -users-
Сообщений: 1
Пользователь №: 7161
Регистрация: 11.11.2010



Рейтинг:
(0%) -----


Привет.Проблемы такова : не открываются антивирусные сайты (nod,drweb,kasp,virusinfo...и т.д.) ,машина иногда виснет (прост перестаёт отвечать на воздействие) и тормозить стало всё....вот лог АVZ




Сканирование запущено в 11.11.2010 6:54:53
Загружена база: сигнатуры - 237871, нейропрофили - 2, микропрограммы лечения - 56, база от 21.08.2009 14:23
Загружены микропрограммы эвристики: 374
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 135524
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: Отключено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=083220)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 8055A220
KiST = 804E26A8 (284)
Функция NtCreateKey (29) перехвачена (80572EAD->F73670E0), перехватчик spyf.sys
Функция NtEnumerateKey (47) перехвачена (805735B4->F7385CA2), перехватчик spyf.sys
Функция NtEnumerateValueKey (49) перехвачена (8059066D->F7386030), перехватчик spyf.sys
Функция NtOpenKey (77) перехвачена (80568EF9->F73670C0), перехватчик spyf.sys
Функция NtQueryKey (A0) перехвачена (805732BD->F7386108), перехватчик spyf.sys
Функция NtQueryValueKey (B1) перехвачена (8056A391->F7385F88), перехватчик spyf.sys
Функция NtSetValueKey (F7) перехвачена (80579A53->F738619A), перехватчик spyf.sys
Проверено функций: 284, перехвачено: 7, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 836741F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 836741F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 836741F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 836741F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 836741F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 836741F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 836741F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 836741F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 836741F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 836741F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 836741F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 836741F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 836741F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 836741F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 836741F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 836741F8 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 36
Количество загруженных модулей: 421
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 457, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 11.11.2010 6:55:24
Сканирование длилось 00:00:33
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - https://virusinfo.info
[glow=][/glow]
Цитата
PMПисьмо на e-mail пользователю
Top
Kom@nd'Or
Дата 11.11.2010 - 20:15
Цитировать сообщение
Offline



Expert
******

Профиль
Группа: -editors-
Сообщений: 2078
Пользователь №: 48
Регистрация: 2.03.2005



Рейтинг:
(90%) XXXXX


Посмотри наличие "левых" записей в файле C:\WINDOWS\system32\drivers\etc\hosts

Скачай DrWeb CureIt с другого ПК и проверь ним.

Trojan Remover - поможет антивирусу (но не замена).

Когда антивирус скажет имя вируса, ищи по его названию КАК именно этот вирус лечить/удалять.


--------------------
--
Hайден неизвестный драйвер, воткните какое-нибудь устройство!
---
[b]Во имя процесса-отца, процесса-сына и святаго root"а... Enter! [/b]
PMICQYahoo
Top

Опции темы Ответ в темуСоздание новой темыСоздание опроса