Google/Gmail/Youtube

bugagashi · 12 июня 2010

а avz то че сказал.

лог то дай

Слёзы · 12 июня 2010

Я выбрал проверять не только п-о опасные файлы, а все.

поставил на максимум

и че то он до сих пор хуярит

UPD

Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Протокол антивирусной утилиты AVZ версии 4.32

Сканирование запущено в 12.06.2010 11:49:39

Загружена база: сигнатуры - 237871, нейропрофили - 2, микропрограммы лечения - 56, база от 21.08.2009 14:23

Загружены микропрограммы эвристики: 374

Загружены микропрограммы ИПУ: 9

Загружены цифровые подписи системных файлов: 135524

Режим эвристического анализатора: Максимальный уровень эвристики

Режим лечения: выключено

Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора

Восстановление системы: Отключено

1. Поиск RootKit и программ, перехватывающих функции API

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Анализ user32.dll, таблица экспорта найдена в секции .text

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.2 Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

SDT найдена (RVA=08B520)

Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000

SDT = 80562520

KiST = 804E48B0 (284)

Функция NtAdjustPrivilegesToken (0B) перехвачена (805E07A7->B59ED58C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtClose (19) перехвачена (8056FA48->B59EDE0C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtConnectPort (1F) перехвачена (80585565->B59EE922), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtCreateEvent (23) перехвачена (8057CD25->B59EEE94), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtCreateFile (25) перехвачена (8057C328->B59EE0EE), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtCreateKey (29) перехвачена (8057791D->B59EC436), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtCreateMutant (2B) перехвачена (8057F3B8->B59EED6C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtCreateNamedPipeFile (2C) перехвачена (80588CAC->B59ED192), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtCreatePort (2E) перехвачена (8059902A->B59EEC28), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtCreateSection (32) перехвачена (8056DB66->B59ED34E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtCreateSemaphore (33) перехвачена (8057A9DC->B59EEFC6), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtCreateSymbolicLinkObject (34) перехвачена (805E6E7A->B59F0C08), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtCreateThread (35) перехвачена (80586C45->B59EDAAA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtCreateWaitablePort (38) перехвачена (805AA56E->B59EECCA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtDebugActiveProcess (39) перехвачена (8066259D->B59F05FA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtDeleteKey (3F) перехвачена (80593334->B59EC9FA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtDeleteValueKey (41) перехвачена (80591F8B->B59ECD88), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtDeviceIoControlFile (42) перехвачена (805889A8->B59EE576), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtDuplicateObject (44) перехвачена (80581216->B59F15CA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtEnumerateKey (47) перехвачена (80578E14->B59ECECA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtEnumerateValueKey (49) перехвачена (80587693->B59ECF74), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtFsControlFile (54) перехвачена (805803EB->B59EE382), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtLoadDriver (61) перехвачена (805A8FB2->B59F068C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtLoadKey (62) перехвачена (805CE805->B59EC412), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtLoadKey2 (63) перехвачена (805CE964->B59EC424), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtMapViewOfSection (6C) перехвачена (8057E369->B59F0CBC), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtNotifyChangeKey (6F) перехвачена (805E21AF->B59ED0C0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtOpenEvent (72) перехвачена (80589A51->B59EEF36), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtOpenFile (74) перехвачена (8057C49C->B59EDE8E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtOpenKey (77) перехвачена (80572BF4->B59EC5DC), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtOpenMutant (78) перехвачена (8057F466->B59EEE04), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtOpenProcess (7A) перехвачена (80581702->B59ED792), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtOpenSection (7D) перехвачена (8057A8AD->B59F0C32), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtOpenSemaphore (7E) перехвачена (805E71EE->B59EF068), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtOpenThread (80) перехвачена (805E1959->B59ED6B6), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtQueryKey (A0) перехвачена (80578A14->B59ED01E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtQueryMultipleValueKey (A1) перехвачена (80655758->B59ECC46), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtQuerySection (A7) перехвачена (80588048->B59F0FD4), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtQueryValueKey (B1) перехвачена (80573037->B59EC896), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtQueueApcThread (B4) перехвачена (805E3BAD->B59F0922), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtRenameKey (C0) перехвачена (80655BD4->B59ECB0E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtReplaceKey (C1) перехвачена (80656534->B59EC2B0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtReplyPort (C2) перехвачена (80583142->B59EF3F2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtReplyWaitReceivePort (C3) перехвачена (80575C24->B59EF2B8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtRequestWaitReplyPort (C8) перехвачена (80579485->B59F039A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtRestoreKey (CC) перехвачена (806560C9->B59F3E2C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtResumeThread (CE) перехвачена (805872BC->B59F14AC), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtSaveKey (CF) перехвачена (806561CA->B59EC248), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtSecureConnectPort (D2) перехвачена (80590431->B59EE65C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtSetContextThread (D5) перехвачена (806359C3->B59EDCC8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtSetInformationToken (E6) перехвачена (805A618E->B59EFC4A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtSetSecurityObject (ED) перехвачена (805D9CCF->B59F0786), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtSetSystemInformation (F0) перехвачена (805AABE4->B59F1114), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtSetValueKey (F7) перехвачена (8058228C->B59EC71E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtSuspendProcess (FD) перехвачена (8063775B->B59F11F8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtSuspendThread (FE) перехвачена (80637677->B59F1320), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtSystemDebugControl (FF) перехвачена (80650E11->B59F0526), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtTerminateProcess (101) перехвачена (8058E695->B59ED90A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtTerminateThread (102) перехвачена (805838E7->B59ED860), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtUnmapViewOfSection (10B) перехвачена (8057DEF1->B59F0E8A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция NtWriteVirtualMemory (115) перехвачена (805885C4->B59ED9EA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция FsRtlCheckLockForReadAccess (804F4593) - модификация машинного кода. Метод JmpTo. jmp B59E24DC \SystemRoot\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Функция IoAllocateIrp (804EAF9D) - модификация машинного кода. Метод не определен., внедрение с байта 15

Функция IoIsOperationSynchronous (804EAFAE) - модификация машинного кода. Метод JmpTo. jmp B59E28B6 \SystemRoot\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

Проверено функций: 284, перехвачено: 61, восстановлено: 0

1.3 Проверка IDT и SYSENTER

Анализ для процессора 1

Анализ для процессора 2

Проверка IDT и SYSENTER завершена

1.4 Поиск маскировки процессов и драйверов

Проверка не производится, так как не установлен драйвер мониторинга AVZPM

Драйвер успешно загружен

1.5 Проверка обработчиков IRP

\FileSystem\ntfs[iRP_MJ_CREATE] = 89BA01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_CLOSE] = 89BA01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_WRITE] = 89BA01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_INFORMATION] = 89BA01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_INFORMATION] = 89BA01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_EA] = 89BA01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_EA] = 89BA01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_VOLUME_INFORMATION] = 89BA01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_VOLUME_INFORMATION] = 89BA01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_DIRECTORY_CONTROL] = 89BA01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_FILE_SYSTEM_CONTROL] = 89BA01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_DEVICE_CONTROL] = 89BA01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_LOCK_CONTROL] = 89BA01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_SECURITY] = 89BA01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_SECURITY] = 89BA01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_PNP] = 89BA01F8 -> перехватчик не определен

Проверка завершена

2. Проверка памяти

Количество найденных процессов: 27

Процесс c:\windows\explorer.exe Может работать с сетью (wininet.dll,urlmon.dll)

Процесс c:\program files\skype\phone\skype.exe Может работать с сетью (urlmon.dll,wininet.dll)

Процесс d:\program files\kaspersky lab\kaspersky anti-virus 2010\avp.exe Может работать с сетью (wininet.dll,urlmon.dll)

Процесс c:\program files\skype\plugin manager\skypepm.exe Может работать с сетью (wininet.dll,urlmon.dll)

Процесс c:\program files\opera\opera.exe Может работать с сетью (wininet.dll,urlmon.dll)

Количество загруженных модулей: 402

Проверка памяти завершена

3. Сканирование дисков

Прямое чтение C:\Documents and Settings\Admin\Application Data\Skype\chokyda\bistats.db

Прямое чтение C:\Documents and Settings\Admin\Application Data\Skype\chokyda\chatsync\02\020f9868226eced3.dat

Прямое чтение C:\Documents and Settings\Admin\Application Data\Skype\chokyda\chatsync\11\1123de9e714d67e1.dat

Прямое чтение C:\Documents and Settings\Admin\Application Data\Skype\chokyda\chatsync\28\286b2e2ae02e499d.dat

Прямое чтение C:\Documents and Settings\Admin\Application Data\Skype\chokyda\chatsync\64\6445cff4b152388f.dat

Прямое чтение C:\Documents and Settings\Admin\Application Data\Skype\chokyda\chatsync\9f\9fd7e9b00dee5d3b.dat

Прямое чтение C:\Documents and Settings\Admin\Application Data\Skype\chokyda\dc.db

Прямое чтение C:\Documents and Settings\Admin\Application Data\Skype\chokyda\main.db

Прямое чтение C:\Documents and Settings\Admin\Application Data\Skype\etilqs_9NgSbEyG2IMOVA8qhyel

Прямое чтение C:\Documents and Settings\Admin\Application Data\Skype\etilqs_iNKu9l3mod3jErc9mtin

Прямое чтение C:\Documents and Settings\Admin\Application Data\Skype\shared_dynco\dc.db

Прямое чтение C:\Documents and Settings\Admin\Application Data\Skype\shared_httpfe\queue.db

Прямое чтение C:\Documents and Settings\Admin\Cookies\index.dat

Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\mail\indexer\indexer.axx

Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0000\md.dat

Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0000\w.axx

Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0000\wb.vx

Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0001\md.dat

Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0001\url.axx

Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0001\w.axx

Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0001\wb.vx

Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0002\md.dat

Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0002\w.axx

Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0002\wb.vx

Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0003\md.dat

Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0003\url.axx

Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0003\wb.vx

Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0004\md.dat

Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0004\url.axx

Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0004\w.axx

Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0004\wb.vx

Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0005\md.dat

Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0005\w.axx

Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0005\wb.vx

Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0006\md.dat

Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0006\w.axx

Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0007\md.dat

Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0007\url.axx

Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0007\wb.vx

Прямое чтение C:\Documents and Settings\Admin\Local Settings\History\History.IE5\index.dat

Прямое чтение C:\Documents and Settings\Admin\Local Settings\Temp\Perflib_Perfdata_464.dat

Прямое чтение C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\index.dat

Прямое чтение C:\Documents and Settings\Admin\NTUSER.DAT

Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Data\iswift.dat

Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Data\sfdb.dat

Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Data\stat\gui-general.bin

Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\01\00000001_events.dat

Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\02\00000001_events.dat

Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\02\00000001_objbt.dat

Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\02\00000001_objdt.dat

Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\02\00000001_objid.dat

Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\03\00000001_events.dat

Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\03\00000001_objbt.dat

Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\03\00000001_objdt.dat

Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\03\00000001_objid.dat

Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\05\00000001_events.dat

Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\05\00000001_objdt.dat

Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\05\00000001_objid.dat

Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\g_objbt.dat

Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\g_objdt.dat

Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\g_objid.dat

Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\report.rpt

Прямое чтение C:\Documents and Settings\LocalService\Cookies\index.dat

Прямое чтение C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

Прямое чтение C:\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat

Прямое чтение C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat

Прямое чтение C:\Documents and Settings\LocalService\NTUSER.DAT

Прямое чтение C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

Прямое чтение C:\Documents and Settings\NetworkService\NTUSER.DAT

Прямое чтение C:\System Volume Information\ISwift3.dat

Прямое чтение C:\WINDOWS\SchedLgU.Txt

Прямое чтение C:\WINDOWS\system32\CatRoot2\edb.log

Прямое чтение C:\WINDOWS\system32\CatRoot2\tmp.edb

Прямое чтение C:\WINDOWS\system32\config\AppEvent.Evt

Прямое чтение C:\WINDOWS\system32\config\default

Прямое чтение C:\WINDOWS\system32\config\Internet.evt

Прямое чтение C:\WINDOWS\system32\config\ODiag.evt

Прямое чтение C:\WINDOWS\system32\config\OSession.evt

Прямое чтение C:\WINDOWS\system32\config\SAM

Прямое чтение C:\WINDOWS\system32\config\SecEvent.Evt

Прямое чтение C:\WINDOWS\system32\config\SECURITY

Прямое чтение C:\WINDOWS\system32\config\SysEvent.Evt

Прямое чтение C:\WINDOWS\system32\config\system

Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys

Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR

Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP

Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP

Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP

4. Проверка Winsock Layered Service Provider (SPI/LSP)

Настройки LSP проверены. Ошибок не обнаружено

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

Проверка отключена пользователем

7. Эвристичеcкая проверка системы

Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "D:\PROGRA~1\KASPER~2\KASPER~1\mzvkbd3.dll"

Проверка завершена

8. Поиск потенциальных уязвимостей

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)

>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)

>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)

>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!

>> Безопасность: разрешен автозапуск программ с CDROM

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>> Безопасность: к ПК разрешен доступ анонимного пользователя

>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные

>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса

>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX

>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX

>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса

>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Проверка завершена

9. Мастер поиска и устранения проблем

>> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные

>> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса

>> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX

>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX

>> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME

>> Разрешен автозапуск с HDD

>> Разрешен автозапуск с сетевых дисков

>> Разрешен автозапуск со сменных носителей

Проверка завершена

Просканировано файлов: 43295, извлечено из архивов: 19072, найдено вредоносных программ 0, подозрений - 0

Сканирование завершено в 12.06.2010 11:57:08

Сканирование длилось 00:07:31

Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,

то Вы можете обратиться в конференцию - http://virusinfo.info

bugagashi · 12 июня 2010

потом лог сюда

будем дальше смотреть

друзей себе купи которые в компах шарят

**CeMa(** · 12 июня 2010

МЕТА.иа ебашит лучше гугла

Слёзы · 12 июня 2010

Лог в моём прошлом посте.

Особенно нравится вот эта строка:

Процесс d:\program files\kaspersky lab\kaspersky anti-virus 2010\avp.exe Может работать с сетью (wininet.dll,urlmon.dll)

Слёзы · 12 июня 2010

Не знаю, что написать, поэтому пошлю автора на хуй.

3 дня бы

gg.man · 12 июня 2010

блять
блять блтяь
у тебя в реестре стоит запускать из 3 файлов виряк. троян скорее всего.
тебе нужно.
проверить комп на вирусы. желательно не с самой операционки. в этом тебе поможет
1. ftp://ftp.drweb.com/pub/drweb/livecd/
качаешь, записываешь на диск, если сможешь на флешку.
1.а Туда же на диск\флешку записываешь avz.
2. Когда ты все это сделал.
Проверяешь куреитом и avz.
3. Cохраняешь логи и от того и от другого.

У тебя ничего не измениться до тех пор пока не исчезнет строка из лога
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\BLfsYbP.exe,\\?\globalroot\systemroot\system32\1bKMq5M.exe,

блять тихонько
не нервничай
ты моя последняя надежда

1) Ссылка не открывается
ftp://ftp.drweb.com/pub/drweb/livecd/

2) Щас найду через яндекс дк.веб нужный этот, погружу на флеш вместе с avz и проверю на вирусы
3) Скину логи ок.

ты с флешки загрузился, или запустил только?

Слёзы · 12 июня 2010

блять
блять блтяь
у тебя в реестре стоит запускать из 3 файлов виряк. троян скорее всего.
тебе нужно.
проверить комп на вирусы. желательно не с самой операционки. в этом тебе поможет
1. ftp://ftp.drweb.com/pub/drweb/livecd/
качаешь, записываешь на диск, если сможешь на флешку.
1.а Туда же на диск\флешку записываешь avz.
2. Когда ты все это сделал.
Проверяешь куреитом и avz.
3. Cохраняешь логи и от того и от другого.

У тебя ничего не измениться до тех пор пока не исчезнет строка из лога
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\BLfsYbP.exe,\\?\globalroot\systemroot\system32\1bKMq5M.exe,

блять тихонько
не нервничай
ты моя последняя надежда

1) Ссылка не открывается
ftp://ftp.drweb.com/pub/drweb/livecd/

2) Щас найду через яндекс дк.веб нужный этот, погружу на флеш вместе с avz и проверю на вирусы
3) Скину логи ок.

ты с флешки загрузился, или запустил только?

Я вообще пока только скачал.

Распиши что делать если не сложно.

Монтировать образ, скинуть на флеш, запустить?

bugagashi · 12 июня 2010

ща комп перезагружай.

и еще раз

hijackthis

лог сюда.

в принципе выход с авторана виряку заблокировали.

посмотрим

скажи

когда ты заходишь на гугл у тебя случаем не что-то подобное в командной строке?

www.seque.com/abcd.php?url=www.google.com

до гугла может быть все что угодно

Войти

Сейчас на странице Всего пользователей: 0 (0 пользователей, 0 гостей)

Google/Gmail/Youtube

Рекомендованные сообщения

bugagashi

Поделиться сообщением

Ссылка на сообщение

Слёзы

Поделиться сообщением

Ссылка на сообщение

bugagashi

Поделиться сообщением

Ссылка на сообщение

CeMa(

Поделиться сообщением

Ссылка на сообщение

Слёзы

Поделиться сообщением

Ссылка на сообщение

Слёзы

Поделиться сообщением

Ссылка на сообщение

gg.man

Поделиться сообщением

Ссылка на сообщение

Слёзы

Поделиться сообщением

Ссылка на сообщение

bugagashi

Поделиться сообщением

Ссылка на сообщение

Присоединяйтесь к обсуждению

Форум

Активность