bugagashi #41 12 июня 2010 а avz то че сказал. лог то дай Цитата одолели юзербары Поделиться сообщением Ссылка на сообщение
Слёзы #42 12 июня 2010 Я выбрал проверять не только п-о опасные файлы, а все. поставил на максимум и че то он до сих пор хуярит UPD Показать содержимое Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) Протокол антивирусной утилиты AVZ версии 4.32 Сканирование запущено в 12.06.2010 11:49:39 Загружена база: сигнатуры - 237871, нейропрофили - 2, микропрограммы лечения - 56, база от 21.08.2009 14:23 Загружены микропрограммы эвристики: 374 Загружены микропрограммы ИПУ: 9 Загружены цифровые подписи системных файлов: 135524 Режим эвристического анализатора: Максимальный уровень эвристики Режим лечения: выключено Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора Восстановление системы: Отключено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=08B520) Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000 SDT = 80562520 KiST = 804E48B0 (284) Функция NtAdjustPrivilegesToken (0B) перехвачена (805E07A7->B59ED58C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtClose (19) перехвачена (8056FA48->B59EDE0C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtConnectPort (1F) перехвачена (80585565->B59EE922), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtCreateEvent (23) перехвачена (8057CD25->B59EEE94), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtCreateFile (25) перехвачена (8057C328->B59EE0EE), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtCreateKey (29) перехвачена (8057791D->B59EC436), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtCreateMutant (2B) перехвачена (8057F3B8->B59EED6C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtCreateNamedPipeFile (2C) перехвачена (80588CAC->B59ED192), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtCreatePort (2E) перехвачена (8059902A->B59EEC28), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtCreateSection (32) перехвачена (8056DB66->B59ED34E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtCreateSemaphore (33) перехвачена (8057A9DC->B59EEFC6), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtCreateSymbolicLinkObject (34) перехвачена (805E6E7A->B59F0C08), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtCreateThread (35) перехвачена (80586C45->B59EDAAA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtCreateWaitablePort (38) перехвачена (805AA56E->B59EECCA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtDebugActiveProcess (39) перехвачена (8066259D->B59F05FA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtDeleteKey (3F) перехвачена (80593334->B59EC9FA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtDeleteValueKey (41) перехвачена (80591F8B->B59ECD88), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtDeviceIoControlFile (42) перехвачена (805889A8->B59EE576), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtDuplicateObject (44) перехвачена (80581216->B59F15CA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtEnumerateKey (47) перехвачена (80578E14->B59ECECA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtEnumerateValueKey (49) перехвачена (80587693->B59ECF74), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtFsControlFile (54) перехвачена (805803EB->B59EE382), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtLoadDriver (61) перехвачена (805A8FB2->B59F068C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtLoadKey (62) перехвачена (805CE805->B59EC412), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtLoadKey2 (63) перехвачена (805CE964->B59EC424), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtMapViewOfSection (6C) перехвачена (8057E369->B59F0CBC), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtNotifyChangeKey (6F) перехвачена (805E21AF->B59ED0C0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtOpenEvent (72) перехвачена (80589A51->B59EEF36), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtOpenFile (74) перехвачена (8057C49C->B59EDE8E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtOpenKey (77) перехвачена (80572BF4->B59EC5DC), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtOpenMutant (78) перехвачена (8057F466->B59EEE04), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtOpenProcess (7A) перехвачена (80581702->B59ED792), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtOpenSection (7D) перехвачена (8057A8AD->B59F0C32), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtOpenSemaphore (7E) перехвачена (805E71EE->B59EF068), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtOpenThread (80) перехвачена (805E1959->B59ED6B6), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtQueryKey (A0) перехвачена (80578A14->B59ED01E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtQueryMultipleValueKey (A1) перехвачена (80655758->B59ECC46), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtQuerySection (A7) перехвачена (80588048->B59F0FD4), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtQueryValueKey (B1) перехвачена (80573037->B59EC896), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtQueueApcThread (B4) перехвачена (805E3BAD->B59F0922), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtRenameKey (C0) перехвачена (80655BD4->B59ECB0E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtReplaceKey (C1) перехвачена (80656534->B59EC2B0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtReplyPort (C2) перехвачена (80583142->B59EF3F2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtReplyWaitReceivePort (C3) перехвачена (80575C24->B59EF2B8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtRequestWaitReplyPort (C8) перехвачена (80579485->B59F039A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtRestoreKey (CC) перехвачена (806560C9->B59F3E2C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtResumeThread (CE) перехвачена (805872BC->B59F14AC), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtSaveKey (CF) перехвачена (806561CA->B59EC248), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtSecureConnectPort (D2) перехвачена (80590431->B59EE65C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtSetContextThread (D5) перехвачена (806359C3->B59EDCC8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtSetInformationToken (E6) перехвачена (805A618E->B59EFC4A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtSetSecurityObject (ED) перехвачена (805D9CCF->B59F0786), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtSetSystemInformation (F0) перехвачена (805AABE4->B59F1114), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtSetValueKey (F7) перехвачена (8058228C->B59EC71E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtSuspendProcess (FD) перехвачена (8063775B->B59F11F8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtSuspendThread (FE) перехвачена (80637677->B59F1320), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtSystemDebugControl (FF) перехвачена (80650E11->B59F0526), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtTerminateProcess (101) перехвачена (8058E695->B59ED90A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtTerminateThread (102) перехвачена (805838E7->B59ED860), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtUnmapViewOfSection (10B) перехвачена (8057DEF1->B59F0E8A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtWriteVirtualMemory (115) перехвачена (805885C4->B59ED9EA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция FsRtlCheckLockForReadAccess (804F4593) - модификация машинного кода. Метод JmpTo. jmp B59E24DC \SystemRoot\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция IoAllocateIrp (804EAF9D) - модификация машинного кода. Метод не определен., внедрение с байта 15 Функция IoIsOperationSynchronous (804EAFAE) - модификация машинного кода. Метод JmpTo. jmp B59E28B6 \SystemRoot\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Проверено функций: 284, перехвачено: 61, восстановлено: 0 1.3 Проверка IDT и SYSENTER Анализ для процессора 1 Анализ для процессора 2 Проверка IDT и SYSENTER завершена 1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM Драйвер успешно загружен 1.5 Проверка обработчиков IRP \FileSystem\ntfs[iRP_MJ_CREATE] = 89BA01F8 -> перехватчик не определен \FileSystem\ntfs[iRP_MJ_CLOSE] = 89BA01F8 -> перехватчик не определен \FileSystem\ntfs[iRP_MJ_WRITE] = 89BA01F8 -> перехватчик не определен \FileSystem\ntfs[iRP_MJ_QUERY_INFORMATION] = 89BA01F8 -> перехватчик не определен \FileSystem\ntfs[iRP_MJ_SET_INFORMATION] = 89BA01F8 -> перехватчик не определен \FileSystem\ntfs[iRP_MJ_QUERY_EA] = 89BA01F8 -> перехватчик не определен \FileSystem\ntfs[iRP_MJ_SET_EA] = 89BA01F8 -> перехватчик не определен \FileSystem\ntfs[iRP_MJ_QUERY_VOLUME_INFORMATION] = 89BA01F8 -> перехватчик не определен \FileSystem\ntfs[iRP_MJ_SET_VOLUME_INFORMATION] = 89BA01F8 -> перехватчик не определен \FileSystem\ntfs[iRP_MJ_DIRECTORY_CONTROL] = 89BA01F8 -> перехватчик не определен \FileSystem\ntfs[iRP_MJ_FILE_SYSTEM_CONTROL] = 89BA01F8 -> перехватчик не определен \FileSystem\ntfs[iRP_MJ_DEVICE_CONTROL] = 89BA01F8 -> перехватчик не определен \FileSystem\ntfs[iRP_MJ_LOCK_CONTROL] = 89BA01F8 -> перехватчик не определен \FileSystem\ntfs[iRP_MJ_QUERY_SECURITY] = 89BA01F8 -> перехватчик не определен \FileSystem\ntfs[iRP_MJ_SET_SECURITY] = 89BA01F8 -> перехватчик не определен \FileSystem\ntfs[iRP_MJ_PNP] = 89BA01F8 -> перехватчик не определен Проверка завершена 2. Проверка памяти Количество найденных процессов: 27 Процесс c:\windows\explorer.exe Может работать с сетью (wininet.dll,urlmon.dll) Процесс c:\program files\skype\phone\skype.exe Может работать с сетью (urlmon.dll,wininet.dll) Процесс d:\program files\kaspersky lab\kaspersky anti-virus 2010\avp.exe Может работать с сетью (wininet.dll,urlmon.dll) Процесс c:\program files\skype\plugin manager\skypepm.exe Может работать с сетью (wininet.dll,urlmon.dll) Процесс c:\program files\opera\opera.exe Может работать с сетью (wininet.dll,urlmon.dll) Количество загруженных модулей: 402 Проверка памяти завершена 3. Сканирование дисков Прямое чтение C:\Documents and Settings\Admin\Application Data\Skype\chokyda\bistats.db Прямое чтение C:\Documents and Settings\Admin\Application Data\Skype\chokyda\chatsync\02\020f9868226eced3.dat Прямое чтение C:\Documents and Settings\Admin\Application Data\Skype\chokyda\chatsync\11\1123de9e714d67e1.dat Прямое чтение C:\Documents and Settings\Admin\Application Data\Skype\chokyda\chatsync\28\286b2e2ae02e499d.dat Прямое чтение C:\Documents and Settings\Admin\Application Data\Skype\chokyda\chatsync\64\6445cff4b152388f.dat Прямое чтение C:\Documents and Settings\Admin\Application Data\Skype\chokyda\chatsync\9f\9fd7e9b00dee5d3b.dat Прямое чтение C:\Documents and Settings\Admin\Application Data\Skype\chokyda\dc.db Прямое чтение C:\Documents and Settings\Admin\Application Data\Skype\chokyda\main.db Прямое чтение C:\Documents and Settings\Admin\Application Data\Skype\etilqs_9NgSbEyG2IMOVA8qhyel Прямое чтение C:\Documents and Settings\Admin\Application Data\Skype\etilqs_iNKu9l3mod3jErc9mtin Прямое чтение C:\Documents and Settings\Admin\Application Data\Skype\shared_dynco\dc.db Прямое чтение C:\Documents and Settings\Admin\Application Data\Skype\shared_httpfe\queue.db Прямое чтение C:\Documents and Settings\Admin\Cookies\index.dat Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\mail\indexer\indexer.axx Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0000\md.dat Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0000\w.axx Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0000\wb.vx Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0001\md.dat Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0001\url.axx Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0001\w.axx Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0001\wb.vx Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0002\md.dat Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0002\w.axx Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0002\wb.vx Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0003\md.dat Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0003\url.axx Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0003\wb.vx Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0004\md.dat Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0004\url.axx Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0004\w.axx Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0004\wb.vx Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0005\md.dat Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0005\w.axx Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0005\wb.vx Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0006\md.dat Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0006\w.axx Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0007\md.dat Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0007\url.axx Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0007\wb.vx Прямое чтение C:\Documents and Settings\Admin\Local Settings\History\History.IE5\index.dat Прямое чтение C:\Documents and Settings\Admin\Local Settings\Temp\Perflib_Perfdata_464.dat Прямое чтение C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\index.dat Прямое чтение C:\Documents and Settings\Admin\NTUSER.DAT Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Data\iswift.dat Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Data\sfdb.dat Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Data\stat\gui-general.bin Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\01\00000001_events.dat Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\02\00000001_events.dat Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\02\00000001_objbt.dat Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\02\00000001_objdt.dat Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\02\00000001_objid.dat Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\03\00000001_events.dat Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\03\00000001_objbt.dat Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\03\00000001_objdt.dat Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\03\00000001_objid.dat Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\05\00000001_events.dat Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\05\00000001_objdt.dat Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\05\00000001_objid.dat Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\g_objbt.dat Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\g_objdt.dat Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\g_objid.dat Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\report.rpt Прямое чтение C:\Documents and Settings\LocalService\Cookies\index.dat Прямое чтение C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Прямое чтение C:\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat Прямое чтение C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Прямое чтение C:\Documents and Settings\LocalService\NTUSER.DAT Прямое чтение C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Прямое чтение C:\Documents and Settings\NetworkService\NTUSER.DAT Прямое чтение C:\System Volume Information\ISwift3.dat Прямое чтение C:\WINDOWS\SchedLgU.Txt Прямое чтение C:\WINDOWS\system32\CatRoot2\edb.log Прямое чтение C:\WINDOWS\system32\CatRoot2\tmp.edb Прямое чтение C:\WINDOWS\system32\config\AppEvent.Evt Прямое чтение C:\WINDOWS\system32\config\default Прямое чтение C:\WINDOWS\system32\config\Internet.evt Прямое чтение C:\WINDOWS\system32\config\ODiag.evt Прямое чтение C:\WINDOWS\system32\config\OSession.evt Прямое чтение C:\WINDOWS\system32\config\SAM Прямое чтение C:\WINDOWS\system32\config\SecEvent.Evt Прямое чтение C:\WINDOWS\system32\config\SECURITY Прямое чтение C:\WINDOWS\system32\config\SysEvent.Evt Прямое чтение C:\WINDOWS\system32\config\system Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами Проверка отключена пользователем 7. Эвристичеcкая проверка системы Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "D:\PROGRA~1\KASPER~2\KASPER~1\mzvkbd3.dll" Проверка завершена 8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные >>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса >>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX >>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса >> Безопасность: Разрешена отправка приглашений удаленному помошнику Проверка завершена 9. Мастер поиска и устранения проблем >> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные >> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса >> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX >> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX >> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME >> Разрешен автозапуск с HDD >> Разрешен автозапуск с сетевых дисков >> Разрешен автозапуск со сменных носителей Проверка завершена Просканировано файлов: 43295, извлечено из архивов: 19072, найдено вредоносных программ 0, подозрений - 0 Сканирование завершено в 12.06.2010 11:57:08 Сканирование длилось 00:07:31 Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам, то Вы можете обратиться в конференцию - http://virusinfo.info Цитата Поделиться сообщением Ссылка на сообщение
bugagashi #43 12 июня 2010 потом лог сюда будем дальше смотреть друзей себе купи которые в компах шарят Цитата одолели юзербары Поделиться сообщением Ссылка на сообщение
Слёзы #45 12 июня 2010 Лог в моём прошлом посте. Особенно нравится вот эта строка: Процесс d:\program files\kaspersky lab\kaspersky anti-virus 2010\avp.exe Может работать с сетью (wininet.dll,urlmon.dll) Цитата Поделиться сообщением Ссылка на сообщение
Слёзы #46 12 июня 2010 Цитата Не знаю, что написать, поэтому пошлю автора на хуй. 3 дня бы Цитата Поделиться сообщением Ссылка на сообщение
gg.man #47 12 июня 2010 Цитата Показать содержимое Цитата блять блять блтяь у тебя в реестре стоит запускать из 3 файлов виряк. троян скорее всего. тебе нужно. проверить комп на вирусы. желательно не с самой операционки. в этом тебе поможет 1. ftp://ftp.drweb.com/pub/drweb/livecd/ качаешь, записываешь на диск, если сможешь на флешку. 1.а Туда же на диск\флешку записываешь avz. 2. Когда ты все это сделал. Проверяешь куреитом и avz. 3. Cохраняешь логи и от того и от другого. У тебя ничего не измениться до тех пор пока не исчезнет строка из лога F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\BLfsYbP.exe,\\?\globalroot\systemroot\system32\1bKMq5M.exe, блять тихонько не нервничай ты моя последняя надежда 1) Ссылка не открывается Показать содержимое ftp://ftp.drweb.com/pub/drweb/livecd/ 2) Щас найду через яндекс дк.веб нужный этот, погружу на флеш вместе с avz и проверю на вирусы 3) Скину логи ок. Показать больше ты с флешки загрузился, или запустил только? Цитата Never argue with an idiot, they'll only bring you down to their level and beat you with experience TheWho! написал 10.10.2022 в 11:41: блядь вы вдумайтесь чел в ник вова написал это каким дауном надо быть лол Поделиться сообщением Ссылка на сообщение
Слёзы #48 12 июня 2010 Цитата Цитата Показать содержимое Цитата блять блять блтяь у тебя в реестре стоит запускать из 3 файлов виряк. троян скорее всего. тебе нужно. проверить комп на вирусы. желательно не с самой операционки. в этом тебе поможет 1. ftp://ftp.drweb.com/pub/drweb/livecd/ качаешь, записываешь на диск, если сможешь на флешку. 1.а Туда же на диск\флешку записываешь avz. 2. Когда ты все это сделал. Проверяешь куреитом и avz. 3. Cохраняешь логи и от того и от другого. У тебя ничего не измениться до тех пор пока не исчезнет строка из лога F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\BLfsYbP.exe,\\?\globalroot\systemroot\system32\1bKMq5M.exe, блять тихонько не нервничай ты моя последняя надежда 1) Ссылка не открывается Показать содержимое ftp://ftp.drweb.com/pub/drweb/livecd/ 2) Щас найду через яндекс дк.веб нужный этот, погружу на флеш вместе с avz и проверю на вирусы 3) Скину логи ок. ты с флешки загрузился, или запустил только? Я вообще пока только скачал. Распиши что делать если не сложно. Монтировать образ, скинуть на флеш, запустить? Цитата Поделиться сообщением Ссылка на сообщение
bugagashi #49 12 июня 2010 ща комп перезагружай. и еще раз hijackthis лог сюда. в принципе выход с авторана виряку заблокировали. посмотрим скажи когда ты заходишь на гугл у тебя случаем не что-то подобное в командной строке? www.seque.com/abcd.php?url=www.google.com до гугла может быть все что угодно Цитата одолели юзербары Поделиться сообщением Ссылка на сообщение