Форум программистов, компьютерный форум, киберфорум
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.64/25: Рейтинг темы: голосов - 25, средняя оценка - 4.64
0 / 0 / 0
Регистрация: 11.07.2013
Сообщений: 9
1

подозрение на Trojan ,подозрение на Exploit.Win32.IH_Infector.12 и Маскировка процесса

28.01.2014, 00:18. Показов 5017. Ответов 3
Метки нет (Все метки)

Всем привет!!! извините я нуб и прошу помоши у всех кто откликница и заранее СПАСИБО!


Решил провереть ноутбук через AVZ и был в шокЕ)))) подозрение на Trojan ,подозрение на Exploit.Win32.IH_Infector.12 и Маскировка процесса с PID=648, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 648)

Добавлено через 1 минуту
Кликните здесь для просмотра всего текста
Протокол антивирусной утилиты AVZ версии 4.41
Сканирование запущено в 12.01.2014 18:31:38
Загружена база: сигнатуры - 297613, нейропрофили - 2, микропрограммы лечения - 56, база от 11.01.2014 16:00
Загружены микропрограммы эвристики: 405
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 634335
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: включено
Версия Windows: 6.1.7601, Service Pack 1 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=169B00)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 83050000
SDT = 831B9B00
KiST = 830CE43C (401)
Функция NtCreateThread (57) перехвачена (8332CFDA->8EB0EF80), перехватчик C:\Windows\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtLoadDriver (9B) перехвачена (83216C40->8EB0F040), перехватчик C:\Windows\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtSetSystemInformation (15E) перехвачена (8329F37A->8EB0F000), перехватчик C:\Windows\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtSystemDebugControl (170) перехвачена (832D6802->8EB0EFC0), перехватчик C:\Windows\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Проверено функций: 401, перехвачено: 4, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=360, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 360)
Маскировка процесса с PID=400, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 400)
Маскировка процесса с PID=484, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 484)
Маскировка процесса с PID=900, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 900)
Маскировка процесса с PID=1436, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1436)
Маскировка процесса с PID=1516, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1516)
Маскировка процесса с PID=1576, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1576)
Маскировка процесса с PID=1608, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1608)
Маскировка процесса с PID=1824, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1824)
Маскировка процесса с PID=1972, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1972)
Маскировка процесса с PID=632, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 632)
Маскировка процесса с PID=1168, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1168)
Маскировка процесса с PID=1188, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1188)
Маскировка процесса с PID=1608, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1608)
Маскировка процесса с PID=1872, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1872)
Маскировка процесса с PID=2428, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2428)
Маскировка процесса с PID=2624, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2624)
Маскировка процесса с PID=2756, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2756)
Маскировка процесса с PID=2776, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2776)
Маскировка процесса с PID=2872, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2872)
Маскировка процесса с PID=2904, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2904)
Маскировка процесса с PID=2988, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2988)
Маскировка процесса с PID=3024, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3024)
Маскировка процесса с PID=3096, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3096)
Маскировка процесса с PID=3216, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3216)
Маскировка процесса с PID=3316, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3316)
Маскировка процесса с PID=3356, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3356)
Маскировка процесса с PID=3636, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3636)
Маскировка процесса с PID=3740, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3740)
Маскировка процесса с PID=3988, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3988)
Маскировка процесса с PID=4052, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4052)
Маскировка процесса с PID=2072, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2072)
Маскировка процесса с PID=272, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 272)
Маскировка процесса с PID=2364, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2364)
Маскировка процесса с PID=3360, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3360)
Маскировка процесса с PID=3580, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3580)
Маскировка процесса с PID=648, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 648)
Маскировка процесса с PID=2776, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2776)
Маскировка процесса с PID=3392, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3392)
Маскировка процесса с PID=3952, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3952)
Маскировка процесса с PID=3560, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3560)
Маскировка процесса с PID=3964, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3964)
Маскировка процесса с PID=944, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 944)
Маскировка процесса с PID=1048, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1048)
Маскировка процесса с PID=3680, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3680)
Маскировка процесса с PID=1528, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1528)
Маскировка процесса с PID=3620, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3620)
Маскировка процесса с PID=3272, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3272)
Маскировка процесса с PID=1132, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1132)
Маскировка процесса с PID=2220, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2220)
Маскировка процесса с PID=2152, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2152)
Маскировка процесса с PID=3360, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3360)
Маскировка процесса с PID=3852, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3852)
Поиск маскировки процессов и драйверов завершен
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
\FileSystem\ntfs[IRP_MJ_CREATE] = 8527B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8527B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8527B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8527B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8527B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8527B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8527B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8527B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8527B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8527B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8527B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8527B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8527B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8527B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8527B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8527B1F8 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 33
Количество загруженных модулей: 427
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Boot\BCD
Прямое чтение C:\Boot\BCD.LOG
Прямое чтение C:\ProgramData\ESET\ESET NOD32 Antivirus\Charon\CACHE.NDB
Прямое чтение C:\ProgramData\ESET\ESET NOD32 Antivirus\local.db
Прямое чтение C:\ProgramData\ESET\ESET NOD32 Antivirus\Logs\urllog.dat
Прямое чтение C:\ProgramData\ESET\ESET NOD32 Antivirus\Logs\virlog.dat
Прямое чтение C:\ProgramData\ESET\ESET NOD32 Antivirus\Logs\warnlog.dat
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_ WLIDSVC\BUTTON.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_ WLIDSVC\CHECKBOX.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_ WLIDSVC\COMBOBOX.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_ WLIDSVC\DIVWRAPPER.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_ WLIDSVC\EXTERNALWRAPPER.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_ WLIDSVC\GLOBAL_1025.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_ WLIDSVC\GLOBAL_1028.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_ WLIDSVC\GLOBAL_1037.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_ WLIDSVC\GLOBAL_1038.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_ WLIDSVC\GLOBAL_1041.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_ WLIDSVC\GLOBAL_1042.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_ WLIDSVC\GLOBAL_1081.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_ WLIDSVC\GLOBAL_1095.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_ WLIDSVC\GLOBAL_1097.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_ WLIDSVC\GLOBAL_1098.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_ WLIDSVC\GLOBAL_1099.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_ WLIDSVC\GLOBAL_1100.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_ WLIDSVC\GLOBAL_1102.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_ WLIDSVC\GLOBAL_2052.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_ WLIDSVC\GLOBAL_3098.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_ WLIDSVC\GLOBAL_DEFAULT.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_ WLIDSVC\HIPUSER.HTM
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_ WLIDSVC\IMAGE.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_ WLIDSVC\LINK.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_ WLIDSVC\LOCALIZATION.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_ WLIDSVC\MULTIUSERSSO.HTM
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_ WLIDSVC\NEWUSER.HTM
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_ WLIDSVC\NEWUSERCOMM.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_ WLIDSVC\NEWUSERFED.HTM
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_ WLIDSVC\SAVEDUSER.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_ WLIDSVC\SAVEDUSERS.HTM
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_ WLIDSVC\TEXT.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_ WLIDSVC\TEXTBOX.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_ WLIDSVC\TILEBOX.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_ WLIDSVC\UICORE.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_ WLIDSVC\UIRESOURCE.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_ WLIDSVC\USERTILE.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_ WLIDSVC\WAITPAGE.HTM
Прямое чтение C:\ProgramData\Microsoft\Network\Downloader\qmgr0.dat
Прямое чтение C:\ProgramData\Microsoft\Network\Downloader\qmgr1.dat
Прямое чтение C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Ga therLogs\SystemIndex\SystemIndex.9.gthr
Прямое чтение C:\ProgramData\Microsoft\Search\Data\Applications\Windows\MS S.log
Прямое чтение C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Pr ojects\SystemIndex\Indexer\CiFiles\00010001.wid
Прямое чтение C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Pr ojects\SystemIndex\Indexer\CiFiles\00010002.wid
Прямое чтение C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Pr ojects\SystemIndex\Indexer\CiFiles\00010003.wid
Прямое чтение C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Pr ojects\SystemIndex\Indexer\CiFiles\0001000D.wid
Прямое чтение C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Pr ojects\SystemIndex\Indexer\CiFiles\0001000D.wsb
Прямое чтение C:\ProgramData\Microsoft\Search\Data\Applications\Windows\tm p.edb
C:\ProgramData\Microsoft\Windows\Power Efficiency Diagnostics\energy-trace.etl >>> подозрение на Trojan.Win32.Agent2.byu ( 1C062724 1E621768 004D6E44 004D6E44 131072)
Файл успешно помещен в карантин (C:\ProgramData\Microsoft\Windows\Power Efficiency Diagnostics\energy-trace.etl)
Прямое чтение C:\ProgramData\Microsoft\Windows Defender\Scans\History\CacheManager\MpSfc.bin
Прямое чтение C:\ProgramData\Microsoft\Windows Defender\Scans\mpcache-F03409679F6719E1792D0656639F16D961645725.bin.67
Прямое чтение C:\ProgramData\Microsoft\Windows Defender\Scans\mpcache-F03409679F6719E1792D0656639F16D961645725.bin.7E
Прямое чтение C:\ProgramData\Microsoft\Windows Defender\Scans\mpcache-F03409679F6719E1792D0656639F16D961645725.bin.80
Прямое чтение C:\ProgramData\Microsoft\Windows Defender\Scans\mpcache-F03409679F6719E1792D0656639F16D961645725.bin.87
Прямое чтение C:\ProgramData\Microsoft\Windows Defender\Scans\mpcache-F03409679F6719E1792D0656639F16D961645725.bin.A0
Прямое чтение C:\ProgramData\Microsoft\Windows Defender\Scans\mpcache-F03409679F6719E1792D0656639F16D961645725.bin.CB
Прямое чтение C:\ProgramData\Microsoft\Windows Defender\Scans\mpcache-F03409679F6719E1792D0656639F16D961645725.bin.CC
Прямое чтение C:\ProgramData\Microsoft\Windows Defender\Scans\mpcache-F03409679F6719E1792D0656639F16D961645725.bin.VE1
Прямое чтение C:\ProgramData\Microsoft\Windows Defender\Scans\mpcache-F03409679F6719E1792D0656639F16D961645725.bin.VF
Прямое чтение C:\ProgramData\Microsoft\Windows Defender\Support\MPLog-12072013-225419.log
Прямое чтение C:\System Volume Information\001.dat
Прямое чтение C:\System Volume Information\002.dat
Прямое чтение C:\System Volume Information\7686024drv.isw
Прямое чтение C:\System Volume Information\mdllog.dat
Прямое чтение C:\System Volume Information\Syscache.hve
Прямое чтение C:\System Volume Information\Syscache.hve.LOG1
Прямое чтение C:\Users\Кекс\AppData\Local\Microsoft\CardSpace\CardSpaceSP2 .db
Прямое чтение C:\Users\Кекс\AppData\Local\Microsoft\Windows\UsrClass.dat
Прямое чтение C:\Users\Кекс\AppData\Local\Microsoft\Windows\UsrClass.dat.L OG1
Прямое чтение C:\Users\Кекс\AppData\Local\Microsoft\Windows\UsrClass.dat.L OG2
Прямое чтение C:\Users\Кекс\AppData\Local\Microsoft\Windows\UsrClass.dat{9 90ec690-755f-11e3-9afd-001d60e59f73}.TM.blf
Прямое чтение C:\Users\Кекс\AppData\Local\Microsoft\Windows\UsrClass.dat{9 90ec690-755f-11e3-9afd-001d60e59f73}.TMContainer00000000000000000001.regtrans-ms
Прямое чтение C:\Users\Кекс\AppData\Local\Microsoft\Windows\UsrClass.dat{9 90ec690-755f-11e3-9afd-001d60e59f73}.TMContainer00000000000000000002.regtrans-ms
Прямое чтение C:\Users\Кекс\AppData\Local\Microsoft\Windows\WebCache\V01.l og
Прямое чтение C:\Users\Кекс\AppData\Local\Microsoft\Windows\WebCache\WebCa cheV01.tmp
C:\Users\Кекс\Downloads\avz4 (1)\avz4\Quarantine\2013-12-29\avz00001.dta >>> подозрение на Exploit.Win32.IH_Infector.12 ( 01F22022 01553F68 004D6E44 000C539C 438272)
Файл успешно помещен в карантин (C:\Users\Кекс\Downloads\avz4 (1)\avz4\Quarantine\2013-12-29\avz00001.dta)
C:\Users\Кекс\Downloads\avz4 (1)\avz4\Quarantine\2013-12-29\avz00002.dta >>> подозрение на Exploit.Win32.IH_Infector.12 ( 01F22022 01553F68 004D6E44 000C539C 438272)
Файл успешно помещен в карантин (C:\Users\Кекс\Downloads\avz4 (1)\avz4\Quarantine\2013-12-29\avz00002.dta)
C:\Users\Кекс\Downloads\avz4 (1)\avz4\Quarantine\2013-12-29\avz00003.dta >>> подозрение на Exploit.Win32.IH_Infector.12 ( 01F22022 015C25A5 004D6E44 000C539C 438272)
Файл успешно помещен в карантин (C:\Users\Кекс\Downloads\avz4 (1)\avz4\Quarantine\2013-12-29\avz00003.dta)
Прямое чтение C:\Users\Кекс\ntuser.dat
Прямое чтение C:\Users\Кекс\ntuser.dat.LOG1
Прямое чтение C:\Users\Кекс\ntuser.dat.LOG2
Прямое чтение C:\Users\Кекс\ntuser.dat{e556a608-755d-11e3-a7d3-001d60e59f73}.TM.blf
Прямое чтение C:\Users\Кекс\ntuser.dat{e556a608-755d-11e3-a7d3-001d60e59f73}.TMContainer00000000000000000001.regtrans-ms
Прямое чтение C:\Users\Кекс\ntuser.dat{e556a608-755d-11e3-a7d3-001d60e59f73}.TMContainer00000000000000000002.regtrans-ms
C:\Windows\Installer\6dbc0.msi >>> подозрение на Exploit.Win32.IH_Infector.12 ( 01F22022 01553F68 004D6E44 000C539C 438272)
Файл успешно помещен в карантин (C:\Windows\Installer\6dbc0.msi)
C:\Windows\Microsoft.NET\Framework\v4.0.30319\SetupCache\v4. 5.50938\RUS\NetFx_FullLP_GDR_x86.msi >>> подозрение на Exploit.Win32.IH_Infector.12 ( 01F22022 01553F68 004D6E44 000C539C 438272)
Файл успешно помещен в карантин (C:\Windows\Microsoft.NET\Framework\v4.0.30319\SetupCache\v4 .5.50938\RUS\NetFx_FullLP_GDR_x86.msi)
C:\Windows\Microsoft.NET\Framework\v4.0.30319\SetupCache\v4. 5.50938\RUS\NetFx_FullLP_LDR_x86.msi >>> подозрение на Exploit.Win32.IH_Infector.12 ( 01F22022 015C25A5 004D6E44 000C539C 438272)
Файл успешно помещен в карантин (C:\Windows\Microsoft.NET\Framework\v4.0.30319\SetupCache\v4 .5.50938\RUS\NetFx_FullLP_LDR_x86.msi)
Прямое чтение C:\Windows\ServiceProfiles\LocalService\ntuser.dat
Прямое чтение C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT.LOG1
Прямое чтение C:\Windows\ServiceProfiles\LocalService\ntuser.dat{e556a600-755d-11e3-a7d3-001d60e59f73}.TM.blf
Прямое чтение C:\Windows\ServiceProfiles\LocalService\ntuser.dat{e556a600-755d-11e3-a7d3-001d60e59f73}.TMContainer00000000000000000001.regtrans-ms
Прямое чтение C:\Windows\ServiceProfiles\LocalService\ntuser.dat{e556a600-755d-11e3-a7d3-001d60e59f73}.TMContainer00000000000000000002.regtrans-ms
Прямое чтение C:\Windows\ServiceProfiles\NetworkService\ntuser.dat
Прямое чтение C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT.LOG1
Прямое чтение C:\Windows\ServiceProfiles\NetworkService\ntuser.dat{e556a60 4-755d-11e3-a7d3-001d60e59f73}.TM.blf
Прямое чтение C:\Windows\ServiceProfiles\NetworkService\ntuser.dat{e556a60 4-755d-11e3-a7d3-001d60e59f73}.TMContainer00000000000000000001.regtrans-ms
Прямое чтение C:\Windows\ServiceProfiles\NetworkService\ntuser.dat{e556a60 4-755d-11e3-a7d3-001d60e59f73}.TMContainer00000000000000000002.regtrans-ms
Прямое чтение C:\Windows\SoftwareDistribution\ReportingEvents.log
Прямое чтение C:\Windows\System32\catroot2\edb.log
Прямое чтение C:\Windows\System32\config\default
Прямое чтение C:\Windows\System32\config\DEFAULT.LOG1
Прямое чтение C:\Windows\System32\config\RegBack\DEFAULT
Прямое чтение C:\Windows\System32\config\RegBack\SAM
Прямое чтение C:\Windows\System32\config\RegBack\SECURITY
Прямое чтение C:\Windows\System32\config\RegBack\SYSTEM
Прямое чтение C:\Windows\System32\config\sam
Прямое чтение C:\Windows\System32\config\SAM.LOG1
Прямое чтение C:\Windows\System32\config\security
Прямое чтение C:\Windows\System32\config\SECURITY.LOG1
Прямое чтение C:\Windows\System32\config\SOFTWARE.LOG1
Прямое чтение C:\Windows\System32\config\system
Прямое чтение C:\Windows\System32\config\SYSTEM.LOG1
Прямое чтение C:\Windows\System32\config\TxR\{e556a5eb-755d-11e3-a7d3-001d60e59f73}.TxR.0.regtrans-ms
Прямое чтение C:\Windows\System32\config\TxR\{e556a5eb-755d-11e3-a7d3-001d60e59f73}.TxR.1.regtrans-ms
Прямое чтение C:\Windows\System32\config\TxR\{e556a5eb-755d-11e3-a7d3-001d60e59f73}.TxR.2.regtrans-ms
Прямое чтение C:\Windows\System32\config\TxR\{e556a5eb-755d-11e3-a7d3-001d60e59f73}.TxR.blf
Прямое чтение C:\Windows\System32\config\TxR\{e556a5ec-755d-11e3-a7d3-001d60e59f73}.TM.blf
Прямое чтение C:\Windows\System32\config\TxR\{e556a5ec-755d-11e3-a7d3-001d60e59f73}.TMContainer00000000000000000001.regtrans-ms
Прямое чтение C:\Windows\System32\config\TxR\{e556a5ec-755d-11e3-a7d3-001d60e59f73}.TMContainer00000000000000000002.regtrans-ms
Прямое чтение C:\Windows\System32\drivers\sptd.sys
Прямое чтение C:\Windows\System32\Microsoft\Protect\Recovery\Recovery.dat
Прямое чтение C:\Windows\System32\Microsoft\Protect\Recovery\Recovery.dat. LOG1
Прямое чтение C:\Windows\System32\Microsoft\Protect\Recovery\Recovery.dat{ f0a51367-99b4-11e0-930d-001d60e59f73}.TM.blf
Прямое чтение C:\Windows\System32\Microsoft\Protect\Recovery\Recovery.dat{ f0a51367-99b4-11e0-930d-001d60e59f73}.TMContainer00000000000000000001.regtrans-ms
Прямое чтение C:\Windows\System32\Microsoft\Protect\Recovery\Recovery.dat{ f0a51367-99b4-11e0-930d-001d60e59f73}.TMContainer00000000000000000002.regtrans-ms
Прямое чтение C:\Windows\System32\wbem\repository\INDEX.BTR
Прямое чтение C:\Windows\System32\wbem\repository\MAPPING1.MAP
Прямое чтение C:\Windows\System32\wbem\repository\MAPPING2.MAP
Прямое чтение C:\Windows\System32\wbem\repository\MAPPING3.MAP
Прямое чтение C:\Windows\System32\wbem\repository\OBJECTS.DATA
Прямое чтение C:\Windows\System32\wdi\LogFiles\WdiContextLog.etl.001
C:\Windows\System32\wdi\LogFiles\WdiContextLog.etl.002 >>> подозрение на Trojan-Downloader.Win32.AutoIt.q ( 1C9EE63B 1E621768 004D6E44 004D6E44 491520)
Файл успешно помещен в карантин (C:\Windows\System32\wdi\LogFiles\WdiContextLog.etl.002)
Прямое чтение C:\Windows\System32\wfp\wfpdiag.etl
Прямое чтение C:\Windows\System32\winevt\Logs\Application.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Cognizance.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Doctor Web.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\HardwareEvents.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Internet Explorer.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Key Management Service.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Media Center.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Application-Experience%4Problem-Steps-Recorder.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Application-Experience%4Program-Compatibility-Assistant.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Application-Experience%4Program-Compatibility-Troubleshooter.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Application-Experience%4Program-Inventory.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Application-Experience%4Program-Telemetry.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Bits-Client%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-CodeIntegrity%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Dhcp-Client%4Admin.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Dhcpv6-Client%4Admin.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Diagnosis-DPS%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Diagnosis-Scheduled%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Diagnostics-Performance%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-DriverFrameworks-UserMode%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-GroupPolicy%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Kernel-Power%4Thermal-Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Kernel-StoreMgr%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Kernel-WHEA%4Errors.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Kernel-WHEA%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-NCSI%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-NetworkAccessProtection%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-NetworkAccessProtection%4WHC.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-NetworkProfile%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-PrintService%4Admin.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-ReadyBoost%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Resource-Exhaustion-Detector%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-TerminalServices-LocalSessionManager%4Admin.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-User Profile Service%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Windows Defender%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Windows Defender%4WHC.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Windows Firewall With Advanced Security%4ConnectionSecurity.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Windows Firewall With Advanced Security%4Firewall.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-WindowsBackup%4ActionCenter.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-WindowsUpdateClient%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Winlogon%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-WLAN-AutoConfig%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\ODiag.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\OSession.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Security.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\System.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\TuneUp.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Windows PowerShell.evtx
Прямое чтение C:\Windows\Tasks\SCHEDLGU.TXT
C:\Windows\tracing\AGILEVPN.BIN >>> подозрение на Trojan.Win32.Agent2.byu ( 1CF52B44 1E621768 004D6E44 004D6E44 131072)
Файл успешно помещен в карантин (C:\Windows\tracing\AGILEVPN.BIN)
Прямое чтение C:\Windows\tracing\kerberos\КЕКС-ПК_kerberos_1_6_1_7601_1_0_Service Pack 1_100_6_1_7600_16385__win7_rtm_090713_1255_.etl
C:\Windows\tracing\RASPPTP.BIN >>> подозрение на Trojan.Win32.Agent2.byu ( 1D036C64 1E621768 004D6E44 004D6E44 131072)
Файл успешно помещен в карантин (C:\Windows\tracing\RASPPTP.BIN)
C:\Windows\tracing\VPNIKE.BIN >>> подозрение на Trojan.Win32.Agent2.byu ( 1D01E140 1E621768 004D6E44 004D6E44 131072)
Файл успешно помещен в карантин (C:\Windows\tracing\VPNIKE.BIN)
Прямое чтение C:\Windows\WindowsUpdate.log
Прямое чтение D:\System Volume Information\001.dat
Прямое чтение D:\System Volume Information\002.dat
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 10 TCP портов и 8 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Таймаут завершения служб находится за пределами допустимых значений
>>> Таймаут завершения служб находится за пределами допустимых значений - исправлено
Проверка завершена
Просканировано файлов: 628251, извлечено из архивов: 511146, найдено вредоносных программ 0, подозрений - 11
Сканирование завершено в 12.01.2014 20:18:45
Сканирование длилось 01:47:10
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ
можно использовать сервис http://virusdetector.ru/
0

Помощь в написании контрольных, курсовых и дипломных работ здесь.

Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
28.01.2014, 00:18
Ответы с готовыми решениями:

подозрение на Trojan.Win32.Agent2.byu
Стал тормозить компьютер, процессор слабо нагружен: 10-20% макс., а память 60-98%, диспетчер задач...

AVZ подозрение на Trojan.Win32.Agent2.byu
Здравствуйте. Уже несколько раз проверяю AVZ компьютер и всякий раз одно и то же - подозрение на...

Подозрение на Trojan-Spy.Win32.KeyLogger.cor
Доброго времени суток! Господа На флешке в смартфоне обнаружилось что все папки стали с...

c:\win\lsass.exe >>> подозрение на Trojan-Spy.Win32.KeyLogger.cor
Вирус создает на флешке папки.ехе, а сами папки становятся скрытыми. Др веб с обновленными базами...

3
Helper
626 / 207 / 13
Регистрация: 16.03.2013
Сообщений: 688
28.01.2014, 01:20 2
А вас просили крутить настройки AVZ? Удаляйте теперь драйвер расширенного мониторинга процессов AVZPM. После этого выполните Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему
0
0 / 0 / 0
Регистрация: 11.07.2013
Сообщений: 9
28.01.2014, 21:45  [ТС] 3
бубубуууу ,если честно хотел как лучшееее .да кстати Здравствуйте!
0
Helper
626 / 207 / 13
Регистрация: 16.03.2013
Сообщений: 688
28.01.2014, 23:14 4
Ждем логи от вас.
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
28.01.2014, 23:14

Подозрение на Trojan.BATdelSYS.ak
Всем привет.Сегодня столкнулся с проблемой:Компьютер начал ужасно лагать,нормальная загрузка...

Подозрение на вирусы Malware, Trojan
У меня есть подозрение на то, что мои файлы заражены трояном, а браузер "захвачен" Malware/Somoto....

Подозрение на Backdoor.Win32.Agent.bg
помогите мне пожалуйста. с интернетом происходят странные вещи. муж скачал для игры файл steam api...

Trojan-Ransom.Win32.Gimemo.jhc, HEUR:Trojan.Win32.Generic
Здравствуйте, уважаемые господа вирусологи, прошу помощи в решении проблем с заразой. Где-то 22...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
4
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.