04.06.2010, 11:52 | #1 (permalink) |
Новичок
Регистрация: 04.06.2010
Сообщений: 4
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
|
Неубиваемый Autorun.inf
Протокол антивирусной утилиты AVZ версии 4.32 Сканирование запущено в 04.06.2010 10:26:29 Загружена база: сигнатуры - 273518, нейропрофили - 2, микропрограммы лечения - 56, база от 02.06.2010 10:52 Загружены микропрограммы эвристики: 383 Загружены микропрограммы ИПУ: 9 Загружены цифровые подписи системных файлов: 205877 Режим эвристического анализатора: Максимальный уровень эвристики Режим лечения: выключено Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора Восстановление системы: включено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=083220) Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000 SDT = 8055A220 KiST = 804E26A8 (284) Функция NtCreateKey (29) перехвачена (8057065D->F8BBB83E), перехватчик не определен Функция NtCreateThread (35) перехвачена (8058E63F->F8BBB834), перехватчик не определен Функция NtDeleteKey (3F) перехвачена (805952BE->F8BBB843), перехватчик не определен Функция NtDeleteValueKey (41) перехвачена (80592D50->F8BBB84D), перехватчик не определен Функция NtEnumerateKey (47) перехвачена (80570D64->F8440CA2), перехватчик spig.sys Функция NtEnumerateValueKey (49) перехвачена (8059066B->F8441030), перехватчик spig.sys Функция NtLoadKey (62) перехвачена (805AED5D->F8BBB852), перехватчик не определен Функция NtOpenKey (77) перехвачена (80568D59->F84220C0), перехватчик spig.sys Функция NtOpenProcess (7A) перехвачена (805717C7->F8BBB820), перехватчик не определен Функция NtOpenThread (80) перехвачена (8058A1BD->F8BBB825), перехватчик не определен Функция NtQueryKey (A0) перехвачена (80570A6D->F8441108), перехватчик spig.sys Функция NtQueryValueKey (B1) перехвачена (8056A1F1->F8440F88), перехватчик spig.sys Функция NtReplaceKey (C1) перехвачена (8064F0FA->F8BBB85C), перехватчик не определен Функция NtRestoreKey (CC) перехвачена (8064EC91->F8BBB857), перехватчик не определен Функция NtSetValueKey (F7) перехвачена (80572889->F8BBB848), перехватчик не определен Функция NtTerminateProcess (101) перехвачена (805822E0->F8BBB82F), перехватчик не определен Проверено функций: 284, перехвачено: 16, восстановлено: 0 1.3 Проверка IDT и SYSENTER Анализ для процессора 1 >>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [F870516D] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный >>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [F8704FC2] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный Проверка IDT и SYSENTER завершена 1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM Драйвер успешно загружен 1.5 Проверка обработчиков IRP \FileSystem\ntfs[IRP_MJ_CREATE] = 823741F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_CLOSE] = 823741F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_WRITE] = 823741F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 823741F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 823741F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 823741F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_EA] = 823741F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 823741F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 823741F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 823741F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 823741F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 823741F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 823741F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 823741F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 823741F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_PNP] = 823741F8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_CREATE] = 81D743F8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_CLOSE] = 81D743F8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_WRITE] = 81D743F8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 81D743F8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 81D743F8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_QUERY_EA] = 81D743F8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_SET_EA] = 81D743F8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 81D743F8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 81D743F8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 81D743F8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 81D743F8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 81D743F8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 81D743F8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_PNP] = 81D743F8 -> перехватчик не определен Проверка завершена 2. Проверка памяти Количество найденных процессов: 30 Анализатор - изучается процесс 2220 C:\Program Files\Chameleon Clock\ChamClock.exe [ES]:Может работать с сетью [ES]:EXE упаковщик ? [ES]:Записан в автозапуск !! Количество загруженных модулей: 373 Проверка памяти завершена 3. Сканирование дисков Прямое чтение L:\muza\sguza.exe 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами Проверка отключена пользователем 7. Эвристичеcкая проверка системы >>> Обратите внимание - нестандартный диспетчер задач "C:\Documents and Settings\M\Application Data\mrpky.exe" >>> C:\Documents and Settings\M\Application Data\mrpky.exe ЭПС: подозрение на Обратите внимание - нестандартный диспетчер задач (высокая степень вероятности) >>> L:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности) Проверка завершена 8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя Проверка завершена 9. Мастер поиска и устранения проблем >> Подмена диспетчера задач Проверка завершена Просканировано файлов: 406, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0 Сканирование завершено в 04.06.2010 10:27:47 Сканирование длилось 00:01:21 Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам, то Вы можете обратиться в конференцию - VirusInfo Что делать??? и еще, при завершении работы винды вылетает "невозможно завершить программу" ljkcqdf. Что за хрень?? |
04.06.2010, 11:52 | |
Helpmaster
Member
Регистрация: 08.03.2016
Сообщений: 0
|
Очень полезно сначала ознакомиться с похожими темами autorun.inf В Майкрософт взялись за autorun Пытаюсь написать autorun. Вирус autorun.inf последствия Вирус AUTORUN. Удаление |
04.06.2010, 11:56 | #2 (permalink) |
in a matrix...
Регистрация: 20.12.2007
Сообщений: 9,039
Сказал(а) спасибо: 222
Поблагодарили 17 раз(а) в 14 сообщениях
Репутация: 15197
|
1. просканируйте систему и флешку в безопасном режиме Др.Веб Курейт.
2. отформатируйте флешку - как вариант избавиться от вируса... |
04.06.2010, 11:59 | #3 (permalink) | |
support
Регистрация: 19.08.2007
Адрес: Зея
Сообщений: 15,797
Записей в дневнике: 71
Сказал(а) спасибо: 166
Поблагодарили 203 раз(а) в 86 сообщениях
Репутация: 75760
|
Цитата:
__________________
Убить всех человеков! |
|
04.06.2010, 12:12 | #4 (permalink) |
4846АМ
Регистрация: 07.05.2010
Сообщений: 1,941
Записей в дневнике: 22
Сказал(а) спасибо: 3
Поблагодарили 4 раз(а) в 3 сообщениях
Репутация: 7564
|
А причем тут не стандартный диспетчер задач я если честно не понял можно объяснить?
__________________
Человек будет свободен до тех пор, пока дважды два равно четырем |
04.06.2010, 12:15 | #5 (permalink) |
Новичок
Регистрация: 04.06.2010
Сообщений: 4
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
|
убила unlockerом. файлы удалились. на самом деле я могу их удалить и из командной строки. Перезагрузилась по грубому. но при новом втыке флешки они вновь появляются. сейчас правда появилась папку с другим названием carpet, а в ней shey.exe. и в корне флешки неизменный autorun.inf. где-то в мозгах прописался...
а где вы говорите скачать мне доктор веб?? это мне придется свою авиру снести? |
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
04.06.2010, 12:16 | #6 (permalink) |
TEHNARI.RU
Регистрация: 31.03.2008
Адрес: Израиль
Сообщений: 18,407
Записей в дневнике: 7
Сказал(а) спасибо: 10
Поблагодарили 1 раз в 1 сообщении
Репутация: 14157
|
Матроскин
название в цитате посмотри ..... вирусня.... vel_mary нет - антивирус доктор веб, не мешает другим и он не нуждается в установке. ( портативный) потому работает даже в безопасном режиме... |
04.06.2010, 12:18 | #7 (permalink) |
in a matrix...
Регистрация: 20.12.2007
Сообщений: 9,039
Сказал(а) спасибо: 222
Поблагодарили 17 раз(а) в 14 сообщениях
Репутация: 15197
|
Сносить ничего не надо, сканироваться надо в безопасном режиме.
Вот ссылка на Др.Веб: ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe |
04.06.2010, 12:20 | #8 (permalink) |
4846АМ
Регистрация: 07.05.2010
Сообщений: 1,941
Записей в дневнике: 22
Сказал(а) спасибо: 3
Поблагодарили 4 раз(а) в 3 сообщениях
Репутация: 7564
|
Олег спасибо
Зараза сидит в вашем компьютере и скачивает на флешку эти файлы для переноса на другой комп
__________________
Человек будет свободен до тех пор, пока дважды два равно четырем |
04.06.2010, 14:44 | #10 (permalink) |
Новичок
Регистрация: 04.06.2010
Сообщений: 4
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
|
просканировала в безопасном режиме. нашел вирус в папке восстановления системы. а этот mrpky.exe пропустил. я в свойствах этого файла поставила запрет на чтение и выполнение. в обычном режиме загрузки удалила этот файл из двух папок (у Администратора и Пользователя в апликейшн дата). не знаю постадает ли моя система без этого файла, если предположить что вирус переписал этот процесс по-своему. но сейчас никаких авторанов и папок не появляется!! ура!
|
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
|
|