vel_mary

На флешке появляется вирус autorun.inf и папка muza с файлом sguza.exe. Сканирование Авирой ничего не дает. удаление вручную не позволяет, пишет, что системный файл и используется. Подозрительных процессов в диспетчере не обнаружила. Базы у антивирусника обновляю каждый день! НА одном из форумов прочитала, что нужно просканировать утилитой AVZ. Вот результаты сканирования.
Протокол антивирусной утилиты AVZ версии 4.32
Сканирование запущено в 04.06.2010 10:26:29
Загружена база: сигнатуры - 273518, нейропрофили - 2, микропрограммы лечения - 56, база от 02.06.2010 10:52
Загружены микропрограммы эвристики: 383
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 205877
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=083220)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 8055A220
KiST = 804E26A8 (284)
Функция NtCreateKey (29) перехвачена (8057065D->F8BBB83E), перехватчик не определен
Функция NtCreateThread (35) перехвачена (8058E63F->F8BBB834), перехватчик не определен
Функция NtDeleteKey (3F) перехвачена (805952BE->F8BBB843), перехватчик не определен
Функция NtDeleteValueKey (41) перехвачена (80592D50->F8BBB84D), перехватчик не определен
Функция NtEnumerateKey (47) перехвачена (80570D64->F8440CA2), перехватчик spig.sys
Функция NtEnumerateValueKey (49) перехвачена (8059066B->F8441030), перехватчик spig.sys
Функция NtLoadKey (62) перехвачена (805AED5D->F8BBB852), перехватчик не определен
Функция NtOpenKey (77) перехвачена (80568D59->F84220C0), перехватчик spig.sys
Функция NtOpenProcess (7A) перехвачена (805717C7->F8BBB820), перехватчик не определен
Функция NtOpenThread (80) перехвачена (8058A1BD->F8BBB825), перехватчик не определен
Функция NtQueryKey (A0) перехвачена (80570A6D->F8441108), перехватчик spig.sys
Функция NtQueryValueKey (B1) перехвачена (8056A1F1->F8440F88), перехватчик spig.sys
Функция NtReplaceKey (C1) перехвачена (8064F0FA->F8BBB85C), перехватчик не определен
Функция NtRestoreKey (CC) перехвачена (8064EC91->F8BBB857), перехватчик не определен
Функция NtSetValueKey (F7) перехвачена (80572889->F8BBB848), перехватчик не определен
Функция NtTerminateProcess (101) перехвачена (805822E0->F8BBB82F), перехватчик не определен
Проверено функций: 284, перехвачено: 16, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [F870516D] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [F8704FC2] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 823741F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 823741F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 823741F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 823741F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 823741F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 823741F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 823741F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 823741F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 823741F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 823741F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 823741F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 823741F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 823741F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 823741F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 823741F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 823741F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 81D743F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 81D743F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 81D743F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 81D743F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 81D743F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 81D743F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 81D743F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 81D743F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 81D743F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 81D743F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 81D743F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 81D743F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 81D743F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 81D743F8 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 30
Анализатор - изучается процесс 2220 C:\Program Files\Chameleon Clock\ChamClock.exe
[ES]:Может работать с сетью
[ES]:EXE упаковщик ?
[ES]:Записан в автозапуск !!
Количество загруженных модулей: 373
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение L:\muza\sguza.exe
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
>>> Обратите внимание - нестандартный диспетчер задач "C:\Documents and Settings\M\Application Data\mrpky.exe"
>>> C:\Documents and Settings\M\Application Data\mrpky.exe ЭПС: подозрение на Обратите внимание - нестандартный диспетчер задач (высокая степень вероятности)
>>> L:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
>> Подмена диспетчера задач
Проверка завершена
Просканировано файлов: 406, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 04.06.2010 10:27:47
Сканирование длилось 00:01:21
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - VirusInfo

Что делать??? и еще, при завершении работы винды вылетает "невозможно завершить программу" ljkcqdf. Что за хрень??

morfeus

1. просканируйте систему и флешку в безопасном режиме Др.Веб Курейт.
2. отформатируйте флешку - как вариант избавиться от вируса...

AlexZir

Этот файлик прибейте unlocker-ом, после этого в AVZ зайдите в Сервис, Менеджер автозапуска и скиньте параметры explorer.exe на стандартные или через Файл, Восстановление системы выберите 1, 5, 8, 9, 11, 16 операции и проведите восстановление.

__________________
Убить всех человеков!

Матроскин

А причем тут не стандартный диспетчер задач я если честно не понял можно объяснить?

__________________
Человек будет свободен до тех пор, пока дважды два равно четырем

vel_mary

убила unlockerом. файлы удалились. на самом деле я могу их удалить и из командной строки. Перезагрузилась по грубому. но при новом втыке флешки они вновь появляются. сейчас правда появилась папку с другим названием carpet, а в ней shey.exe. и в корне флешки неизменный autorun.inf. где-то в мозгах прописался...
а где вы говорите скачать мне доктор веб?? это мне придется свою авиру снести?

Eli

Матроскин
название в цитате посмотри .....
вирусня....


vel_mary
нет - антивирус доктор веб, не мешает другим и он не нуждается в установке. ( портативный)

потому работает даже в безопасном режиме...

morfeus

Сносить ничего не надо, сканироваться надо в безопасном режиме.
Вот ссылка на Др.Веб: ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

Матроскин

Олег спасибо
Зараза сидит в вашем компьютере и скачивает на флешку эти файлы для переноса на другой комп

__________________
Человек будет свободен до тех пор, пока дважды два равно четырем

vel_mary

спасибо. скачаю, попробую просканировать

vel_mary

просканировала в безопасном режиме. нашел вирус в папке восстановления системы. а этот mrpky.exe пропустил. я в свойствах этого файла поставила запрет на чтение и выполнение. в обычном режиме загрузки удалила этот файл из двух папок (у Администратора и Пользователя в апликейшн дата). не знаю постадает ли моя система без этого файла, если предположить что вирус переписал этот процесс по-своему. но сейчас никаких авторанов и папок не появляется!! ура!