colovorot
а что в этой любопытного?
ниразу не встречал чтобы оттуда шла блокировка винды
а что в этой любопытного?
ниразу не встречал чтобы оттуда шла блокировка винды
» Windows заблокирован!
tahirg
Бывает и там прописываются. Проверить не помешает. На днях один такой экземпляр попался, прописался именно там, а тело лежало в Корзине.
Добавлено:
Этот экземпляр добавил в ту ветку ключ Shell со своими параметрами.
Бывает и там прописываются. Проверить не помешает. На днях один такой экземпляр попался, прописался именно там, а тело лежало в Корзине.
Добавлено:
Этот экземпляр добавил в ту ветку ключ Shell со своими параметрами.
tahirg
Уточните, какую версию ERD Commandera вы предлагаете в своем методе. И размер у файла странный "52383 KB"
Уточните, какую версию ERD Commandera вы предлагаете в своем методе. И размер у файла странный "52383 KB"
colovorot
Erd Commander 2005 вес 52 мб
Erd Commander 2005 вес 52 мб
tahirg
Цитата:
Я понял, что он 52 Мб (изошник в архиве). Для сборника версий ERD-шки под все системы размер слишком мелкий... Выходит, что юзеры Висты и 7-ки (х32, х64) остались обделены вашим вниманием
Прикольная шапочка... только для ХРю.
Цитата:
Erd Commander 2005 вес 52 мб
Я понял, что он 52 Мб (изошник в архиве). Для сборника версий ERD-шки под все системы размер слишком мелкий... Выходит, что юзеры Висты и 7-ки (х32, х64) остались обделены вашим вниманием
Прикольная шапочка... только для ХРю.colovorot
да, поправил в шапке, что только под xp, у кого есть желание могут поискать сборник ERD под все системы, метод остаётся таким же
просто заливать 700 мб для меня муторно, upload 70 кб сек...
да, поправил в шапке, что только под xp, у кого есть желание могут поискать сборник ERD под все системы, метод остаётся таким же
просто заливать 700 мб для меня муторно, upload 70 кб сек...
tahirg
А про winlogon в юзерской ветке принципиально решили не упоминать?
Добавлено:
Цитата:
2005-й еще и под Windows 2000 подходит, и 2003-й
А про winlogon в юзерской ветке принципиально решили не упоминать?
Добавлено:
Цитата:
что только под xp
2005-й еще и под Windows 2000 подходит, и 2003-й
tahirg, не проще ли указать темы на фoруме по ERD:
для ХР: http://forum.ru-board.com/topic.cgi?forum=35&topic=7507
для Vista/7 http://forum.ru-board.com/topic.cgi?forum=35&topic=35956
для ХР: http://forum.ru-board.com/topic.cgi?forum=35&topic=7507
для Vista/7 http://forum.ru-board.com/topic.cgi?forum=35&topic=35956
colovorot
Цитата:
Может быть в шапку добавлять инфу, с местом прописки локеров в реестре ?
Цитата:
Бывает и там прописываются.
Может быть в шапку добавлять инфу, с местом прописки локеров в реестре ?
colovorot
vzar
дополнено
vzar
дополнено
Последний выявленный мной вирус данного типа, сидел в папке System32 с именем ioblhkk.dll (не скрыт, был завязан почти на все процессы, видно было при удалении анлокером). Смог попасть к зараженному компу спустя 5 дней после заражения, статистика отосланного файла на вирустотал показала только 23% знания, в числе которых из популярных были только доктор вэб и аваст, на компе был установлен каспер. (Касперскому отослал вирус лично).
Действие вируса проявлялось в блокировании доступа только в интернет с помощью любого браузера, с предложением разблокировать доступ за деньги. Все привычные способы блокировки: файл хостов и маршруты не использовались.
Действие вируса проявлялось в блокировании доступа только в интернет с помощью любого браузера, с предложением разблокировать доступ за деньги. Все привычные способы блокировки: файл хостов и маршруты не использовались.
седня комп чинил...
какое то обычное объявление, гони денег... загрузился с LiveCD, shell починил, удалил с all users файлик с набором цифр, почистил темпы и кэши, перезагружаюсь опять то же самое
Пошел внимательнее смотреть, опять shell в реестре модифицирован, опять файлик на старом месте.
Оказывается зловред подменил userinit в system32 и dllcache, после замены оригинальным userinit и удаление всего с dllcache, заработала система... далее ессесно avz и полная проверка антивирусом.
какое то обычное объявление, гони денег... загрузился с LiveCD, shell починил, удалил с all users файлик с набором цифр, почистил темпы и кэши, перезагружаюсь опять то же самое
Пошел внимательнее смотреть, опять shell в реестре модифицирован, опять файлик на старом месте.
Оказывается зловред подменил userinit в system32 и dllcache, после замены оригинальным userinit и удаление всего с dllcache, заработала система... далее ессесно avz и полная проверка антивирусом.
Да, согласен подмену файла не так просто заметить, если антивирус молчит. 
Почему только он молчит не понятно.
Почему только он молчит не понятно.IvANANvI
Цитата:
Угу?
Цитата:
Цитата:
антивирус молчит.Почему только он молчит не понятно.Наверное потому что новый зловред.
Угу?
Цитата:
на вирустотал показала только 23%Вы б хоть ссылку привели.
В папке Temp на С диске, я его нашел, случайно, весь день потратил на лечение компа от этой дряни, не пускал меня даже в безопасный, лишь тока смог зайти в безапасный с командной строкой, а там вызвал диспечера, и через него уже ходил на папки, и запускал всякие антивири, которые ничего не нашли, и чего то решил почистить папку Temp, а там и ексешник с дебильным названием был, почистил вобщем... и решил еще раз зайти с нормального входа, и о чудо, сообщения вымогательского нету, лишь выскочила ошибка системная что файл, тот который бул в папке темпа, не найден... вот так совершенно случайно, в неожиданном месте осел гад.
Цитата:
Оказывается зловред подменил userinit в system32 и dllcache, после замены оригинальным userinit и удаление всего с dllcache, заработала система... далее ессесно avz и полная проверка антивирусом.
+1. сегодня поймал такого же. Снимал жесткий, на другом компе гонял всеми антивирусами: безрезультатно. Потом загрузился со зверя, в ERD редакторе реестра нашел что все ветки которые правил опять с теми же параметрами. Заменил с установочного диска userinit.exe и удалил userinit.exe из папки c:\windows\system32\dlcashe. Помогло.
ndch
Мне всегда казалось, что уж для системных файлов проверку по контрольным суммам антивирус может сделать, не так часто они меняются. Тот же критический файл! userinit.exe датируется апрелем 2008 года, то бишь SP3. Касперский например часто предупреждает о смене размера файлов IE.
Ссылку не привел поскольку лечу компы не у себя. В будущем скрин сделаю с экрана.
Мне всегда казалось, что уж для системных файлов проверку по контрольным суммам антивирус может сделать, не так часто они меняются. Тот же критический файл! userinit.exe датируется апрелем 2008 года, то бишь SP3. Касперский например часто предупреждает о смене размера файлов IE.
Ссылку не привел поскольку лечу компы не у себя. В будущем скрин сделаю с экрана.
Сегодня "отловлен" мерзавчик. "Селится" c:\WINDOWS\AppPatch\, имя jonkali.dat. Как обычно, полный пакет: блокировка авз, безопасника, облом интернета, "защита" себя и родительских папок инсталяции (в темпе) и т.д. Естественно онлайн проверка на вирусы ни чего не выявила. Лечение стандартное убиваем процес, тело и папки, чистим реестр. Кто горит желанием 
может попробовать (ищите в нете "Free Online TV program 1.0")
может попробовать (ищите в нете "Free Online TV program 1.0") IvANANvI
Цитата:
Разве загрузочная флешка не удобнее ?
скриншотер/новую зловреду на флешку закинуть - буквально секундное дело.
Добавлено:
1Kipovec
Цитата:
Ничего не путаете ?
Цитата:
Ссылку не привел поскольку лечу компы не у себя.
Разве загрузочная флешка не удобнее ?
скриншотер/новую зловреду на флешку закинуть - буквально секундное дело.
Добавлено:
1Kipovec
Цитата:
ищите в нете "Free Online TV program 1.0"
Ничего не путаете ?
Всем привет, недавно столкнулся со злобным баннером, который так и не смог победить.
Не первый раз сталкиваюсь с подобной хренью и уже знаю куда смотреть. Загрузил ERD, просмотрел в реестре ветки
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
"Shell" = "Explorer.exe"
"Userinit"="C:\\WINDOWS\\System32\\userinit.exe,"
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon
В моем случае он подменял shell и запускался из All Users/Application data
Я переписал shell на explorer.exe поиском нашед все экзешники баннера, он еще оказался в корзине, поудалял еге нафиг и со спокойной душой оправил комп на перезагрузку и какого же было мое удивление. когда при загрузке компа все осталось по прежнему. Я снова гружу ERD захожу в реестр и опять shell переписан и в All Users/Application data лежит тот самый экзешник, повтор операций ни к чему не привел, времени было в обрез и я не стал дальше разбираться.
Может уже кто-нибудь сталкивался с подобным и есть готовое решение, либо может кто посоветует грамотный алгоритм решения данной проблемы.
Кстати замена юзера тоже не помогла.
Не первый раз сталкиваюсь с подобной хренью и уже знаю куда смотреть. Загрузил ERD, просмотрел в реестре ветки
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
"Shell" = "Explorer.exe"
"Userinit"="C:\\WINDOWS\\System32\\userinit.exe,"
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon
В моем случае он подменял shell и запускался из All Users/Application data
Я переписал shell на explorer.exe поиском нашед все экзешники баннера, он еще оказался в корзине, поудалял еге нафиг и со спокойной душой оправил комп на перезагрузку и какого же было мое удивление. когда при загрузке компа все осталось по прежнему. Я снова гружу ERD захожу в реестр и опять shell переписан и в All Users/Application data лежит тот самый экзешник, повтор операций ни к чему не привел, времени было в обрез и я не стал дальше разбираться.
Может уже кто-нибудь сталкивался с подобным и есть готовое решение, либо может кто посоветует грамотный алгоритм решения данной проблемы.
Кстати замена юзера тоже не помогла.
sandron818229
на предыдущей странице...
Посмотрите файл с All Users/Application data и сравните есть ли такой же по размеру в system32 и в dllcache
на предыдущей странице...
Посмотрите файл с All Users/Application data и сравните есть ли такой же по размеру в system32 и в dllcache
sandron818229
а C:\Documents and Settings\юзер\Local Settings\Temp
C:\Documents and Settings\юзер\Local Settings\Temporary Internet Files
зачищал?
а C:\Documents and Settings\юзер\Local Settings\Temp
C:\Documents and Settings\юзер\Local Settings\Temporary Internet Files
зачищал?
Цитата:
sandron818229
на предыдущей странице...
Посмотрите файл с All Users/Application data и сравните есть ли такой же по размеру в system32 и в dllcache
Да, спасибо, невнимательно читал форум, по симптомам один в один.
Добавлено:
Цитата:
sandron818229
а C:\Documents and Settings\юзер\Local Settings\Temp
C:\Documents and Settings\юзер\Local Settings\Temporary Internet Files
зачищал?
Имя юзера пробовал менять, так что думаю темпы не актуально.
Цитата:
Ничего не путаете
Нет, архив был скачен с летбита. В архиве три картинки "для веса" и програмка на 666кб (весьма посредственная) после инсталяхи ентой гадости и происходит заражение. На одном из файловых ресурсов - "файл удалён из за наличия вируса" примерно, комент администраии.
Вчерашний зловред с именем adobeupdate.exe в папке профиля. Подменял эксплорер.
Выложил скрин с virustotal.com
Файл уже был поврежден, либо самоуничтожился, либо еще чего. Поэтому и не определяется антивирусами, хотя некоторые пишут, что поврежден.
Выложил скрин с virustotal.com
Файл уже был поврежден, либо самоуничтожился, либо еще чего. Поэтому и не определяется антивирусами, хотя некоторые пишут, что поврежден.
IvANANvI
суслика отправили вендорам?
суслика отправили вендорам?
бывает.
Доброго времени.
Поймал вчера Winlock :cry: , всё как обычно - бла бла отошлите денег на такой-то номер (номер на скрине) и т.п. и т.д , запустился с LiveCD, запустил avz 3.65 обновил базы , просканировал всё на наивысшем уровне эвристики (лог во вложении, не все файлы), вроде как ничего особенного , потом пробовал запустится - то же окно , ладно , снова грузанулся с лайвCD , снова поставил на сканирование с максимальной эвристикой (лог во вложении, уже теперь все файлы), тоже ничего , пару раз при загрузке выдал синий экран (см.скрин).
Сегодня удалось из под безопасного режима почистить реестр - ветки RUN и RUNONCE, вычистил также папку temp и т.п времянки , запустил avz - выполнил восстановление системы, загружаюсь - всё тапблички нет - вирус вроде как ушёл , но проблема в следующим - при загрузке не стартует explorer.exe и выдаёт ошибку - lsass.exe (cм. вложение) - недаёт грузится дальше, но через таск. менеджер через выполнить explorer.exe стартует вполне себе нормально и система работает.
Проверил в реестре ветку HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options : все нормально - ни какой заразы нет, упоминании эксплорера тоже.
Добавил в реестр по пути:HKLM\Software\Microsoft\WindowsNT\CurrentVersion\ следующий раздел Winlogo2- cтроку: Shell=explorer.exe (даже полностью прописывал путь до explorer.exe) бестолку , тоже самое что и было ...
Файлик explorer.exe просканировал NOD32 v.4 (базы от 03.05.11) - ничего криминального.
Операционная система: Windows XP SP3 сборка Zver 9.7 , последние заплатки от мелкомягких поставлены 03.05.11
Антивирус: NOD32 v.4.0.437.0 , базы от 03.05.11
В данный момент запустил нод32 на сканирование всех дисков на среднем уровне эвристики.
Также сделал ярлык на эксплорер и поставил его в автозагрузку, но пока не пробовал. - не заню выгорит или нет. добавлено: - не получилось
Какие еще варианты и мысли будут по восстановлению системы: : - каждый раз стартовать руками эксплорер - не гут :wall: , может у кого есть файлик explorer.exe из сборкиWindows XP SP3 от Zver v.9.7 ?
Жду помощи :!: :!:
Скриншот вируса:
Синий экран:
Лог сканирования AVZ - 1:
[more]
Внимание !!! База поcледний раз обновлялась 19.04.2011 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.35
Сканирование запущено в 06.05.2011 22:59:00
Загружена база: сигнатуры - 288679, нейропрофили - 2, микропрограммы лечения - 56, база от 19.04.2011 22:47
Загружены микропрограммы эвристики: 388
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 272495
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка загрузки драйвера - проверка прервана [C0000034]
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Ошибка загрузки драйвера - проверка прервана [C0000034]
2. Проверка памяти
Количество найденных процессов: 11
Количество загруженных модулей: 136
Проверка памяти завершена
3. Сканирование дисков
F:\Program Files\Total Commander\Programm\ASPMonitor\ASMonitor.exe >>>>> Monitor.Win32.ActualSpy.28 успешно удален
F:\Program Files\Total Commander\Programm\ASPMonitor\hk.dll >>>>> Monitor.Win32.ActualSpy.30 успешно удален
F:\Program Files\Total Commander\Programm\ASPMonitor\hprog.dll >>>>> Monitor.Win32.ActualSpy.30 успешно удален
Автоматическая чистка следов удаленных в ходе лечения программ
>> Форматирует число в виде HEX строки
>>> Форматирует число в виде HEX строки - исправлено
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Ошибка LSP Protocol = "RSVP UDP Service Provider" --> отсутствует файл X:\i386\system32\rsvpsp.dll
Ошибка LSP Protocol = "RSVP TCP Service Provider" --> отсутствует файл X:\i386\system32\rsvpsp.dll
Внимание ! Обнаружены ошибки в SPI/LSP. Количество ошибок - 2
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Нестандартный ключ реестра для системной службы: BITS ImagePath=""
Нестандартный ключ реестра для системной службы: wuauserv ImagePath=""
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Нарушение ассоциации EXE файлов
>> Нарушение ассоциации COM файлов
>> Модифицированы префиксы протоколов
>> Заблокирована возможность завершения сеанса
>> Заблокирована закладка Заставка в окне свойств экрана
>> Заблокирован доступ к настройкам принтеров
>> Меню Пуск - заблокированы элементы
>> Заблокирован пункт меню Справка и техподдержка
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
>> Заблокирована возможность смены темы рабочего стола
Проверка завершена
Просканировано файлов: 126201, извлечено из архивов: 87199, найдено вредоносных программ 3, подозрений - 0
Сканирование завершено в 06.05.2011 23:16:59
Сканирование длилось 00:18:01
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в систему http://kaspersky-911.ru[/more]
Лог сканирования AVZ - 2:
[more]Внимание !!! База поcледний раз обновлялась 19.04.2011 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.35
Сканирование запущено в 07.05.2011 00:27:37
Загружена база: сигнатуры - 288679, нейропрофили - 2, микропрограммы лечения - 56, база от 19.04.2011 22:47
Загружены микропрограммы эвристики: 388
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 272495
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка загрузки драйвера - проверка прервана [C0000034]
>>>> Подозрение на RootKit uty2mjax X:\i386\system32\Drivers\uty2mjax.sys
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Ошибка загрузки драйвера - проверка прервана [C0000034]
2. Проверка памяти
Количество найденных процессов: 11
Анализатор - изучается процесс 532 X:\i386\System32\xpelogon.exe
[ES]:Приложение не имеет видимых окон
[ES]:EXE упаковщик ?
[ES]:Размещается в системной папке
Анализатор - изучается процесс 1988 X:\i386\System32\INDICDLL.EXE
[ES]:Размещается в системной папке
Количество загруженных модулей: 136
Проверка памяти завершена
3. Сканирование дисков
C:\Documents and Settings\Den\Рабочий стол\IDoser.4.5.plus.170.doz\IDoser v4\IDoser.exe.bak - PE файл с нестандартным расширением(степень опасности 5%)
F:\Program Files\IdealSorter 2007\IdealSorter.exe.BAK - PE файл с нестандартным расширением(степень опасности 5%)
F:\Program Files\Total Commander\Programm\Accent Office Password Recovery\aofpr.exe - Подозрение на Virus.Win32.PE_Type1(степень опасности 75%)
F:\Program Files\Total Commander\Programm\SBListExtr\SBListExtr.exe - Подозрение на Virus.Win32.PE_Type1(степень опасности 75%)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Ошибка LSP Protocol = "RSVP UDP Service Provider" --> отсутствует файл X:\i386\system32\rsvpsp.dll
Ошибка LSP Protocol = "RSVP TCP Service Provider" --> отсутствует файл X:\i386\system32\rsvpsp.dll
Внимание ! Обнаружены ошибки в SPI/LSP. Количество ошибок - 2
Проведено автоматическое исправление ошибок в настройках SPI/LSP
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 3 TCP портов и 3 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Нестандартный ключ реестра для системной службы: BITS ImagePath=""
Нестандартный ключ реестра для системной службы: wuauserv ImagePath=""
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Нарушение ассоциации EXE файлов
>>> Нарушение ассоциации EXE файлов - исправлено
>> Нарушение ассоциации COM файлов
>>> Нарушение ассоциации COM файлов - исправлено
>> Модифицированы префиксы протоколов
>>> Модифицированы префиксы протоколов - исправлено
>> Заблокирована возможность завершения сеанса
>>> Заблокирована возможность завершения сеанса - исправлено
>> Заблокирована закладка Заставка в окне свойств экрана
>>> Заблокирована закладка Заставка в окне свойств экрана - исправлено
>> Заблокирован доступ к настройкам принтеров
>>> Заблокирован доступ к настройкам принтеров - исправлено
>> Меню Пуск - заблокированы элементы
>>> Меню Пуск - заблокированы элементы - исправлено
>> Заблокирован пункт меню Справка и техподдержка
>>> Заблокирован пункт меню Справка и техподдержка - исправлено
>> Разрешен автозапуск с HDD
>>> Разрешен автозапуск с HDD - исправлено
>> Разрешен автозапуск с сетевых дисков
>>> Разрешен автозапуск с сетевых дисков - исправлено
>> Разрешен автозапуск со сменных носителей
>>> Разрешен автозапуск со сменных носителей - исправлено
>> Заблокирована возможность смены темы рабочего стола
>>> Заблокирована возможность смены темы рабочего стола - исправлено
Проверка завершена
Просканировано файлов: 113645, извлечено из архивов: 86506, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 07.05.2011 00:41:36
Сканирование длилось 00:14:01
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в систему http://kaspersky-911.ru[/more]
Ошибка lsass.exe при запуске системы:
[more]Тип события: Ошибка
Источник события: Application Error
Категория события: Отсутствует
Код события: 1000
Дата: 07.05.2011
Время: 17:37:56
Пользователь: Н/Д
Компьютер: DEN-HOME
Описание:
Ошибка приложения lsass.exe, версия 1.4.1.0, модуль kernel32.dll, версия 5.1.2600.5781, адрес 0x00012afb.
Данные:
0000: 41 70 70 6c 69 63 61 74 Applicat
0008: 69 6f 6e 20 46 61 69 6c ion Fail
0010: 75 72 65 20 20 6c 73 61 ure lsa
0018: 73 73 2e 65 78 65 20 31 ss.exe 1
0020: 2e 34 2e 31 2e 30 20 69 .4.1.0 i
0028: 6e 20 6b 65 72 6e 65 6c n kernel
0030: 33 32 2e 64 6c 6c 20 35 32.dll 5
0038: 2e 31 2e 32 36 30 30 2e .1.2600.
0040: 35 37 38 31 20 61 74 20 5781 at
0048: 6f 66 66 73 65 74 20 30 offset 0
0050: 30 30 31 32 61 66 62 0d 0012afb.
0058: 0a [/more] .
Лог сканирования NOD32 - найденные зловреды:
[more]
C:\BACKUPS\Рабочий стол-Admin\Игры\Герои Меча И Магии (Heroes Migh And Magic) Коллекционное Издание (2-а DVD) [forum.cyber.yaroslavl.ru]\DVD 1 (I-IV).iso » ISO » HOMM1_PATH.RAR » RAR » h1nocd.exe - вероятно модифицированный Win32/Agent.KVXXZPC троянская программа
C:\BACKUPS\Рабочий стол-Admin\Игры\Герои Меча И Магии (Heroes Migh And Magic) Коллекционное Издание (2-а DVD) [forum.cyber.yaroslavl.ru]\DVD 1 (I-IV).iso » ISO » HOMM2_PATH.RAR » RAR » h2nocd.exe - вероятно модифицированный Win32/StartPage.GBUQCJV троянская программа
C:\olddata\Мои документы\Загрузки\Opera\foobar0969bymeDveD03092009.exe » INNO » file0129.bin - вероятно модифицированный Win32/Agent.JVIOYEN троянская программа
C:\olddata\Мои документы\Загрузки\Opera\foobar0969bymeDveD03092009.exe » INNO » file0160.bin - вероятно модифицированный Win32/TrojanDownloader.Agent.MDLBKPY троянская программа
C:\Охотники за привидениями\TW2.iso » ISO » KEYGEN.EXE - вероятно модифицированный Win32/Obfuscated.CNYLSSL троянская программа
E:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\11\7b12818b-35e05dea » ZIP » bpac/a.class - модифицированный Java/TrojanDownloader.OpenStream.NAU троянская программа
E:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\11\7b12818b-35e05dea » ZIP » bpac/b.class - вероятно модифицированный Win32/Agent.BUHZSQJ троянская программа
E:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\11\7b12818b-35e05dea » ZIP » bpac/KAVS.class - Java/TrojanDownloader.Agent.NCA троянская программа
E:\Documents and Settings\Admin\Рабочий стол\Программы\Ideal_File_Sorter_v.5.20.86_Incl_Patch.rar » RAR » patch.Ideal.File.Sorter.5.20.86.110.zip » ZIP » rufull.ru.patch.Ideal.File.Sorter.5.20.86.110/patch.exe - модифицированный Win32/HackTool.Patcher.D потенциально опасная программа
E:\Old_DaS\Admin\Мои документы\Загрузки\Opera\foobar0969bymeDveD03092009.exe » INNO » file0129.bin - вероятно модифицированный Win32/Agent.JVIOYEN троянская программа
E:\Old_DaS\Admin\Мои документы\Загрузки\Opera\foobar0969bymeDveD03092009.exe » INNO » file0160.bin - вероятно модифицированный Win32/TrojanDownloader.Agent.MDLBKPY троянская программа
E:\Program Files\Total Commander\Programm\ccproxy\ccproxy.exe - модифицированный Win32/CCProxy потенциально опасная программа - выбор действия отложен до завершения сканирования
E:\Program Files\Total Commander\Programm\HFS\hfs.exe - модифицированный Win32/Server-Web.HFS.A потенциально опасная программа - выбор действия отложен до завершения сканирования
E:\Program Files\Total Commander\Programm\Instruments\instruments.exe - вероятно модифицированный Win32/Hacktool.Delf.REQGCR троянская программа - очищен удалением - изолирован
E:\Program Files\Total Commander\Programm\Multi_Password_Recovery\MPR.exe - модифицированный Win32/MultiPasswordRecovery.A потенциально опасная программа - выбор действия отложен до завершения сканирования
E:\Program Files\Total Commander\Programm\Multi_Password_Recovery\mpr_freader.sys - вероятно модифицированный Win32/Agent.JTSWGNN троянская программа - очищен удалением - изолирован
E:\Program Files\Total Commander\Programm\Opera AC\Misc\OperaPassView\OperaPassView.exe - Win32/PSWTool.OperaPassView потенциально опасная программа - выбор действия отложен до завершения сканирования
E:\Program Files\Total Commander\Programm\photofiltre\App\PhotoFiltreStudio\pfstudiox.exe - вероятно модифицированный Win32/Obfuscated.IIRTEAB троянская программа - очищен удалением - изолирован
E:\Program Files\Total Commander\Programm\SFX Tool\GUI_7zS.exe - вероятно модифицированный Win32/Adware.Agent.DDPKAQY приложение - очищен удалением - изолирован
E:\Program Files\Total Commander\Programm\WPA_KILL\WPA_KILL.EXE - модифицированный Win32/HackTool.Patcher.O потенциально опасная программа - выбор действия отложен до завершения сканирования
[/more]
Вот еще журнал НОД32 - момент когда я словил вирус, похоже он пытался через какой-т скрипт или актив-x или ява-аплет загрузиться или через pdf-ку, хотя может быть я и ошибаюсь:
[more]06.05.2011 22:25:02 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Program Files\Opera\opera.exe.
06.05.2011 22:25:02 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Program Files\Opera\opera.exe.
06.05.2011 22:25:01 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Program Files\Opera\opera.exe.
06.05.2011 22:25:00 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:59 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:58 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:58 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:57 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:56 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:55 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:55 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:54 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:53 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:53 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:52 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:51 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:50 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:49 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:49 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:42 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:41 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:41 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:40 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:39 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:39 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:38 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:37 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:37 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:36 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:35 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:34 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:33 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:32 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:31 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:31 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:29 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:27 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:26 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:26 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Program Files\Opera\opera.exe.
06.05.2011 22:24:25 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:24 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
04.05.2011 18:22:37 Защита в режиме реального времени файл E:\System Volume Information\_restore{47A6A19E-2EFB-434A-A60C-62DB3D9E09D7}\RP90\A0121567.exe модифицированный Win32/Kryptik.NGZ троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: E:\WINDOWS\system32\svchost.exe.
04.05.2011 17:43:11 Защита в режиме реального времени файл E:\System Volume Information\_restore{47A6A19E-2EFB-434A-A60C-62DB3D9E09D7}\RP88\A0120877.dll модифицированный Win32/Hodprot.AA троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: E:\WINDOWS\system32\svchost.exe.
02.05.2011 22:25:04 Защита в режиме реального времени файл J:\PopCap\Atomica\keygen.exe вероятно модифицированный Win32/Agent.DVAGFDY троянская программа очищен удалением - изолирован DEN-HOME\Admin Событие произошло в новом файле, созданном следующим приложением: E:\Program Files\uTorrent\uTorrent.exe.
02.05.2011 22:13:05 Защита в режиме реального времени файл J:\PopCap\Tip Top\keygen.exe вероятно модифицированный Win32/Agent.CCDOLDQ троянская программа очищен удалением - изолирован DEN-HOME\Admin Событие произошло в новом файле, созданном следующим приложением: E:\Program Files\uTorrent\uTorrent.exe.
02.05.2011 22:11:46 Защита в режиме реального времени файл J:\PopCap\Ning Po Mahjong\keygen.exe вероятно модифицированный Win32/Agent.CRYFFWU троянская программа очищен удалением - изолирован DEN-HOME\Admin Событие произошло в новом файле, созданном следующим приложением: E:\Program Files\uTorrent\uTorrent.exe.
30.04.2011 16:44:42 Защита в режиме реального времени файл E:\System Volume Information\_restore{47A6A19E-2EFB-434A-A60C-62DB3D9E09D7}\RP87\A0120838.dll модифицированный Win32/Hodprot.AA троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: E:\WINDOWS\system32\svchost.exe.
30.04.2011 12:43:01 Защита в режиме реального времени файл E:\System Volume Information\_restore{47A6A19E-2EFB-434A-A60C-62DB3D9E09D7}\RP87\A0120804.dll модифицированный Win32/Hodprot.AA троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: E:\WINDOWS\system32\svchost.exe.
28.04.2011 19:30:43 Защита в режиме реального времени файл E:\System Volume Information\_restore{47A6A19E-2EFB-434A-A60C-62DB3D9E09D7}\RP85\A0119843.dll модифицированный Win32/Hodprot.AA троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: E:\WINDOWS\system32\svchost.exe.
23.04.2011 0:40:54 Защита в режиме реального времени файл E:\System Volume Information\_restore{47A6A19E-2EFB-434A-A60C-62DB3D9E09D7}\RP82\A0118819.dll модифицированный Win32/Hodprot.AA троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: E:\WINDOWS\system32\svchost.exe.
22.04.2011 18:34:53 Защита в режиме реального времени файл E:\System Volume Information\_restore{47A6A19E-2EFB-434A-A60C-62DB3D9E09D7}\RP80\A0117798.dll модифицированный Win32/Hodprot.AA троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: E:\WINDOWS\system32\svchost.exe.[/more]
В принципе поведение типичное для винлоков или нетипичное ? : перехватывает Alt+Tab , экран поверх всех окон, таск менедежер вызывается , но не виден за заставкой , фокус только в пределах окна - курсор мыши может двигаться только в пределах окна -вымогателя.
Поймал вчера Winlock :cry: , всё как обычно - бла бла отошлите денег на такой-то номер (номер на скрине) и т.п. и т.д , запустился с LiveCD, запустил avz 3.65 обновил базы , просканировал всё на наивысшем уровне эвристики (лог во вложении, не все файлы), вроде как ничего особенного , потом пробовал запустится - то же окно , ладно , снова грузанулся с лайвCD , снова поставил на сканирование с максимальной эвристикой (лог во вложении, уже теперь все файлы), тоже ничего , пару раз при загрузке выдал синий экран (см.скрин).
Сегодня удалось из под безопасного режима почистить реестр - ветки RUN и RUNONCE, вычистил также папку temp и т.п времянки , запустил avz - выполнил восстановление системы, загружаюсь - всё тапблички нет - вирус вроде как ушёл , но проблема в следующим - при загрузке не стартует explorer.exe и выдаёт ошибку - lsass.exe (cм. вложение) - недаёт грузится дальше, но через таск. менеджер через выполнить explorer.exe стартует вполне себе нормально и система работает.
Проверил в реестре ветку HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options : все нормально - ни какой заразы нет, упоминании эксплорера тоже.
Добавил в реестр по пути:HKLM\Software\Microsoft\WindowsNT\CurrentVersion\ следующий раздел Winlogo2- cтроку: Shell=explorer.exe (даже полностью прописывал путь до explorer.exe) бестолку
, тоже самое что и было ... Файлик explorer.exe просканировал NOD32 v.4 (базы от 03.05.11) - ничего криминального.
Операционная система: Windows XP SP3 сборка Zver 9.7 , последние заплатки от мелкомягких поставлены 03.05.11
Антивирус: NOD32 v.4.0.437.0 , базы от 03.05.11
В данный момент запустил нод32 на сканирование всех дисков на среднем уровне эвристики.
Также сделал ярлык на эксплорер и поставил его в автозагрузку, но пока не пробовал. - не заню выгорит или нет. добавлено: - не получилось
Какие еще варианты и мысли будут по восстановлению системы
: : - каждый раз стартовать руками эксплорер - не гут :wall: , может у кого есть файлик explorer.exe из сборкиWindows XP SP3 от Zver v.9.7 ? Жду помощи :!: :!:
Скриншот вируса:
Синий экран:
Лог сканирования AVZ - 1:
[more]
Внимание !!! База поcледний раз обновлялась 19.04.2011 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.35
Сканирование запущено в 06.05.2011 22:59:00
Загружена база: сигнатуры - 288679, нейропрофили - 2, микропрограммы лечения - 56, база от 19.04.2011 22:47
Загружены микропрограммы эвристики: 388
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 272495
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка загрузки драйвера - проверка прервана [C0000034]
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Ошибка загрузки драйвера - проверка прервана [C0000034]
2. Проверка памяти
Количество найденных процессов: 11
Количество загруженных модулей: 136
Проверка памяти завершена
3. Сканирование дисков
F:\Program Files\Total Commander\Programm\ASPMonitor\ASMonitor.exe >>>>> Monitor.Win32.ActualSpy.28 успешно удален
F:\Program Files\Total Commander\Programm\ASPMonitor\hk.dll >>>>> Monitor.Win32.ActualSpy.30 успешно удален
F:\Program Files\Total Commander\Programm\ASPMonitor\hprog.dll >>>>> Monitor.Win32.ActualSpy.30 успешно удален
Автоматическая чистка следов удаленных в ходе лечения программ
>> Форматирует число в виде HEX строки
>>> Форматирует число в виде HEX строки - исправлено
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Ошибка LSP Protocol = "RSVP UDP Service Provider" --> отсутствует файл X:\i386\system32\rsvpsp.dll
Ошибка LSP Protocol = "RSVP TCP Service Provider" --> отсутствует файл X:\i386\system32\rsvpsp.dll
Внимание ! Обнаружены ошибки в SPI/LSP. Количество ошибок - 2
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Нестандартный ключ реестра для системной службы: BITS ImagePath=""
Нестандартный ключ реестра для системной службы: wuauserv ImagePath=""
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Нарушение ассоциации EXE файлов
>> Нарушение ассоциации COM файлов
>> Модифицированы префиксы протоколов
>> Заблокирована возможность завершения сеанса
>> Заблокирована закладка Заставка в окне свойств экрана
>> Заблокирован доступ к настройкам принтеров
>> Меню Пуск - заблокированы элементы
>> Заблокирован пункт меню Справка и техподдержка
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
>> Заблокирована возможность смены темы рабочего стола
Проверка завершена
Просканировано файлов: 126201, извлечено из архивов: 87199, найдено вредоносных программ 3, подозрений - 0
Сканирование завершено в 06.05.2011 23:16:59
Сканирование длилось 00:18:01
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в систему http://kaspersky-911.ru[/more]
Лог сканирования AVZ - 2:
[more]Внимание !!! База поcледний раз обновлялась 19.04.2011 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.35
Сканирование запущено в 07.05.2011 00:27:37
Загружена база: сигнатуры - 288679, нейропрофили - 2, микропрограммы лечения - 56, база от 19.04.2011 22:47
Загружены микропрограммы эвристики: 388
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 272495
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка загрузки драйвера - проверка прервана [C0000034]
>>>> Подозрение на RootKit uty2mjax X:\i386\system32\Drivers\uty2mjax.sys
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Ошибка загрузки драйвера - проверка прервана [C0000034]
2. Проверка памяти
Количество найденных процессов: 11
Анализатор - изучается процесс 532 X:\i386\System32\xpelogon.exe
[ES]:Приложение не имеет видимых окон
[ES]:EXE упаковщик ?
[ES]:Размещается в системной папке
Анализатор - изучается процесс 1988 X:\i386\System32\INDICDLL.EXE
[ES]:Размещается в системной папке
Количество загруженных модулей: 136
Проверка памяти завершена
3. Сканирование дисков
C:\Documents and Settings\Den\Рабочий стол\IDoser.4.5.plus.170.doz\IDoser v4\IDoser.exe.bak - PE файл с нестандартным расширением(степень опасности 5%)
F:\Program Files\IdealSorter 2007\IdealSorter.exe.BAK - PE файл с нестандартным расширением(степень опасности 5%)
F:\Program Files\Total Commander\Programm\Accent Office Password Recovery\aofpr.exe - Подозрение на Virus.Win32.PE_Type1(степень опасности 75%)
F:\Program Files\Total Commander\Programm\SBListExtr\SBListExtr.exe - Подозрение на Virus.Win32.PE_Type1(степень опасности 75%)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Ошибка LSP Protocol = "RSVP UDP Service Provider" --> отсутствует файл X:\i386\system32\rsvpsp.dll
Ошибка LSP Protocol = "RSVP TCP Service Provider" --> отсутствует файл X:\i386\system32\rsvpsp.dll
Внимание ! Обнаружены ошибки в SPI/LSP. Количество ошибок - 2
Проведено автоматическое исправление ошибок в настройках SPI/LSP
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 3 TCP портов и 3 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Нестандартный ключ реестра для системной службы: BITS ImagePath=""
Нестандартный ключ реестра для системной службы: wuauserv ImagePath=""
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Нарушение ассоциации EXE файлов
>>> Нарушение ассоциации EXE файлов - исправлено
>> Нарушение ассоциации COM файлов
>>> Нарушение ассоциации COM файлов - исправлено
>> Модифицированы префиксы протоколов
>>> Модифицированы префиксы протоколов - исправлено
>> Заблокирована возможность завершения сеанса
>>> Заблокирована возможность завершения сеанса - исправлено
>> Заблокирована закладка Заставка в окне свойств экрана
>>> Заблокирована закладка Заставка в окне свойств экрана - исправлено
>> Заблокирован доступ к настройкам принтеров
>>> Заблокирован доступ к настройкам принтеров - исправлено
>> Меню Пуск - заблокированы элементы
>>> Меню Пуск - заблокированы элементы - исправлено
>> Заблокирован пункт меню Справка и техподдержка
>>> Заблокирован пункт меню Справка и техподдержка - исправлено
>> Разрешен автозапуск с HDD
>>> Разрешен автозапуск с HDD - исправлено
>> Разрешен автозапуск с сетевых дисков
>>> Разрешен автозапуск с сетевых дисков - исправлено
>> Разрешен автозапуск со сменных носителей
>>> Разрешен автозапуск со сменных носителей - исправлено
>> Заблокирована возможность смены темы рабочего стола
>>> Заблокирована возможность смены темы рабочего стола - исправлено
Проверка завершена
Просканировано файлов: 113645, извлечено из архивов: 86506, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 07.05.2011 00:41:36
Сканирование длилось 00:14:01
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в систему http://kaspersky-911.ru[/more]
Ошибка lsass.exe при запуске системы:
[more]Тип события: Ошибка
Источник события: Application Error
Категория события: Отсутствует
Код события: 1000
Дата: 07.05.2011
Время: 17:37:56
Пользователь: Н/Д
Компьютер: DEN-HOME
Описание:
Ошибка приложения lsass.exe, версия 1.4.1.0, модуль kernel32.dll, версия 5.1.2600.5781, адрес 0x00012afb.
Данные:
0000: 41 70 70 6c 69 63 61 74 Applicat
0008: 69 6f 6e 20 46 61 69 6c ion Fail
0010: 75 72 65 20 20 6c 73 61 ure lsa
0018: 73 73 2e 65 78 65 20 31 ss.exe 1
0020: 2e 34 2e 31 2e 30 20 69 .4.1.0 i
0028: 6e 20 6b 65 72 6e 65 6c n kernel
0030: 33 32 2e 64 6c 6c 20 35 32.dll 5
0038: 2e 31 2e 32 36 30 30 2e .1.2600.
0040: 35 37 38 31 20 61 74 20 5781 at
0048: 6f 66 66 73 65 74 20 30 offset 0
0050: 30 30 31 32 61 66 62 0d 0012afb.
0058: 0a [/more] .
Лог сканирования NOD32 - найденные зловреды:
[more]
C:\BACKUPS\Рабочий стол-Admin\Игры\Герои Меча И Магии (Heroes Migh And Magic) Коллекционное Издание (2-а DVD) [forum.cyber.yaroslavl.ru]\DVD 1 (I-IV).iso » ISO » HOMM1_PATH.RAR » RAR » h1nocd.exe - вероятно модифицированный Win32/Agent.KVXXZPC троянская программа
C:\BACKUPS\Рабочий стол-Admin\Игры\Герои Меча И Магии (Heroes Migh And Magic) Коллекционное Издание (2-а DVD) [forum.cyber.yaroslavl.ru]\DVD 1 (I-IV).iso » ISO » HOMM2_PATH.RAR » RAR » h2nocd.exe - вероятно модифицированный Win32/StartPage.GBUQCJV троянская программа
C:\olddata\Мои документы\Загрузки\Opera\foobar0969bymeDveD03092009.exe » INNO » file0129.bin - вероятно модифицированный Win32/Agent.JVIOYEN троянская программа
C:\olddata\Мои документы\Загрузки\Opera\foobar0969bymeDveD03092009.exe » INNO » file0160.bin - вероятно модифицированный Win32/TrojanDownloader.Agent.MDLBKPY троянская программа
C:\Охотники за привидениями\TW2.iso » ISO » KEYGEN.EXE - вероятно модифицированный Win32/Obfuscated.CNYLSSL троянская программа
E:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\11\7b12818b-35e05dea » ZIP » bpac/a.class - модифицированный Java/TrojanDownloader.OpenStream.NAU троянская программа
E:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\11\7b12818b-35e05dea » ZIP » bpac/b.class - вероятно модифицированный Win32/Agent.BUHZSQJ троянская программа
E:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\11\7b12818b-35e05dea » ZIP » bpac/KAVS.class - Java/TrojanDownloader.Agent.NCA троянская программа
E:\Documents and Settings\Admin\Рабочий стол\Программы\Ideal_File_Sorter_v.5.20.86_Incl_Patch.rar » RAR » patch.Ideal.File.Sorter.5.20.86.110.zip » ZIP » rufull.ru.patch.Ideal.File.Sorter.5.20.86.110/patch.exe - модифицированный Win32/HackTool.Patcher.D потенциально опасная программа
E:\Old_DaS\Admin\Мои документы\Загрузки\Opera\foobar0969bymeDveD03092009.exe » INNO » file0129.bin - вероятно модифицированный Win32/Agent.JVIOYEN троянская программа
E:\Old_DaS\Admin\Мои документы\Загрузки\Opera\foobar0969bymeDveD03092009.exe » INNO » file0160.bin - вероятно модифицированный Win32/TrojanDownloader.Agent.MDLBKPY троянская программа
E:\Program Files\Total Commander\Programm\ccproxy\ccproxy.exe - модифицированный Win32/CCProxy потенциально опасная программа - выбор действия отложен до завершения сканирования
E:\Program Files\Total Commander\Programm\HFS\hfs.exe - модифицированный Win32/Server-Web.HFS.A потенциально опасная программа - выбор действия отложен до завершения сканирования
E:\Program Files\Total Commander\Programm\Instruments\instruments.exe - вероятно модифицированный Win32/Hacktool.Delf.REQGCR троянская программа - очищен удалением - изолирован
E:\Program Files\Total Commander\Programm\Multi_Password_Recovery\MPR.exe - модифицированный Win32/MultiPasswordRecovery.A потенциально опасная программа - выбор действия отложен до завершения сканирования
E:\Program Files\Total Commander\Programm\Multi_Password_Recovery\mpr_freader.sys - вероятно модифицированный Win32/Agent.JTSWGNN троянская программа - очищен удалением - изолирован
E:\Program Files\Total Commander\Programm\Opera AC\Misc\OperaPassView\OperaPassView.exe - Win32/PSWTool.OperaPassView потенциально опасная программа - выбор действия отложен до завершения сканирования
E:\Program Files\Total Commander\Programm\photofiltre\App\PhotoFiltreStudio\pfstudiox.exe - вероятно модифицированный Win32/Obfuscated.IIRTEAB троянская программа - очищен удалением - изолирован
E:\Program Files\Total Commander\Programm\SFX Tool\GUI_7zS.exe - вероятно модифицированный Win32/Adware.Agent.DDPKAQY приложение - очищен удалением - изолирован
E:\Program Files\Total Commander\Programm\WPA_KILL\WPA_KILL.EXE - модифицированный Win32/HackTool.Patcher.O потенциально опасная программа - выбор действия отложен до завершения сканирования
[/more]
Вот еще журнал НОД32 - момент когда я словил вирус, похоже он пытался через какой-т скрипт или актив-x или ява-аплет загрузиться или через pdf-ку, хотя может быть я и ошибаюсь:
[more]06.05.2011 22:25:02 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Program Files\Opera\opera.exe.
06.05.2011 22:25:02 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Program Files\Opera\opera.exe.
06.05.2011 22:25:01 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Program Files\Opera\opera.exe.
06.05.2011 22:25:00 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:59 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:58 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:58 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:57 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:56 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:55 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:55 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:54 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:53 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:53 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:52 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:51 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:50 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:49 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:49 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:42 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:41 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:41 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:40 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:39 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:39 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:38 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:37 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:37 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:36 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:35 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:34 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:33 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:32 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:31 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:31 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:29 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:27 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:26 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:26 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Program Files\Opera\opera.exe.
06.05.2011 22:24:25 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:24 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
04.05.2011 18:22:37 Защита в режиме реального времени файл E:\System Volume Information\_restore{47A6A19E-2EFB-434A-A60C-62DB3D9E09D7}\RP90\A0121567.exe модифицированный Win32/Kryptik.NGZ троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: E:\WINDOWS\system32\svchost.exe.
04.05.2011 17:43:11 Защита в режиме реального времени файл E:\System Volume Information\_restore{47A6A19E-2EFB-434A-A60C-62DB3D9E09D7}\RP88\A0120877.dll модифицированный Win32/Hodprot.AA троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: E:\WINDOWS\system32\svchost.exe.
02.05.2011 22:25:04 Защита в режиме реального времени файл J:\PopCap\Atomica\keygen.exe вероятно модифицированный Win32/Agent.DVAGFDY троянская программа очищен удалением - изолирован DEN-HOME\Admin Событие произошло в новом файле, созданном следующим приложением: E:\Program Files\uTorrent\uTorrent.exe.
02.05.2011 22:13:05 Защита в режиме реального времени файл J:\PopCap\Tip Top\keygen.exe вероятно модифицированный Win32/Agent.CCDOLDQ троянская программа очищен удалением - изолирован DEN-HOME\Admin Событие произошло в новом файле, созданном следующим приложением: E:\Program Files\uTorrent\uTorrent.exe.
02.05.2011 22:11:46 Защита в режиме реального времени файл J:\PopCap\Ning Po Mahjong\keygen.exe вероятно модифицированный Win32/Agent.CRYFFWU троянская программа очищен удалением - изолирован DEN-HOME\Admin Событие произошло в новом файле, созданном следующим приложением: E:\Program Files\uTorrent\uTorrent.exe.
30.04.2011 16:44:42 Защита в режиме реального времени файл E:\System Volume Information\_restore{47A6A19E-2EFB-434A-A60C-62DB3D9E09D7}\RP87\A0120838.dll модифицированный Win32/Hodprot.AA троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: E:\WINDOWS\system32\svchost.exe.
30.04.2011 12:43:01 Защита в режиме реального времени файл E:\System Volume Information\_restore{47A6A19E-2EFB-434A-A60C-62DB3D9E09D7}\RP87\A0120804.dll модифицированный Win32/Hodprot.AA троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: E:\WINDOWS\system32\svchost.exe.
28.04.2011 19:30:43 Защита в режиме реального времени файл E:\System Volume Information\_restore{47A6A19E-2EFB-434A-A60C-62DB3D9E09D7}\RP85\A0119843.dll модифицированный Win32/Hodprot.AA троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: E:\WINDOWS\system32\svchost.exe.
23.04.2011 0:40:54 Защита в режиме реального времени файл E:\System Volume Information\_restore{47A6A19E-2EFB-434A-A60C-62DB3D9E09D7}\RP82\A0118819.dll модифицированный Win32/Hodprot.AA троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: E:\WINDOWS\system32\svchost.exe.
22.04.2011 18:34:53 Защита в режиме реального времени файл E:\System Volume Information\_restore{47A6A19E-2EFB-434A-A60C-62DB3D9E09D7}\RP80\A0117798.dll модифицированный Win32/Hodprot.AA троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: E:\WINDOWS\system32\svchost.exe.[/more]
В принципе поведение типичное для винлоков или нетипичное ? : перехватывает Alt+Tab , экран поверх всех окон, таск менедежер вызывается , но не виден за заставкой , фокус только в пределах окна - курсор мыши может двигаться только в пределах окна -вымогателя.
Uraanfgh56
Цитата:
Проверь ещё значение ключа Userinit, он находится там же где и экплорер. Значение должно быть.
C:\WINDOWS\system32\userinit.exe,
В сообщениях выше -он упоминается.
Цитата:
Shell=explorer.exe
Проверь ещё значение ключа Userinit, он находится там же где и экплорер. Значение должно быть.
C:\WINDOWS\system32\userinit.exe,
В сообщениях выше -он упоминается.
Selev
Ключ имеет такой вид:
C:\WINDOWS\system32\userinit.exe,E:\Documents and Settings\Admin\Application Data\lsass.exe
я так понимаю что добавку - ,E:\Documents and Settings\Admin\Application Data\lsass.exe удалить ?
Ключ имеет такой вид:
C:\WINDOWS\system32\userinit.exe,E:\Documents and Settings\Admin\Application Data\lsass.exe
я так понимаю что добавку - ,E:\Documents and Settings\Admin\Application Data\lsass.exe удалить ?
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115
Предыдущая тема: "svchost.exe... память не может быть "read"&q
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.