Доброго времени.
Поймал вчера Winlock :cry: , всё как обычно - бла бла отошлите денег на такой-то номер (номер на скрине) и т.п. и т.д , запустился с LiveCD, запустил avz 3.65 обновил базы , просканировал всё на наивысшем уровне эвристики (лог во вложении, не все файлы), вроде как ничего особенного , потом пробовал запустится - то же окно , ладно , снова грузанулся с лайвCD , снова поставил на сканирование с максимальной эвристикой (лог во вложении, уже теперь все файлы), тоже ничего , пару раз при загрузке выдал синий экран (см.скрин).
Сегодня удалось из под безопасного режима почистить реестр - ветки RUN и RUNONCE, вычистил также папку temp и т.п времянки , запустил avz - выполнил восстановление системы, загружаюсь - всё тапблички нет - вирус вроде как ушёл , но проблема в следующим - при загрузке не стартует explorer.exe и выдаёт ошибку - lsass.exe (cм. вложение) - недаёт грузится дальше, но через таск. менеджер через выполнить explorer.exe стартует вполне себе нормально и система работает.
Проверил в реестре ветку HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options : все нормально - ни какой заразы нет, упоминании эксплорера тоже.
Добавил в реестр по пути:HKLM\Software\Microsoft\WindowsNT\CurrentVersion\ следующий раздел Winlogo2- cтроку: Shell=explorer.exe (даже полностью прописывал путь до explorer.exe) бестолку
, тоже самое что и было
...
Файлик explorer.exe просканировал NOD32 v.4 (базы от 03.05.11) - ничего криминального.
Операционная система: Windows XP SP3 сборка Zver 9.7 , последние заплатки от мелкомягких поставлены 03.05.11
Антивирус: NOD32 v.4.0.437.0 , базы от 03.05.11
В данный момент запустил нод32 на сканирование всех дисков на среднем уровне эвристики.
Также сделал ярлык на эксплорер и поставил его в автозагрузку, но пока не пробовал. - не заню выгорит или нет.
добавлено: - не получилось
Какие еще варианты и мысли будут по восстановлению системы
:
: - каждый раз стартовать руками эксплорер - не гут :wall: , может у кого есть файлик explorer.exe из сборкиWindows XP SP3 от Zver v.9.7 ?
Жду помощи :!: :!:
Скриншот вируса: 
Синий экран: 
Лог сканирования AVZ - 1: [more]
Внимание !!! База поcледний раз обновлялась 19.04.2011 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.35
Сканирование запущено в 06.05.2011 22:59:00
Загружена база: сигнатуры - 288679, нейропрофили - 2, микропрограммы лечения - 56, база от 19.04.2011 22:47
Загружены микропрограммы эвристики: 388
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 272495
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка загрузки драйвера - проверка прервана [C0000034]
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Ошибка загрузки драйвера - проверка прервана [C0000034]
2. Проверка памяти
Количество найденных процессов: 11
Количество загруженных модулей: 136
Проверка памяти завершена
3. Сканирование дисков
F:\Program Files\Total Commander\Programm\ASPMonitor\ASMonitor.exe >>>>> Monitor.Win32.ActualSpy.28 успешно удален
F:\Program Files\Total Commander\Programm\ASPMonitor\hk.dll >>>>> Monitor.Win32.ActualSpy.30 успешно удален
F:\Program Files\Total Commander\Programm\ASPMonitor\hprog.dll >>>>> Monitor.Win32.ActualSpy.30 успешно удален
Автоматическая чистка следов удаленных в ходе лечения программ
>> Форматирует число в виде HEX строки
>>> Форматирует число в виде HEX строки - исправлено
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Ошибка LSP Protocol = "RSVP UDP Service Provider" --> отсутствует файл X:\i386\system32\rsvpsp.dll
Ошибка LSP Protocol = "RSVP TCP Service Provider" --> отсутствует файл X:\i386\system32\rsvpsp.dll
Внимание ! Обнаружены ошибки в SPI/LSP. Количество ошибок - 2
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Нестандартный ключ реестра для системной службы: BITS ImagePath=""
Нестандартный ключ реестра для системной службы: wuauserv ImagePath=""
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Нарушение ассоциации EXE файлов
>> Нарушение ассоциации COM файлов
>> Модифицированы префиксы протоколов
>> Заблокирована возможность завершения сеанса
>> Заблокирована закладка Заставка в окне свойств экрана
>> Заблокирован доступ к настройкам принтеров
>> Меню Пуск - заблокированы элементы
>> Заблокирован пункт меню Справка и техподдержка
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
>> Заблокирована возможность смены темы рабочего стола
Проверка завершена
Просканировано файлов: 126201, извлечено из архивов: 87199, найдено вредоносных программ 3, подозрений - 0
Сканирование завершено в 06.05.2011 23:16:59
Сканирование длилось 00:18:01
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в систему
http://kaspersky-911.ru[/more]
Лог сканирования AVZ - 2: [more]Внимание !!! База поcледний раз обновлялась 19.04.2011 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.35
Сканирование запущено в 07.05.2011 00:27:37
Загружена база: сигнатуры - 288679, нейропрофили - 2, микропрограммы лечения - 56, база от 19.04.2011 22:47
Загружены микропрограммы эвристики: 388
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 272495
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка загрузки драйвера - проверка прервана [C0000034]
>>>> Подозрение на RootKit uty2mjax X:\i386\system32\Drivers\uty2mjax.sys
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Ошибка загрузки драйвера - проверка прервана [C0000034]
2. Проверка памяти
Количество найденных процессов: 11
Анализатор - изучается процесс 532 X:\i386\System32\xpelogon.exe
[ES]:Приложение не имеет видимых окон
[ES]:EXE упаковщик ?
[ES]:Размещается в системной папке
Анализатор - изучается процесс 1988 X:\i386\System32\INDICDLL.EXE
[ES]:Размещается в системной папке
Количество загруженных модулей: 136
Проверка памяти завершена
3. Сканирование дисков
C:\Documents and Settings\Den\Рабочий стол\IDoser.4.5.plus.170.doz\IDoser v4\IDoser.exe.bak - PE файл с нестандартным расширением(степень опасности 5%)
F:\Program Files\IdealSorter 2007\IdealSorter.exe.BAK - PE файл с нестандартным расширением(степень опасности 5%)
F:\Program Files\Total Commander\Programm\Accent Office Password Recovery\aofpr.exe - Подозрение на Virus.Win32.PE_Type1(степень опасности 75%)
F:\Program Files\Total Commander\Programm\SBListExtr\SBListExtr.exe - Подозрение на Virus.Win32.PE_Type1(степень опасности 75%)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Ошибка LSP Protocol = "RSVP UDP Service Provider" --> отсутствует файл X:\i386\system32\rsvpsp.dll
Ошибка LSP Protocol = "RSVP TCP Service Provider" --> отсутствует файл X:\i386\system32\rsvpsp.dll
Внимание ! Обнаружены ошибки в SPI/LSP. Количество ошибок - 2
Проведено автоматическое исправление ошибок в настройках SPI/LSP
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 3 TCP портов и 3 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Нестандартный ключ реестра для системной службы: BITS ImagePath=""
Нестандартный ключ реестра для системной службы: wuauserv ImagePath=""
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Нарушение ассоциации EXE файлов
>>> Нарушение ассоциации EXE файлов - исправлено
>> Нарушение ассоциации COM файлов
>>> Нарушение ассоциации COM файлов - исправлено
>> Модифицированы префиксы протоколов
>>> Модифицированы префиксы протоколов - исправлено
>> Заблокирована возможность завершения сеанса
>>> Заблокирована возможность завершения сеанса - исправлено
>> Заблокирована закладка Заставка в окне свойств экрана
>>> Заблокирована закладка Заставка в окне свойств экрана - исправлено
>> Заблокирован доступ к настройкам принтеров
>>> Заблокирован доступ к настройкам принтеров - исправлено
>> Меню Пуск - заблокированы элементы
>>> Меню Пуск - заблокированы элементы - исправлено
>> Заблокирован пункт меню Справка и техподдержка
>>> Заблокирован пункт меню Справка и техподдержка - исправлено
>> Разрешен автозапуск с HDD
>>> Разрешен автозапуск с HDD - исправлено
>> Разрешен автозапуск с сетевых дисков
>>> Разрешен автозапуск с сетевых дисков - исправлено
>> Разрешен автозапуск со сменных носителей
>>> Разрешен автозапуск со сменных носителей - исправлено
>> Заблокирована возможность смены темы рабочего стола
>>> Заблокирована возможность смены темы рабочего стола - исправлено
Проверка завершена
Просканировано файлов: 113645, извлечено из архивов: 86506, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 07.05.2011 00:41:36
Сканирование длилось 00:14:01
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в систему
http://kaspersky-911.ru[/more]
Ошибка lsass.exe при запуске системы: [more]Тип события: Ошибка
Источник события: Application Error
Категория события: Отсутствует
Код события: 1000
Дата: 07.05.2011
Время: 17:37:56
Пользователь: Н/Д
Компьютер: DEN-HOME
Описание:
Ошибка приложения lsass.exe, версия 1.4.1.0, модуль kernel32.dll, версия 5.1.2600.5781, адрес 0x00012afb.
Данные:
0000: 41 70 70 6c 69 63 61 74 Applicat
0008: 69 6f 6e 20 46 61 69 6c ion Fail
0010: 75 72 65 20 20 6c 73 61 ure lsa
0018: 73 73 2e 65 78 65 20 31 ss.exe 1
0020: 2e 34 2e 31 2e 30 20 69 .4.1.0 i
0028: 6e 20 6b 65 72 6e 65 6c n kernel
0030: 33 32 2e 64 6c 6c 20 35 32.dll 5
0038: 2e 31 2e 32 36 30 30 2e .1.2600.
0040: 35 37 38 31 20 61 74 20 5781 at
0048: 6f 66 66 73 65 74 20 30 offset 0
0050: 30 30 31 32 61 66 62 0d 0012afb.
0058: 0a [/more] .
Лог сканирования NOD32 - найденные зловреды: [more]
C:\BACKUPS\Рабочий стол-Admin\Игры\Герои Меча И Магии (Heroes Migh And Magic) Коллекционное Издание (2-а DVD) [forum.cyber.yaroslavl.ru]\DVD 1 (I-IV).iso » ISO » HOMM1_PATH.RAR » RAR » h1nocd.exe - вероятно модифицированный Win32/Agent.KVXXZPC троянская программа
C:\BACKUPS\Рабочий стол-Admin\Игры\Герои Меча И Магии (Heroes Migh And Magic) Коллекционное Издание (2-а DVD) [forum.cyber.yaroslavl.ru]\DVD 1 (I-IV).iso » ISO » HOMM2_PATH.RAR » RAR » h2nocd.exe - вероятно модифицированный Win32/StartPage.GBUQCJV троянская программа
C:\olddata\Мои документы\Загрузки\Opera\foobar0969bymeDveD03092009.exe » INNO » file0129.bin - вероятно модифицированный Win32/Agent.JVIOYEN троянская программа
C:\olddata\Мои документы\Загрузки\Opera\foobar0969bymeDveD03092009.exe » INNO » file0160.bin - вероятно модифицированный Win32/TrojanDownloader.Agent.MDLBKPY троянская программа
C:\Охотники за привидениями\TW2.iso » ISO » KEYGEN.EXE - вероятно модифицированный Win32/Obfuscated.CNYLSSL троянская программа
E:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\11\7b12818b-35e05dea » ZIP » bpac/a.class - модифицированный Java/TrojanDownloader.OpenStream.NAU троянская программа
E:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\11\7b12818b-35e05dea » ZIP » bpac/b.class - вероятно модифицированный Win32/Agent.BUHZSQJ троянская программа
E:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\11\7b12818b-35e05dea » ZIP » bpac/KAVS.class - Java/TrojanDownloader.Agent.NCA троянская программа
E:\Documents and Settings\Admin\Рабочий стол\Программы\Ideal_File_Sorter_v.5.20.86_Incl_Patch.rar » RAR » patch.Ideal.File.Sorter.5.20.86.110.zip » ZIP » rufull.ru.patch.Ideal.File.Sorter.5.20.86.110/patch.exe - модифицированный Win32/HackTool.Patcher.D потенциально опасная программа
E:\Old_DaS\Admin\Мои документы\Загрузки\Opera\foobar0969bymeDveD03092009.exe » INNO » file0129.bin - вероятно модифицированный Win32/Agent.JVIOYEN троянская программа
E:\Old_DaS\Admin\Мои документы\Загрузки\Opera\foobar0969bymeDveD03092009.exe » INNO » file0160.bin - вероятно модифицированный Win32/TrojanDownloader.Agent.MDLBKPY троянская программа
E:\Program Files\Total Commander\Programm\ccproxy\ccproxy.exe - модифицированный Win32/CCProxy потенциально опасная программа - выбор действия отложен до завершения сканирования
E:\Program Files\Total Commander\Programm\HFS\hfs.exe - модифицированный Win32/Server-Web.HFS.A потенциально опасная программа - выбор действия отложен до завершения сканирования
E:\Program Files\Total Commander\Programm\Instruments\instruments.exe - вероятно модифицированный Win32/Hacktool.Delf.REQGCR троянская программа - очищен удалением - изолирован
E:\Program Files\Total Commander\Programm\Multi_Password_Recovery\MPR.exe - модифицированный Win32/MultiPasswordRecovery.A потенциально опасная программа - выбор действия отложен до завершения сканирования
E:\Program Files\Total Commander\Programm\Multi_Password_Recovery\mpr_freader.sys - вероятно модифицированный Win32/Agent.JTSWGNN троянская программа - очищен удалением - изолирован
E:\Program Files\Total Commander\Programm\Opera AC\Misc\OperaPassView\OperaPassView.exe - Win32/PSWTool.OperaPassView потенциально опасная программа - выбор действия отложен до завершения сканирования
E:\Program Files\Total Commander\Programm\photofiltre\App\PhotoFiltreStudio\pfstudiox.exe - вероятно модифицированный Win32/Obfuscated.IIRTEAB троянская программа - очищен удалением - изолирован
E:\Program Files\Total Commander\Programm\SFX Tool\GUI_7zS.exe - вероятно модифицированный Win32/Adware.Agent.DDPKAQY приложение - очищен удалением - изолирован
E:\Program Files\Total Commander\Programm\WPA_KILL\WPA_KILL.EXE - модифицированный Win32/HackTool.Patcher.O потенциально опасная программа - выбор действия отложен до завершения сканирования
[/more]
Вот еще журнал НОД32 - момент когда я словил вирус, похоже он пытался через какой-т скрипт или актив-x или ява-аплет загрузиться или через pdf-ку, хотя может быть я и ошибаюсь:
[more]06.05.2011 22:25:02 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Program Files\Opera\opera.exe.
06.05.2011 22:25:02 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Program Files\Opera\opera.exe.
06.05.2011 22:25:01 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Program Files\Opera\opera.exe.
06.05.2011 22:25:00 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:59 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:58 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:58 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:57 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:56 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:55 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:55 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:54 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:53 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:53 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:52 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:51 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:50 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:49 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:49 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:42 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:41 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:41 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:40 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:39 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:39 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:38 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:37 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:37 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:36 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:35 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:34 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:33 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:32 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:31 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:31 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:29 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:27 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:26 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:26 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Program Files\Opera\opera.exe.
06.05.2011 22:24:25 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:24 Фильтр HTTP файл http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf модифицированный PDF/CVE-2010-2883 троянская программа соединение прервано - изолирован DEN-HOME\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
04.05.2011 18:22:37 Защита в режиме реального времени файл E:\System Volume Information\_restore{47A6A19E-2EFB-434A-A60C-62DB3D9E09D7}\RP90\A0121567.exe модифицированный Win32/Kryptik.NGZ троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: E:\WINDOWS\system32\svchost.exe.
04.05.2011 17:43:11 Защита в режиме реального времени файл E:\System Volume Information\_restore{47A6A19E-2EFB-434A-A60C-62DB3D9E09D7}\RP88\A0120877.dll модифицированный Win32/Hodprot.AA троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: E:\WINDOWS\system32\svchost.exe.
02.05.2011 22:25:04 Защита в режиме реального времени файл J:\PopCap\Atomica\keygen.exe вероятно модифицированный Win32/Agent.DVAGFDY троянская программа очищен удалением - изолирован DEN-HOME\Admin Событие произошло в новом файле, созданном следующим приложением: E:\Program Files\uTorrent\uTorrent.exe.
02.05.2011 22:13:05 Защита в режиме реального времени файл J:\PopCap\Tip Top\keygen.exe вероятно модифицированный Win32/Agent.CCDOLDQ троянская программа очищен удалением - изолирован DEN-HOME\Admin Событие произошло в новом файле, созданном следующим приложением: E:\Program Files\uTorrent\uTorrent.exe.
02.05.2011 22:11:46 Защита в режиме реального времени файл J:\PopCap\Ning Po Mahjong\keygen.exe вероятно модифицированный Win32/Agent.CRYFFWU троянская программа очищен удалением - изолирован DEN-HOME\Admin Событие произошло в новом файле, созданном следующим приложением: E:\Program Files\uTorrent\uTorrent.exe.
30.04.2011 16:44:42 Защита в режиме реального времени файл E:\System Volume Information\_restore{47A6A19E-2EFB-434A-A60C-62DB3D9E09D7}\RP87\A0120838.dll модифицированный Win32/Hodprot.AA троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: E:\WINDOWS\system32\svchost.exe.
30.04.2011 12:43:01 Защита в режиме реального времени файл E:\System Volume Information\_restore{47A6A19E-2EFB-434A-A60C-62DB3D9E09D7}\RP87\A0120804.dll модифицированный Win32/Hodprot.AA троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: E:\WINDOWS\system32\svchost.exe.
28.04.2011 19:30:43 Защита в режиме реального времени файл E:\System Volume Information\_restore{47A6A19E-2EFB-434A-A60C-62DB3D9E09D7}\RP85\A0119843.dll модифицированный Win32/Hodprot.AA троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: E:\WINDOWS\system32\svchost.exe.
23.04.2011 0:40:54 Защита в режиме реального времени файл E:\System Volume Information\_restore{47A6A19E-2EFB-434A-A60C-62DB3D9E09D7}\RP82\A0118819.dll модифицированный Win32/Hodprot.AA троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: E:\WINDOWS\system32\svchost.exe.
22.04.2011 18:34:53 Защита в режиме реального времени файл E:\System Volume Information\_restore{47A6A19E-2EFB-434A-A60C-62DB3D9E09D7}\RP80\A0117798.dll модифицированный Win32/Hodprot.AA троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: E:\WINDOWS\system32\svchost.exe.[/more]
В принципе поведение типичное для винлоков или нетипичное ? : перехватывает Alt+Tab , экран поверх всех окон, таск менедежер вызывается , но не виден за заставкой , фокус только в пределах окна - курсор мыши может двигаться только в пределах окна -вымогателя.
