Ru-Board.club
← Вернуться в раздел «Microsoft Windows»

» Вирус(ы) в Windows XP,Vista,7,8,8.1. Проблемы. Решения.

Автор: opt_step
Дата сообщения: 10.11.2011 16:58
USB Hidden Folder Fix 1.1
размер: 281 Кб

Некоторые вирусы даже после лечения оставляют на флешке скрытые папки, которые невозможно сделать видимыми при помощи стандартных средств операционной системы. Особенно напряжной становится такая ситуация, если таких папок – несколько десятков. Специализация программы USB Hidden Folder Fix – восстановление видимости этих папок. Чтобы сделать все папки на флешке видимыми, достаточно выбрать букву диска, которая соответствует этой флешке, и нажать Yes! Unhide the folders! После этого папки вернутся в нормальное состояние.
http://www.softpedia.com/get/System/File-Management/USB-Hidden-Folder-Fix.shtml
Автор: Uraanfgh56
Дата сообщения: 12.11.2011 11:46
ESS 4.0 выловил пару "зверей" :

1). 11.11.2011 16:39:47    Модуль сканирования файлов, исполняемых при запуске системы    файл    Оперативная память » explorer.exe(1852)    модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа    очистка невозможна        

2). 11.11.2011 19:59:46    Защита в режиме реального времени    файл    C:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\10\db2654a-728559e0    модифицированный Win32/Kryptik.VGP троянская программа    очищен удалением - изолирован    HOME-EA17F673E0\Admin    Событие произошло при попытке доступа к файлу следующим приложением: C:\Program Files\CCleaner\CCleaner.exe.

3). 11.11.2011 19:57:37    Защита в режиме реального времени    файл    C:\Documents and Settings\Admin\Local Settings\Temp\GETE444.tmp    модифицированный Win32/Agent.TET троянская программа    очищен удалением - изолирован    HOME-EA17F673E0\Admin    Событие произошло при попытке доступа к файлу следующим приложением: C:\Program Files\CCleaner\CCleaner.exe.

4). 11.11.2011 19:39:52    Модуль сканирования файлов, исполняемых при запуске системы    файл    C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\igfxtray.exe    модифицированный Win32/Kryptik.VGP троянская программа    очищен удалением (после следующего перезапуска) - изолирован        

Сильно опасные звери ?
Автор: arvidos
Дата сообщения: 14.11.2011 17:13
Uraanfgh56,
а бывают безвредные вирусы? уж лучше пролечиться
Автор: gjf
Дата сообщения: 14.11.2011 17:52
Uraanfgh56
Похоже на Kolab.
Автор: Uraanfgh56
Дата сообщения: 14.11.2011 20:50
gjf
что за зверь ?
Автор: HDD
Дата сообщения: 14.11.2011 22:45

Цитата:
что за зверь ?

Как бы... Kolab по 4-й ссылке ответ.

Добавлено:
А если перед словом Kolab, в запросе, написать "вирус", то "ваще", кол-во ответов увеличится на порядок.

Добавлено:
Uraanfgh56
Как-то сразу не заметил, Ваш вопрос, а в чём его смысл?
Цитата:
Сильно опасные звери ?
Это в любом случае вирусы и нужно лечится. Ну сильно опасные, ну не сильно опасные, какая разница?
Автор: Gajver100
Дата сообщения: 19.11.2011 15:10
Народ! Хелп!

Процесс svchost.exe жрет много процентов процессора.
Вот скрин Sysinternals (Microsoft) Process Explorer

http://zalil.ru/32090241

Стоит антивирус ДрВеб. Вот только сегодня обновил базы....
Автор: Nimbussr
Дата сообщения: 19.11.2011 15:46
Gajver100
Первое что не понравилось на вашем скрине, что у двух нижних SVCHOST дочерним процессом является explorer (оболочка):

Как правило, дочерним процессом для всех SVCHOST в WinXP должен быть процесс WINLOGON:

Другими словами, это значит что, службы запускаются при загрузке системы а также при входе пользователя под своей учетной записью, из второго скрина это видно.
А в вашем случае запуск SVCHOST идёт после входа пользователя в систему и после загрузки оболочки (explorer).

Итак, давайте по порядку:

1. Для выделенных на вашем скрине процессов посмотрите путь по которому они запускаются.
Для этого сделайте двойной клик по процессу, откроется окно со свойствами, перейдите на вкладку Image.
Нужно посмотреть вот эту строчку:

2. Перейдите на вкладку Threads и упорядочите элементы по величине загрузки процессора.
Покажите пожалуйста ваш скрин. Получится примерно такое:
Автор: Gajver100
Дата сообщения: 19.11.2011 15:55
http://zalil.ru/32090498

Обрезать 3,4 - относиться к процессу svchost
Обрезать 5,6 - относиться к процессу spideragent
Автор: arvidos
Дата сообщения: 19.11.2011 16:01
Gajver100
видел недавно такое. и проблема была в этом антивирусе. удаляешь - все прекрасно работает. с другим антивирусом тоже все идеально, а вот с Доктором такое происходит
Автор: Nimbussr
Дата сообщения: 19.11.2011 16:13
arvidos
Цитата:
и проблема была в этом антивирусе
У меня тоже с Доктором подобное было, но и в списке на вклдаке Threads было видно, что загружал процессор драйвер spyder.sys, а не kernel32.dll.

Gajver100
я чувствую, мы с вами уже близко к разгадке
Можете показать список служб, запущенных под процессом SVCHOST:

Если точно знаете что в списке есть служба которая вам не нужна, то через оснастку "Службы" (Панель управления - Администрирование) отключите её автоматический запуск (Тип запуска: Отключено) и перезагрузитесь.
Автор: Gajver100
Дата сообщения: 19.11.2011 16:21
Можете показать список служб, запущенных под процессом SVCHOST:

А какой именно процесс SVCHOST? Как именно вывести список служб? В той же самой программе этих процессов 6 штук.

Добавлено:
http://zalil.ru/32090664

Вот это что ли?
Автор: Nimbussr
Дата сообщения: 19.11.2011 16:30
Gajver100
Да, вы правильно поняли.
Только курсор наведите на тот процесс который грузит вашу систему.

Есть мнение, что у вас "червячок" в системе.
Процесс SVCHOST должен запускаться от пользователей NT AUTHORITY\SYSTEM или NT AUTHORITY\LOCAL SERVICE или NT AUTHORITY\NETWORK SERVICE, но не от имени текущего пользователя (!!!) как у вас на скрине:


Просканируйте систему: Malwarebytes Anti-Malware
Скачивать лучше с сайта разработчика.

Перед сканированием, сделайте пожалуйста скрин с всплывающим сообщением для подозрительного SVCHOST. Мне просто для себя интересно посмотреть.
Автор: Gajver100
Дата сообщения: 19.11.2011 16:39
http://zalil.ru/32090757

Щас попробую качнуть Malwarebytes Anti-Malware [?]

Добавлено:
Короче Malwarebytes Anti-Malware все вылечил, спасибо огромное.

Вот файлы после пролечивания Malwarebytes Anti-Malware и кое-какие фото.

http://zalil.ru/32091029
Автор: Nimbussr
Дата сообщения: 19.11.2011 17:59
Gajver100
Спасибо, что отписались о решении проблемы и не поленились сделать скрины и выложить логи.
Автор: Colourban
Дата сообщения: 19.11.2011 19:35
Любопытная и крайне полезная тема, раньше на неё не наталкивался!

P.s. Вынужден отметиться, чтобы поместить тему в свои закладки...

Автор: Nimbussr
Дата сообщения: 19.11.2011 19:56
Colourban
Не обязательно отписываться в теме, чтобы добавить её в закладки.
Автор: yaltagrad
Дата сообщения: 19.11.2011 20:08
Так это в опциях раздела, внизу есть окно добавить тему в личные закладки, или я не прав?
Автор: inile
Дата сообщения: 21.11.2011 21:39
XP sp3. Вычистил от кучи вирусов, разблокировал заблокированное, восстановил подмененные файлы. Но с одной проблемой не могу справится. Не открываются по двойному клику все папки и файлы. Выставил в свойствах папки "Открывать одним щелчком", но это не выход. Может, кто знает в каком направлении копать? Восстановление было отключено, переустановка не желательна.
Автор: Nimbussr
Дата сообщения: 21.11.2011 22:54
inile

Цитата:
Не открываются по двойному клику все папки и файлы.
В панели управления, в настройках мыши параметр "Скорость двойного нажатия" нормально отрегулирован?
На тестовой картинке в том же окне двойной клик срабатывает?
Автор: opt_step
Дата сообщения: 22.11.2011 04:06
inile

Цитата:
Может, кто знает в каком направлении копать?

сделать reg-файл:
[more]Windows Registry Editor Version 5.00

[-HKEY_CLASSES_ROOT\exefile]

[-HKEY_CLASSES_ROOT\.exe]

[HKEY_CLASSES_ROOT\.exe]
@="exefile"
"Content Type"="application/x-msdownload"

[HKEY_CLASSES_ROOT\.exe\PersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"


[HKEY_CLASSES_ROOT\exefile]
@="Application"
"EditFlags"=hex:38,07,00,00
"TileInfo"="prop:FileDescription;Company;FileVersion"
"InfoTip"="prop:FileDescription;Company;FileVersion;Create;Size"

[HKEY_CLASSES_ROOT\exefile\DefaultIcon]
@="%1"

[HKEY_CLASSES_ROOT\exefile\shell]

[HKEY_CLASSES_ROOT\exefile\shell\open]
"EditFlags"=hex:00,00,00,00

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shell\runas]

[HKEY_CLASSES_ROOT\exefile\shell\runas\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shellex]

[HKEY_CLASSES_ROOT\exefile\shellex\DropHandler]
@="{86C86720-42A0-1069-A2E8-08002B30309D}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers]

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\PifProps]
@="{86F19A00-42A0-1069-A2E9-08002B30309D}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\ShimLayer Property Page]
@="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\{B41DB860-8EE4-11D2-9906-E49FADC173CA}]
@="" [/more]
Автор: inile
Дата сообщения: 22.11.2011 06:28
Nimbussr
opt_step
Спасибо. Воспользовался первым советом. Но странно - еще вчера эта вкладка была не активна.

Автор: yava85
Дата сообщения: 24.11.2011 14:32
Видимо поймал вирус.
Имеется антивирус нод32 v3, на нем стояли базы сигнатур 2011.10.30. После сегодняшнего обновление (локально) базы сигнатур стали "5307 от 20100723" причем при новых обновлениях обновляются только модули.
Когда вставляю флешку на ней появляются autorun.inf, а так же директория "kefronm" а в ней файл "zamzir.exe". Эти файлы с данного компьютера удалить не представляется возможным.

hijackthis
INFO.TXT
LOG.TXT
virusinfo_syscheck.zip
virusinfo_syscure.zip


__________________________________________________________________
Вирус удален:

Решение:
Скрипт в AVZ
CODE
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Пользователь\vppg.exe','');
DeleteFile('C:\Documents and Settings\Пользователь\vppg.exe');
DeleteFile('C:\Documents and Settings\Пользователь\vppg.exe,C:\Documents and Settings\Пользователь\fswagz.exe,C:\Documents and Settings\Пользователь\Application Data\nsvb.exe,explorer.exe,C:\Documents and Settings\Пользователь\yeawl.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.

____________________________________________________________________
А насчет обновление антивируса: Если обновлять через интернет "автоматическое" то антивирус обновляется нормально, а если локально - уже скаченные базы, то он обновляется до версии "5307 от 20100723"


Спасибо всем!!!!
Автор: gjf
Дата сообщения: 24.11.2011 15:31
yava85
1. Вирусы есть.
2. Базу AVZ - обновить!
3. А вот потом логи переделать и выложить в теме из моей подписи.
Автор: nesnakomez
Дата сообщения: 25.11.2011 13:55
Ребята всем привет. в шапке написано

Цитата:
4. Проверяем одной утилитой, перезагружаемся, проверяем второй утилитой, пытаемся загрузить систему.
Желательно отключить систему восстановления. Свойства системы-система восстановления.

но доктором я ещё смогу проверить а вот касперский? я поставил на скачивание
Kaspersky Virus Removal Tool 2010 но на форуме написано что этот антивирус требует установки. вопрос мне нужно его установить на заражоный компьютер? как если он не запускается? да и вообще..
приходит только одно обяснение что я поставил качать не ту программу..?


Добавлено:
Теперь к проблем..ребята помогите решить.
Скачал антивирус от доктор веб и прямо из под виндовс проверил на наличее вредного софта..я был шакирован вот что он нашол..

даю ссылку что бы не постить здесь..документ лежит у меня на сайте.
Dr.web Log
Проблема возникла сразу после удаления..я не мог выйти в интернет..но интернет присудствовал так как обнавление и другое всё работало, только браузер не отображал стр. не ИЕ НЕ Мозила.
Но за два дня я решил эту проблему оказалось что в интернет настройках --соединения-- лан соединение стояла галка что то связаное с прокси я её отключил теперь работает...но тепмерь опять старая проблема..комп. работает после перезагрузки минут пять может больше а потом начинает тормазить..открываеш стр. и ждёш пока она загрузиться..но не всегда она загружается просто терпения не хватает..пробуеш отключить процесс через диспечера, так тоже не получается ..подазреваю что вирус ещё там ! вчера установил AVG Интернет секюрите он тоже пару вирусов нашол..сканировал антивирусом от зайцева (последнея версия) он не чего не находит..
теперь качаю лайв сд и антивирус от доктора и касперского буду проверять ещё раз..
Ребята что мне делать после проверки? что то нужно показать здесь? логи или?

Мои данные ПК

Цитата:

Betriebssystemname Microsoft Windows XP Professional
Version 5.1.2600 Service Pack 2 Build 2600
Betriebssystemhersteller Microsoft Corporation
Systemname BECKER
Systemhersteller To Be Filled By O.E.M.
Systemmodell ALiveNF4G-DVI
Systemtyp X86-basierter PC
Prozessor x86 Family 15 Model 79 Stepping 2 AuthenticAMD ~2204 Mhz
BIOS-Version/-Datum American Megatrends Inc. P1.10, 09.08.2006
SMBIOS-Version 2.4
Windows-Verzeichnis C:\WINDOWS
Systemverzeichnis C:\WINDOWS\system32
Startgerat \Device\HarddiskVolume1
Gebietsschema Russische Foderation
Hardwareabstraktionsebene Version = "5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)"

Zeitzone Westeuropaische Normalzeit
Gesamter realer Speicher 1.024,00 MB
Verfugbarer realer Speicher 182,80 MB
Gesamter virtueller Speicher 2,00 GB
Verfugbarer virtueller Speicher 1,96 GB
Gro?e der Auslagerungsdatei 2,26 GB
Auslagerungsdatei C:\pagefile.sys
Автор: Seduxen
Дата сообщения: 25.11.2011 20:40
nesnakomez
Ничего серьёзного у Вас нету. И не то качаете...
Лучший вариант - Universal Virus Sniffer(UVS). Ссылка и инструкция в соответствущй теме. потом пройтись AVZ на предмет исправления, если понадобится, благо, он у Вас уже есть. Последним можно непосредственно из-под винды. Имхо.

Но можно и по п.4. В безопасном режиме.
Автор: yxma
Дата сообщения: 26.11.2011 02:47
он только однажды волхвов помянул...
ставьте линух и не лазьте в рассадник вирусняка - инет под дусей. И забудете о том, что это такое вообще. Легче всего - росинка9: очень простая, понятная сборка. Дружелюбный форум - если какая деталь заинтересует.

Добавлено:
да и скорость интернета процентов на 15-20 подрастет, если это кому актуально
Автор: vovan613
Дата сообщения: 26.11.2011 03:10
Как убить Trojan.Mayachok.1
Помогите !!!
avz лог
Протокол антивирусной утилиты AVZ версии 4.37
Сканирование запущено в 26.11.2011 12:03:54
Загружена база: сигнатуры - 296773, нейропрофили - 2, микропрограммы лечения - 56, база от 24.11.2011 21:49
Загружены микропрограммы эвристики: 388
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 308877
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 6.1.7600, ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:WSAConnect (42) перехвачена, метод APICodeHijack.JmpTo[02533D91]
Функция ws2_32.dll:connect (4) перехвачена, метод APICodeHijack.JmpTo[02533D7A]
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=1689C0)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 83052000
SDT = 831BA9C0
KiST = 830C16F0 (401)
Функция NtAllocateVirtualMemory (13) перехвачена (8329DE0F->8B79E2C4), перехватчик C:\Windows\system32\drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtCreateThread (57) перехвачена (8332CC0E->8B79F8F6), перехватчик C:\Windows\system32\drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtCreateThreadEx (58) перехвачена (8328AD51->8B79F9D2), перехватчик C:\Windows\system32\drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtFreeVirtualMemory (83) перехвачена (83105821->8B79E550), перехватчик C:\Windows\system32\drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtLoadDriver (9B) перехвачена (831F3279->8B9DC8B0), перехватчик C:\Windows\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtQueueApcThread (10D) перехвачена (8323EAF1->8B79F9FE), перехватчик C:\Windows\system32\drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtQueueApcThreadEx (10E) перехвачена (8323EB15->8B79FA24), перехватчик C:\Windows\system32\drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtSetContextThread (13C) перехвачена (8332DD13->8B79FA4A), перехватчик C:\Windows\system32\drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtSetSystemInformation (15E) перехвачена (832DCDF5->8B9DC870), перехватчик C:\Windows\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtSystemDebugControl (170) перехвачена (8325B2FC->8B9DC830), перехватчик C:\Windows\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtWriteVirtualMemory (18F) перехвачена (832D95B5->8B79E660), перехватчик C:\Windows\system32\drivers\dwprot.sys, драйвер опознан как безопасный
Проверено функций: 401, перехвачено: 11, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=300, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 300)
Маскировка процесса с PID=352, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 352)
Маскировка процесса с PID=440, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 440)
Маскировка процесса с PID=912, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 912)
Маскировка процесса с PID=1096, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1096)
Маскировка процесса с PID=1592, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1592)
Маскировка процесса с PID=1652, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1652)
Маскировка процесса с PID=1664, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1664)
Маскировка процесса с PID=1832, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1832)
Маскировка процесса с PID=1988, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1988)
Маскировка процесса с PID=712, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 712)
Маскировка процесса с PID=1228, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1228)
Маскировка процесса с PID=1512, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1512)
Маскировка процесса с PID=1532, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1532)
Маскировка процесса с PID=1540, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1540)
Маскировка процесса с PID=2112, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2112)
Маскировка процесса с PID=2132, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2132)
Маскировка процесса с PID=3272, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3272)
Маскировка процесса с PID=3496, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3496)
Маскировка процесса с PID=3536, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3536)
Маскировка процесса с PID=3636, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3636)
Маскировка процесса с PID=3720, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3720)
Маскировка процесса с PID=2128, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2128)
Маскировка процесса с PID=2196, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2196)
Маскировка процесса с PID=3768, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3768)
Маскировка процесса с PID=3808, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3808)
Маскировка процесса с PID=1200, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1200)
Маскировка процесса с PID=1444, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1444)
Маскировка процесса с PID=2036, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2036)
Маскировка процесса с PID=3344, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3344)
Маскировка процесса с PID=1936, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1936)
Маскировка процесса с PID=3888, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3888)
Маскировка процесса с PID=1288, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1288)
Маскировка процесса с PID=2528, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2528)
Маскировка процесса с PID=180, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 180)
Маскировка процесса с PID=3976, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3976)
Маскировка процесса с PID=4060, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4060)
Маскировка процесса с PID=4004, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4004)
Маскировка процесса с PID=4088, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4088)
Маскировка процесса с PID=3540, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3540)
Маскировка процесса с PID=3244, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3244)
Маскировка процесса с PID=3648, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3648)
Маскировка процесса с PID=4220, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4220)
Маскировка процесса с PID=4428, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4428)
Маскировка процесса с PID=5304, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 5304)
Маскировка процесса с PID=5548, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 5548)
Маскировка процесса с PID=5696, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 5696)
Маскировка процесса с PID=4672, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4672)
Маскировка процесса с PID=3520, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3520)
Маскировка процесса с PID=4444, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4444)
Маскировка процесса с PID=3608, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3608)
Маскировка процесса с PID=6060, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 6060)
Маскировка процесса с PID=2380, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2380)
Маскировка процесса с PID=4828, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4828)
Маскировка процесса с PID=5204, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 5204)
Маскировка процесса с PID=1196, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1196)
Маскировка процесса с PID=4504, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4504)
Маскировка процесса с PID=3428, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3428)
Маскировка процесса с PID=2944, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2944)
Маскировка процесса с PID=5612, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 5612)
Поиск маскировки процессов и драйверов завершен
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 85AFF1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 85AFF1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 85AFF1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 85AFF1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 85AFF1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 85AFF1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 85AFF1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 85AFF1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 85AFF1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 85AFF1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 85AFF1F8 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 54
Количество загруженных модулей: 588
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Windows\system32\pnwdiyh.dll --> Подозрение на Keylogger или троянскую DLL
C:\Windows\system32\pnwdiyh.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\Windows\system32\pnwdiyh.dll"
Ошибка скрипта: ')' expected, позиция [44:3]
Ошибка микропрограммы 385
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 642, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 26.11.2011 12:04:30
Сканирование длилось 00:00:36
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18

Добавлено:
Dr.Web пишет Процесс в памяти: C:\Windows\System32\wininit.exe:448 Trojan. Mayachok.1 Обезврежен
Но после перезагрузки всё повторяется
Забивает оперативу напроч
Автор: opt_step
Дата сообщения: 26.11.2011 05:25
vovan613

Цитата:
Как убить Trojan.Mayachok.1

http://forums.ferra.ru/index.php?showtopic=40873 и http://www.pc-manual.ru/virus__/trojan-mayachok-1/
и лог под тег more уберите
Автор: vzar
Дата сообщения: 26.11.2011 09:31
Свеженький

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687

Предыдущая тема: Незапускаются программы


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.