» AVZ - Anti-SpyWare, Anti-AdWare

Oleg_Zaitsev

Очень понравилась программа, редко встретишь бесплатную и качественную программу, как правило такие программы быстро переходят в платные, поэтому возможно уже набивший аскомину вопрос - какие планы на программу, останеться ли бесплатной ?

подцепил заразу. утилитка показывает
'C:\WINDOWS\system32\svchost.exe:exe.exe:$DATA
нашёл ответ на форуме.

ручками не смог удалить 'C:\WINDOWS\system32\svchost.exe:exe.exe:$DATA
скрипт который по ссылке - сделал это. что это такое и как оно лечиться ?

slech
гы, сам неделю назад это у знакомого выковырял)) здесь вирус сидит в потоке ntfs файла svchost.exe. Руками удаляецца через проги, могущие работать с этими потоками (ntfs stream explorer вродеб есть), или я юзал плагин к total commander.

ЗЫ
вообще, нтфс-потоки - вещь интересная, если не в курсе - почитай где-нить, удобно на винте всякие вещи прятать)))) {вплоть до видео } размер файла, куда прячешь, не изменяется, уменьшается только свободное место на диске.

w0mbat
офф:
сылочку можно ?

(тож офф:)
плаг к коммандеру - http://wincmd.ru/plugring/NTFSFileStreams.html
упомянутая прога - http://www.snapfiles.com/get/streamexplorer.html (первая ссылка в гугле по названию, между прочим)))

не офф:
вот бы в сабж возможность вручную редактировать эти потоки, имхо в стиль вписалось бы великолепно)

если в системе неустановлен русский язык - то только знаки вопросов вместо букв.
англицкая версия больше не поддерживатеся, как быть ?

slech
Английская не то что бы не поддерживается, просто Олег делает нормальную поддержку локализаций
так что в ближайшее время все должно быть гут

Зацепил немного неприятностей на разных машинах:
1. Функция NtConnectPort (1F) перехвачена (805894AD->E17D33A8), перехватчик не определен

2. Функция NtConnectPort (1F) перехвачена (805986E6->E227E008), перехватчик не определен

3. Функция NtConnectPort (1F) перехвачена (805A2FF4->E2591848), перехватчик не определен
Функция NtEnumerateKey (47) - модификация машинного кода. Метод JmpTo. jmp BA5AEE5DCvyd78.sys
Функция NtOpenKey (77) - модификация машинного кода. Метод JmpTo. jmp BA5AEBC9Cvyd78.sys

При попытке выполнить скрипт лечения - винда ребутится ?
Как можно поступить ?

slech

Цитата:

При попытке выполнить скрипт лечения - винда ребутится ? Как можно поступить ?

1. Провести обновление баз AVZ.
2. Загрузиться из под LiveCD.
3. Провести лечение с помощью AVZ (к примеру с флеш-накопителя).

Далее долечивать в нормальном режиме (см. документацию к AVZ - технологии AVZGuard и AVZPM).
Ну и само собой никто не отменял проверку штатными антивирусными программами.

slech
так это.. а список установленного софта (один аутпост чего ст0ит..)? у меня например [more=вот что]1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:CreateProcessA (99) перехвачена, метод APICodeHijack.JmpTo[1005D5D6]
>>> Код руткита в функции CreateProcessA нейтрализован
Функция kernel32.dll:CreateProcessW (103) перехвачена, метод APICodeHijack.JmpTo[1005D5AE]
>>> Код руткита в функции CreateProcessW нейтрализован
Функция kernel32.dll:CreateRemoteThread (104) перехвачена, метод APICodeHijack.JmpTo[1005D922]
>>> Код руткита в функции CreateRemoteThread нейтрализован
Функция kernel32.dll:DebugActiveProcess (117) перехвачена, метод APICodeHijack.JmpTo[1005D8FA]
>>> Код руткита в функции DebugActiveProcess нейтрализован
Функция kernel32.dll:LoadLibraryExA (580) перехвачена, метод APICodeHijack.JmpTo[1005D4BE]
>>> Код руткита в функции LoadLibraryExA нейтрализован
Функция kernel32.dll:LoadLibraryExW (581) перехвачена, метод APICodeHijack.JmpTo[1005D496]
>>> Код руткита в функции LoadLibraryExW нейтрализован
Функция kernel32.dll:WinExec (897) перехвачена, метод APICodeHijack.JmpTo[1005D586]
>>> Код руткита в функции WinExec нейтрализован
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:LdrLoadDll (70) перехвачена, метод APICodeHijack.JmpTo[1005D8D2]
>>> Код руткита в функции LdrLoadDll нейтрализован
Функция ntdll.dll:LdrUnloadDll (80) перехвачена, метод APICodeHijack.JmpTo[1005D8AA]
>>> Код руткита в функции LdrUnloadDll нейтрализован
Функция ntdll.dll:NtConnectPort (117) перехвачена, метод APICodeHijack.JmpTo[1005D626]
>>> Код руткита в функции NtConnectPort нейтрализован
Функция ntdll.dll:NtCreateThread (140) перехвачена, метод APICodeHijack.JmpTo[1005D6C6]
>>> Код руткита в функции NtCreateThread нейтрализован
Функция ntdll.dll:NtProtectVirtualMemory (226) перехвачена, метод APICodeHijack.JmpTo[1005D716]
>>> Код руткита в функции NtProtectVirtualMemory нейтрализован
Функция ntdll.dll:NtSecureConnectPort (301) перехвачена, метод APICodeHijack.JmpTo[1005D5FE]
>>> Код руткита в функции NtSecureConnectPort нейтрализован
Функция ntdll.dll:NtSetContextThread (304) перехвачена, метод APICodeHijack.JmpTo[1005D6EE]
>>> Код руткита в функции NtSetContextThread нейтрализован
Функция ntdll.dll:NtSetValueKey (338) перехвачена, метод APICodeHijack.JmpTo[1005D882]
>>> Код руткита в функции NtSetValueKey нейтрализован
Функция ntdll.dll:NtSuspendProcess (344) перехвачена, метод APICodeHijack.JmpTo[1005D7DE]
>>> Код руткита в функции NtSuspendProcess нейтрализован
Функция ntdll.dll:NtSuspendThread (345) перехвачена, метод APICodeHijack.JmpTo[1005D7B6]
>>> Код руткита в функции NtSuspendThread нейтрализован
Функция ntdll.dll:NtTerminateProcess (348) перехвачена, метод APICodeHijack.JmpTo[1005D82E]
>>> Код руткита в функции NtTerminateProcess нейтрализован
Функция ntdll.dll:NtWriteVirtualMemory (369) перехвачена, метод APICodeHijack.JmpTo[1005D85A]
>>> Код руткита в функции NtWriteVirtualMemory нейтрализован
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (27) перехвачена, метод APICodeHijack.JmpTo[1005DCE2]
>>> Код руткита в функции CallNextHookEx нейтрализован
Функция user32.dll:ChangeDisplaySettingsExA (34) перехвачена, метод APICodeHijack.JmpTo[1005D446]
>>> Код руткита в функции ChangeDisplaySettingsExA нейтрализован
Функция user32.dll:ChangeDisplaySettingsExW (35) перехвачена, метод APICodeHijack.JmpTo[1005D41E]
>>> Код руткита в функции ChangeDisplaySettingsExW нейтрализован
Функция user32.dll:DdeConnect (108) перехвачена, метод APICodeHijack.JmpTo[1005DCBA]
>>> Код руткита в функции DdeConnect нейтрализован
Функция user32.dll:DdeConnectList (109) перехвачена, метод APICodeHijack.JmpTo[1005DC92]
>>> Код руткита в функции DdeConnectList нейтрализован
Функция user32.dll:DdeInitializeA (122) перехвачена, метод APICodeHijack.JmpTo[1005DC6A]
>>> Код руткита в функции DdeInitializeA нейтрализован
Функция user32.dll:DdeInitializeW (123) перехвачена, метод APICodeHijack.JmpTo[1005DC42]
>>> Код руткита в функции DdeInitializeW нейтрализован
Функция user32.dll:EndTask (202) перехвачена, метод APICodeHijack.JmpTo[1005D972]
>>> Код руткита в функции EndTask нейтрализован
Функция user32.dll:ExitWindowsEx (226) перехвачена, метод APICodeHijack.JmpTo[1005DA12]
>>> Код руткита в функции ExitWindowsEx нейтрализован
Функция user32.dll:FindWindowExA (229) перехвачена, метод APICodeHijack.JmpTo[1005DA8A]
>>> Код руткита в функции FindWindowExA нейтрализован
Функция user32.dll:FindWindowExW (230) перехвачена, метод APICodeHijack.JmpTo[1005DA62]
>>> Код руткита в функции FindWindowExW нейтрализован
Функция user32.dll:PostMessageA (512) перехвачена, метод APICodeHijack.JmpTo[1005DB7A]
>>> Код руткита в функции PostMessageA нейтрализован
Функция user32.dll:PostMessageW (513) перехвачена, метод APICodeHijack.JmpTo[1005DB52]
>>> Код руткита в функции PostMessageW нейтрализован
Функция user32.dll:SendInput (571) перехвачена, метод APICodeHijack.JmpTo[1005DA3A]
>>> Код руткита в функции SendInput нейтрализован
Функция user32.dll:SendMessageA (572) перехвачена, метод APICodeHijack.JmpTo[1005DC1A]
>>> Код руткита в функции SendMessageA нейтрализован
Функция user32.dll:SendMessageCallbackA (573) перехвачена, метод APICodeHijack.JmpTo[1005DADA]
>>> Код руткита в функции SendMessageCallbackA нейтрализован
Функция user32.dll:SendMessageCallbackW (574) перехвачена, метод APICodeHijack.JmpTo[1005DAB2]
>>> Код руткита в функции SendMessageCallbackW нейтрализован
Функция user32.dll:SendMessageTimeoutA (575) перехвачена, метод APICodeHijack.JmpTo[1005DB2A]
>>> Код руткита в функции SendMessageTimeoutA нейтрализован
Функция user32.dll:SendMessageTimeoutW (576) перехвачена, метод APICodeHijack.JmpTo[1005DB02]
>>> Код руткита в функции SendMessageTimeoutW нейтрализован
Функция user32.dll:SendMessageW (577) перехвачена, метод APICodeHijack.JmpTo[1005DBF2]
>>> Код руткита в функции SendMessageW нейтрализован
Функция user32.dll:SendNotifyMessageA (578) перехвачена, метод APICodeHijack.JmpTo[1005DBCA]
>>> Код руткита в функции SendNotifyMessageA нейтрализован
Функция user32.dll:SendNotifyMessageW (579) перехвачена, метод APICodeHijack.JmpTo[1005DBA2]
>>> Код руткита в функции SendNotifyMessageW нейтрализован
Функция user32.dll:SetForegroundWindow (600) перехвачена, метод APICodeHijack.JmpTo[1005D9EA]
>>> Код руткита в функции SetForegroundWindow нейтрализован
Функция user32.dll:SetWinEventHook (639) перехвачена, метод APICodeHijack.JmpTo[1005D94A]
>>> Код руткита в функции SetWinEventHook нейтрализован
Функция user32.dll:SetWindowPos (644) перехвачена, метод APICodeHijack.JmpTo[1005D99A]
>>> Код руткита в функции SetWindowPos нейтрализован
Функция user32.dll:SetWindowsHookExA (651) перехвачена, метод APICodeHijack.JmpTo[1005DD32]
>>> Код руткита в функции SetWindowsHookExA нейтрализован
Функция user32.dll:SetWindowsHookExW (652) перехвачена, метод APICodeHijack.JmpTo[1005DD0A]
>>> Код руткита в функции SetWindowsHookExW нейтрализован
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=07B580)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 80800000
SDT = 8087B580
KiST = 8082A354 (284)
Функция NtCreateKey (29) перехвачена (8094222E->BA6BE0D0), перехватчик C:\WIND0WS\system32\Drivers\sptd.sys
Функция NtCreateThread (35) перехвачена (808EF11A->BAFF864C), перехватчик не определен
Функция NtEnumerateKey (47) перехвачена (80942A6E->BA6C3FB2), перехватчик C:\WIND0WS\system32\Drivers\sptd.sys
Функция NtEnumerateValueKey (49) перехвачена (80942CD8->BA6C4340), перехватчик C:\WIND0WS\system32\Drivers\sptd.sys
Функция NtOpenKey (77) перехвачена (809435C4->BA6BE0B0), перехватчик C:\WIND0WS\system32\Drivers\sptd.sys
Функция NtOpenProcess (7A) перехвачена (808E91C2->BAFF8638), перехватчик не определен
Функция NtOpenThread (80) перехвачена (808E944E->BAFF863D), перехватчик не определен
Функция NtQueryKey (A0) перехвачена (809438E8->BA6C4418), перехватчик C:\WIND0WS\system32\Drivers\sptd.sys
Функция NtQueryValueKey (B1) перехвачена (809402E8->BA6C4298), перехватчик C:\WIND0WS\system32\Drivers\sptd.sys
Функция NtSetValueKey (F7) перехвачена (809408EE->BA6C44AA), перехватчик C:\WIND0WS\system32\Drivers\sptd.sys
Функция NtTerminateProcess (101) перехвачена (808F0B10->BAFF8647), перехватчик не определен
Функция NtWriteVirtualMemory (115) перехвачена (808D18C2->BAFF8642), перехватчик не определен
Проверено функций: 284, перехвачено: 12, восстановлено: 0
[/more], и особо не тревожит)) Правда у тебя имя драйвера какое-то странное, глянь инфу по нему через диспетчер служб и драйверов в AVZ, попробуй отключить мож (хотя если это что-то нужное, то комп потом может и не загрузицца)

RootkitRevealer - помог
При скане показал странные ключи в реестре civ78
Попытка создать civ78.sys файл в %SystemRoot%\System32\Drivers - не привела к успеху.
Значит есть такой файл там - но не виден. Он загружался и в Safe-Mode.(был последним в списке)
С лайв CD убил его и всё ок.
Рекомендации про Live-CD и AVZ незаметил - в следующий раз попробую.

как вообще запустить то скрипт, чёт ни фига не понимаю создать создаётся а запустить чем? в общем расскажите как пользоватся то?

sername


http://virusinfo.info/showthread.php?t=7239

За что отвечает sptd.sys.
AVZ [more=говорит]Функция NtCreateKey (29) перехвачена (80622048->F73AF0B0), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtEnumerateKey (47) перехвачена (80622888->F73B484C), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtEnumerateValueKey (49) перехвачена (80622AF2->F73B4BEC), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtOpenKey (77) перехвачена (806233DE->F73AF090), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtQueryKey (A0) перехвачена (80623702->F73B4CC4), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtQueryValueKey (B1) перехвачена (80620102->F73B4B44), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtSetValueKey (F7) перехвачена (80620708->F73B4D56), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
[/more]

Jek500

Цитата:

sptd.sys

http://virusinfo.info/showthread.php?t=9971&goto=nextoldest

Jek500

Цитата:

sptd.sys

Походу это драйвер, специально ставил его для установки Alcohol 120% (архивчик брал в варезнике Alcohol 120%).
В свойствах файла: SCSI Pass Through Direct, Duplex Secure Ltd.,2004

Функция NtConnectPort (1F) перехвачена (8058BBE4->AEF680D2), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys
Функция NtCreateFile (25) перехвачена (8056E0E4->F7B5F36A), перехватчик C:\WINDOWS\system32\windrvNT.sys
Функция NtCreateKey (29) перехвачена (805705C7->F77590D0), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtCreatePort (2E) перехвачена (80597351->AEF6802C), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys
Функция NtCreateSection (32) перехвачена (8056511B->AEF68AAE), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys
Функция NtCreateThread (35) перехвачена (8057BDE0->AEF67D12), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys
Функция NtDeleteFile (3E) перехвачена (805D737F->AEF69CB0), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys
Функция NtDeleteKey (3F) перехвачена (8059564E->AEF68EC0), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys
Функция NtDeleteValueKey (41) перехвачена (80594024->AEF68DDA), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys
Функция NtEnumerateKey (47) перехвачена (80570CCE->F775EFB2), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtEnumerateValueKey (49) перехвачена (8057E20A->F775F340), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtOpenFile (74) перехвачена (8056E07F->F7B5FCD8), перехватчик C:\WINDOWS\system32\windrvNT.sys
Функция NtOpenKey (77) перехвачена (8056865B->F77590B0), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtOpenProcess (7A) перехвачена (80578B0B->AEF68B94), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys
Функция NtOpenSection (7D) перехвачена (8057406F->AEF689E0), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys
Функция NtOpenThread (80) перехвачена (8058DC93->AEF68CB0), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys
Функция NtQueryDirectoryFile (91) перехвачена (80579567->F7B5F842), перехватчик C:\WINDOWS\system32\windrvNT.sys
Функция NtQueryInformationProcess (9A) перехвачена (8056BFB9->F7B5C1E0), перехватчик C:\WINDOWS\system32\windrvNT.sys
Функция NtQueryKey (A0) перехвачена (805709D7->F775F418), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtQueryValueKey (B1) перехвачена (8056CC26->F775F298), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtSetContextThread (D5) перехвачена (8062D4B7->AEF67BB4), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys
Функция NtSetInformationFile (E0) перехвачена (80576398->F7B60142), перехватчик C:\WINDOWS\system32\windrvNT.sys
Функция NtSetValueKey (F7) перехвачена (80579CDF->AEF6826A), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys
Функция NtShutdownSystem (F9) перехвачена (8064690B->AEF68FA0), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys
Функция NtTerminateProcess (101) перехвачена (80584C2D->AEF67F66), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys
Функция NtWriteFile (112) перехвачена (8057663D->AEF6A14A), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys
Функция NtWriteFileGather (113) перехвачена (805D9ABE->AEF69FB4), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys
Вот такой вот лог после проверки системы

C:\WINDOWS\system32\windrvNT.sys
C:\WINDOWS\System32\DRIVERS\cmdmon.sys
чёто странное, на virustotal.com скинь их - если вирусяки то завали при помощи AVZ.

Добавлено:
хотя вроде
C:\WINDOWS\system32\windrvNT.sys - Folder Lock
C:\WINDOWS\System32\DRIVERS\cmdmon.sys -Comodo Forewall

[q][/q]
Огромное спасибо! А то почти на измене.

Ребят, только не кричите. Я вот только на стадии ознакомления.
При сканировании в логе следующие сообщения. Хотелось бы узнать, это нормально?

Функция NtCreateKey (29) перехвачена (80579528->F91570D0), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtCreateThread (35) перехвачена (80586CE6->F99881EC), перехватчик не определен
Функция NtEnumerateKey (47) перехвачена (8057A69E->F915CFB2), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtEnumerateValueKey (49) перехвачена (80590C93->F915D340), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtOpenKey (77) перехвачена (80573F1D->F91570B0), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtOpenProcess (7A) перехвачена (80581C68->F99881D8), перехватчик не определен
Функция NtOpenThread (80) перехвачена (80598726->F99881DD), перехватчик не определен
Функция NtQueryKey (A0) перехвачена (8057A29E->F915D418), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtQueryValueKey (B1) перехвачена (80574361->F915D298), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtSetValueKey (F7) перехвачена (80584921->F915D4AA), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtTerminateProcess (101) перехвачена (8058CE75->F99881E7), перехватчик не определен
Функция NtWriteVirtualMemory (115) перехвачена (805880B7->F99881E2), перехватчик не определен

Спсибо заранее за ваши ответы.

JohnS_rb
Из переписки на ВирусИнфо:


Цитата:

Пожалуйста, разъясните, что это означает...? и что с этим sptd.sys лучше сделать?

Цитата:

У вас, по всей видимости, установлен Daemon Tools 4-й версии? Если это так, то ничего делать не надо - это нормальное поведение.

Цитата:

нет, Daemon Tools не установлен, но есть Alcohol 120...?

Цитата:

Ага, оно... Alcohol использует ту же технологию, что и Daemon Тools (и, видимо, те же драйверы). В общем, можете спокойно проигнорировать эти сообщения.

JohnS_rb
Кроме того так она показывает что какие то программы у тебя осуществляют слежение, контроль, мониторят - память, процессы. порты и т.д. Например антивирусники, процесс мониторы, оптимизаторы памяти ...

Цитата:

Функция NtTerminateProcess (101) перехвачена (8058CE75->F99881E7), перехватчик не определен

Не стоит ли прога контролирующая процессы ...

Цитата:

Функция NtWriteVirtualMemory (115) перехвачена (805880B7->F99881E2), перехватчик не определен

Нет ли оптимизатора памяти ...

Pitersky
Спасибо. Именно так и у меня. Daemon нет, Alcohol - да
К призыву спокойно проигнорировать - готов выполнять!!!

Добавлено:
Serg_Ivanov

Цитата:

Не стоит ли прога контролирующая процессы ...

Нет, ну за исключением самого AVZ. ) Установлен драйвер расширенного мониторинга процессов.


Цитата:

Нет ли оптимизатора памяти ...

Нет. Этого вообще не установлено, т.к. считаю оптимизатор памяти оптимизируя эту самую память, только нагружает её, а не оптимизирует)))

Здравствуйте!Скачал AVZ 4.27.Решил воспользоваться утилитой для проверки
системы.Проверка показала,что один файл подозревается в том,что он троян,а
другой признан опасным AdvWare.Win32.CashOn.Первый файл принадлежит часам
ClockS (фриварная прога),а второй проигрывателю JetAudio (крякнутая
прога).Проверка файла из часов на сайтах:http://www.virustotal.com/ru/ ,
http://virusscan.jotti.org/ , http://scanner.virus.org/ показала,что он чист
(это не троян).Проверил файл из проигрывателя на этих же сайтах.На каждом
сайте по 2-4 антивиря признали файл подозрительным.Но эти антивири какие-то
неизвестные,другие признали его чистым.Я послал заархивированный файл на
проверку в Dr.Web,от них пришел ответ,что это не вирус (файл чистый).Что это,ошибка?
P.S: Винда XP Pro SP2.В системе установлены такие проги по безопасности:
Dr.Web , Comodo Firewall , Spyware Terminator , AnVir Task Manager.

Ronin666, подозревается - по какому-либо поведению, схожему с поведением трояна. Это просто подозрение, предупреждение, а не вердикт...
Насчёт второго - AdvWare - значит, загрузка рекламы. Не очень-то опасно, ИМХО.
В любом случае полезно послать эти образцы автору (по адресу, что в меню > "о программе") с вашими аргументами.

Я вчера написал Олегу и выслал лог AVZ и архив с файлом.А файл,который якобы опасный,это jetUpdate.exe(обновления проигрывателя).Просто,если удалить файл,прога откажется работать,придется переставлять.Теперь жду разъяснений от Олега...

Простой пойск по Гуглю: jetUpdate.exe. Везде жалуются. Например - на форуме КАВ: not-a-virus:AdAware.Win32.CashOn, и так далее. В общем, ничего опасного, хотя, как там тоже отмечают, по поведению - детект правильный. Так что, разъяснения вряд ли будут...

Ну,а что делать то?Удалять файл или нет?В чем его опасность?

Ronin666

Цитата:

Adware (англ. Ad, Advertisement — реклама и Software — программное обеспечение) — программное обеспечение, содержащее рекламу.

Вид программного обеспечения, при использовании которого пользователю принудительно показывается реклама.

http://otvety.google.ru/otvety/thread?tid=1819cbd5672aaf83

Вот лог последнего сканирования.Кто может подсказать,все ли нормально в моей системе или есть какие-то звери?Особенно интересует пункт 1.4.Там написано,что подменили какой-то файл Dr.Web.
Протокол антивирусной утилиты AVZ версии 4.27
Сканирование запущено в 05.12.2007 23:09:17
Загружена база: 138200 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, база от 04.12.2007 16:16
Загружены микропрограммы эвристики: 371
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 66761
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:DrawIconEx (184) перехвачена, метод APICodeHijack.JmpTo[10001116]
Функция user32.dll:GetCursor (265) перехвачена, метод APICodeHijack.JmpTo[10001076]
Функция user32.dll:GetIconInfo (283) перехвачена, метод APICodeHijack.JmpTo[10001026]
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=08A500)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80561500
KiST = 804E48B0 (284)
Функция NtClose (19) перехвачена (8056E9E9->A9575A74), перехватчик J:\WINDOWS\system32\drivers\sp_rsdrv2.sys
Функция NtConnectPort (1F) перехвачена (80591D6E->A95C10D2), перехватчик J:\WINDOWS\System32\DRIVERS\cmdmon.sys
Функция NtCreateFile (25) перехвачена (8057D3C4->A957548E), перехватчик J:\WINDOWS\system32\drivers\sp_rsdrv2.sys
Функция NtCreateKey (29) перехвачена (80577237->A957516A), перехватчик J:\WINDOWS\system32\drivers\sp_rsdrv2.sys
Функция NtCreatePort (2E) перехвачена (80599A04->A95C102C), перехватчик J:\WINDOWS\System32\DRIVERS\cmdmon.sys
Функция NtCreateSection (32) перехвачена (8056CE25->A9576B92), перехватчик J:\WINDOWS\system32\drivers\sp_rsdrv2.sys
Функция NtCreateThread (35) перехвачена (805849B2->A95C0D12), перехватчик J:\WINDOWS\System32\DRIVERS\cmdmon.sys
Функция NtDeleteFile (3E) перехвачена (805E4AD2->A95C2CB0), перехватчик J:\WINDOWS\System32\DRIVERS\cmdmon.sys
Функция NtDeleteKey (3F) перехвачена (80598177->A9575286), перехватчик J:\WINDOWS\system32\drivers\sp_rsdrv2.sys
Функция NtDeleteValueKey (41) перехвачена (805969F3->A957536C), перехватчик J:\WINDOWS\system32\drivers\sp_rsdrv2.sys
Функция NtLoadDriver (61) перехвачена (805B97A1->A9575D38), перехватчик J:\WINDOWS\system32\drivers\sp_rsdrv2.sys
Функция NtOpenFile (74) перехвачена (8057D538->A95757D0), перехватчик J:\WINDOWS\system32\drivers\sp_rsdrv2.sys
Функция NtOpenProcess (7A) перехвачена (8057908C->A95C1B94), перехватчик J:\WINDOWS\System32\DRIVERS\cmdmon.sys
Функция NtOpenSection (7D) перехвачена (8057EB4A->A95C19E0), перехватчик J:\WINDOWS\System32\DRIVERS\cmdmon.sys
Функция NtOpenThread (80) перехвачена (805B132C->A95C1CB0), перехватчик J:\WINDOWS\System32\DRIVERS\cmdmon.sys
Функция NtSetContextThread (D5) перехвачена (80633D53->A95C0BB4), перехватчик J:\WINDOWS\System32\DRIVERS\cmdmon.sys
Функция NtSetInformationFile (E0) перехвачена (80582BC5->A95C2DE0), перехватчик J:\WINDOWS\System32\DRIVERS\cmdmon.sys
Функция NtSetValueKey (F7) перехвачена (8057FF13->A9574FDA), перехватчик J:\WINDOWS\system32\drivers\sp_rsdrv2.sys
Функция NtShutdownSystem (F9) перехвачена (8064C983->A95C1FA0), перехватчик J:\WINDOWS\System32\DRIVERS\cmdmon.sys
Функция NtTerminateProcess (101) перехвачена (8058C399->A9575C76), перехватчик J:\WINDOWS\system32\drivers\sp_rsdrv2.sys
Функция NtWriteFile (112) перехвачена (80582E45->A95758FC), перехватчик J:\WINDOWS\system32\drivers\sp_rsdrv2.sys
Функция NtWriteFileGather (113) перехвачена (805B9309->A95C2FB4), перехватчик J:\WINDOWS\System32\DRIVERS\cmdmon.sys
Проверено функций: 284, перехвачено: 22, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Видимый процесс с PID=1436, имя = "\Device\HarddiskVolume2\Program Files\DrWeb\spiderui.exe"
>> обнаружена подмена имени, новое имя = "j:\progra~1\drweb\spiderui.exe"
Видимый процесс с PID=1776, имя = "\Device\HarddiskVolume2\Program Files\DrWeb\spidernt.exe"
>> обнаружена подмена имени, новое имя = "j:\progra~1\drweb\spidernt.exe"
Поиск маскировки процессов и драйверов завершен
2. Проверка памяти
Количество найденных процессов: 25
Количество загруженных модулей: 217
Проверка памяти завершена
3. Сканирование дисков
J:\Program Files\ClockSN\ClockS\KiFB.exe >>> подозрение на Trojan.Win32.PopUpper.e ( 0A2CCEA1 03BDCD62 001C72FC 00193499 16384)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 2 TCP портов и 5 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
Проверка завершена
Просканировано файлов: 50666, извлечено из архивов: 35672, найдено вредоносных программ 0, подозрений - 1
Сканирование завершено в 05.12.2007 23:14:49
Сканирование длилось 00:05:33
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info