Ru-Board.club
← Вернуться в раздел «Microsoft Windows»

» Вирус(ы) в Windows XP,Vista,7,8,8.1. Проблемы. Решения.

Автор: Mar Comp
Дата сообщения: 18.04.2011 17:43
Народ, хелп плиз!
Стоит Винда 7-ка x64 (Home Premium). После какого-то вируса (юзаю комп не я, а товарищ, а он толком не может ничего объяснить) перестал запускаться IE8 x86, 64-разрядный запускается, в безопаснике и 32 и 64-разрядные запускаются.
Проверял CureIt'ом Доктор Вэбовским, ничего не нашёл. Установил IE9, тоже не помогло.
Что подскажите сделать?
Автор: pav
Дата сообщения: 18.04.2011 18:50
Mar Comp
Искать и сносить дополнения к IE. К 64-разрядной версии они обычно не цепляются. Это могут быть поисковые панели, панели и расширения от игр и т.д. Посмотри в безопасном режиме и поотключай подозрительные дополнения:
Сервис - Надстройки.
Автор: Mar Comp
Дата сообщения: 19.04.2011 09:22
pav
Нет, не то... IE (без надостроек) тоже не запускается.
Автор: ZendenWS
Дата сообщения: 19.04.2011 11:58
<deleted>
Автор: Sorano
Дата сообщения: 24.04.2011 15:12
Было два вируса которых не замечал аваст. Использовала Касперский ремувал тул. ОН нашелVirus.Win32.Virut.ce и Virus.Win32.Nimnul.a Файлы из систем32 отправил в лечение (вылечатся после перезагрузки) в том числе и експлорер. Перезагрузила. Как всегда был Вход в виндовс, но вместо "Приветствия" вышло окошко называется "вход в виндовс". Юзер Администратор, Пароля нет, так что сразу нажимаю ок. Далее рабочий стол. Выходят обои, мышка двигается, заново выходит то окно входа в виндовс. ок нажимаешь, все заново, не помогает ничего. В безопасном режиме все также, но только после нажатия "ок" идет загрузка личных данных, но далее завершение работы и сохранение данных... Диспетчер не работает, вообще ничего.
Помогите Т_Т
Автор: colovorot
Дата сообщения: 24.04.2011 15:38
Sorano
ERD Commander нужен под вашу версию ОСи. Загрузиться с него и почистить реестр от лишних ключей. Вот здесь tahirg более менее подробно описал почти все основные пути, где прописывается зловред.
Автор: Sorano
Дата сообщения: 24.04.2011 15:42
colovorot
Я его установить не смогу, флешки, диски не читаются...
Автор: colovorot
Дата сообщения: 24.04.2011 15:48
Sorano
Он не устанавливается. Он записывается на компашку или флешку, и с этой компашки или флешки надо загрузиться и инструментами этой софтины вылечить систему.

Добавлено:
Откуда вы сейчас пишете? Оттуда же и создайте загрузочную компашку или флешку.
Автор: Sorano
Дата сообщения: 24.04.2011 16:02
colovorot
Попробуем... Значит скачать прогу UNetbootin, создать загрузочную флешку, потом качать ERD Commander весом 677 мб (><) и чистить?... даа...
Ну чтож, выхода нет, так будем делать( Спасибо за помощь)
Автор: colovorot
Дата сообщения: 24.04.2011 16:10
Sorano
Зачем все так осложнять? И где вы нашли ERD весом 677 Мб? Он обычно весит 200-250 Мб.
И зачем UNetbootin? Загрузочную флешку можно легко сделать средствами самой ОС. Спрашивайте что непонятно. Вы же здесь из-за этого.
Автор: Sorano
Дата сообщения: 24.04.2011 16:12
colovorot
Нууу, в таком случае как создать загрузочную флешку пользуясь ОС? ^^ Ничего не знаю...
А брала все отсюда http://rusprogram.3dn.ru/load/erd_commander/4-1-0-849
Автор: colovorot
Дата сообщения: 24.04.2011 16:40
Sorano
Нажмите сочетание клавиш Win+R (или Пуск\Выполнить), в появившемся окне введите cmd и нажмите Enter. Запуститься командная консоль. Введите в ней diskpart и нажмите Enter. Вы войдете в консоль работы с дисками. Наберите list disk и на жмите Enter. Появится нумерованный список доступных дисков. Найдите в нем свою флешку по объему и наберите select disk x (где х это номер вашей флешки). Наберите clean. Произойдет очистка диска. Далее введите create partition primary и нажмите Enter. Далее введите select partition 1 и нажмите Enter. Далее введите active и нажмите Enter. Далее введите format fs=ntfs. Флешка отформатируется в NTFS. Дождитесь окончания форматирования и можете назначить своей флешке любую свободную букву, например v командой assign letter=v. Все. Флешка готова. Введите exit и нажмите Enter для выхода из консоли работы с дисками и закройте саму командную консоль.
Далее необходим ERD. Обычно он в файле образа, т.е. в формате ***.iso . Запустите любого архиватора (7-zip или WinRAR) и выберите Файл->Открыть архив и покажите на образ ERD. Он откроет образ и вы увидите файлы, находящиеся в образе. Скопируйте все эти файлы на вашу флешку. Все. Ваша загрузочная флешка готова. Осталось в БИОСе выбрать загрузку с нее и спокойно все сделать.

Добавлено:

Цитата:
А брала все отсюда http://rusprogram.3dn.ru/load/erd_commander/4-1-0-849

Если бы шепнули название восстанавливаемой ОС, получили бы ссыль
Автор: Seduxen
Дата сообщения: 25.04.2011 12:14
Sorano, есть решение проще и, надеюсь, Вам поможет. Вам нужно воспользоваться Universal Virus Sniffer, попутно программа исправит неверные ключи и ссылки. Нужно только терпение.
Ссылочка на страничку
Ну, может, потом пройтись антивирусом зайцева на предмет восстановления.
Все операции производить с загрузочного CD, естессно...

Автор: Sorano
Дата сообщения: 25.04.2011 15:59
colovorot
Огромное спасибо) Очень подробно расписали и даже я все поняла ^^ Все получилось, осталось дождаться ЕРДа) И да, Вы меня спасли, признательна))

Цитата:
Если бы шепнули название восстанавливаемой ОС, получили бы ссыль

XP 2010, но ерд уже скачивают ^^
Seduxen
Угу, проще конечно, но я уже заплатила за скачку ЕРД о.О
Спасибо за помощь ^_^
Автор: colovorot
Дата сообщения: 25.04.2011 16:19
Sorano

Цитата:
XP 2010

Такой не бывает
Автор: Sorano
Дата сообщения: 26.04.2011 14:50

Цитата:
Такой не бывает

Обычный Windows XP Proffesional 2010 года о.О
Мм, трабл вышел... После того как в консоле пишу лист диск должна по идее высвечиваться флэшка, а здесь ничего, только диск 0 размером 75 гигов... DVD пробовала, тоже ничего
Автор: colovorot
Дата сообщения: 26.04.2011 15:36
Sorano

Цитата:
Мм, трабл вышел... После того как в консоле пишу лист диск должна по идее высвечиваться флэшка, а здесь ничего, только диск 0 размером 75 гигов... DVD пробовала, тоже ничего

Вы на зараженном компе все это проделываете?
Win+R, введите devmgmt.msc нажмите Enter. Откроется диспетчер устройств. Раскройте (нажмите на крестик) "Контроллеры универсальной последовательной шины USB". Там нет "Запоминающего устройства для USB" с каким-нибудь значком (круглым со стрелочкой или треугольником с восклицательным знаком)?
Автор: Sorano
Дата сообщения: 26.04.2011 15:44

Цитата:
Вы на зараженном компе все это проделываете?

Нет конечно. Даже если бы и пришло в голову такое, комп дееспособен.
Посмотрела, все нормально работает
Автор: colovorot
Дата сообщения: 26.04.2011 15:57
Sorano

Цитата:
Нет конечно. Даже если бы и пришло в голову такое, комп дееспособен.
Посмотрела, все нормально работает

Т.е. проводник флешку видит (в Мой компьютер), в Диспетчере устройств она есть как запоминающее ЮСБ устройство, но в командной консоли после ввода diskpart, затем list disk она не определяется? Попробуйте вставить в другой порт. Если вставляли спереди, то вставьте сзади, или наоборот...
Автор: Sorano
Дата сообщения: 26.04.2011 16:04
О.о Странно, вот с другого разъема не идет... В таком случае нужно купить новую флешку. А вот... в консоле должен же быть виден dvd?
Автор: colovorot
Дата сообщения: 26.04.2011 16:06
Sorano

Цитата:
О.о Странно, вот с другого разъема не идет... В таком случае нужно купить новую флешку

Может купить другой разъем

Цитата:
А вот... в консоле должен же быть виден dvd?

Нет.

Добавлено:
Что Дискпарт совсем ее не видит?

Добавлено:
Если есть возможность работы с компашкой, зачем ипаться с флешкой? Загоняйте ЕРД-шку на болванку и вперед.
Автор: Futurism
Дата сообщения: 02.05.2011 08:22
у моего приятеля сейчас такая проблема
видимо, его комп вирусы пожрали ибо
мигает монитор и комп аццки зависает.
хотели грузануться в безопасном режим, но он стал требовать пароль, который на комп никто никогда не ставил 0_0.
Кто-нибудь из спецов знает как пароль обойти?
Автор: opt_step
Дата сообщения: 02.05.2011 10:21
Futurism
грузится с live cd
Автор: vv631
Дата сообщения: 05.05.2011 10:33
Решил сегодня просканировать дома свою home-машину. Ось - XP SP3, подключение к Интернету по ADSL-модему, настроенному в режиме роутер, т.е. рабочая станция за маршрутизатором. Прошу прощения за наивность, но полагал, что наличие Kaspersky Internet Security 2008 – а у меня стоит именно он - избавит меня от необходимости вообще думать по поводу «невидимости» моего компа в сети, потому как даже встроенный в XP брандмауэр в режиме, когда в исключениях убраны все галочки, делает комп не видимым. Каково же было моё удивление, когда при сканировании, что называется «на скорую руку», я обнаружил открытыми два порта – 23 и 80! Особенно меня удивил 23-й порт – я сразу после установки новой системы всегда отключаю ненужные службы, в т.ч. и telnet. Проверил службы – отключено. Открытый 80-й порт сразу навёл меня на мысль, что я в роутере забыл отключить веб «морду», т.е. веб-интерфейс доступа. Проверил, так и есть – сразу отключил. Сканирую – порты открыты. Полез в настройки KIS, полазил, остановился на пакетных правилах (здесь у меня всё оставлено было по умолчанию после установки KISа), смотрим что тут у нас есть (из разрешённого):
- «DNS over TCP» и «DNS over UDP». Насколько знаю DNS использует UDP протокол, выходит «over TCP» не нужен – отключил.
- «sending e-mail» - оставил, так как пользую почту с e-mail клиентом,
- «Any incoming UDP stream» – оставил, смутно догадываюсь, что это нужно для работы DNS
- Здесь идёт серия разрешений по поводу ICMP сообщений – Echo Reply, Destination Unreachable, Time Exeeded – всё с пометкой «in» и, наконец, здесь же – Any incoming ICMP. Все ICMP заблокировал.
Результат: инет отвалился Опытным путём - начал поочерёдно отключать-включать все настройки, проверяя инет – выяснил, что все опции, касающиеся ICMP необходимо разрешить, только тогда инет будет работать. В итоге, всё пришлось оставить и так как другие, более или менее «вменяемые» настройки в этом разделе настроек у Каспера отсутствуют, то напрашивается вывод что в данном разделе практически настраивать нечего и «убогость» вариантов настройки говорит о том что всё настроено за нас (не кидайтесь тапками за слово «убогость», а всего лишь юзер).
Тем не менее, проблема не решена – запустив снова сканер, обнаружил что порты по-прежнему «светятся». Плюс к этому – у меня в VirtualBox живёт Ubuntu, на которой я учился поднимать ftp-сервер (ну и прочие интересные вещи ). После загрузки виртуальной машины под NAT, т.е. с доступом в инет, у меня естественно, появился дополнительный открытый порт ftp – 21, хотя у Каспера стоит галка «контролировать все сетевые порты» и команду ему открывать 21-й порт я не давал (какого хрена Каспер открывает порты? Работает по принципу «всё разрешено, если не запрещено»? ппц, «система безопасности»…). Что любопытно – после выключения VirtualBox порт по-прежнему открыт, хотя демон его инициировавший уже не работает (почему он открыт?).
Итак, вопрос первый – как закрыть, наконец, эти порты?!
Вопрос второй – как отключить эти ICMP сообщения, чтобы сделать машину «невидимой», если при отключении их в Касперском инет перестаёт работать?
Но это ещё не всё, меня ждал «приятный» сюрприз Сканирование программой LanSpy показало, что мой комп светиться как рождественская ёлка открытыми UDP портами – аж 13 штук, среди которых 137-й и 138-й (на вкладке WINS переключатель у меня стоит на «Отключить NetBIOS через TCP/IP», если это не влияет на открытие-закрытие этих портов – поправьте меня), 161, 162-й и помимо всего прочего - порт 3127, числящийся за трояном W32.Mydoom. Кульминация.
Справедливости ради, надо сказать что я не являюсь «прилежным» юзверем и частенько качаю всякую «гадость» для своей «википедии», в смысле, базы данных по вопросам пентестинга, но! Если Каспер и ругается, то практически всегда как на Hacktools, и если попадались Трояны, то их я не трогал и не запускал. В связи с вышесказанным ещё несколько вопросов:
1) Не является ли открытый TCP порт 23 (с 80-м я «разобрался» - дошло до меня что с MSF на комп установился SQL сервер, которые и держит этот порт открытым) следствием действия трояна? И соответственно, UDP порты тоже? У него (трояна) как бы свой порт есть, но возможно он открыл эти порты чтобы сделать доступными сервисы машины для проникновения через эти дыры и удалённого управления? На хрена, спрашивается, если троян уже на машине и как грится, «чем надо» уже управляет? Сдаётся мне, эт Каспер со своей «заботой» о безопасности рядового среднестатистического пользователя, отдавшего свои кровные 2300 деревянных рублей – отдавшего и наивно полагающего что проблема безопасности домашнего компьютера решена
2) Не является присутствие этого трояна следствием установки Metasploit Framework 3.2, так сказать «бонусом» от производителя ПО для каких-то прикладных целей юзера, пользующего данное ПО? Вроде установленного Microsoft-SQL-Server (куда ж без него), который сам я не устанавливал и UDP порты которого тоже открыты? Возможно по причине установки MSF открыт и порт 23? Но я убрал в Каспере MSF из доверенных приложений и проблема не решилась.

P.S. Предвижу тапки за боян: мол, чего ты хочешь – поставил себе MSF с кучей всего и ещё жалуешься? А что MSF разве ставиться на комп для чтобы сделать из этого компа «решето»? К тому же, скорее всего причина не в этом. Всё сказанное было в отношении стационарного компа - у меня ещё нетбук, на который MSF я не ставил и на котором идентичная ситуация. Даже UDP порты SQL-сервера (порты 1433 и 1434) присутствуют, хотя ни SQL ни MSF я на нетбук не ставил… выходит, троян их понаоткрывал?
Прошу спецов (с обоих линий «фронта» ) прокомментировать и ответить на мои вопросы.

Ну и чисто риторический вопрос (на этот вопрос прошу сильно не «увлекаться» и не офтопить) – как вы считаете, после всего сказанного, KIS стоит своих денег?
------
Небольшой штрих в общую картину... На сайте семантика взял "w32.mydoom tool remove", запустил сейчас у себя на нетбуке почистить систему - ничего не обнаружено. Вышел в инет с 3g модема и просканировал нетбук - хост недоступен... ничего не открыто, всё нормально. Соответственно, одно из двух. Либо порты "светятся" только на моём роутере и Касперу зачот - т.е. хакнули модем, а система чиста, либо всё дело в торренте от Seba: были у меня подозрения на его счёт - в своё время система после установки торрента вела себя неадекватно, каспер вылетал и тормозило всё, после чего я перестал пользоваться торрентом и забыл про него, а сегодня на нетбуке, просматривая список программ, увидел его и удалил, после чего через некоторое время стал сканировать систему... Вообщем, теперь ясно будет только вечером, когда доберусь до домашнего компа...
Кстати, когда гуглил cdjq вопрос, наткнулся на тему 2007 года на хакзоне, там чел приводит лог сканирования своей машины, я посмотрел его - очень очень похож на мой, плюс минус 2-3 порта, к сожалению его вопрос остался без толкового ответа.

Добавлено:

Цитата:
но он стал требовать пароль, который на комп никто никогда не ставил 0_0.
Кто-нибудь из спецов знает как пароль обойти?

Поточнее - выходит вирус присвоил пароль существующей учётной записи или запаролил жёсткий диск? Если завёл новую учётку или присвоил новый пароль существующей, то найди Live CD с программой ERD Commander, при загрузке выбери её - с её помощью сбросишь все пароли. Если есть под рукой Live CD с Backtrack3 - можешь воспользоваться программой chntpw, мануал можешь посмотреть здесь http://www.youtube.com/watch?v=pKyGktUuXsE . Если просит отправить смс с номером и ввести пароль (наверняка говорилось в этой ветке, сорри за дубль - всю ветку не читал) ищи этот номер (который нужно отправить) на сайте Dr.Web и других антивирусников - по номеру найдёшь и пароль и инструменты для лечения. Если пароль на жёсткий диск - не подскажу, это к спецам
Автор: Uraanfgh56
Дата сообщения: 07.05.2011 15:29
Доброго времени.
Поймал вчера Winlock :cry: , всё как обычно - бла бла отошлите денег на такой-то номер (номер на скрине) и т.п. и т.д , запустился с LiveCD, запустил avz 3.65 обновил базы , просканировал всё на наивысшем уровне эвристики (лог во вложении, не все файлы), вроде как ничего особенного , потом пробовал запустится - то же окно , ладно , снова грузанулся с лайвCD , снова поставил на сканирование с максимальной эвристикой (лог во вложении, уже теперь все файлы), тоже ничего , пару раз при загрузке выдал синий экран (см.скрин).
Сегодня удалось из под безопасного режима почистить реестр - ветки RUN и RUNONCE, вычистил также папку temp и т.п времянки , запустил avz - выполнил восстановление системы, загружаюсь - всё тапблички нет - вирус вроде как ушёл , но проблема в следующим - при загрузке не стартует explorer.exe и выдаёт ошибку - lsass.exe (cм. вложение) - недаёт грузится дальше, но через таск. менеджер через выполнить explorer.exe стартует вполне себе нормально и система работает.
Проверил в реестре ветку HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options : все нормально - ни какой заразы нет, упоминании эксплорера тоже.
Добавил в реестр по пути:HKLM\Software\Microsoft\WindowsNT\CurrentVersion\ следующий раздел Winlogo2- cтроку: Shell=explorer.exe (даже полностью прописывал путь до explorer.exe) бестолку , тоже самое что и было ...

Файлик explorer.exe просканировал NOD32 v.4 (базы от 03.05.11) - ничего криминального.
Операционная система: Windows XP SP3 сборка Zver 9.7 , последние заплатки от мелкомягких поставлены 03.05.11
Антивирус: NOD32 v.4.0.437.0 , базы от 03.05.11
В данный момент запустил нод32 на сканирование всех дисков на среднем уровне эвристики.
Также сделал ярлык на эксплорер и поставил его в автозагрузку, но пока не пробовал. - не заню выгорит или нет. добавлено: - не получилось

Какие еще варианты и мысли будут по восстановлению системы : : - каждый раз стартовать руками эксплорер - не гут :wall: , может у кого есть файлик explorer.exe из сборкиWindows XP SP3 от Zver v.9.7 ?
Жду помощи :!: :!:


Скриншот вируса:

Синий экран:

Лог сканирования AVZ - 1:
[more]
Внимание !!! База поcледний раз обновлялась 19.04.2011 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.35
Сканирование запущено в 06.05.2011 22:59:00
Загружена база: сигнатуры - 288679, нейропрофили - 2, микропрограммы лечения - 56, база от 19.04.2011 22:47
Загружены микропрограммы эвристики: 388
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 272495
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка загрузки драйвера - проверка прервана [C0000034]
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Ошибка загрузки драйвера - проверка прервана [C0000034]
2. Проверка памяти
Количество найденных процессов: 11
Количество загруженных модулей: 136
Проверка памяти завершена
3. Сканирование дисков
F:\Program Files\Total Commander\Programm\ASPMonitor\ASMonitor.exe >>>>> Monitor.Win32.ActualSpy.28 успешно удален
F:\Program Files\Total Commander\Programm\ASPMonitor\hk.dll >>>>> Monitor.Win32.ActualSpy.30 успешно удален
F:\Program Files\Total Commander\Programm\ASPMonitor\hprog.dll >>>>> Monitor.Win32.ActualSpy.30 успешно удален
Автоматическая чистка следов удаленных в ходе лечения программ
>> Форматирует число в виде HEX строки
>>> Форматирует число в виде HEX строки - исправлено
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Ошибка LSP Protocol = "RSVP UDP Service Provider" --> отсутствует файл X:\i386\system32\rsvpsp.dll
Ошибка LSP Protocol = "RSVP TCP Service Provider" --> отсутствует файл X:\i386\system32\rsvpsp.dll
Внимание ! Обнаружены ошибки в SPI/LSP. Количество ошибок - 2
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Нестандартный ключ реестра для системной службы: BITS ImagePath=""
Нестандартный ключ реестра для системной службы: wuauserv ImagePath=""
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Нарушение ассоциации EXE файлов
>> Нарушение ассоциации COM файлов
>> Модифицированы префиксы протоколов
>> Заблокирована возможность завершения сеанса
>> Заблокирована закладка Заставка в окне свойств экрана
>> Заблокирован доступ к настройкам принтеров
>> Меню Пуск - заблокированы элементы
>> Заблокирован пункт меню Справка и техподдержка
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
>> Заблокирована возможность смены темы рабочего стола
Проверка завершена
Просканировано файлов: 126201, извлечено из архивов: 87199, найдено вредоносных программ 3, подозрений - 0
Сканирование завершено в 06.05.2011 23:16:59
Сканирование длилось 00:18:01
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в систему http://kaspersky-911.ru[/more]
Лог сканирования AVZ - 2:
[more]Внимание !!! База поcледний раз обновлялась 19.04.2011 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.35
Сканирование запущено в 07.05.2011 00:27:37
Загружена база: сигнатуры - 288679, нейропрофили - 2, микропрограммы лечения - 56, база от 19.04.2011 22:47
Загружены микропрограммы эвристики: 388
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 272495
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка загрузки драйвера - проверка прервана [C0000034]
>>>> Подозрение на RootKit uty2mjax X:\i386\system32\Drivers\uty2mjax.sys
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Ошибка загрузки драйвера - проверка прервана [C0000034]
2. Проверка памяти
Количество найденных процессов: 11
Анализатор - изучается процесс 532 X:\i386\System32\xpelogon.exe
[ES]:Приложение не имеет видимых окон
[ES]:EXE упаковщик ?
[ES]:Размещается в системной папке
Анализатор - изучается процесс 1988 X:\i386\System32\INDICDLL.EXE
[ES]:Размещается в системной папке
Количество загруженных модулей: 136
Проверка памяти завершена
3. Сканирование дисков
C:\Documents and Settings\Den\Рабочий стол\IDoser.4.5.plus.170.doz\IDoser v4\IDoser.exe.bak - PE файл с нестандартным расширением(степень опасности 5%)
F:\Program Files\IdealSorter 2007\IdealSorter.exe.BAK - PE файл с нестандартным расширением(степень опасности 5%)
F:\Program Files\Total Commander\Programm\Accent Office Password Recovery\aofpr.exe - Подозрение на Virus.Win32.PE_Type1(степень опасности 75%)
F:\Program Files\Total Commander\Programm\SBListExtr\SBListExtr.exe - Подозрение на Virus.Win32.PE_Type1(степень опасности 75%)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Ошибка LSP Protocol = "RSVP UDP Service Provider" --> отсутствует файл X:\i386\system32\rsvpsp.dll
Ошибка LSP Protocol = "RSVP TCP Service Provider" --> отсутствует файл X:\i386\system32\rsvpsp.dll
Внимание ! Обнаружены ошибки в SPI/LSP. Количество ошибок - 2
Проведено автоматическое исправление ошибок в настройках SPI/LSP
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 3 TCP портов и 3 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Нестандартный ключ реестра для системной службы: BITS ImagePath=""
Нестандартный ключ реестра для системной службы: wuauserv ImagePath=""
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Нарушение ассоциации EXE файлов
>>> Нарушение ассоциации EXE файлов - исправлено
>> Нарушение ассоциации COM файлов
>>> Нарушение ассоциации COM файлов - исправлено
>> Модифицированы префиксы протоколов
>>> Модифицированы префиксы протоколов - исправлено
>> Заблокирована возможность завершения сеанса
>>> Заблокирована возможность завершения сеанса - исправлено
>> Заблокирована закладка Заставка в окне свойств экрана
>>> Заблокирована закладка Заставка в окне свойств экрана - исправлено
>> Заблокирован доступ к настройкам принтеров
>>> Заблокирован доступ к настройкам принтеров - исправлено
>> Меню Пуск - заблокированы элементы
>>> Меню Пуск - заблокированы элементы - исправлено
>> Заблокирован пункт меню Справка и техподдержка
>>> Заблокирован пункт меню Справка и техподдержка - исправлено
>> Разрешен автозапуск с HDD
>>> Разрешен автозапуск с HDD - исправлено
>> Разрешен автозапуск с сетевых дисков
>>> Разрешен автозапуск с сетевых дисков - исправлено
>> Разрешен автозапуск со сменных носителей
>>> Разрешен автозапуск со сменных носителей - исправлено
>> Заблокирована возможность смены темы рабочего стола
>>> Заблокирована возможность смены темы рабочего стола - исправлено
Проверка завершена
Просканировано файлов: 113645, извлечено из архивов: 86506, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 07.05.2011 00:41:36
Сканирование длилось 00:14:01
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в систему http://kaspersky-911.ru[/more]
Ошибка lsass.exe при запуске системы:
[more]Тип события:    Ошибка
Источник события:    Application Error
Категория события:    Отсутствует
Код события:    1000
Дата:        07.05.2011
Время:        17:37:56
Пользователь:        Н/Д
Компьютер:    DEN-HOME
Описание:
Ошибка приложения lsass.exe, версия 1.4.1.0, модуль kernel32.dll, версия 5.1.2600.5781, адрес 0x00012afb.
Данные:
0000: 41 70 70 6c 69 63 61 74 Applicat
0008: 69 6f 6e 20 46 61 69 6c ion Fail
0010: 75 72 65 20 20 6c 73 61 ure lsa
0018: 73 73 2e 65 78 65 20 31 ss.exe 1
0020: 2e 34 2e 31 2e 30 20 69 .4.1.0 i
0028: 6e 20 6b 65 72 6e 65 6c n kernel
0030: 33 32 2e 64 6c 6c 20 35 32.dll 5
0038: 2e 31 2e 32 36 30 30 2e .1.2600.
0040: 35 37 38 31 20 61 74 20 5781 at
0048: 6f 66 66 73 65 74 20 30 offset 0
0050: 30 30 31 32 61 66 62 0d 0012afb.
0058: 0a [/more] .
Лог сканирования NOD32 - найденные зловреды:
[more]
C:\BACKUPS\Рабочий стол-Admin\Игры\Герои Меча И Магии (Heroes Migh And Magic) Коллекционное Издание (2-а DVD) [forum.cyber.yaroslavl.ru]\DVD 1 (I-IV).iso » ISO » HOMM1_PATH.RAR » RAR » h1nocd.exe - вероятно модифицированный Win32/Agent.KVXXZPC троянская программа
C:\BACKUPS\Рабочий стол-Admin\Игры\Герои Меча И Магии (Heroes Migh And Magic) Коллекционное Издание (2-а DVD) [forum.cyber.yaroslavl.ru]\DVD 1 (I-IV).iso » ISO » HOMM2_PATH.RAR » RAR » h2nocd.exe - вероятно модифицированный Win32/StartPage.GBUQCJV троянская программа
C:\olddata\Мои документы\Загрузки\Opera\foobar0969bymeDveD03092009.exe » INNO » file0129.bin - вероятно модифицированный Win32/Agent.JVIOYEN троянская программа
C:\olddata\Мои документы\Загрузки\Opera\foobar0969bymeDveD03092009.exe » INNO » file0160.bin - вероятно модифицированный Win32/TrojanDownloader.Agent.MDLBKPY троянская программа
C:\Охотники за привидениями\TW2.iso » ISO » KEYGEN.EXE - вероятно модифицированный Win32/Obfuscated.CNYLSSL троянская программа
E:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\11\7b12818b-35e05dea » ZIP » bpac/a.class - модифицированный Java/TrojanDownloader.OpenStream.NAU троянская программа
E:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\11\7b12818b-35e05dea » ZIP » bpac/b.class - вероятно модифицированный Win32/Agent.BUHZSQJ троянская программа
E:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\11\7b12818b-35e05dea » ZIP » bpac/KAVS.class - Java/TrojanDownloader.Agent.NCA троянская программа
E:\Documents and Settings\Admin\Рабочий стол\Программы\Ideal_File_Sorter_v.5.20.86_Incl_Patch.rar » RAR » patch.Ideal.File.Sorter.5.20.86.110.zip » ZIP » rufull.ru.patch.Ideal.File.Sorter.5.20.86.110/patch.exe - модифицированный Win32/HackTool.Patcher.D потенциально опасная программа
E:\Old_DaS\Admin\Мои документы\Загрузки\Opera\foobar0969bymeDveD03092009.exe » INNO » file0129.bin - вероятно модифицированный Win32/Agent.JVIOYEN троянская программа
E:\Old_DaS\Admin\Мои документы\Загрузки\Opera\foobar0969bymeDveD03092009.exe » INNO » file0160.bin - вероятно модифицированный Win32/TrojanDownloader.Agent.MDLBKPY троянская программа
E:\Program Files\Total Commander\Programm\ccproxy\ccproxy.exe - модифицированный Win32/CCProxy потенциально опасная программа - выбор действия отложен до завершения сканирования
E:\Program Files\Total Commander\Programm\HFS\hfs.exe - модифицированный Win32/Server-Web.HFS.A потенциально опасная программа - выбор действия отложен до завершения сканирования
E:\Program Files\Total Commander\Programm\Instruments\instruments.exe - вероятно модифицированный Win32/Hacktool.Delf.REQGCR троянская программа - очищен удалением - изолирован
E:\Program Files\Total Commander\Programm\Multi_Password_Recovery\MPR.exe - модифицированный Win32/MultiPasswordRecovery.A потенциально опасная программа - выбор действия отложен до завершения сканирования
E:\Program Files\Total Commander\Programm\Multi_Password_Recovery\mpr_freader.sys - вероятно модифицированный Win32/Agent.JTSWGNN троянская программа - очищен удалением - изолирован
E:\Program Files\Total Commander\Programm\Opera AC\Misc\OperaPassView\OperaPassView.exe - Win32/PSWTool.OperaPassView потенциально опасная программа - выбор действия отложен до завершения сканирования
E:\Program Files\Total Commander\Programm\photofiltre\App\PhotoFiltreStudio\pfstudiox.exe - вероятно модифицированный Win32/Obfuscated.IIRTEAB троянская программа - очищен удалением - изолирован
E:\Program Files\Total Commander\Programm\SFX Tool\GUI_7zS.exe - вероятно модифицированный Win32/Adware.Agent.DDPKAQY приложение - очищен удалением - изолирован
E:\Program Files\Total Commander\Programm\WPA_KILL\WPA_KILL.EXE - модифицированный Win32/HackTool.Patcher.O потенциально опасная программа - выбор действия отложен до завершения сканирования
[/more]

Вот еще журнал НОД32 - момент когда я словил вирус, похоже он пытался через какой-т скрипт или актив-x или ява-аплет загрузиться или через pdf-ку, хотя может быть я и ошибаюсь:
[more]06.05.2011 22:25:02    Фильтр HTTP    файл    http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf    модифицированный PDF/CVE-2010-2883 троянская программа    соединение прервано - изолирован    DEN-HOME\Admin    Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Program Files\Opera\opera.exe.
06.05.2011 22:25:02    Фильтр HTTP    файл    http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf    модифицированный PDF/CVE-2010-2883 троянская программа    соединение прервано - изолирован    DEN-HOME\Admin    Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Program Files\Opera\opera.exe.
06.05.2011 22:25:01    Фильтр HTTP    файл    http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf    модифицированный PDF/CVE-2010-2883 троянская программа    соединение прервано - изолирован    DEN-HOME\Admin    Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Program Files\Opera\opera.exe.
06.05.2011 22:25:00    Фильтр HTTP    файл    http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf    модифицированный PDF/CVE-2010-2883 троянская программа    соединение прервано - изолирован    DEN-HOME\Admin    Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:59    Фильтр HTTP    файл    http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf    модифицированный PDF/CVE-2010-2883 троянская программа    соединение прервано - изолирован    DEN-HOME\Admin    Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:58    Фильтр HTTP    файл    http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf    модифицированный PDF/CVE-2010-2883 троянская программа    соединение прервано - изолирован    DEN-HOME\Admin    Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:58    Фильтр HTTP    файл    http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf    модифицированный PDF/CVE-2010-2883 троянская программа    соединение прервано - изолирован    DEN-HOME\Admin    Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:57    Фильтр HTTP    файл    http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf    модифицированный PDF/CVE-2010-2883 троянская программа    соединение прервано - изолирован    DEN-HOME\Admin    Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:56    Фильтр HTTP    файл    http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf    модифицированный PDF/CVE-2010-2883 троянская программа    соединение прервано - изолирован    DEN-HOME\Admin    Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:55    Фильтр HTTP    файл    http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf    модифицированный PDF/CVE-2010-2883 троянская программа    соединение прервано - изолирован    DEN-HOME\Admin    Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:55    Фильтр HTTP    файл    http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf    модифицированный PDF/CVE-2010-2883 троянская программа    соединение прервано - изолирован    DEN-HOME\Admin    Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:54    Фильтр HTTP    файл    http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf    модифицированный PDF/CVE-2010-2883 троянская программа    соединение прервано - изолирован    DEN-HOME\Admin    Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:53    Фильтр HTTP    файл    http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf    модифицированный PDF/CVE-2010-2883 троянская программа    соединение прервано - изолирован    DEN-HOME\Admin    Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:53    Фильтр HTTP    файл    http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf    модифицированный PDF/CVE-2010-2883 троянская программа    соединение прервано - изолирован    DEN-HOME\Admin    Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:52    Фильтр HTTP    файл    http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf    модифицированный PDF/CVE-2010-2883 троянская программа    соединение прервано - изолирован    DEN-HOME\Admin    Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:51    Фильтр HTTP    файл    http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf    модифицированный PDF/CVE-2010-2883 троянская программа    соединение прервано - изолирован    DEN-HOME\Admin    Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:50    Фильтр HTTP    файл    http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf    модифицированный PDF/CVE-2010-2883 троянская программа    соединение прервано - изолирован    DEN-HOME\Admin    Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:49    Фильтр HTTP    файл    http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf    модифицированный PDF/CVE-2010-2883 троянская программа    соединение прервано - изолирован    DEN-HOME\Admin    Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:49    Фильтр HTTP    файл    http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf    модифицированный PDF/CVE-2010-2883 троянская программа    соединение прервано - изолирован    DEN-HOME\Admin    Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:42    Фильтр HTTP    файл    http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf    модифицированный PDF/CVE-2010-2883 троянская программа    соединение прервано - изолирован    DEN-HOME\Admin    Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:41    Фильтр HTTP    файл    http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf    модифицированный PDF/CVE-2010-2883 троянская программа    соединение прервано - изолирован    DEN-HOME\Admin    Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:41    Фильтр HTTP    файл    http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf    модифицированный PDF/CVE-2010-2883 троянская программа    соединение прервано - изолирован    DEN-HOME\Admin    Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:40    Фильтр HTTP    файл    http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf    модифицированный PDF/CVE-2010-2883 троянская программа    соединение прервано - изолирован    DEN-HOME\Admin    Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:39    Фильтр HTTP    файл    http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf    модифицированный PDF/CVE-2010-2883 троянская программа    соединение прервано - изолирован    DEN-HOME\Admin    Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:39    Фильтр HTTP    файл    http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf    модифицированный PDF/CVE-2010-2883 троянская программа    соединение прервано - изолирован    DEN-HOME\Admin    Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:38    Фильтр HTTP    файл    http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf    модифицированный PDF/CVE-2010-2883 троянская программа    соединение прервано - изолирован    DEN-HOME\Admin    Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:37    Фильтр HTTP    файл    http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf    модифицированный PDF/CVE-2010-2883 троянская программа    соединение прервано - изолирован    DEN-HOME\Admin    Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:37    Фильтр HTTP    файл    http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf    модифицированный PDF/CVE-2010-2883 троянская программа    соединение прервано - изолирован    DEN-HOME\Admin    Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:36    Фильтр HTTP    файл    http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf    модифицированный PDF/CVE-2010-2883 троянская программа    соединение прервано - изолирован    DEN-HOME\Admin    Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:35    Фильтр HTTP    файл    http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf    модифицированный PDF/CVE-2010-2883 троянская программа    соединение прервано - изолирован    DEN-HOME\Admin    Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:34    Фильтр HTTP    файл    http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf    модифицированный PDF/CVE-2010-2883 троянская программа    соединение прервано - изолирован    DEN-HOME\Admin    Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:33    Фильтр HTTP    файл    http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf    модифицированный PDF/CVE-2010-2883 троянская программа    соединение прервано - изолирован    DEN-HOME\Admin    Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:32    Фильтр HTTP    файл    http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf    модифицированный PDF/CVE-2010-2883 троянская программа    соединение прервано - изолирован    DEN-HOME\Admin    Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:31    Фильтр HTTP    файл    http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf    модифицированный PDF/CVE-2010-2883 троянская программа    соединение прервано - изолирован    DEN-HOME\Admin    Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:31    Фильтр HTTP    файл    http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf    модифицированный PDF/CVE-2010-2883 троянская программа    соединение прервано - изолирован    DEN-HOME\Admin    Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:29    Фильтр HTTP    файл    http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf    модифицированный PDF/CVE-2010-2883 троянская программа    соединение прервано - изолирован    DEN-HOME\Admin    Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:27    Фильтр HTTP    файл    http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf    модифицированный PDF/CVE-2010-2883 троянская программа    соединение прервано - изолирован    DEN-HOME\Admin    Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:26    Фильтр HTTP    файл    http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf    модифицированный PDF/CVE-2010-2883 троянская программа    соединение прервано - изолирован    DEN-HOME\Admin    Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:26    Фильтр HTTP    файл    http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf    модифицированный PDF/CVE-2010-2883 троянская программа    соединение прервано - изолирован    DEN-HOME\Admin    Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Program Files\Opera\opera.exe.
06.05.2011 22:24:25    Фильтр HTTP    файл    http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf    модифицированный PDF/CVE-2010-2883 троянская программа    соединение прервано - изолирован    DEN-HOME\Admin    Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
06.05.2011 22:24:24    Фильтр HTTP    файл    http://pkg.cz.cc//images/np/c6109078e211805398d989619bf723d7/703ff58ef65a4aad5106e8f4a072b3e2.pdf    модифицированный PDF/CVE-2010-2883 троянская программа    соединение прервано - изолирован    DEN-HOME\Admin    Обнаружена угроза при попытке доступа в Интернет следующим приложением: E:\Documents and Settings\Admin\Рабочий стол\AdMuncher+Tor\AdMuncher\AdMunch.exe.
04.05.2011 18:22:37    Защита в режиме реального времени    файл    E:\System Volume Information\_restore{47A6A19E-2EFB-434A-A60C-62DB3D9E09D7}\RP90\A0121567.exe    модифицированный Win32/Kryptik.NGZ троянская программа    очищен удалением - изолирован    NT AUTHORITY\SYSTEM    Событие произошло в файле модифицированном приложением: E:\WINDOWS\system32\svchost.exe.
04.05.2011 17:43:11    Защита в режиме реального времени    файл    E:\System Volume Information\_restore{47A6A19E-2EFB-434A-A60C-62DB3D9E09D7}\RP88\A0120877.dll    модифицированный Win32/Hodprot.AA троянская программа    очищен удалением - изолирован    NT AUTHORITY\SYSTEM    Событие произошло в файле модифицированном приложением: E:\WINDOWS\system32\svchost.exe.
02.05.2011 22:25:04    Защита в режиме реального времени    файл    J:\PopCap\Atomica\keygen.exe    вероятно модифицированный Win32/Agent.DVAGFDY троянская программа    очищен удалением - изолирован    DEN-HOME\Admin    Событие произошло в новом файле, созданном следующим приложением: E:\Program Files\uTorrent\uTorrent.exe.
02.05.2011 22:13:05    Защита в режиме реального времени    файл    J:\PopCap\Tip Top\keygen.exe    вероятно модифицированный Win32/Agent.CCDOLDQ троянская программа    очищен удалением - изолирован    DEN-HOME\Admin    Событие произошло в новом файле, созданном следующим приложением: E:\Program Files\uTorrent\uTorrent.exe.
02.05.2011 22:11:46    Защита в режиме реального времени    файл    J:\PopCap\Ning Po Mahjong\keygen.exe    вероятно модифицированный Win32/Agent.CRYFFWU троянская программа    очищен удалением - изолирован    DEN-HOME\Admin    Событие произошло в новом файле, созданном следующим приложением: E:\Program Files\uTorrent\uTorrent.exe.
30.04.2011 16:44:42    Защита в режиме реального времени    файл    E:\System Volume Information\_restore{47A6A19E-2EFB-434A-A60C-62DB3D9E09D7}\RP87\A0120838.dll    модифицированный Win32/Hodprot.AA троянская программа    очищен удалением - изолирован    NT AUTHORITY\SYSTEM    Событие произошло в файле модифицированном приложением: E:\WINDOWS\system32\svchost.exe.
30.04.2011 12:43:01    Защита в режиме реального времени    файл    E:\System Volume Information\_restore{47A6A19E-2EFB-434A-A60C-62DB3D9E09D7}\RP87\A0120804.dll    модифицированный Win32/Hodprot.AA троянская программа    очищен удалением - изолирован    NT AUTHORITY\SYSTEM    Событие произошло в файле модифицированном приложением: E:\WINDOWS\system32\svchost.exe.
28.04.2011 19:30:43    Защита в режиме реального времени    файл    E:\System Volume Information\_restore{47A6A19E-2EFB-434A-A60C-62DB3D9E09D7}\RP85\A0119843.dll    модифицированный Win32/Hodprot.AA троянская программа    очищен удалением - изолирован    NT AUTHORITY\SYSTEM    Событие произошло в файле модифицированном приложением: E:\WINDOWS\system32\svchost.exe.
23.04.2011 0:40:54    Защита в режиме реального времени    файл    E:\System Volume Information\_restore{47A6A19E-2EFB-434A-A60C-62DB3D9E09D7}\RP82\A0118819.dll    модифицированный Win32/Hodprot.AA троянская программа    очищен удалением - изолирован    NT AUTHORITY\SYSTEM    Событие произошло в файле модифицированном приложением: E:\WINDOWS\system32\svchost.exe.
22.04.2011 18:34:53    Защита в режиме реального времени    файл    E:\System Volume Information\_restore{47A6A19E-2EFB-434A-A60C-62DB3D9E09D7}\RP80\A0117798.dll    модифицированный Win32/Hodprot.AA троянская программа    очищен удалением - изолирован    NT AUTHORITY\SYSTEM    Событие произошло в файле модифицированном приложением: E:\WINDOWS\system32\svchost.exe.[/more]
В принципе поведение типичное для винлоков или нетипичное ? : перехватывает Alt+Tab , экран поверх всех окон, таск менедежер вызывается , но не виден за заставкой , фокус только в пределах окна - курсор мыши может двигаться только в пределах окна -вымогателя.
Автор: HDD
Дата сообщения: 07.05.2011 20:33
vv631
Мдя.
1) Есть тема по KIS, там и спрашивайте как закрыть в нём порты.
2) Знаете, говорят многие знания - многие печали и не нужно смотреть куда не нужно. Как-то так. Ну открыты порты, и что? У вас вирусы? Нет. А, так вас же могут взломать, злобные хакеры только и ждут удачного случая.

Цитата:
т.е. хакнули модем,

Конечно, те самые хакеры. Без обид, но такие люди как вы придумывают проблемы на ровном месте, залазят в дебри непонятно чего и потом, с ужасом плохо спят по ночам.
Автор: AftarJjet
Дата сообщения: 07.05.2011 22:30
vv631

Цитата:
Контролировать сетевые порты

Сия фраза означает что Каспер будет проверять трафик, проходящий через них на зловреды.

Весь остальной поток сознания, говорит что ты лолка. ))
Автор: Sympathy
Дата сообщения: 08.05.2011 10:57
Uraanfgh56
Цитата:
запустил avz 3.65
Вышла новая версия антивирусной утилиты AVZ - 4.35
Автор: AZA_N
Дата сообщения: 08.05.2011 12:59
Uraanfgh56
Вам, скорее всего, сюда (а точнее сюда - этот код попробуйте: 993554754 )
Автор: Uraanfgh56
Дата сообщения: 08.05.2011 14:59
Sympathy
Да ошибься номером просто

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687

Предыдущая тема: Незапускаются программы


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.