» Вирус(ы) в Windows XP,Vista,7,8,8.1. Проблемы. Решения.

ESS 4.0 выловил пару "зверей" :

1). 11.11.2011 16:39:47    Модуль сканирования файлов, исполняемых при запуске системы    файл    Оперативная память » explorer.exe(1852)    модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа    очистка невозможна        

2). 11.11.2011 19:59:46    Защита в режиме реального времени    файл    C:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\10\db2654a-728559e0    модифицированный Win32/Kryptik.VGP троянская программа    очищен удалением - изолирован    HOME-EA17F673E0\Admin    Событие произошло при попытке доступа к файлу следующим приложением: C:\Program Files\CCleaner\CCleaner.exe.

3). 11.11.2011 19:57:37    Защита в режиме реального времени    файл    C:\Documents and Settings\Admin\Local Settings\Temp\GETE444.tmp    модифицированный Win32/Agent.TET троянская программа    очищен удалением - изолирован    HOME-EA17F673E0\Admin    Событие произошло при попытке доступа к файлу следующим приложением: C:\Program Files\CCleaner\CCleaner.exe.

4). 11.11.2011 19:39:52    Модуль сканирования файлов, исполняемых при запуске системы    файл    C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\igfxtray.exe    модифицированный Win32/Kryptik.VGP троянская программа    очищен удалением (после следующего перезапуска) - изолирован        

Сильно опасные звери ?

Uraanfgh56,
а бывают безвредные вирусы? уж лучше пролечиться

Uraanfgh56
Похоже на Kolab.

gjf
что за зверь ?

Цитата:

что за зверь ?

Как бы... Kolab по 4-й ссылке ответ.

Добавлено:
А если перед словом Kolab, в запросе, написать "вирус", то "ваще", кол-во ответов увеличится на порядок.

Добавлено:
Uraanfgh56
Как-то сразу не заметил, Ваш вопрос, а в чём его смысл?
Цитата:

Сильно опасные звери ?

Это в любом случае вирусы и нужно лечится. Ну сильно опасные, ну не сильно опасные, какая разница?

Народ! Хелп!

Процесс svchost.exe жрет много процентов процессора.
Вот скрин Sysinternals (Microsoft) Process Explorer

http://zalil.ru/32090241

Стоит антивирус ДрВеб. Вот только сегодня обновил базы....

Gajver100
Первое что не понравилось на вашем скрине, что у двух нижних SVCHOST дочерним процессом является explorer (оболочка):

Как правило, дочерним процессом для всех SVCHOST в WinXP должен быть процесс WINLOGON:

Другими словами, это значит что, службы запускаются при загрузке системы а также при входе пользователя под своей учетной записью, из второго скрина это видно.
А в вашем случае запуск SVCHOST идёт после входа пользователя в систему и после загрузки оболочки (explorer).

Итак, давайте по порядку:

1. Для выделенных на вашем скрине процессов посмотрите путь по которому они запускаются.
Для этого сделайте двойной клик по процессу, откроется окно со свойствами, перейдите на вкладку Image.
Нужно посмотреть вот эту строчку:

2. Перейдите на вкладку Threads и упорядочите элементы по величине загрузки процессора.
Покажите пожалуйста ваш скрин. Получится примерно такое:

http://zalil.ru/32090498

Обрезать 3,4 - относиться к процессу svchost
Обрезать 5,6 - относиться к процессу spideragent

Gajver100
видел недавно такое. и проблема была в этом антивирусе. удаляешь - все прекрасно работает. с другим антивирусом тоже все идеально, а вот с Доктором такое происходит

arvidos
Цитата:

и проблема была в этом антивирусе

У меня тоже с Доктором подобное было, но и в списке на вклдаке Threads было видно, что загружал процессор драйвер spyder.sys, а не kernel32.dll.

Gajver100
я чувствую, мы с вами уже близко к разгадке
Можете показать список служб, запущенных под процессом SVCHOST:

Если точно знаете что в списке есть служба которая вам не нужна, то через оснастку "Службы" (Панель управления - Администрирование) отключите её автоматический запуск (Тип запуска: Отключено) и перезагрузитесь.

Можете показать список служб, запущенных под процессом SVCHOST:

А какой именно процесс SVCHOST? Как именно вывести список служб? В той же самой программе этих процессов 6 штук.

Добавлено:
http://zalil.ru/32090664

Вот это что ли?

Gajver100
Да, вы правильно поняли.
Только курсор наведите на тот процесс который грузит вашу систему.

Есть мнение, что у вас "червячок" в системе.
Процесс SVCHOST должен запускаться от пользователей NT AUTHORITY\SYSTEM или NT AUTHORITY\LOCAL SERVICE или NT AUTHORITY\NETWORK SERVICE, но не от имени текущего пользователя (!!!) как у вас на скрине:


Просканируйте систему: Malwarebytes Anti-Malware
Скачивать лучше с сайта разработчика.

Перед сканированием, сделайте пожалуйста скрин с всплывающим сообщением для подозрительного SVCHOST. Мне просто для себя интересно посмотреть.

http://zalil.ru/32090757

Щас попробую качнуть Malwarebytes Anti-Malware [?]

Добавлено:
Короче Malwarebytes Anti-Malware все вылечил, спасибо огромное.

Вот файлы после пролечивания Malwarebytes Anti-Malware и кое-какие фото.

http://zalil.ru/32091029

Gajver100
Спасибо, что отписались о решении проблемы и не поленились сделать скрины и выложить логи.

Любопытная и крайне полезная тема, раньше на неё не наталкивался!

P.s. Вынужден отметиться, чтобы поместить тему в свои закладки...

Colourban
Не обязательно отписываться в теме, чтобы добавить её в закладки.

Так это в опциях раздела, внизу есть окно добавить тему в личные закладки, или я не прав?

XP sp3. Вычистил от кучи вирусов, разблокировал заблокированное, восстановил подмененные файлы. Но с одной проблемой не могу справится. Не открываются по двойному клику все папки и файлы. Выставил в свойствах папки "Открывать одним щелчком", но это не выход. Может, кто знает в каком направлении копать? Восстановление было отключено, переустановка не желательна.

inile

Цитата:

Не открываются по двойному клику все папки и файлы.

В панели управления, в настройках мыши параметр "Скорость двойного нажатия" нормально отрегулирован?
На тестовой картинке в том же окне двойной клик срабатывает?

inile

Цитата:

Может, кто знает в каком направлении копать?

сделать reg-файл:
[more]Windows Registry Editor Version 5.00

[-HKEY_CLASSES_ROOT\exefile]

[-HKEY_CLASSES_ROOT\.exe]

[HKEY_CLASSES_ROOT\.exe]
@="exefile"
"Content Type"="application/x-msdownload"

[HKEY_CLASSES_ROOT\.exe\PersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"


[HKEY_CLASSES_ROOT\exefile]
@="Application"
"EditFlags"=hex:38,07,00,00
"TileInfo"="prop:FileDescription;Company;FileVersion"
"InfoTip"="prop:FileDescription;Company;FileVersion;Create;Size"

[HKEY_CLASSES_ROOT\exefile\DefaultIcon]
@="%1"

[HKEY_CLASSES_ROOT\exefile\shell]

[HKEY_CLASSES_ROOT\exefile\shell\open]
"EditFlags"=hex:00,00,00,00

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shell\runas]

[HKEY_CLASSES_ROOT\exefile\shell\runas\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shellex]

[HKEY_CLASSES_ROOT\exefile\shellex\DropHandler]
@="{86C86720-42A0-1069-A2E8-08002B30309D}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers]

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\PifProps]
@="{86F19A00-42A0-1069-A2E9-08002B30309D}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\ShimLayer Property Page]
@="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\{B41DB860-8EE4-11D2-9906-E49FADC173CA}]
@="" [/more]

Nimbussr
opt_step
Спасибо. Воспользовался первым советом. Но странно - еще вчера эта вкладка была не активна.

Видимо поймал вирус.
Имеется антивирус нод32 v3, на нем стояли базы сигнатур 2011.10.30. После сегодняшнего обновление (локально) базы сигнатур стали "5307 от 20100723" причем при новых обновлениях обновляются только модули.
Когда вставляю флешку на ней появляются autorun.inf, а так же директория "kefronm" а в ней файл "zamzir.exe". Эти файлы с данного компьютера удалить не представляется возможным.

hijackthis
INFO.TXT
LOG.TXT
virusinfo_syscheck.zip
virusinfo_syscure.zip


__________________________________________________________________
Вирус удален:

Решение:
Скрипт в AVZ
CODE
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Пользователь\vppg.exe','');
DeleteFile('C:\Documents and Settings\Пользователь\vppg.exe');
DeleteFile('C:\Documents and Settings\Пользователь\vppg.exe,C:\Documents and Settings\Пользователь\fswagz.exe,C:\Documents and Settings\Пользователь\Application Data\nsvb.exe,explorer.exe,C:\Documents and Settings\Пользователь\yeawl.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.

____________________________________________________________________
А насчет обновление антивируса: Если обновлять через интернет "автоматическое" то антивирус обновляется нормально, а если локально - уже скаченные базы, то он обновляется до версии "5307 от 20100723"


Спасибо всем!!!!

yava85
1. Вирусы есть.
2. Базу AVZ - обновить!
3. А вот потом логи переделать и выложить в теме из моей подписи.

Ребята всем привет. в шапке написано

Цитата:

4. Проверяем одной утилитой, перезагружаемся, проверяем второй утилитой, пытаемся загрузить систему.
Желательно отключить систему восстановления. Свойства системы-система восстановления.

но доктором я ещё смогу проверить а вот касперский? я поставил на скачивание
Kaspersky Virus Removal Tool 2010 но на форуме написано что этот антивирус требует установки. вопрос мне нужно его установить на заражоный компьютер? как если он не запускается? да и вообще..
приходит только одно обяснение что я поставил качать не ту программу..?


Добавлено:
Теперь к проблем..ребята помогите решить.
Скачал антивирус от доктор веб и прямо из под виндовс проверил на наличее вредного софта..я был шакирован вот что он нашол..

даю ссылку что бы не постить здесь..документ лежит у меня на сайте.
Dr.web Log
Проблема возникла сразу после удаления..я не мог выйти в интернет..но интернет присудствовал так как обнавление и другое всё работало, только браузер не отображал стр. не ИЕ НЕ Мозила.
Но за два дня я решил эту проблему оказалось что в интернет настройках --соединения-- лан соединение стояла галка что то связаное с прокси я её отключил теперь работает...но тепмерь опять старая проблема..комп. работает после перезагрузки минут пять может больше а потом начинает тормазить..открываеш стр. и ждёш пока она загрузиться..но не всегда она загружается просто терпения не хватает..пробуеш отключить процесс через диспечера, так тоже не получается ..подазреваю что вирус ещё там ! вчера установил AVG Интернет секюрите он тоже пару вирусов нашол..сканировал антивирусом от зайцева (последнея версия) он не чего не находит..
теперь качаю лайв сд и антивирус от доктора и касперского буду проверять ещё раз..
Ребята что мне делать после проверки? что то нужно показать здесь? логи или?

Мои данные ПК

Цитата:

Betriebssystemname Microsoft Windows XP Professional
Version 5.1.2600 Service Pack 2 Build 2600
Betriebssystemhersteller Microsoft Corporation
Systemname BECKER
Systemhersteller To Be Filled By O.E.M.
Systemmodell ALiveNF4G-DVI
Systemtyp X86-basierter PC
Prozessor x86 Family 15 Model 79 Stepping 2 AuthenticAMD ~2204 Mhz
BIOS-Version/-Datum American Megatrends Inc. P1.10, 09.08.2006
SMBIOS-Version 2.4
Windows-Verzeichnis C:\WINDOWS
Systemverzeichnis C:\WINDOWS\system32
Startgerat \Device\HarddiskVolume1
Gebietsschema Russische Foderation
Hardwareabstraktionsebene Version = "5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)"

Zeitzone Westeuropaische Normalzeit
Gesamter realer Speicher 1.024,00 MB
Verfugbarer realer Speicher 182,80 MB
Gesamter virtueller Speicher 2,00 GB
Verfugbarer virtueller Speicher 1,96 GB
Gro?e der Auslagerungsdatei 2,26 GB
Auslagerungsdatei C:\pagefile.sys

nesnakomez
Ничего серьёзного у Вас нету. И не то качаете...
Лучший вариант - Universal Virus Sniffer(UVS). Ссылка и инструкция в соответствущй теме. потом пройтись AVZ на предмет исправления, если понадобится, благо, он у Вас уже есть. Последним можно непосредственно из-под винды. Имхо.

Но можно и по п.4. В безопасном режиме.

он только однажды волхвов помянул...
ставьте линух и не лазьте в рассадник вирусняка - инет под дусей. И забудете о том, что это такое вообще. Легче всего - росинка9: очень простая, понятная сборка. Дружелюбный форум - если какая деталь заинтересует.

Добавлено:
да и скорость интернета процентов на 15-20 подрастет, если это кому актуально

Как убить Trojan.Mayachok.1
Помогите !!!
avz лог
Протокол антивирусной утилиты AVZ версии 4.37
Сканирование запущено в 26.11.2011 12:03:54
Загружена база: сигнатуры - 296773, нейропрофили - 2, микропрограммы лечения - 56, база от 24.11.2011 21:49
Загружены микропрограммы эвристики: 388
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 308877
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 6.1.7600, ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:WSAConnect (42) перехвачена, метод APICodeHijack.JmpTo[02533D91]
Функция ws2_32.dll:connect (4) перехвачена, метод APICodeHijack.JmpTo[02533D7A]
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=1689C0)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 83052000
SDT = 831BA9C0
KiST = 830C16F0 (401)
Функция NtAllocateVirtualMemory (13) перехвачена (8329DE0F->8B79E2C4), перехватчик C:\Windows\system32\drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtCreateThread (57) перехвачена (8332CC0E->8B79F8F6), перехватчик C:\Windows\system32\drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtCreateThreadEx (58) перехвачена (8328AD51->8B79F9D2), перехватчик C:\Windows\system32\drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtFreeVirtualMemory (83) перехвачена (83105821->8B79E550), перехватчик C:\Windows\system32\drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtLoadDriver (9B) перехвачена (831F3279->8B9DC8B0), перехватчик C:\Windows\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtQueueApcThread (10D) перехвачена (8323EAF1->8B79F9FE), перехватчик C:\Windows\system32\drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtQueueApcThreadEx (10E) перехвачена (8323EB15->8B79FA24), перехватчик C:\Windows\system32\drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtSetContextThread (13C) перехвачена (8332DD13->8B79FA4A), перехватчик C:\Windows\system32\drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtSetSystemInformation (15E) перехвачена (832DCDF5->8B9DC870), перехватчик C:\Windows\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtSystemDebugControl (170) перехвачена (8325B2FC->8B9DC830), перехватчик C:\Windows\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtWriteVirtualMemory (18F) перехвачена (832D95B5->8B79E660), перехватчик C:\Windows\system32\drivers\dwprot.sys, драйвер опознан как безопасный
Проверено функций: 401, перехвачено: 11, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=300, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 300)
Маскировка процесса с PID=352, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 352)
Маскировка процесса с PID=440, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 440)
Маскировка процесса с PID=912, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 912)
Маскировка процесса с PID=1096, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1096)
Маскировка процесса с PID=1592, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1592)
Маскировка процесса с PID=1652, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1652)
Маскировка процесса с PID=1664, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1664)
Маскировка процесса с PID=1832, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1832)
Маскировка процесса с PID=1988, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1988)
Маскировка процесса с PID=712, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 712)
Маскировка процесса с PID=1228, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1228)
Маскировка процесса с PID=1512, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1512)
Маскировка процесса с PID=1532, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1532)
Маскировка процесса с PID=1540, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1540)
Маскировка процесса с PID=2112, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2112)
Маскировка процесса с PID=2132, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2132)
Маскировка процесса с PID=3272, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3272)
Маскировка процесса с PID=3496, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3496)
Маскировка процесса с PID=3536, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3536)
Маскировка процесса с PID=3636, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3636)
Маскировка процесса с PID=3720, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3720)
Маскировка процесса с PID=2128, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2128)
Маскировка процесса с PID=2196, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2196)
Маскировка процесса с PID=3768, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3768)
Маскировка процесса с PID=3808, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3808)
Маскировка процесса с PID=1200, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1200)
Маскировка процесса с PID=1444, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1444)
Маскировка процесса с PID=2036, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2036)
Маскировка процесса с PID=3344, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3344)
Маскировка процесса с PID=1936, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1936)
Маскировка процесса с PID=3888, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3888)
Маскировка процесса с PID=1288, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1288)
Маскировка процесса с PID=2528, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2528)
Маскировка процесса с PID=180, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 180)
Маскировка процесса с PID=3976, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3976)
Маскировка процесса с PID=4060, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4060)
Маскировка процесса с PID=4004, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4004)
Маскировка процесса с PID=4088, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4088)
Маскировка процесса с PID=3540, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3540)
Маскировка процесса с PID=3244, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3244)
Маскировка процесса с PID=3648, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3648)
Маскировка процесса с PID=4220, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4220)
Маскировка процесса с PID=4428, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4428)
Маскировка процесса с PID=5304, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 5304)
Маскировка процесса с PID=5548, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 5548)
Маскировка процесса с PID=5696, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 5696)
Маскировка процесса с PID=4672, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4672)
Маскировка процесса с PID=3520, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3520)
Маскировка процесса с PID=4444, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4444)
Маскировка процесса с PID=3608, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3608)
Маскировка процесса с PID=6060, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 6060)
Маскировка процесса с PID=2380, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2380)
Маскировка процесса с PID=4828, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4828)
Маскировка процесса с PID=5204, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 5204)
Маскировка процесса с PID=1196, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1196)
Маскировка процесса с PID=4504, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4504)
Маскировка процесса с PID=3428, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3428)
Маскировка процесса с PID=2944, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2944)
Маскировка процесса с PID=5612, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 5612)
Поиск маскировки процессов и драйверов завершен
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 85AFF1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 85AFF1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 85AFF1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 85AFF1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 85AFF1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 85AFF1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 85AFF1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 85AFF1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 85AFF1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 85AFF1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 85AFF1F8 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 54
Количество загруженных модулей: 588
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Windows\system32\pnwdiyh.dll --> Подозрение на Keylogger или троянскую DLL
C:\Windows\system32\pnwdiyh.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\Windows\system32\pnwdiyh.dll"
Ошибка скрипта: ')' expected, позиция [44:3]
Ошибка микропрограммы 385
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 642, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 26.11.2011 12:04:30
Сканирование длилось 00:00:36
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18

Добавлено:
Dr.Web пишет Процесс в памяти: C:\Windows\System32\wininit.exe:448 Trojan. Mayachok.1 Обезврежен
Но после перезагрузки всё повторяется
Забивает оперативу напроч

vovan613

Цитата:

Как убить Trojan.Mayachok.1

http://forums.ferra.ru/index.php?showtopic=40873 и http://www.pc-manual.ru/virus__/trojan-mayachok-1/
и лог под тег more уберите