Проверился. В безопасном режиме - AVZ + Virus Removal Tool (что-то оба поудаляли). Потом в рабочей винде запустил еще раз AVZ - удалил пару подозрительных файлов.
Теперь аналогичное сообщение возникает при попытке запуска файлов (не всех - файлов в папках, запускаемых с ярлыков на рабочем столе). Если это не вирус то что это?
[more=Протокол антивирусной утилиты AVZ версии 4.32]
Сканирование запущено в 13.06.2010 10:13:30
Загружена база: сигнатуры - 274196, нейропрофили - 2, микропрограммы лечения - 56, база от 09.06.2010 22:47
Загружены микропрограммы эвристики: 383
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 207156
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:GetProcAddress (408) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AC28->7C882FEC
Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D77->7C882F9C
Функция kernel32.dll:LoadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D4F->7C882FB0
Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF1->7C882FD8
Функция kernel32.dll:LoadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80ACD3->7C882FC4
Детектирована модификация IAT: LoadLibraryA - 7C882F9C<>7C801D77
Детектирована модификация IAT: GetProcAddress - 7C882FEC<>7C80AC28
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:RegisterRawInputDevices (546) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D8C9AA->7D1E0080
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=0846E0)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 8055B6E0
KiST = 80503734 (284)
Функция NtClose (19) перехвачена (805BAEB4->F27701E0), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtConnectPort (1F) перехвачена (805A2FF4->F276E2F0), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtCreateKey (29) перехвачена (80622048->F2761750), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtCreateProcess (2F) перехвачена (805CFA1C->F276FF10), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtCreateProcessEx (30) перехвачена (805CF966->F2770080), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtCreateSection (32) перехвачена (805A9DEE->F2770D00), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtCreateSymbolicLinkObject (34) перехвачена (805C35E0->F27707B0), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtCreateThread (35) перехвачена (805CF804->F2771600), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtDeleteKey (3F) перехвачена (806224D8->F2761860), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtDeleteValueKey (41) перехвачена (806226A8->F27618E0), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtDuplicateObject (44) перехвачена (805BC890->F2770380), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtEnumerateKey (47) перехвачена (80622888->F2761990), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtEnumerateValueKey (49) перехвачена (80622AF2->F2761A40), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtFlushKey (4F) перехвачена (80622D5C->F2761AF0), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtInitializeRegistry (5C) перехвачена (80620020->F2761B70), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtLoadDriver (61) перехвачена (80582DFE->F276DE50), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtLoadKey (62) перехвачена (80623D78->F2762590), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtLoadKey2 (63) перехвачена (806239C2->F2761B90), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtNotifyChangeKey (6F) перехвачена (80623D42->F2761C70), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtOpenFile (74) перехвачена (80578F5C->F7137030), перехватчик C:\WINDOWS\system32\Drivers\kl1.sys, драйвер опознан как безопасный
Функция NtOpenKey (77) перехвачена (806233DE->F2761D50), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtOpenProcess (7A) перехвачена (805C9C46->F276FD00), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtOpenSection (7D) перехвачена (805A8E12->F2770B20), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtQueryKey (A0) перехвачена (80623702->F2761E30), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtQueryMultipleValueKey (A1) перехвачена (80621216->F2761EE0), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtQuerySystemInformation (AD) перехвачена (8060F7E0->F27712B0), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtQueryValueKey (B1) перехвачена (80620102->F2761F90), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtReplaceKey (C1) перехвачена (80623C28->F2762070), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtRequestWaitReplyPort (C8) перехвачена (805A179A->F276E900), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtRestoreKey (CC) перехвачена (80620450->F2762100), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtResumeThread (CE) перехвачена (805D3148->F27715B0), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtSaveKey (CF) перехвачена (806204F2->F2762300), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtSetContextThread (D5) перехвачена (805CFF26->F2771940), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtSetInformationFile (E0) перехвачена (80579DC4->F2771F60), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtSetInformationKey (E2) перехвачена (80620DE2->F2762390), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtSetSecurityObject (ED) перехвачена (805BE8FA->F276CA10), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtSetSystemInformation (F0) перехвачена (8060DB2E->F27709A0), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtSetValueKey (F7) перехвачена (80620708->F2762430), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtSuspendThread (FE) перехвачена (805D3082->F2771560), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtSystemDebugControl (FF) перехвачена (80615EA8->F276E1B0), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtTerminateProcess (101) перехвачена (805D1170->F2771150), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtUnloadKey (107) перехвачена (806209D0->F2762550), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtWriteVirtualMemory (115) перехвачена (805B2D5C->F2770240), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция FsRtlCheckLockForReadAccess (804EAE40) - модификация машинного кода. Метод JmpTo. jmp F2772380 \??\C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция IoIsOperationSynchronous (804EF634) - модификация машинного кода. Метод JmpTo. jmp F2772880 \??\C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Проверено функций: 284, перехвачено: 43, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 38
Количество загруженных модулей: 438
Проверка памяти завершена
3. Сканирование дисков
C:\Program Files\BitAccelerator\BitAccelerator.exe >>> подозрение на WebToolbar.Win32.BitAccelerator.o ( 006506BB 00000000 0020FB5B 00203F22 94208)
C:\Program Files\DrWeb-Scanner\Quarantine\bitaccelerator.dll >>> подозрение на WebToolbar.Win32.BitAccelerator.m ( 007E5843 00000000 002320AD 002840DA 90112)
C:\Program Files\DrWeb-Scanner\Quarantine\virtualnetwork.dll >>> подозрение на AdvWare.Win32.VirtualNetwork.a ( 0B29121B 05201B3B 002083C6 0023FB02 187392)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\KASPER~1.0\adialhk.dll"
>>> C:\Program Files\bitaccelerator\bitaccelerator.* ЭПС: подозрение на Файл с подозрительным именем
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 162565, извлечено из архивов: 65889, найдено вредоносных программ 0, подозрений - 3
Сканирование завершено в 13.06.2010 12:15:32
Сканирование длилось 02:02:02
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию -
http://virusinfo.info [/more]
