Oleg_Zaitsev DJ makrus redwhiterus Господа, вот как и обещал лог:[more=Читать дальше..]Протокол антивирусной утилиты AVZ версии 4.30
Сканирование запущено в 07.10.2008 20:44:09
Загружена база: сигнатуры - 190543, нейропрофили - 2, микропрограммы лечения - 56, база от 05.10.2008 21:23
Загружены микропрограммы эвристики: 370
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 73460
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 6.0.6001, Service Pack 1 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:LdrLoadDll (122) перехвачена, метод APICodeHijack.JmpTo[30781F16]
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:DrawIconEx (193) перехвачена, метод APICodeHijack.JmpTo[023711D6]
Функция user32.dll:GetIconInfo (297) перехвачена, метод APICodeHijack.JmpTo[02371116]
Функция user32.dll:SetWindowPos (680) перехвачена, метод APICodeHijack.JmpTo[02371036]
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=12C8C0)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 83043000
SDT = 8316F8C0
KiST = 830B0890 (391)
Проверено функций: 391, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=644, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 644)
Маскировка процесса с PID=692, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 692)
Маскировка процесса с PID=744, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 744)
Маскировка процесса с PID=1164, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1164)
Маскировка процесса с PID=1716, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1716)
Маскировка процесса с PID=1896, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1896)
Маскировка процесса с PID=2000, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2000)
Маскировка процесса с PID=1016, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1016)
Маскировка процесса с PID=1072, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1072)
Маскировка процесса с PID=2220, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2220)
Маскировка процесса с PID=2312, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2312)
Маскировка процесса с PID=2324, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2324)
Маскировка процесса с PID=2344, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2344)
Маскировка процесса с PID=2504, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2504)
Маскировка процесса с PID=2524, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2524)
Маскировка процесса с PID=2532, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2532)
Маскировка процесса с PID=2592, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2592)
Маскировка процесса с PID=2652, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2652)
Маскировка процесса с PID=2708, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2708)
Маскировка процесса с PID=2736, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2736)
Маскировка процесса с PID=2988, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2988)
Маскировка процесса с PID=3056, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3056)
Маскировка процесса с PID=3072, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3072)
Маскировка процесса с PID=3088, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3088)
Маскировка процесса с PID=3252, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3252)
Маскировка процесса с PID=3364, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3364)
Маскировка процесса с PID=3684, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3684)
Маскировка процесса с PID=2972, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2972)
Маскировка процесса с PID=3340, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3340)
Маскировка процесса с PID=1440, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1440)
Маскировка процесса с PID=3372, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3372)
Маскировка процесса с PID=3972, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3972)
Маскировка процесса с PID=3704, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3704)
Маскировка процесса с PID=3736, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3736)
Маскировка процесса с PID=1104, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1104)
Маскировка процесса с PID=3032, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3032)
Маскировка процесса с PID=3640, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3640)
Маскировка процесса с PID=3868, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3868)
Маскировка процесса с PID=2212, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2212)
Маскировка процесса с PID=2664, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2664)
Маскировка процесса с PID=1372, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1372)
Маскировка процесса с PID=4072, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4072)
Маскировка процесса с PID=980, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 980)
Маскировка процесса с PID=3640, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3640)
Маскировка процесса с PID=2292, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2292)
Маскировка процесса с PID=2568, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2568)
Маскировка процесса с PID=3832, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3832)
Маскировка процесса с PID=2716, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2716)
Маскировка процесса с PID=1568, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1568)
Маскировка процесса с PID=3652, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3652)
Маскировка процесса с PID=2116, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2116)
Маскировка процесса с PID=3472, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3472)
Маскировка процесса с PID=2072, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2072)
Маскировка процесса с PID=2116, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2116)
Маскировка процесса с PID=984, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 984)
Маскировка процесса с PID=1164, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1164)
Маскировка процесса с PID=2072, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2072)
Маскировка процесса с PID=2764, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2764)
Маскировка процесса с PID=3836, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3836)
Маскировка процесса с PID=1832, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1832)
Маскировка процесса с PID=2664, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2664)
Маскировка процесса с PID=1164, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1164)
Маскировка процесса с PID=888, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 888)
Маскировка процесса с PID=2664, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2664)
Маскировка процесса с PID=2680, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2680)
Маскировка процесса с PID=2748, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2748)
Маскировка процесса с PID=1668, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1668)
Маскировка процесса с PID=2084, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2084)
Маскировка процесса с PID=2384, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2384)
Маскировка процесса с PID=192, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 192)
Маскировка процесса с PID=1016, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1016)
Маскировка процесса с PID=3808, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3808)
Маскировка процесса с PID=2956, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2956)
Маскировка процесса с PID=4000, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4000)
Маскировка процесса с PID=3808, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3808)
Маскировка процесса с PID=3680, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3680)
Маскировка процесса с PID=3832, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3832)
Маскировка процесса с PID=1572, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1572)
Маскировка процесса с PID=2840, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2840)
Маскировка процесса с PID=2680, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2680)
Маскировка процесса с PID=4072, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4072)
Маскировка процесса с PID=2348, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2348)
Маскировка процесса с PID=1892, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1892)
Маскировка процесса с PID=2224, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2224)
Маскировка процесса с PID=2136, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2136)
Маскировка процесса с PID=2340, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2340)
Маскировка процесса с PID=856, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 856)
Маскировка процесса с PID=3704, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3704)
Маскировка процесса с PID=3496, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3496)
Маскировка процесса с PID=2564, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2564)
Маскировка процесса с PID=512, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 512)
Маскировка процесса с PID=2996, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2996)
Маскировка процесса с PID=3968, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3968)
Маскировка процесса с PID=2788, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2788)
Маскировка процесса с PID=3764, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3764)
Маскировка процесса с PID=2040, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2040)
Маскировка процесса с PID=2368, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2368)
Маскировка процесса с PID=3568, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3568)
Маскировка процесса с PID=1892, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1892)
Маскировка процесса с PID=2988, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2988)
Маскировка процесса с PID=2780, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2780)
Маскировка процесса с PID=3644, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3644)
Маскировка процесса с PID=3600, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3600)
Маскировка процесса с PID=1104, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1104)
Маскировка процесса с PID=3680, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3680)
Маскировка процесса с PID=1156, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1156)
Маскировка процесса с PID=2344, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2344)
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 864291F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 864291F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 864291F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 864291F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 864291F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 864291F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 864291F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 864291F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 864291F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 864291F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 864291F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 864291F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 864291F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 864291F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 864291F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 864291F8 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 63
Количество загруженных модулей: 582
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Temp\~DF8034.tmp
Прямое чтение C:\Windows\System32\drivers\sptd.sys
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll --> Подозрение на Keylogger или троянскую DLL
C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll)
C:\Program Files\Unlocker\UnlockerHook.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Unlocker\UnlockerHook.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (C:\Program Files\Unlocker\UnlockerHook.dll)
C:\Program Files\Punto Switcher\pshook.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Punto Switcher\pshook.dll>>> Поведенческий анализ
1. Реагирует на события: клавиатура
2. Выясняет, какое окно находится в фокусе ввода
C:\Program Files\Punto Switcher\pshook.dll>>> Нейросеть: файл с вероятностью 50,00% похож на типовой перехватчик событий клавиатуры/мыши
Файл успешно помещен в карантин (C:\Program Files\Punto Switcher\pshook.dll)
C:\Program Files\Stardock\CursorFX\CurXP0.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Stardock\CursorFX\CurXP0.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (C:\Program Files\Stardock\CursorFX\CurXP0.dll)
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 114 TCP портов и 21 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (@%SystemRoot%\system32\schedsvc.dll,-100)
>> Службы: разрешена потенциально опасная служба RDSessMgr ()
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Нарушение ассоциации REG файлов
>> Таймаут завершения служб находится за пределами допустимых значений
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 174150, извлечено из архивов: 81593, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 07.10.2008 22:52:53
Сканирование длилось 02:08:46
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию -
http://virusinfo.info[/more]
Итак, Ваш вердикт. Пациент здоров, жить будет?