Zubastic
11-04-2011, 16:26
Вообщем проблема такая: при старте винды начинает грузиться автозагрузка (аська, скайп, драйвера, каспер и тд), но тут же вылезает ошибка http://savepic.ru/2451261.jpg затем закрывается explorer.exe и еще пара драйверов. После система перезапускает рабочий стол и можно дальше работать, но это не очень удобно + отключаются драйвера, которые необходимы для работы системы, а рестартить их каждый раз неудобно. Подозрение на вирус тк вчера просматривал ссклинером систему: было 5 точек восстановления. Сегодня уже 0, у касперского повреждены все базы и обновиться он не может в обычном режиме (обновился в безопасном, но ничего не найдено)
HijackThis
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 16:06:14, on 11.04.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Xerox\PanelMgr\SSMMgr.exe
C:\WINDOWS\ALCMTR.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe
C:\Program Files\Punto Switcher\ps.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ctfmon.exe
F:\FRAPS\FRAPS.EXE
C:\Program Files\QIP\qip.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
C:\Program Files\LogMeIn Hamachi\hamachi-2.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\MySQL\MySQL Server 5.1\bin\mysqld.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Opera\opera.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\msiexec.exe
C:\Documents and Settings\Никита\Рабочий стол\Trend Micro\HiJackThis\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ostnet.ru/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.4.8.11.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\ievkbd.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Xerox PanelMgr] C:\WINDOWS\Xerox\PanelMgr\SSMMgr.exe /autorun
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe"
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [nwiz] C:\Program Files\NVIDIA Corporation\nView\nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] "C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start
O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Fraps] F:\FRAPS\FRAPS.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: QIP 2005.lnk = C:\Program Files\QIP\qip.exe
O4 - Global Startup: procexp.lnk = C:\procexp.exe
O4 - Global Startup: Procmon.lnk = C:\Procmon.exe
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Загрузить &с помощью BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: Загрузить всё с помощью BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O9 - Extra button: &Виртуальная клавиатура - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O9 - Extra button: Проверка ссы&лок - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.4.8.11.dll/206 (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{7851E1A1-5CC7-4A25-9CCD-7C8F05723D3C}: NameServer = 10.11.12.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll C:\WINDOWS\system32\vksaver.dll
O22 - SharedTaskScheduler: Предзагрузчик Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Демон кэша категорий компонентов - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Program Files\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: MySQL - Unknown owner - C:\Program.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe
--
End of file - 9440 bytes
AVZ сейчас проверяет систему на вирусы и прочую гадость. Пока есть только его лог:
Сканирование запущено в 11.04.2011 16:38:36
Загружены микропрограммы эвристики: 383
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 220217
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=085700)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 8055C700
KiST = 80504480 (284)
Функция NtAdjustPrivilegesToken (0B) перехвачена (805EC494->B2BC058C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtClose (19) перехвачена (805BC55C->B825C7EA), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtConnectPort (1F) перехвачена (805A45FC->B2BC1922), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateEvent (23) перехвачена (8060EF7E->B2BC1E94), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateFile (25) перехвачена (805790A8->B2BC10EE), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateKey (29) перехвачена (80624120->B825C5E0), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtCreateMutant (2B) перехвачена (806176CE->B2BC1D6C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateNamedPipeFile (2C) перехвачена (805790E2->B2BC0192), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreatePort (2E) перехвачена (805A5118->B2BC1C28), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateSection (32) перехвачена (805AB3F4->B2BC034E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateSemaphore (33) перехвачена (8061507E->B2BC1FC6), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateSymbolicLinkObject (34) перехвачена (805C3A26->B2BC3C08), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateThread (35) перехвачена (805D1048->B2BC0AAA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateWaitablePort (38) перехвачена (805A513C->B2BC1CCA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDebugActiveProcess (39) перехвачена (80643B60->B2BC35FA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDeleteKey (3F) перехвачена (806245BC->B825C488), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtDeleteValueKey (41) перехвачена (8062478C->B825C4CE), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtDeviceIoControlFile (42) перехвачена (8057926E->B2BC1576), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDuplicateObject (44) перехвачена (805BE034->B2BC45CA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtEnumerateKey (47) перехвачена (8062496C->B825C3CE), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtEnumerateValueKey (49) перехвачена (80624BD6->B825C32A), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtFlushKey (4F) перехвачена (80624E40->B825C422), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtFsControlFile (54) перехвачена (805792A2->B2BC1382), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtLoadDriver (61) перехвачена (80584160->B2BC368C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtLoadKey (62) перехвачена (80626344->B825C94E), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtLoadKey2 (63) перехвачена (80625F50->B2BBF424), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtMapViewOfSection (6C) перехвачена (805B2066->B2BC3CBC), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtNotifyChangeKey (6F) перехвачена (8062630E->B2BC00C0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenEvent (72) перехвачена (8060F07E->B2BC1F36), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenFile (74) перехвачена (8057A1A6->B2BC0E8E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenKey (77) перехвачена (806254FE->B825C7AC), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtOpenMutant (78) перехвачена (806177A6->B2BC1E04), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenProcess (7A) перехвачена (805CB470->B2BC0792), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenSection (7D) перехвачена (805AA418->B2BC3C32), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenSemaphore (7E) перехвачена (80615178->B2BC2068), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenThread (80) перехвачена (805CB6FC->B2BC06B6), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueryKey (A0) перехвачена (80625840->B825C01A), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtQueryMultipleValueKey (A1) перехвачена (8062326E->B2BBFC46), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQuerySection (A7) перехвачена (805B860C->B2BC3FD4), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueryValueKey (B1) перехвачена (80622344->B825C0B2), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtQueueApcThread (B4) перехвачена (805D12A6->B2BC3922), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtRenameKey (C0) перехвачена (80623B42->B2BBFB0E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtReplaceKey (C1) перехвачена (806261F4->B2BBF2B0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtReplyPort (C2) перехвачена (805A5518->B2BC23F2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtReplyWaitReceivePort (C3) перехвачена (805A64E0->B2BC22B8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtRequestWaitReplyPort (C8) перехвачена (805A2DA2->B2BC339A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtRestoreKey (CC) перехвачена (80625B00->B2BC6E2C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtResumeThread (CE) перехвачена (805D49EA->B2BC44AC), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSaveKey (CF) перехвачена (80625BFC->B2BBF248), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSecureConnectPort (D2) перехвачена (805A3D90->B2BC165C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetContextThread (D5) перехвачена (805D176A->B2BC0CC8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetInformationToken (E6) перехвачена (805FA7E4->B2BC2C4A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetSecurityObject (ED) перехвачена (805C065A->B2BC3786), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetSystemInformation (F0) перехвачена (8060FD36->B2BC4114), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetValueKey (F7) перехвачена (80622692->B825C1D6), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtSuspendProcess (FD) перехвачена (805D4AB2->B2BC41F8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSuspendThread (FE) перехвачена (805D4924->B2BC4320), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSystemDebugControl (FF) перехвачена (806180EA->B2BC3526), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtTerminateProcess (101) перехвачена (805D2A12->B2BC090A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtTerminateThread (102) перехвачена (805D2C0C->B2BC0860), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtUnloadKey (107) перехвачена (806229BC->B825CA9E), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtUnmapViewOfSection (10B) перехвачена (805B2E74->B2BC3E8A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtWriteVirtualMemory (115) перехвачена (805B43F8->B2BC09EA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция FsRtlCheckLockForReadAccess (804EAF84) - модификация машинного кода. Метод JmpTo. jmp B2BB54DC \SystemRoot\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция IoIsOperationSynchronous (804EF912) - модификация машинного кода. Метод JmpTo. jmp B2BB58B6 \SystemRoot\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Проверено функций: 284, перехвачено: 63, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
\FileSystem\ntfs[IRP_MJ_CREATE] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8AD991F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 8A355500 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 36
Анализатор - изучается процесс 812 C:\WINDOWS\Xerox\PanelMgr\SSMMgr.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
[ES]:Записан в автозапуск !!
Количество загруженных модулей: 425
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение D:\28610aba319fe7ae87\commonfiles\hdaprop.dll
Прямое чтение D:\28610aba319fe7ae87\commonfiles\hdashcut.exe
Прямое чтение D:\28610aba319fe7ae87\commonfiles\hdaudbus.inf
Прямое чтение D:\28610aba319fe7ae87\commonfiles\hdaudbus.sys
Прямое чтение D:\28610aba319fe7ae87\commonfiles\hdaudio.inf
Прямое чтение D:\28610aba319fe7ae87\commonfiles\hdaudio.sys
Прямое чтение D:\28610aba319fe7ae87\commonfiles\hdaudres.dll
Прямое чтение D:\28610aba319fe7ae87\update\spcustom.dll
Прямое чтение D:\28610aba319fe7ae87\update\spmsg.dll
Прямое чтение D:\28610aba319fe7ae87\update\update.exe
Прямое чтение D:\28610aba319fe7ae87\update\update.inf
Прямое чтение D:\28610aba319fe7ae87\update\updspapi.dll
Прямое чтение D:\28610aba319fe7ae87\winxpsp2\portcls.sys
D:\Program Files\Lineage II Interlude\Lineage II Interlude\system\nwindow.dll.bak - PE файл с нестандартным расширением(степень опасности 5%)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\system32\vksaver.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\vksaver.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
F:\FRAPS\FRAPS.DLL --> Подозрение на Keylogger или троянскую DLL
F:\FRAPS\FRAPS.DLL>>> Поведенческий анализ
1. Реагирует на события: клавиатура, мышь
F:\FRAPS\FRAPS.DLL>>> Нейросеть: файл с вероятностью 1.98% похож на типовой перехватчик событий клавиатуры/мыши
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll C:\WINDOWS\system32\vksaver.dll"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 23180, извлечено из архивов: 3528, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 11.04.2011 16:42:58
Сканирование длилось 00:04:24
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info
Выполняется исследование системы
Исследование системы завершено
еще вчера установился непонятно как скринсейвер с животными, ходящими по панели задач и некий сайт стал по умолчанию поисковиком (ествественно выпилино и удалено)
HijackThis
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 16:06:14, on 11.04.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Xerox\PanelMgr\SSMMgr.exe
C:\WINDOWS\ALCMTR.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe
C:\Program Files\Punto Switcher\ps.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ctfmon.exe
F:\FRAPS\FRAPS.EXE
C:\Program Files\QIP\qip.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
C:\Program Files\LogMeIn Hamachi\hamachi-2.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\MySQL\MySQL Server 5.1\bin\mysqld.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Opera\opera.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\msiexec.exe
C:\Documents and Settings\Никита\Рабочий стол\Trend Micro\HiJackThis\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ostnet.ru/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.4.8.11.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\ievkbd.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Xerox PanelMgr] C:\WINDOWS\Xerox\PanelMgr\SSMMgr.exe /autorun
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe"
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [nwiz] C:\Program Files\NVIDIA Corporation\nView\nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] "C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start
O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Fraps] F:\FRAPS\FRAPS.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: QIP 2005.lnk = C:\Program Files\QIP\qip.exe
O4 - Global Startup: procexp.lnk = C:\procexp.exe
O4 - Global Startup: Procmon.lnk = C:\Procmon.exe
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Загрузить &с помощью BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: Загрузить всё с помощью BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O9 - Extra button: &Виртуальная клавиатура - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O9 - Extra button: Проверка ссы&лок - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.4.8.11.dll/206 (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O10 - Unknown file in Winsock LSP: fyrihyj.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{7851E1A1-5CC7-4A25-9CCD-7C8F05723D3C}: NameServer = 10.11.12.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll C:\WINDOWS\system32\vksaver.dll
O22 - SharedTaskScheduler: Предзагрузчик Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Демон кэша категорий компонентов - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Program Files\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: MySQL - Unknown owner - C:\Program.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe
--
End of file - 9440 bytes
AVZ сейчас проверяет систему на вирусы и прочую гадость. Пока есть только его лог:
Сканирование запущено в 11.04.2011 16:38:36
Загружены микропрограммы эвристики: 383
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 220217
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=085700)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 8055C700
KiST = 80504480 (284)
Функция NtAdjustPrivilegesToken (0B) перехвачена (805EC494->B2BC058C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtClose (19) перехвачена (805BC55C->B825C7EA), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtConnectPort (1F) перехвачена (805A45FC->B2BC1922), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateEvent (23) перехвачена (8060EF7E->B2BC1E94), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateFile (25) перехвачена (805790A8->B2BC10EE), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateKey (29) перехвачена (80624120->B825C5E0), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtCreateMutant (2B) перехвачена (806176CE->B2BC1D6C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateNamedPipeFile (2C) перехвачена (805790E2->B2BC0192), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreatePort (2E) перехвачена (805A5118->B2BC1C28), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateSection (32) перехвачена (805AB3F4->B2BC034E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateSemaphore (33) перехвачена (8061507E->B2BC1FC6), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateSymbolicLinkObject (34) перехвачена (805C3A26->B2BC3C08), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateThread (35) перехвачена (805D1048->B2BC0AAA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateWaitablePort (38) перехвачена (805A513C->B2BC1CCA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDebugActiveProcess (39) перехвачена (80643B60->B2BC35FA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDeleteKey (3F) перехвачена (806245BC->B825C488), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtDeleteValueKey (41) перехвачена (8062478C->B825C4CE), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtDeviceIoControlFile (42) перехвачена (8057926E->B2BC1576), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDuplicateObject (44) перехвачена (805BE034->B2BC45CA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtEnumerateKey (47) перехвачена (8062496C->B825C3CE), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtEnumerateValueKey (49) перехвачена (80624BD6->B825C32A), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtFlushKey (4F) перехвачена (80624E40->B825C422), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtFsControlFile (54) перехвачена (805792A2->B2BC1382), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtLoadDriver (61) перехвачена (80584160->B2BC368C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtLoadKey (62) перехвачена (80626344->B825C94E), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtLoadKey2 (63) перехвачена (80625F50->B2BBF424), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtMapViewOfSection (6C) перехвачена (805B2066->B2BC3CBC), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtNotifyChangeKey (6F) перехвачена (8062630E->B2BC00C0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenEvent (72) перехвачена (8060F07E->B2BC1F36), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenFile (74) перехвачена (8057A1A6->B2BC0E8E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenKey (77) перехвачена (806254FE->B825C7AC), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtOpenMutant (78) перехвачена (806177A6->B2BC1E04), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenProcess (7A) перехвачена (805CB470->B2BC0792), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenSection (7D) перехвачена (805AA418->B2BC3C32), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenSemaphore (7E) перехвачена (80615178->B2BC2068), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenThread (80) перехвачена (805CB6FC->B2BC06B6), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueryKey (A0) перехвачена (80625840->B825C01A), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtQueryMultipleValueKey (A1) перехвачена (8062326E->B2BBFC46), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQuerySection (A7) перехвачена (805B860C->B2BC3FD4), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueryValueKey (B1) перехвачена (80622344->B825C0B2), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtQueueApcThread (B4) перехвачена (805D12A6->B2BC3922), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtRenameKey (C0) перехвачена (80623B42->B2BBFB0E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtReplaceKey (C1) перехвачена (806261F4->B2BBF2B0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtReplyPort (C2) перехвачена (805A5518->B2BC23F2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtReplyWaitReceivePort (C3) перехвачена (805A64E0->B2BC22B8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtRequestWaitReplyPort (C8) перехвачена (805A2DA2->B2BC339A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtRestoreKey (CC) перехвачена (80625B00->B2BC6E2C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtResumeThread (CE) перехвачена (805D49EA->B2BC44AC), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSaveKey (CF) перехвачена (80625BFC->B2BBF248), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSecureConnectPort (D2) перехвачена (805A3D90->B2BC165C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetContextThread (D5) перехвачена (805D176A->B2BC0CC8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetInformationToken (E6) перехвачена (805FA7E4->B2BC2C4A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetSecurityObject (ED) перехвачена (805C065A->B2BC3786), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetSystemInformation (F0) перехвачена (8060FD36->B2BC4114), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetValueKey (F7) перехвачена (80622692->B825C1D6), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtSuspendProcess (FD) перехвачена (805D4AB2->B2BC41F8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSuspendThread (FE) перехвачена (805D4924->B2BC4320), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSystemDebugControl (FF) перехвачена (806180EA->B2BC3526), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtTerminateProcess (101) перехвачена (805D2A12->B2BC090A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtTerminateThread (102) перехвачена (805D2C0C->B2BC0860), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtUnloadKey (107) перехвачена (806229BC->B825CA9E), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtUnmapViewOfSection (10B) перехвачена (805B2E74->B2BC3E8A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtWriteVirtualMemory (115) перехвачена (805B43F8->B2BC09EA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция FsRtlCheckLockForReadAccess (804EAF84) - модификация машинного кода. Метод JmpTo. jmp B2BB54DC \SystemRoot\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция IoIsOperationSynchronous (804EF912) - модификация машинного кода. Метод JmpTo. jmp B2BB58B6 \SystemRoot\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Проверено функций: 284, перехвачено: 63, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
\FileSystem\ntfs[IRP_MJ_CREATE] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8AD991F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8AD991F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 8A355500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 8A355500 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 36
Анализатор - изучается процесс 812 C:\WINDOWS\Xerox\PanelMgr\SSMMgr.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
[ES]:Записан в автозапуск !!
Количество загруженных модулей: 425
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение D:\28610aba319fe7ae87\commonfiles\hdaprop.dll
Прямое чтение D:\28610aba319fe7ae87\commonfiles\hdashcut.exe
Прямое чтение D:\28610aba319fe7ae87\commonfiles\hdaudbus.inf
Прямое чтение D:\28610aba319fe7ae87\commonfiles\hdaudbus.sys
Прямое чтение D:\28610aba319fe7ae87\commonfiles\hdaudio.inf
Прямое чтение D:\28610aba319fe7ae87\commonfiles\hdaudio.sys
Прямое чтение D:\28610aba319fe7ae87\commonfiles\hdaudres.dll
Прямое чтение D:\28610aba319fe7ae87\update\spcustom.dll
Прямое чтение D:\28610aba319fe7ae87\update\spmsg.dll
Прямое чтение D:\28610aba319fe7ae87\update\update.exe
Прямое чтение D:\28610aba319fe7ae87\update\update.inf
Прямое чтение D:\28610aba319fe7ae87\update\updspapi.dll
Прямое чтение D:\28610aba319fe7ae87\winxpsp2\portcls.sys
D:\Program Files\Lineage II Interlude\Lineage II Interlude\system\nwindow.dll.bak - PE файл с нестандартным расширением(степень опасности 5%)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\system32\vksaver.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\vksaver.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
F:\FRAPS\FRAPS.DLL --> Подозрение на Keylogger или троянскую DLL
F:\FRAPS\FRAPS.DLL>>> Поведенческий анализ
1. Реагирует на события: клавиатура, мышь
F:\FRAPS\FRAPS.DLL>>> Нейросеть: файл с вероятностью 1.98% похож на типовой перехватчик событий клавиатуры/мыши
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll C:\WINDOWS\system32\vksaver.dll"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 23180, извлечено из архивов: 3528, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 11.04.2011 16:42:58
Сканирование длилось 00:04:24
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info
Выполняется исследование системы
Исследование системы завершено
еще вчера установился непонятно как скринсейвер с животными, ходящими по панели задач и некий сайт стал по умолчанию поисковиком (ествественно выпилино и удалено)