Чешский mui потому, что живу в Праге и купил лаптоп с предустановленной осью. Юзер Elena, моя жена, права админа. Инетом пользуемся активно, но на подозрительные сайты целенаправленно не лазим. Ну да. Подкачиваю ПО free, freeware. Я учусь обращению с компьютером и юзаю иногда проги с лекарством. А как известно, народные средства не всегда помогают в лучшую сторону. Но за год практики такая затянувшаяся проблема впервые. Хуже всего было с Brave Security. Из моих трех знакомых лишь я восстановил систему. Правда за три ночи. Им пришлось покупать лицензию.
Вот лог сканирования AVZ:
Протокол антивирусной утилиты AVZ версии 4.24
Сканирование запущено в 9.4.2007 9:53:53
Загружена база: 101221 сигнатура, 2 нейропрофиля, 55 микропрограмм лечения, база от 03.04.2007 13:01
Загружены микропрограммы эвристики: 369
Загружены цифровые подписи системных файлов: 58213
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:CreateProcessA (99) перехвачена, метод APICodeHijack.JmpTo[0013022A]
Функция kernel32.dll:CreateProcessInternalA (100) перехвачена, метод APICodeHijack.JmpTo[00130342]
Функция kernel32.dll:CreateProcessInternalW (101) перехвачена, метод APICodeHijack.JmpTo[001303CE]
Функция kernel32.dll:CreateProcessW (103) перехвачена, метод APICodeHijack.JmpTo[001302B6]
Функция kernel32.dll:CreateRemoteThread (104) перехвачена, метод APICodeHijack.JmpTo[001304E6]
Функция kernel32.dll:WinExec (896) перехвачена, метод APICodeHijack.JmpTo[0013045A]
Функция kernel32.dll:WriteProcessMemory (917) перехвачена, метод APICodeHijack.JmpTo[0013068A]
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:SetWindowsHookExA (651) перехвачена, метод APICodeHijack.JmpTo[00130716]
Функция user32.dll:SetWindowsHookExW (652) перехвачена, метод APICodeHijack.JmpTo[001307A2]
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:bind (2) перехвачена, метод APICodeHijack.JmpTo[0013082E]
Функция ws2_32.dll:connect (4) перехвачена, метод APICodeHijack.JmpTo[00130946]
Функция ws2_32.dll:socket (23) перехвачена, метод APICodeHijack.JmpTo[001308BA]
Анализ wininet.dll, таблица экспорта найдена в секции .text
Функция wininet.dll:InternetConnectA (230) перехвачена, метод APICodeHijack.JmpTo[00130F4A]
Функция wininet.dll:InternetConnectW (231) перехвачена, метод APICodeHijack.JmpTo[00130FD6]
Функция wininet.dll:InternetOpenA (268) перехвачена, метод APICodeHijack.JmpTo[00130D1A]
Функция wininet.dll:InternetOpenUrlA (269) перехвачена, метод APICodeHijack.JmpTo[00130E32]
Функция wininet.dll:InternetOpenUrlW (270) перехвачена, метод APICodeHijack.JmpTo[00130EBE]
Функция wininet.dll:InternetOpenW (271) перехвачена, метод APICodeHijack.JmpTo[00130DA6]
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Функция urlmon.dll:URLDownloadA (213) перехвачена, метод APICodeHijack.JmpTo[00130A5E]
Функция urlmon.dll:URLDownloadToCacheFileA (214) перехвачена, метод APICodeHijack.JmpTo[00130C8E]
Функция urlmon.dll:URLDownloadToCacheFileW (215) перехвачена, метод APICodeHijack.JmpTo[00130C02]
Функция urlmon.dll:URLDownloadToFileA (216) перехвачена, метод APICodeHijack.JmpTo[00130B76]
Функция urlmon.dll:URLDownloadToFileW (217) перехвачена, метод APICodeHijack.JmpTo[00130AEA]
Функция urlmon.dll:URLDownloadW (218) перехвачена, метод APICodeHijack.JmpTo[001309D2]
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=0846E0)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 8055B6E0
KiST = 80503940 (284)
Функция NtClose (19) перехвачена (805BAF64->EE020110), перехватчик C:\WINDOWS\system32\drivers\fwdrv.sys
Функция NtCreateFile (25) перехвачена (80577ED2->EE01F920), перехватчик C:\WINDOWS\system32\drivers\fwdrv.sys
Функция NtCreateKey (29) перехвачена (80622106->EE01BEE0), перехватчик C:\WINDOWS\system32\drivers\fwdrv.sys
Функция NtCreatePagingFile (2D) перехвачена (805AA4C4->F724EB00), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys
Функция NtCreateProcess (2F) перехвачена (805CFAD4->EE01EF20), перехватчик C:\WINDOWS\system32\drivers\fwdrv.sys
Функция NtCreateProcessEx (30) перехвачена (805CFA1E->EE01ED90), перехватчик C:\WINDOWS\system32\drivers\fwdrv.sys
Функция NtCreateThread (35) перехвачена (805CF8BC->EE01F480), перехватчик C:\WINDOWS\system32\drivers\fwdrv.sys
Функция NtDeleteFile (3E) перехвачена (80575ABA->EE020190), перехватчик C:\WINDOWS\system32\drivers\fwdrv.sys
Функция NtDeleteKey (3F) перехвачена (80622596->EE01C320), перехватчик C:\WINDOWS\system32\drivers\fwdrv.sys
Функция NtDeleteValueKey (41) перехвачена (80622766->EE01C3C0), перехватчик C:\WINDOWS\system32\drivers\fwdrv.sys
Функция NtEnumerateKey (47) перехвачена (80622946->F724F5DC), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys
Функция NtEnumerateValueKey (49) перехвачена (80622BB0->F725B120), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys
Функция NtLoadDriver (61) перехвачена (80582EAE->EDDC09A0), перехватчик C:\WINDOWS\system32\drivers\khips.sys
Функция NtMapViewOfSection (6C) перехвачена (805B0A7E->EDDC0B30), перехватчик C:\WINDOWS\system32\drivers\khips.sys
Функция NtOpenFile (74) перехвачена (80578FD0->EE01FBF0), перехватчик C:\WINDOWS\system32\drivers\fwdrv.sys
Функция NtOpenKey (77) перехвачена (8062349C->EE01C140), перехватчик C:\WINDOWS\system32\drivers\fwdrv.sys
Функция NtQueryKey (A0) перехвачена (806237C0->F724F5FC), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys
Функция NtQueryValueKey (B1) перехвачена (806201C0->F725B076), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys
Функция NtResumeThread (CE) перехвачена (805D31FE->EE01F510), перехватчик C:\WINDOWS\system32\drivers\fwdrv.sys
Функция NtSetInformationFile (E0) перехвачена (80579E38->EE01FF00), перехватчик C:\WINDOWS\system32\drivers\fwdrv.sys
Функция NtSetSystemPowerState (F1) перехвачена (80650E26->F725A550), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys
Функция NtSetValueKey (F7) перехвачена (806207C6->EE01C4D0), перехватчик C:\WINDOWS\system32\drivers\fwdrv.sys
Функция NtWriteFile (112) перехвачена (8057BCF6->EE01FE50), перехватчик C:\WINDOWS\system32\drivers\fwdrv.sys
Проверено функций: 284, перехвачено: 23, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
Количество найденных процессов: 61
Количество загруженных модулей: 525
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\WINDOWS\system32\drivers\atapi.sys
Прямое чтение C:\WINDOWS\system32\drivers\sptd8253.sys
Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys
C:\Documents and Settings\Sergio\Local Settings\Temp\jar_cache16614.tmp Invalid file - not a PKZip file
C:\Documents and Settings\Sergio\Local Settings\Temp\jar_cache40390.tmp Invalid file - not a PKZip file
C:\Documents and Settings\Sergio\Local Settings\Temp\jar_cache9557.tmp Invalid file - not a PKZip file
C:\Documents and Settings\Sergio\Local Settings\Temp\jar_cache55852.tmp Invalid file - not a PKZip file
C:\Documents and Settings\Sergio\Local Settings\Temp\jar_cache18098.tmp Invalid file - not a PKZip file
C:\Documents and Settings\Sergio\Local Settings\Temp\jar_cache12280.tmp Invalid file - not a PKZip file
C:\Documents and Settings\Sergio\Local Settings\Temp\jar_cache45922.tmp Invalid file - not a PKZip file
C:\Documents and Settings\Sergio\Local Settings\Temp\jar_cache32826.tmp Invalid file - not a PKZip file
C:\Documents and Settings\Sergio\Local Settings\Temp\jar_cache58470.tmp Invalid file - not a PKZip file
C:\Documents and Settings\Sergio\Local Settings\Temp\jar_cache31393.tmp Invalid file - not a PKZip file
C:\Documents and Settings\Sergio\Local Settings\Temp\jar_cache50275.tmp Invalid file - not a PKZip file
C:\Documents and Settings\Sergio\Local Settings\Temp\jar_cache30916.tmp Invalid file - not a PKZip file
C:\Documents and Settings\Sergio\Local Settings\Temp\jar_cache31036.tmp Invalid file - not a PKZip file
C:\Documents and Settings\Sergio\Local Settings\Temp\jar_cache661.tmp Invalid file - not a PKZip file
C:\Documents and Settings\Sergio\Local Settings\Temp\jar_cache28156.tmp Invalid file - not a PKZip file
C:\Documents and Settings\Sergio\Local Settings\Temp\jar_cache11433.tmp Invalid file - not a PKZip file
C:\Documents and Settings\Sergio\Local Settings\Temp\jar_cache51031.tmp Invalid file - not a PKZip file
C:\Documents and Settings\Sergio\Local Settings\Temp\jar_cache54053.tmp Invalid file - not a PKZip file
C:\Documents and Settings\Sergio\My Documents\Programms\archivs\sebook.zip Invalid file - not a PKZip file
C:\Documents and Settings\Sergio\My Documents\наука\уроки Delphi\lesson4\Project1.exe >>> подозрение на Trojan-Downloader.Win32.Banload.bsk ( 080E3529 08ACEE4E 0020D057 0023E175 390656)
C:\DOCUME~1\Elena\LOCALS~1\Temp\avz_648_2.tmp Invalid file - not a PKZip file
C:\DOCUME~1\Elena\LOCALS~1\Temp\avz_648_1.tmp Invalid file - not a PKZip file
C:\Documents and Settings\Elena\My Documents\Языки\English.Platinum.2000.(rus)\IE5\VMX86_01.CAB/wfcclean.exe Ошибка распаковки
C:\Documents and Settings\Elena\My Documents\Языки\English.Platinum.2000.(rus)\IE5\VMX86_02.CAB/javabase.cab Ошибка распаковки
C:\Program Files\Borland\Delphi7\Demos\Corba\Idl2Pas\EJB\euroconverter\Java\CurrencyConverter.jar Invalid file - not a PKZip file
C:\Program Files\Borland\Delphi7\Demos\Corba\Idl2Pas\EJB\euroconverter\Java\delphi_bas45.jar Invalid file - not a PKZip file
C:\System Volume Information\_restore{25C2B2C6-CA02-4029-B683-A4B88CCE71B2}\RP176\A0065419.exe >>> подозрение на Trojan-Clicker.Win32.Delf.cw ( 08F436E1 073506AD 0021EB5D 0025964C 502272)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files\WIDCOMM\Bluetooth Software\btkeyind.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\WIDCOMM\Bluetooth Software\btkeyind.dll>>> Поведенческий анализ:
1. Реагирует на события: клавиатура
C:\Program Files\WIDCOMM\Bluetooth Software\btkeyind.dll>>> Нейросеть: файл с вероятностью 98.66% похож на типовой перехватчик событий клавиатуры/мыши
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 126329, извлечено из архивов: 91116, найдено вредоносных программ 0
Сканирование завершено в 9.4.2007 10:08:20
Сканирование длилось 00:14:27
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию -
http://virusinfo.info
Все выше перечисленное отправил в карантин.
Вот что находит поиск по IEXPLORE.EXE
http://i171.photobucket.com/albums/u...toiexplore.jpg .
Вот что нашлось в реестре
http://i171.photobucket.com/albums/u...adED/foto4.jpg
Вот поиск по IEXPLORE :
http://i171.photobucket.com/albums/u...D/Fotoiexp.jpg. Заметьте, что лаптоп купил в 2006 году в ноябре. Ось установилась при первом включении. На диске D установлена русская ось. Чешская лицензированная. Жалко на ней опыты проводить.
