- This topic has 16 ответов, 3 участника, and was last updated 13 years, 9 months назад by
.
-
Сообщения
-
Соединение с источником обновления не может быть установлено http://dnl-02.geo.kaspersky.com/ 27.01.2011 11:48:39
нет возможности зайти на сайт http://dnl-02.geo.kaspersky.com/прогнал AVZ
лог прилагается
Протокол антивирусной утилиты AVZ версии 4.35
Сканирование запущено в 27.01.2011 11:46:27
Загружена база: сигнатуры — 284681, нейропрофили — 2, микропрограммы лечения — 56, база от 22.01.2011 20:07
Загружены микропрограммы эвристики: 386
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 257914
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:GetProcAddress (409) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AE30->7C884FEC
Функция kernel32.dll:LoadLibraryA (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D7B->7C884F9C
Функция kernel32.dll:LoadLibraryExA (582) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D53->7C884FB0
Функция kernel32.dll:LoadLibraryExW (583) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF5->7C884FD8
Функция kernel32.dll:LoadLibraryW (584) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AEDB->7C884FC4
Детектирована модификация IAT: LoadLibraryA — 7C884F9C<>7C801D7B
Детектирована модификация IAT: GetProcAddress — 7C884FEC<>7C80AE30
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CryptAcquireContextA (135) перехвачена, метод APICodeHijack.JmpTo[60AF1846]
Функция advapi32.dll:DestroyPrivateObjectSecurity (179) перехвачена, метод APICodeHijack.JmpTo[60AF16C6]
Функция advapi32.dll:SystemFunction035 (620) перехвачена, метод APICodeHijack.JmpTo[60AF1736]
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Функция wininet.dll:InternetAlgIdToStringA (214) перехвачена, метод APICodeHijack.JmpTo[671F11C6]
Функция wininet.dll:InternetAlgIdToStringW (215) перехвачена, метод APICodeHijack.JmpTo[671F1376]
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=08B520)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80562520
KiST = 804E48A0 (284)
Функция NtClose (19) перехвачена (8056FAF2->B499AF50), перехватчик C:WINDOWSsystem32driversklif.sys, драйвер опознан как безопасный
Функция NtConnectPort (1F) перехвачена (80585563->B4999200), перехватчик C:WINDOWSsystem32driversklif.sys, драйвер опознан как безопасный
Функция NtCreateKey (29) перехвачена (80577925->B498C700), перехватчик C:WINDOWSsystem32driversklif.sys, драйвер опознан как безопасный
Функция NtCreateProcess (2F) перехвачена (805B0470->B499AC80), перехватчик C:WINDOWSsystem32driversklif.sys, драйвер опознан как безопасный
Функция NtCreateProcessEx (30) перехвачена (8058B7CD->B499ADF0), перехватчик C:WINDOWSsystem32driversklif.sys, драйвер опознан как безопасный
Функция NtCreateSection (32) перехвачена (8056DB66->B499BA50), перехватчик C:WINDOWSsystem32driversklif.sys, драйвер опознан как безопасный
Функция NtCreateSymbolicLinkObject (34) перехвачена (805E6E56->B499B520), перехватчик C:WINDOWSsystem32driversklif.sys, драйвер опознан как безопасный
Функция NtCreateThread (35) перехвачена (80586C43->B499C370), перехватчик C:WINDOWSsystem32driversklif.sys, драйвер опознан как безопасный
Функция NtDeleteKey (3F) перехвачена (80593334->B498C800), перехватчик C:WINDOWSsystem32driversklif.sys, драйвер опознан как безопасный
Функция NtDeleteValueKey (41) перехвачена (80591F8B->B498C880), перехватчик C:WINDOWSsystem32driversklif.sys, драйвер опознан как безопасный
Функция NtDuplicateObject (44) перехвачена (8058121E->B499B0F0), перехватчик C:WINDOWSsystem32driversklif.sys, драйвер опознан как безопасный
Функция NtEnumerateKey (47) перехвачена (80578E1C->B498C930), перехватчик C:WINDOWSsystem32driversklif.sys, драйвер опознан как безопасный
Функция NtEnumerateValueKey (49) перехвачена (80587691->B498C9E0), перехватчик C:WINDOWSsystem32driversklif.sys, драйвер опознан как безопасный
Функция NtFlushKey (4F) перехвачена (805D93BB->B498CA90), перехватчик C:WINDOWSsystem32driversklif.sys, драйвер опознан как безопасный
Функция NtInitializeRegistry (5C) перехвачена (805A9D25->B498CB10), перехватчик C:WINDOWSsystem32driversklif.sys, драйвер опознан как безопасный
Функция NtLoadDriver (61) перехвачена (805A8F96->B4998D60), перехватчик C:WINDOWSsystem32driversklif.sys, драйвер опознан как безопасный
Функция NtLoadKey (62) перехвачена (805CE7E5->B498D530), перехватчик C:WINDOWSsystem32driversklif.sys, драйвер опознан как безопасный
Функция NtLoadKey2 (63) перехвачена (805CE944->B498CB30), перехватчик C:WINDOWSsystem32driversklif.sys, драйвер опознан как безопасный
Функция NtMapViewOfSection (6C) перехвачена (8057E371->F76883C0), перехватчик C:WINDOWSsystem32DRIVERSCProCtrl.sys, драйвер опознан как безопасный
Функция NtNotifyChangeKey (6F) перехвачена (805E218F->B498CC10), перехватчик C:WINDOWSsystem32driversklif.sys, драйвер опознан как безопасный
Функция NtOpenFile (74) перехвачена (8057C4A4->F787C030), перехватчик C:WINDOWSsystem32Driverskl1.sys, драйвер опознан как безопасный
Функция NtOpenKey (77) перехвачена (80572BFC->B498CCF0), перехватчик C:WINDOWSsystem32driversklif.sys, драйвер опознан как безопасный
Функция NtOpenProcess (7A) перехвачена (8058170A->B499AA70), перехватчик C:WINDOWSsystem32driversklif.sys, драйвер опознан как безопасный
Функция NtOpenSection (7D) перехвачена (8057A8B5->B499B880), перехватчик C:WINDOWSsystem32driversklif.sys, драйвер опознан как безопасный
Функция NtQueryKey (A0) перехвачена (80578A1C->B498CDD0), перехватчик C:WINDOWSsystem32driversklif.sys, драйвер опознан как безопасный
Функция NtQueryMultipleValueKey (A1) перехвачена (806556D4->B498CE80), перехватчик C:WINDOWSsystem32driversklif.sys, драйвер опознан как безопасный
Функция NtQuerySystemInformation (AD) перехвачена (80585FF1->B499C020), перехватчик C:WINDOWSsystem32driversklif.sys, драйвер опознан как безопасный
Функция NtQueryValueKey (B1) перехвачена (8057303F->B498CF30), перехватчик C:WINDOWSsystem32driversklif.sys, драйвер опознан как безопасный
Функция NtReplaceKey (C1) перехвачена (806564B0->B498D010), перехватчик C:WINDOWSsystem32driversklif.sys, драйвер опознан как безопасный
Функция NtRequestWaitReplyPort (C8) перехвачена (8057948D->B49997F0), перехватчик C:WINDOWSsystem32driversklif.sys, драйвер опознан как безопасный
Функция NtRestoreKey (CC) перехвачена (80656045->B498D0A0), перехватчик C:WINDOWSsystem32driversklif.sys, драйвер опознан как безопасный
Функция NtResumeThread (CE) перехвачена (805872BA->B499C320), перехватчик C:WINDOWSsystem32driversklif.sys, драйвер опознан как безопасный
Функция NtSaveKey (CF) перехвачена (80656146->B498D2A0), перехватчик C:WINDOWSsystem32driversklif.sys, драйвер опознан как безопасный
Функция NtSetContextThread (D5) перехвачена (80635937->B499C6A0), перехватчик C:WINDOWSsystem32driversklif.sys, драйвер опознан как безопасный
Функция NtSetInformationFile (E0) перехвачена (8057F4ED->B499CCC0), перехватчик C:WINDOWSsystem32driversklif.sys, драйвер опознан как безопасный
Функция NtSetInformationKey (E2) перехвачена (80655237->B498D330), перехватчик C:WINDOWSsystem32driversklif.sys, драйвер опознан как безопасный
Функция NtSetSecurityObject (ED) перехвачена (805D9CAC->B4997940), перехватчик C:WINDOWSsystem32driversklif.sys, драйвер опознан как безопасный
Функция NtSetSystemInformation (F0) перехвачена (805AABC8->B499B700), перехватчик C:WINDOWSsystem32driversklif.sys, драйвер опознан как безопасный
Функция NtSetValueKey (F7) перехвачена (80582294->B498D3D0), перехватчик C:WINDOWSsystem32driversklif.sys, драйвер опознан как безопасный
Функция NtSuspendThread (FE) перехвачена (806375EB->B499C2D0), перехватчик C:WINDOWSsystem32driversklif.sys, драйвер опознан как безопасный
Функция NtSystemDebugControl (FF) перехвачена (80650D8D->B49990C0), перехватчик C:WINDOWSsystem32driversklif.sys, драйвер опознан как безопасный
Функция NtTerminateProcess (101) перехвачена (8058E695->B499BE70), перехватчик C:WINDOWSsystem32driversklif.sys, драйвер опознан как безопасный
Функция NtUnloadKey (107) перехвачена (80654DAE->B498D4F0), перехватчик C:WINDOWSsystem32driversklif.sys, драйвер опознан как безопасный
Функция NtWriteVirtualMemory (115) перехвачена (805885C2->B499AFB0), перехватчик C:WINDOWSsystem32driversklif.sys, драйвер опознан как безопасный
Функция FsRtlCheckLockForReadAccess (804F4583) — модификация машинного кода. Метод JmpTo. jmp B499D0E0 ??C:WINDOWSsystem32driversklif.sys, драйвер опознан как безопасный
Функция IoAllocateIrp (804EAF8D) — модификация машинного кода. Метод не определен., внедрение с байта 15
Функция IoIsOperationSynchronous (804EAF9E) — модификация машинного кода. Метод JmpTo. jmp B499D6A0 ??C:WINDOWSsystem32driversklif.sys, драйвер опознан как безопасный
Проверено функций: 284, перехвачено: 44, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 28
Количество загруженных модулей: 420
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:Documents and SettingsvohmyninLocal SettingsTemp~DF3D76.tmp
Прямое чтение C:Documents and SettingsvohmyninLocal SettingsTemp~DF3DF3.tmp
Прямое чтение C:Documents and SettingsvohmyninLocal SettingsTemp~DF3F1B.tmp
Прямое чтение C:Documents and SettingsvohmyninLocal SettingsTemp~DFD595.tmp
Прямое чтение C:Documents and SettingsvohmyninLocal SettingsTemp~DFF20A.tmp
389f9658-3a18-4b89-9e66-9a2f3b639ae0-выписка.doc MailBomb detected !
2cfb052e-4c81-4d49-99cf-1c890225920e-протокол 2-х частей заявок2.doc MailBomb detected !
5825cf9a-785f-4d46-a706-667e51ffc77c-Приказ о назначении директора.doc MailBomb detected !
efbda488-762e-411c-8040-cb29e64f1fc1-протокол 2-х частей заявок.doc MailBomb detected !
2cfb052e-4c81-4d49-99cf-1c890225920e-протокол 2-х частей заявок2.doc MailBomb detected !
09f66a34-82a7-43e2-8521-4ad535e98b91-протокол рассмотрения первых частей заявок(1348619_38-01_676вн_27_05_2010).DOC MailBomb detected !
b7fc18f6-fed1-4d1d-9baf-2191b646ae58-протокол рассмотрения первых частей заявок(1348619_38-01_676вн_27_05_2010).DOC MailBomb detected !
5ebc397b-5429-435c-adfd-5245c378b23d-Решение.doc MailBomb detected !
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: «C:PROGRA~1KASPER~1KASPER~1.0FOadialhk.dll»
>>> Подозрение на троянский DNS ({45A1AFA6-9ACC-4E03-82BD-E0FEECBD37E5} «Подключение по локальной сети»)
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание — набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании …)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ …)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 74799, извлечено из архивов: 62268, найдено вредоносных программ 0, подозрений — 0
Сканирование завершено в 27.01.2011 11:52:22
Сканирование длилось 00:05:56
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,Здравствуйте.Это не лог…
Нужно прикрепить архивы:
virusinfo_syscheck.zip
virusinfo_syscure.zipЗдравствуйте, извиняюсь за незнание AVZ пользовлись первый раз, как выгрузить вышеупомянутые Вами логи?
После проверки AVZ сформировала файл avz_log.txt в «корне» програмы, который и был нами отражен на форуме.Нажмите кнопку ответить.После внизу «добавить вложения».Из папки AVZ-LOG добавьте два архива.
Я имел в виду AVZ=> LOG, то есть в корне папки, где находится AVZ, есть папка LOG.Вот там и есть архивы:
virusinfo_syscheck.zip
virusinfo_syscure.zipВ корне папки где находится AVZ есть следующие папки Backup/Base/Quarantine/ и все
Выгрузите всё ПО, включая антивирусное, выполните стандартные скрипты №2 и №3.Тогда папки и архивы в ней появятся. 🙂
Выгрузите всё ПО, включая антивирусное, отключитесь от интернета.
• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл — Выполнить скрипт, вставляем написаный скрипт — кнопка Запустить, после выполнения компьютер перезагрузится.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:RECYCLERS-1-5-21-1840630384-1998315189-2812828539-1004Dc17.tmp','');
QuarantineFile('C:RECYCLERS-1-5-21-1840630384-1998315189-2812828539-1004Dc16.tmp','');
QuarantineFile('C:DOCUME~1vohmyninLOCALS~1TempEF169Mgc.sys','');
DeleteFile('C:DOCUME~1vohmyninLOCALS~1TempEF169Mgc.sys');
DeleteFile('C:RECYCLERS-1-5-21-1840630384-1998315189-2812828539-1004Dc17.tmp');
DeleteFile('C:RECYCLERS-1-5-21-1840630384-1998315189-2812828539-1004Dc16.tmp');
DeleteService('EF169Mgc');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('EF169Mgc');
BC_Activate;
ExecuteRepair(20);
ExecuteRepair(21);
ExecuteWizard('TSW',2,2,true);
ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.
После всех процедур выполните скрипт
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteStdScr(2);
ExecuteStdScr(3);
RebootWindows(false);
end.
Второй скрипт может выполняться долго(примерно 30 минут), поэтому ждем.После опять автоматическая перезагрузка.
В результате выполнения скрипта будет сформирован карантин quarantine.zip.Вот его отправьте мне в ЛС.Архивы
проверок обновятся, приложите новые:
virusinfo_syscure.zip;
virusinfo_syscheck.zipОтправляю quarantine.zip не нв ЛС — там не пускает ZIP архивы, а quarantine.zip запаролен не дает переархивировать.
В карантин, увы, ничего не попало.
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Что из этого Вам не нужно и можем отключить (напишу скрипт для AVZ)?
Прочитайте описание программы Malwarebytes Anti-malware (MBAM).
Скачайте и выполните полное сканирование всех дисков вашего компьютера. В конце работы будет показан лог.
Его содержимое вставьте в ваше следующее сообщение.Но не удаляйте ничего сначала!
- Тема ‘не загружаются обновления для антивируса’ закрыта для новых сообщений.
