Re: антивирус ругается
Протокол антивирусной утилиты AVZ версии 4.37
Сканирование запущено в 18.11.2011 15:28:12
Загружена база: сигнатуры - 296636, нейропрофили - 2, микропрограммы лечения - 56, база от 17.11.2011 21:56
Загружены микропрограммы эвристики: 388
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 308174
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: Отключено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:CopyFileA (64) перехвачена, метод APICodeHijack.JmpTo[00060FF6]
>>> Код руткита в функции CopyFileA нейтрализован
Функция kernel32.dll:CopyFileW (67) перехвачена, метод APICodeHijack.JmpTo[00061096]
>>> Код руткита в функции CopyFileW нейтрализован
Функция kernel32.dll:CreateFileA (80) перехвачена, метод APICodeHijack.JmpTo[000611B6]
>>> Код руткита в функции CreateFileA нейтрализован
Функция kernel32.dll:CreateFileW (83) перехвачена, метод APICodeHijack.JmpTo[00061286]
>>> Код руткита в функции CreateFileW нейтрализован
Функция kernel32.dll:MoveFileA (609) перехвачена, метод APICodeHijack.JmpTo[00062506]
>>> Код руткита в функции MoveFileA нейтрализован
Функция kernel32.dll:MoveFileW (612) перехвачена, метод APICodeHijack.JmpTo[00062566]
>>> Код руткита в функции MoveFileW нейтрализован
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:LdrLoadDll (70) перехвачена, метод APICodeHijack.JmpTo[000652F6]
>>> Код руткита в функции LdrLoadDll нейтрализован
Функция ntdll.dll:NtEnumerateValueKey (161) перехвачена, метод APICodeHijack.JmpTo[00066386]
>>> Код руткита в функции NtEnumerateValueKey нейтрализован
Функция ntdll.dll:NtQueryDirectoryFile (234) перехвачена, метод APICodeHijack.JmpTo[00066636]
>>> Код руткита в функции NtQueryDirectoryFile нейтрализован
Функция ntdll.dll:NtResumeThread (297) перехвачена, метод APICodeHijack.JmpTo[000653C6]
>>> Код руткита в функции NtResumeThread нейтрализован
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:GetAddrInfoW (24) перехвачена, метод APICodeHijack.JmpTo[00061D06]
>>> Код руткита в функции GetAddrInfoW нейтрализован
Функция ws2_32.dll:WSAConnect (33) перехвачена, метод APICodeHijack.JmpTo[01BE3D91]
>>> Код руткита в функции WSAConnect нейтрализован
Функция ws2_32.dll:connect (4) перехвачена, метод APICodeHijack.JmpTo[01BE3D7A]
>>> Код руткита в функции connect нейтрализован
Анализ wininet.dll, таблица экспорта найдена в секции .text
Функция wininet.dll:HttpSendRequestA (207) перехвачена, метод APICodeHijack.JmpTo[00062096]
>>> Код руткита в функции HttpSendRequestA нейтрализован
Функция wininet.dll:HttpSendRequestW (210) перехвачена, метод APICodeHijack.JmpTo[00062156]
>>> Код руткита в функции HttpSendRequestW нейтрализован
Функция wininet.dll:InternetWriteFile (304) перехвачена, метод APICodeHijack.JmpTo[00062396]
>>> Код руткита в функции InternetWriteFile нейтрализован
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 28
>>>Для удаления файла c:\windows\system32\softwaredistribution\setup\servicestartup\wups.dll\winupdate\microsoft\services.exe необходима перезагрузка
c:\windows\system32\softwaredistribution\setup\servicestartup\wups.dll\winupdate\microsoft\services.exe >>>>> Backdoor.Win32.mIRC-based успешно удален
Прямое чтение c:\windows\system32\dot3dlgm.exe
Анализатор - изучается процесс 1248 C:\WINDOWS\system32\dot3dlgm.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
[ES]:Записан в автозапуск !!
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 1372 C:\Program Files\LP\10E2\027.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Прослушивает порты, применяемые протоколом HTTP !
[ES]:Приложение не имеет видимых окон
[ES]:EXE упаковщик ?
[ES]:Записан в автозапуск !!
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 1556 C:\WINDOWS\system32\SoftwareDistribution\Setup\ServiceStartup\wups.dll\Winupdate\Microsoft\Services.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
[ES]:Записан в автозапуск !!
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
>>> Реальный размер предположительно = 2023424
Анализатор - изучается процесс 1632 C:\Documents and Settings\Admin\Local Settings\Application Data\livefloat\livefloats.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты, применяемые протоколом HTTP !
[ES]:Приложение не имеет видимых окон
[ES]:EXE упаковщик ?
[ES]:Записан в автозапуск !!
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 1980 C:\Documents and Settings\Admin\Application Data\1.exe
[ES]:Может работать с сетью
[ES]:EXE упаковщик ?
[ES]:Записан в автозапуск !!
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Количество загруженных модулей: 218
Проверка памяти завершена
3. Сканирование дисков
C:\Documents and Settings\Admin\Local Settings\Temp\_tc\Trial reset\Trial-Reset.exe - Подозрение на Virus.Win32.PE_Type1(степень опасности 75%)
Прямое чтение C:\Documents and Settings\Admin\Local Settings\Temp\~DF362D.tmp
Прямое чтение C:\WINDOWS\system32\dot3dlgm.exe
>>>Для удаления файла C:\WINDOWS\system32\SoftwareDistribution\Setup\ServiceStartup\wups.dll\Winupdate\Microsoft\services.bak необходима перезагрузка
C:\WINDOWS\system32\SoftwareDistribution\Setup\ServiceStartup\wups.dll\Winupdate\Microsoft\services.bak >>>>> Backdoor.Win32.mIRC-based успешно удален
C:\WINDOWS\Tasks\NCTu.exe - Подозрение на Virus.Win32.PE_Type1(степень опасности 75%)
C:\WINDOWS\Tasks\RYVu.exe - Подозрение на Virus.Win32.PE_Type1(степень опасности 75%)
Автоматическая чистка следов удаленных в ходе лечения программ
[микропрограмма лечения]> Удален элемент автозапуска HKEY_CURRENT_USER,Software\Microsoft\Windows NT\CurrentVersion\Windows,Run,c:\windows\system32\softwaredistribution\setup\servicestartup\wups.dll\winupdate\microsoft\services.exe
[микропрограмма лечения]> Удален элемент автозапуска C:\WINDOWS\win.ini,windows,run,c:\windows\system32\softwaredistribution\setup\servicestartup\wups.dll\winupdate\microsoft\services.exe
[микропрограмма лечения]> Удален элемент автозапуска HKEY_CURRENT_USER,Software\Microsoft\Windows NT\CurrentVersion\Windows,Run,c:\windows\system32\softwaredistribution\setup\servicestartup\wups.dll\winupdate\microsoft\services.exe
[микропрограмма лечения]> Удален элемент автозапуска C:\WINDOWS\win.ini,windows,run,c:\windows\system32\softwaredistribution\setup\servicestartup\wups.dll\winupdate\microsoft\services.exe
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\system32\iqyggli.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\iqyggli.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
есть решение???