ui lt Опубликовано 28 февраля, 2008 Жалоба Поделиться Опубликовано 28 февраля, 2008 Комп начал выдавать синие экраны. Проверила AVZ , вот log Протокол антивирусной утилиты AVZ версии 4.29 Сканирование запущено в 27.02.2008 14:57:39 Загружена база: сигнатуры - 151197, нейропрофили - 2, микропрограммы лечения - 55, база от 25.02.2008 21:06 Загружены микропрограммы эвристики: 370 Загружены микропрограммы ИПУ: 9 Загружены цифровые подписи системных файлов: 69898 Режим эвристического анализатора: Средний уровень эвристики Режим лечения: включено Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора Восстановление системы: Отключено Система загружена в режиме защиты от сбоев (SafeMode) 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен Ошибка обмена с драйвером [00000002] - [1] 1.4 Поиск маскировки процессов и драйверов Поиск маскировки процессов и драйверов завершен 2. Проверка памяти Количество найденных процессов: 11 Количество загруженных модулей: 138 Проверка памяти завершена 3. Сканирование дисков Прямое чтение C:\Dokumente und Einstellungen\Administrator.1111-1056BCF5F9\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Прямое чтение C:\Dokumente und Einstellungen\Administrator.1111-1056BCF5F9\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Прямое чтение C:\Dokumente und Einstellungen\Administrator.1111-1056BCF5F9\NTUSER.DAT Прямое чтение C:\Dokumente und Einstellungen\Administrator.1111-1056BCF5F9\NTUSER.DAT.LOG Прямое чтение C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Brother\BrLog\BrCollectDir\BR_Compress_20071018_134652_1_1 Прямое чтение C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Brother\BrLog\BrCollectDir\BR_PC_CHK.txt Прямое чтение C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Brother\BrLog\BrCollectDir\Progress_log_Compress.txt Прямое чтение C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Dr Watson\user.dmp Прямое чтение C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Прямое чтение C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Прямое чтение C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Прямое чтение C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG C:\WINDOWS\$NtUninstallWMFDist11$\reg00019 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000000 00000000 8192) C:\WINDOWS\$NtUninstallwmp11$\reg00004 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 000A855F 00000000 8192) C:\WINDOWS\$NtUninstallwmp11$\reg00005 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 000009ED 00000000 8192) C:\WINDOWS\$NtUninstallwmp11$\reg00006 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 01E90B2D 000F0CC8 00000000 8192) C:\WINDOWS\$NtUninstallwmp11$\reg00011 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000000 00000000 8192) C:\WINDOWS\$NtUninstallwmp11$\reg00013 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000000 00000000 8192) C:\WINDOWS\$NtUninstallwmp11$\reg00014 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000000 00000000 8192) C:\WINDOWS\$NtUninstallwmp11$\reg00016 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000000 00000000 8192) C:\WINDOWS\$NtUninstallwmp11$\reg00017 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000000 00000000 8192) C:\WINDOWS\$NtUninstallwmp11$\reg00018 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000000 00000000 8192) C:\WINDOWS\$NtUninstallwmp11$\reg00019 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000000 00000000 8192) C:\WINDOWS\$NtUninstallwmp11$\reg00021 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000000 00000000 8192) C:\WINDOWS\$NtUninstallwmp11$\reg00022 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000000 00000000 8192) C:\WINDOWS\$NtUninstallwmp11$\reg00028 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000000 00000000 8192) C:\WINDOWS\$NtUninstallwmp11$\reg00029 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000000 00000000 8192) C:\WINDOWS\$NtUninstallwmp11$\reg00030 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000000 00000000 8192) C:\WINDOWS\$NtUninstallwmp11$\reg00032 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000000 00000000 8192) C:\WINDOWS\$NtUninstallwmp11$\reg00033 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000000 00000000 8192) C:\WINDOWS\$NtUninstallwmp11$\reg00034 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000000 00000000 8192) C:\WINDOWS\$NtUninstallwmp11$\reg00035 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000000 00000000 8192) C:\WINDOWS\$NtUninstallwmp11$\reg00036 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000000 00000000 8192) C:\WINDOWS\$NtUninstallwmp11$\reg00037 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000000 00000000 8192) C:\WINDOWS\$NtUninstallwmp11$\reg00038 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000000 00000000 8192) C:\WINDOWS\$NtUninstallwmp11$\reg00039 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000000 00000000 8192) C:\WINDOWS\$NtUninstallwmp11$\reg00041 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000000 00000000 8192) C:\WINDOWS\$NtUninstallwmp11$\reg00042 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000000 00000000 8192) C:\WINDOWS\$NtUninstallwmp11$\reg00043 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000000 00000000 8192) C:\WINDOWS\$NtUninstallwmp11$\reg00044 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000000 00000000 8192) C:\WINDOWS\$NtUninstallwmp11$\reg00045 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000000 00000000 8192) C:\WINDOWS\$NtUninstallwmp11$\reg00061 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000000 00000000 8192) C:\WINDOWS\$NtUninstallwmp11$\reg00062 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 000EAB94 00000000 8192) C:\WINDOWS\$NtUninstallwmp11$\reg00063 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 0003252E 00000000 8192) C:\WINDOWS\$NtUninstallwmp11$\reg00064 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000000 00000000 8192) C:\WINDOWS\$NtUninstallwmp11$\reg00065 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000000 00000000 8192) C:\WINDOWS\$NtUninstallwmp11$\reg00066 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000000 00000000 8192) C:\WINDOWS\$NtUninstallwmp11$\reg00067 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000000 00000000 8192) C:\WINDOWS\$NtUninstallwmp11$\reg00068 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000000 00000000 8192) C:\WINDOWS\$NtUninstallwmp11$\reg00069 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 0000000C 00000000 8192) C:\WINDOWS\$NtUninstallwmp11$\reg00071 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000000 00000000 8192) C:\WINDOWS\ie7\reg00046 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 001863B5 00000000 8192) C:\WINDOWS\ie7\reg00051 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00165704 00000000 8192) C:\WINDOWS\ie7\reg00053 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00190CCF 00000000 8192) C:\WINDOWS\ie7\reg00066 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00BC4A8F 0019FDE4 00000000 8192) C:\WINDOWS\ie7\reg00067 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00132605 00000000 8192) C:\WINDOWS\ie7\reg00102 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 0001A557 00000000 8192) C:\WINDOWS\ie7\reg00121 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000000 00000000 8192) C:\WINDOWS\ie7\reg00129 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000000 00000000 8192) C:\WINDOWS\ie7\reg00132 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 0013FEF5 00000000 8192) C:\WINDOWS\ie7\reg00157 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 0001023E 00000000 8192) C:\WINDOWS\ie7\reg00160 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00117D4C 00000000 8192) C:\WINDOWS\ie7\reg00169 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00133819 00000000 8192) C:\WINDOWS\ie7\reg00191 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00127787 00000000 8192) C:\WINDOWS\ie7\reg00214 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 0013C5CB 00000000 8192) C:\WINDOWS\ie7\reg00215 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 001492A5 00000000 8192) C:\WINDOWS\ie7\reg00305 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 001124B0 00000000 8192) C:\WINDOWS\ie7\reg00309 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00104CFD 00000000 8192) C:\WINDOWS\ie7\reg00310 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00101E3F 00000000 8192) C:\WINDOWS\ie7\reg00315 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 000E8E21 00000000 8192) C:\WINDOWS\ie7\reg00316 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00102552 00000000 8192) C:\WINDOWS\ie7\reg00317 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 0010FD5C 00000000 8192) C:\WINDOWS\ie7\reg00319 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00104368 00000000 8192) C:\WINDOWS\ie7\reg00342 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 001039D3 00000000 8192) C:\WINDOWS\ie7\reg00368 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 000F3900 00000000 8192) C:\WINDOWS\ie7\reg00374 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 0011D71C 00000000 8192) C:\WINDOWS\ie7\reg00375 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00110D72 00000000 8192) C:\WINDOWS\ie7\reg00382 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 0010EDEE 00000000 8192) C:\WINDOWS\ie7\reg00383 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 0010EDEE 00000000 8192) C:\WINDOWS\ie7\reg00385 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00100B15 00000000 8192) C:\WINDOWS\ie7\reg00389 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00101BBD 00000000 8192) C:\WINDOWS\ie7\reg00391 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00113178 00000000 8192) C:\WINDOWS\ie7\reg00418 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 0010F9B7 00000000 8192) C:\WINDOWS\ie7\reg00438 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 0011052C 00000000 8192) C:\WINDOWS\ie7\reg00467 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 000F542F 00000000 8192) C:\WINDOWS\ie7\reg00470 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 000F740A 00000000 8192) C:\WINDOWS\ie7\reg00472 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 001150DD 00000000 8192) C:\WINDOWS\ie7\reg00473 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 000FF091 00000000 8192) C:\WINDOWS\ie7\reg00474 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 000FF091 00000000 8192) C:\WINDOWS\ie7\reg00476 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00113025 00000000 8192) C:\WINDOWS\ie7\reg00477 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 0011F92D 00000000 8192) C:\WINDOWS\ie7\reg00486 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 0010EDEE 00000000 8192) C:\WINDOWS\ie7\reg00488 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 0011DD08 00000000 8192) C:\WINDOWS\ie7\reg00490 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 000F64A0 00000000 8192) C:\WINDOWS\ie7\reg00495 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00102552 00000000 8192) C:\WINDOWS\ie7\reg00496 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00112E7E 00000000 8192) C:\WINDOWS\ie7\reg00497 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00112E7E 00000000 8192) C:\WINDOWS\ie7\reg00498 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 0011EE4B 00000000 8192) C:\WINDOWS\ie7\reg00507 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 0010F963 00000000 8192) C:\WINDOWS\ie7\reg00525 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 001003BB 00000000 8192) C:\WINDOWS\ie7\reg00526 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 001003BB 00000000 8192) C:\WINDOWS\ie7\reg00528 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 001026A9 00000000 8192) C:\WINDOWS\ie7\reg00536 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00113B9A 00000000 8192) C:\WINDOWS\ie7\reg00542 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 0011FBA0 00000000 8192) C:\WINDOWS\ie7\reg00543 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 0010FD5C 00000000 8192) C:\WINDOWS\ie7\reg00544 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00120A70 00000000 8192) C:\WINDOWS\ie7\reg00545 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 0011E5EC 00000000 8192) C:\WINDOWS\ie7\reg00547 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00120879 00000000 8192) C:\WINDOWS\ie7\reg00549 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 0013D50B 00000000 8192) C:\WINDOWS\ie7\reg00563 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00102800 00000000 8192) C:\WINDOWS\ie7\reg00582 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 000F3F92 00000000 8192) C:\WINDOWS\ie7\reg00583 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 000F3C09 00000000 8192) C:\WINDOWS\ie7\reg00585 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 001003E7 00000000 8192) C:\WINDOWS\ie7\reg00589 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 0011193B 00000000 8192) C:\WINDOWS\ie7\reg00590 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 0013C68D 00000000 8192) C:\WINDOWS\ie7\reg00591 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 0010F9B7 00000000 8192) C:\WINDOWS\ie7\reg00592 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 0011067F 00000000 8192) C:\WINDOWS\ie7\reg00593 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 0011067F 00000000 8192) C:\WINDOWS\ie7\reg00594 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00101F96 00000000 8192) C:\WINDOWS\ie7\reg00595 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 001219BC 00000000 8192) C:\WINDOWS\ie7\reg00599 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 000F3F1A 00000000 8192) C:\WINDOWS\ie7\reg00600 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00111A8E 00000000 8192) C:\WINDOWS\ie7\reg00607 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00101228 00000000 8192) C:\WINDOWS\ie7\reg00611 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 0011470F 00000000 8192) C:\WINDOWS\ie7\reg00615 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00110C1F 00000000 8192) C:\WINDOWS\ie7\reg00616 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00101E3F 00000000 8192) C:\WINDOWS\ie7\reg00618 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 0010E279 00000000 8192) C:\WINDOWS\ie7\reg00619 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 000F5BE4 00000000 8192) C:\WINDOWS\ie7\reg00620 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00102EE7 00000000 8192) C:\WINDOWS\ie7\reg00624 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 001003E7 00000000 8192) C:\WINDOWS\ie7\reg00627 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 0010EDEE 00000000 8192) C:\WINDOWS\ie7\reg00632 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00112FD1 00000000 8192) C:\WINDOWS\ie7\reg00656 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000000 00000000 8192) C:\WINDOWS\ie7\reg00683 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000000 00000000 8192) C:\WINDOWS\ie7\reg00685 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 000F29C8 00000000 8192) C:\WINDOWS\ie7\reg00710 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000000 00000000 8192) C:\WINDOWS\ie7\reg00717 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000000 00000000 8192) C:\WINDOWS\ie7\reg00719 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000000 00000000 8192) C:\WINDOWS\ie7\reg00720 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000000 00000000 8192) C:\WINDOWS\ie7\reg00721 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00005D89 00000000 8192) C:\WINDOWS\ie7\reg00722 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 0010F327 00000000 8192) C:\WINDOWS\ie7\reg00723 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 000F42C0 00000000 8192) C:\WINDOWS\ie7\reg00743 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000000 00000000 8192) C:\WINDOWS\ie7\reg00785 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00102F5F 00000000 8192) C:\WINDOWS\ie7\reg00815 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 0000000C 00000000 8192) C:\WINDOWS\ie7\reg00829 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000D4A 00000000 8192) C:\WINDOWS\ie7\reg00830 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 0010FCBE 00000000 8192) C:\WINDOWS\ie7\reg00831 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 000E7339 00000000 8192) C:\WINDOWS\ie7\reg00838 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 001038DA 00000000 8192) C:\WINDOWS\ie7\reg00842 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 000F442D 00000000 8192) C:\WINDOWS\ie7\reg00843 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00101AC4 00000000 8192) C:\WINDOWS\ie7\reg00855 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 000E7EBF 00000000 8192) C:\WINDOWS\ie7\reg00879 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 000E053F 00000000 8192) C:\WINDOWS\ie7\reg00884 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 000F7427 00000000 8192) C:\WINDOWS\ie7\reg00913 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 000F3045 00000000 8192) C:\WINDOWS\ie7\reg00963 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 000F4D0F 00000000 8192) C:\WINDOWS\ie7\reg00975 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 000F5D80 00000000 8192) C:\WINDOWS\ie7\reg00994 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000000 00000000 8192) C:\WINDOWS\ie7\reg01006 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000000 00000000 8192) C:\WINDOWS\ie7\reg01010 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000000 00000000 8192) C:\WINDOWS\ie7updates\KB939653-IE7\reg00004 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 047DBC75 000DAEBF 00000000 8192) C:\WINDOWS\ie7updates\KB939653-IE7\reg00005 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 05239CB8 000F1B87 00000000 8192) C:\WINDOWS\ie7updates\KB939653-IE7\reg00006 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 04C3C89C 0013E779 00000000 8192) C:\WINDOWS\ie7updates\KB939653-IE7\reg00007 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 0427FFF0 0010CFF2 00000000 8192) C:\WINDOWS\ie7updates\KB939653-IE7\reg00011 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 031309F3 00108996 00000000 8192) C:\WINDOWS\ie7updates\KB939653-IE7\reg00012 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 02A61D07 000FFAF4 00000000 8192) C:\WINDOWS\ie7updates\KB942615-IE7\reg00002 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 000B363B 00000000 8192) C:\WINDOWS\ie7updates\KB942615-IE7\reg00004 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 047DBC75 000DAEBF 00000000 8192) C:\WINDOWS\ie7updates\KB942615-IE7\reg00005 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 05239CB8 000F1B87 00000000 8192) C:\WINDOWS\ie7updates\KB942615-IE7\reg00006 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 04C3C89C 0013E779 00000000 8192) C:\WINDOWS\ie7updates\KB942615-IE7\reg00007 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 0427FFF0 0010CFF2 00000000 8192) C:\WINDOWS\ie7updates\KB942615-IE7\reg00008 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 047056CB 000FBF97 00000000 8192) C:\WINDOWS\ie7updates\KB942615-IE7\reg00009 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 02245BB0 000FC140 00000000 8192) C:\WINDOWS\ie7updates\KB942615-IE7\reg00010 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 02A609CD 000E1F27 00000000 8192) C:\WINDOWS\ie7updates\KB942615-IE7\reg00011 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 031309F3 00108996 00000000 8192) C:\WINDOWS\ie7updates\KB942615-IE7\reg00012 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 02A61D07 000FFAF4 00000000 8192) C:\WINDOWS\ie7updates\KB942615-IE7\reg00013 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 03101EBE 000F37C7 00000000 8192) C:\WINDOWS\ie7updates\KB942615-IE7\reg00014 >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 001319B7 00000000 8192) C:\WINDOWS\REGLOCS.OLD >>> подозрение на Trojan.WinREG.Zapchast.e ( 00032A56 00000000 00000000 00000000 8192) Прямое чтение C:\WINDOWS\system32\CatRoot2\edb.log Прямое чтение C:\WINDOWS\system32\CatRoot2\tmp.edb Прямое чтение C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb Прямое чтение C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb Прямое чтение C:\WINDOWS\system32\config\AppEvent.Evt Прямое чтение C:\WINDOWS\system32\config\default Прямое чтение C:\WINDOWS\system32\config\default.LOG Прямое чтение C:\WINDOWS\system32\config\Internet.evt Прямое чтение C:\WINDOWS\system32\config\ODiag.evt Прямое чтение C:\WINDOWS\system32\config\OSession.evt Прямое чтение C:\WINDOWS\system32\config\SAM Прямое чтение C:\WINDOWS\system32\config\SecEvent.Evt Прямое чтение C:\WINDOWS\system32\config\SECURITY Прямое чтение C:\WINDOWS\system32\config\SECURITY.LOG Прямое чтение C:\WINDOWS\system32\config\software.LOG Прямое чтение C:\WINDOWS\system32\config\SysEvent.Evt Прямое чтение C:\WINDOWS\system32\config\system Прямое чтение C:\WINDOWS\system32\config\system.LOG Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) C:\WINDOWS\system32\iertutil.dll --> Подозрение на Keylogger или троянскую DLL C:\WINDOWS\system32\iertutil.dll>>> Поведенческий анализ: Типичное для кейлоггеров поведение не зарегистрировано C:\WINDOWS\system32\winspool.drv --> Подозрение на Keylogger или троянскую DLL C:\WINDOWS\system32\winspool.drv>>> Поведенческий анализ: Типичное для кейлоггеров поведение не зарегистрировано C:\WINDOWS\system32\RICHED32.DLL --> Подозрение на Keylogger или троянскую DLL C:\WINDOWS\system32\RICHED32.DLL>>> Поведенческий анализ: Типичное для кейлоггеров поведение не зарегистрировано На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами В базе 317 описаний портов На данном ПК открыто 0 TCP портов и 0 UDP портов Проверка завершена, подозрительные порты не обнаружены 7. Эвристичеcкая проверка системы Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "D:\PROGRA~1\KASPER~1\KASPER~2.0\adialhk.dll" Проверка завершена 8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба TermService (Terminaldienste) >> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP-Suchdienst) >> Службы: разрешена потенциально опасная служба Schedule (Taskplaner) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting-Remotedesktop-Freigabe) >> Службы: разрешена потенциально опасная служба RDSessMgr (Sitzungs-Manager fur Remotedesktophilfe) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя Проверка завершена 9. Мастер поиска и устранения проблем Проверка завершена Просканировано файлов: 151854, извлечено из архивов: 96539, найдено вредоносных программ 0, подозрений - 167 Сканирование завершено в 27.02.2008 15:29:00 Сканирование длилось 00:31:23 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 28 февраля, 2008 Жалоба Поделиться Опубликовано 28 февраля, 2008 - Cкачайте CureIT и запустите полную проверку всех дисков в безопасном режиме. Перезагрузитесь в обычный режим. - Скачайте AVZ и HijackThis и распакуйте архивы avz4.zip и HiJackThis.zip в отдельные папки. - Отключите восстановление системы, закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet Explorer. - Запустите AVZ и обновите базы (Файл - Обновление баз). Выберите из меню Файл -Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта обязательно перезагрузите компьютер. - Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты". - Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile". Заархивируйте полученный лог. - Вложите в сообщение файлы логов (zip файлы из каталога AVZ\LOG и HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ui lt Опубликовано 28 февраля, 2008 Автор Жалоба Поделиться Опубликовано 28 февраля, 2008 Не знаю правильно или нет, но все по пунктам. Только : Отключите восстановление системы, закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet Explorer. Как это делается ? PS : "Доктор" ничего не выдал. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.zip virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.zip Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 29 февраля, 2008 Жалоба Поделиться Опубликовано 29 февраля, 2008 Отключите восстановление системы, закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet Explorer. Как это делается ? Просто в момент выполнения не должны работать всякие винампы, медиаплееры и т.д. у каждого антивируса и фаервола есть функция выход, либо отключение автозагрузки... Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 29 февраля, 2008 Жалоба Поделиться Опубликовано 29 февраля, 2008 (изменено) ui lt: похоже вы не выполнили все пункты, cureit запускали на полную проверку всех дисков или только самопроверка прошла? По логам Logfile of HijackThis v1.99.1 вы AVZ и hijackthis скачивали? Если да, то запустите ту версию, которую скачали и сделайте логи пофиксите R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missingO3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)O18 - Protocol: ms-help - (no CLSID) - (no file) выполните скрипт beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('%SystemRoot%\System32\logon.scr','');QuarantineFile('C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe','');QuarantineFile('C:\WINDOWS\system32\userinit.exe','');QuarantineFile('c:\windows\explorer.exe','');QuarantineFile('c:\windows\system32\ctfmon.exe','');QuarantineFile('c:\windows\system32\csrss.exe','');BC_ImportQuarantineList;BC_Activate;RebootWindows(true);end. Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Файл quarantine.zip выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ, в теле письма указать ссылку на тему. есть подозрение, что у вас файловый вирус, скачайте AVPTool, установите и проверьте систему на вирусы Изменено 29 февраля, 2008 пользователем Pili Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ui lt Опубликовано 1 марта, 2008 Автор Жалоба Поделиться Опубликовано 1 марта, 2008 Доброе время суток! Hijackthis - У меня был, старый видать . Сейчас скачала новый. Заново просканировать ? Или сразу пофиксировать ? А как скрипты эти выполнить я не знаю, простите. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 2 марта, 2008 Жалоба Поделиться Опубликовано 2 марта, 2008 ui lt: ещё раз cureit запускали на полную проверку всех дисков или только самопроверка прошла? скачайте AVPTool, установите и проверьте систему на вирусы пофиксить, выполнять скрипт (в AVZ - файл-выполнить скрипт- вставить скрипт через ctrl+c/ctrl+v и нажать кн. "запустить"), повторить логи, выслать в ПМ ссылку на карантин (или прислать карантин на user15802[at]mail.ru, в теле письма указать ссылку на тему) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 4 марта, 2008 Жалоба Поделиться Опубликовано 4 марта, 2008 Присланные файлы чистые по VT, лично я подозрительного ничего больше не вижу. Но сборка ОС у вас интересная... Проблемы какие то наблюдаются? >> Службы: разрешена потенциально опасная служба TermService (Terminaldienste)>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP-Suchdienst) >> Службы: разрешена потенциально опасная служба Schedule (Taskplaner) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting-Remotedesktop-Freigabe) >> Службы: разрешена потенциально опасная служба RDSessMgr (Sitzungs-Manager fur Remotedesktophilfe) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя что из этого не нужно? можно всё, если комп не рабочий и в системе работают под одной учетной записью beginRegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);SetServiceStart('RDSessMgr', 4);RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);SetServiceStart('mnmsrvc', 4);SetServiceStart('Schedule', 4);SetServiceStart('SSDPSRV', 4);SetServiceStart('TermService', 4);end. Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставите степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера". Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ui lt Опубликовано 4 марта, 2008 Автор Жалоба Поделиться Опубликовано 4 марта, 2008 что из этого не нужно? можно всё, если комп не рабочий и в системе работают под одной учетной записью Чесно говоря я не чайник, а крышечка от чайника. Понятия не имею что нужно а что нет. Wind - оригинальный, с диска (deut). Примерно раз в полгода приходится стирать и за ного инсталлировать. Отладить систему немогу. Спасибо большое ! Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ui lt Опубликовано 5 марта, 2008 Автор Жалоба Поделиться Опубликовано 5 марта, 2008 Забыла написать : Проверила AVPTool, тоже ни чего при выключении компа, когда экран синей и Windows написано, появилась странное сообщение " Какието Файлы Windows необходимо сохранить" и внизу "ОК" Я ничего не нажимала. При всех проверках у меня не получилось отключить, при старте только это ctmon C:\ WINDOWS\system32\ctfomn.exe HKCU\SOWTWARE\Microsoft\Windows\CurrentVersion\Run ??? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 5 марта, 2008 Жалоба Поделиться Опубликовано 5 марта, 2008 При всех проверках у меня не получилось отключить, при старте только это ctmon C:\ WINDOWS\system32\ctfomn.exe HKCU\SOWTWARE\Microsoft\Windows\CurrentVersion\Run ??? мало что понял... что это значит? Зачем отключать ctfomn.exe ? AVPTool можно деинсталлировать Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ui lt Опубликовано 6 марта, 2008 Автор Жалоба Поделиться Опубликовано 6 марта, 2008 При старте, в безопасном режими, все программы деактивировала . ctmon - так и не отключился. Это наверно не важно ? AVPTool убрала. Пока вроде всё нормально. Спасибо ! Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 7 марта, 2008 Жалоба Поделиться Опубликовано 7 марта, 2008 ui lt: с наступающим праздником :1eye: фиксить надо было только строки указанные в посте 5 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.