Подозрительный лог от AVZ

[Simply Sasha]

Такой лог

Протокол антивирусной утилиты AVZ версии 4.30

Сканирование запущено в 26.05.2008 21:20:26

Загружена база: сигнатуры - 166422, нейропрофили - 2, микропрограммы лечения - 55, база от 25.05.2008 22:29

Загружены микропрограммы эвристики: 370

Загружены микропрограммы ИПУ: 9

Загружены цифровые подписи системных файлов: 71143

Режим эвристического анализатора: Максимальный уровень эвристики

Режим лечения: включено

Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора

Восстановление системы: включено

1. Поиск RootKit и программ, перехватывающих функции API

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод APICodeHijack.JmpTo[607066E6]

>>> Код руткита в функции LoadLibraryA нейтрализован

Функция kernel32.dll:LoadLibraryExA (579) перехвачена, метод APICodeHijack.JmpTo[60706606]

>>> Код руткита в функции LoadLibraryExA нейтрализован

Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод APICodeHijack.JmpTo[607064D6]

>>> Код руткита в функции LoadLibraryExW нейтрализован

Функция kernel32.dll:LoadLibraryW (581) перехвачена, метод APICodeHijack.JmpTo[607067B6]

>>> Код руткита в функции LoadLibraryW нейтрализован

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Анализ user32.dll, таблица экспорта найдена в секции .text

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Функция advapi32.dll:CryptAcquireContextA (135) перехвачена, метод APICodeHijack.JmpTo[60705336]

>>> Код руткита в функции CryptAcquireContextA нейтрализован

Функция advapi32.dll:CryptAcquireContextW (136) перехвачена, метод APICodeHijack.JmpTo[60705426]

>>> Код руткита в функции CryptAcquireContextW нейтрализован

Функция advapi32.dll:SystemFunction035 (619) перехвачена, метод APICodeHijack.JmpTo[60705526]

>>> Код руткита в функции SystemFunction035 нейтрализован

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.2 Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

SDT найдена (RVA=082B80)

Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000

SDT = 80559B80

KiST = 804E2D20 (284)

Проверено функций: 284, перехвачено: 0, восстановлено: 0

1.3 Проверка IDT и SYSENTER

Анализ для процессора 1

>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [F295E83B] C:\WINDOWS\System32\haspnt.sys, драйвер опознан как безопасный

>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [F295E780] C:\WINDOWS\System32\haspnt.sys, драйвер опознан как безопасный

Проверка IDT и SYSENTER завершена

1.4 Поиск маскировки процессов и драйверов

Поиск маскировки процессов и драйверов завершен

Драйвер успешно загружен

1.5 Проверка обработчиков IRP

Проверка завершена

2. Проверка памяти

Количество найденных процессов: 32

Анализатор - изучается процесс 1812 C:\Program Files\Infotecs\ViPNet CryptoService\itccspini.exe

[ES]:Приложение не имеет видимых окон

Анализатор - изучается процесс 1880 C:\WINDOWS\System32\brsvc01a.exe

[ES]:Приложение не имеет видимых окон

[ES]:Размещается в системной папке

Анализатор - изучается процесс 1916 C:\WINDOWS\System32\brss01a.exe

[ES]:Приложение не имеет видимых окон

[ES]:Размещается в системной папке

Анализатор - изучается процесс 932 C:\Program Files\NetLimiter 2 Pro\nlsvc.exe

[ES]:Может работать с сетью

[ES]:Прослушивает порты TCP !

[ES]:Приложение не имеет видимых окон

[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?

Анализатор - изучается процесс 3296 C:\Program Files\Opera7\Opera.exe

[ES]:Может работать с сетью

[ES]:Прослушивает порты, применяемые протоколом HTTP !

[ES]:EXE упаковщик ?

[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?

Количество загруженных модулей: 283

Проверка памяти завершена

3. Сканирование дисков

4. Проверка Winsock Layered Service Provider (SPI/LSP)

Настройки LSP проверены. Ошибок не обнаружено

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

C:\WINDOWS\system32\itcadvapi.dll --> Подозрение на троянскую DLL. Обнаружена маскировка реального имени DLL

C:\WINDOWS\system32\itcadvapi.dll>>> Поведенческий анализ

Типичное для кейлоггеров поведение не зарегистрировано

На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

В базе 317 описаний портов

На данном ПК открыто 19 TCP портов и 8 UDP портов

Проверка завершена, подозрительные порты не обнаружены

7. Эвристичеcкая проверка системы

Проверка завершена

8. Поиск потенциальных уязвимостей

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)

>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)

>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)

>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!

>> Безопасность: разрешен автозапуск программ с CDROM

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

Проверка завершена

9. Мастер поиска и устранения проблем

Проверка завершена

Просканировано файлов: 318, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0

Сканирование завершено в 26.05.2008 21:21:26

Сканирование длилось 00:01:02

Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,

то Вы можете обратиться в конференцию - http://virusinfo.info

Вопрос по поводу Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод APICodeHijack.JmpTo[607066E6] и аналогов - это вирус или вредная гадость?

Если да, то как его победить? У меня постоянно выдает после проверки AVZ, но появилась относительно недавно.

Прилагаю также

Logfile of HijackThis v1.99.1

Scan saved at 21:13:17, on 26.05.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Infotecs\ViPNet CryptoService\itccspini.exe

C:\WINDOWS\System32\brsvc01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\brss01a.exe

C:\WINDOWS\system32\CNAB4RPK.EXE

C:\WINDOWS\Explorer.EXE

C:\Program Files\ABBYY Lingvo 9.0 Multilingual Dictionary\Lvagent.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE

C:\Program Files\Common Files\EPSON\EBAPI\eEBSVC.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\NetLimiter 2 Pro\nlsvc.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\UStorSrv.exe

C:\Program Files\Hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:2080

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Program Files\Common Files\ReGet Shared\Catcher.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: BitAccelerator module - {92860A02-4D69-48c1-82D7-EF6B2C609502} - C:\Program Files\BitAccelerator\BitAccelerator.dll

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\PROGRA~1\EPSON\EPSONW~1\EPSONW~1.DLL

O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program Files\ReGetDx\iebar.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\PROGRA~1\EPSON\EPSONW~1\EPSONW~1.DLL

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Яндекс.Бар - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\YandexBarIE\yndbar.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Ad Muncher] C:\Program Files\Ad Muncher\AdMunch.exe /bt

O4 - HKLM\..\Run: [Lingvo Launcher] "C:\Program Files\ABBYY Lingvo 9.0 Multilingual Dictionary\Lvagent.exe" /STARTUP

O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: ColorVisionStartup.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Добавить в существующий PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Добавить выделенное в существующий PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Добавить выделенные ссылки в существующий PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Добавить целевую ссылку в существующий PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Закачать &все при помощи ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_All.htm

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm

O8 - Extra context menu item: Закачать при помощи Re&Get Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_Link.htm

O8 - Extra context menu item: Преобразовать в Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Преобразовать выбранные ссылки в Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Преобразовать выделенную область в Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Преобразовать целевую ссылку в Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (HKCU)

O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (HKCU)

O11 - Options group: [iNTERNATIONAL] International*

O15 - Trusted Zone: http://base.consultant.ru

O16 - DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} (AcceptWM Class) - https://w3s.webmoney.ru/WMAcceptor.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{3FAE15A4-56A2-44EB-9833-43BBCF9429C4}: NameServer = 195.98.32.193,195.98.32.200

O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe

O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Common Files\EPSON\EBAPI\eEBSVC.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Program Files\NetLimiter 2 Pro\nlsvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe

(file missing)

O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe

O23 - Service: ViPNet CryptoProvider Supporter (ViPNetCPSupp) - InfoTeCS - C:\Program Files\Infotecs\ViPNet CryptoService\itccspini.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

Успокойте, плз, либо научите, как его грохнуть.

[ser208]

Прочитать и выполнить.

Логи нужны другие.

Изменено 26 мая, 2008 пользователем ser208

[Matias]

В логах HJT присутствуют BitAccelerator и Connection Services. Это же Adware, почему AVZ их не детектировала? Свеженькие?

[akoK]

Avz их не детектит...это не ее задание.

[Matias]

Avz их не детектит...это не ее задание.

Как это? На странице, описывающей назначение программы, написано, что она обнаруживает и удаляет Spyware и Adware модули. Почему же адварные модули, упомянутые мной в предыдущем посте не были удалены? Из-за изменения дефолтных настроек проверки?

[akoK]

Это утилита для анализа детект не есть главная задача....главное анализ системы

[Simply Sasha]

после выполнения стандартного скрипта №1 сообщения типа Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод APICodeHijack.JmpTo[607066E6] при повторной проверке пропадают, но только до перезапуска AVZ, как только его запускаю заново, все возвращается, то же самое и при перезагрузке системы.

таким образом - virusinfo_syscheck.zip - первый вариант;

2virusinfo_syscheck.zip - лог после стд. скрипта №1, но без перезапуска AVZ;

3virusinfo_syscheck.zip - лог после запуска AVZ (но без перезапуска системы).

вот такие логи.

я так и не понял, лечится это, и вирус (бяка) ли это.

ЧТО ЖЕ НАДО ДЕЛАТЬ?

virusinfo_syscheck.zip

hijackthis.log

2virusinfo_syscheck.zip

3virusinfo_syscheck.zip

virusinfo_syscheck.zip

hijackthis.log

2virusinfo_syscheck.zip

3virusinfo_syscheck.zip

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\ColorVisionStartup.exe','');QuarantineFile('C:\WINDOWS\system32\itcadvapi.dll','');QuarantineFile('C:\Program Files\BitAccelerator\BitAccelerator.dll','');QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll','');QuarantineFile('command.exe','');QuarantineFile('C:\WINDOWS\anvshell.exe','');QuarantineFile('c:\windows\system32\brss01a.exe','');DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');DeleteFile('C:\Program Files\BitAccelerator\BitAccelerator.dll');DelBHO('{92860A02-4D69-48c1-82D7-EF6B2C609502}');DelBHO('{6D7B211A-88EA-490c-BAB9-3600D8D7C503}');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Пофиксить в HijackThis следующие строчки

	O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll 

Изменено 27 мая, 2008 пользователем akoK

[Simply Sasha]

отправил, весит 14 мб

[akoK]

В карантине кроме двух адваре ничего нет....какие существуют проблемы?

[Simply Sasha]

В карантине кроме двух адваре ничего нет....какие существуют проблемы?

Слава богу никаких проблем нет.

Меня просто в ступор ввели сообщения типа "Функция advapi32.dll:CryptAcquireContextA (135) перехвачена, метод APICodeHijack.JmpTo[60705336]", которые как я понимаю говорят о действии вредного ПО. Если это что называется просто перебдел - то тогда прошу прощения за беспокойство, хотя ранее таких тем у меня не было.