Помогите справиться с проблемой...

[timoteus]

Здравствуйте...

У меня вот что случилось. NOD постоянно выдает угрозу:

После удаления файла и перезагрузки компьютера ВСЁ повторяется. т.е. файл advapi.$$$ остается на месте и NOD

продолжает сообщать об угрозе от этого файла.

Результаты проверки:

1. AVZ

Протокол антивирусной утилиты AVZ версии 4.30

Сканирование запущено в 25.12.2008 11:17:47

Загружена база: сигнатуры - 202224, нейропрофили - 2, микропрограммы лечения - 56, база от 23.12.2008 21:05

Загружены микропрограммы эвристики: 372

Загружены микропрограммы ИПУ: 9

Загружены цифровые подписи системных файлов: 74370

Режим эвристического анализатора: Средний уровень эвристики

Режим лечения: включено

AVZ работает с правами администратора

Восстановление системы: включено

1. Поиск RootKit и программ, перехватывающих функции API

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод APICodeHijack.JmpTo[600D230F]

>>> Код руткита в функции LoadLibraryExW нейтрализован

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Анализ user32.dll, таблица экспорта найдена в секции .text

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Функция advapi32.dll:SystemFunction035 (619) перехвачена, метод APICodeHijack.JmpTo[600D1541]

>>> Код руткита в функции SystemFunction035 нейтрализован

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Функция wininet.dll:InternetAlgIdToStringA (212) перехвачена, метод APICodeHijack.JmpTo[67001634]

>>> Код руткита в функции InternetAlgIdToStringA нейтрализован

Функция wininet.dll:InternetAlgIdToStringW (213) перехвачена, метод APICodeHijack.JmpTo[670017CF]

>>> Код руткита в функции InternetAlgIdToStringW нейтрализован

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.2 Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

SDT найдена (RVA=082B80)

Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000

SDT = 80559B80

KiST = 804E2D20 (284)

Проверено функций: 284, перехвачено: 0, восстановлено: 0

1.3 Проверка IDT и SYSENTER

Анализ для процессора 1

>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [b1A3883B] C:\WINNT\system32\haspnt.sys, драйвер

опознан как безопасный

>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [b1A38780] C:\WINNT\system32\haspnt.sys, драйвер

опознан как безопасный

Проверка IDT и SYSENTER завершена

1.4 Поиск маскировки процессов и драйверов

Проверка не производится, так как не установлен драйвер мониторинга AVZPM

Драйвер успешно загружен

1.5 Проверка обработчиков IRP

Проверка завершена

2. Проверка памяти

Количество найденных процессов: 53

d:\program files\rhinosoft.com\serv-u\servutray.exe >>> подозрение на Trojan.Win32.Vapsup.lvd

Файл успешно помещен в карантин (d:\program files\rhinosoft.com\serv-u\servutray.exe)

Количество загруженных модулей: 349

Проверка памяти завершена

3. Сканирование дисков

Прямое чтение C:\WINNT\SchedLgU.Txt

Прямое чтение C:\WINNT\system32\advapi32.$$$

Прямое чтение C:\WINNT\system32\CatRoot2\edb.log

Прямое чтение C:\WINNT\system32\CatRoot2\tmp.edb

Прямое чтение C:\WINNT\system32\config\AppEvent.Evt

Прямое чтение C:\WINNT\system32\config\default

Прямое чтение C:\WINNT\system32\config\SAM

Прямое чтение C:\WINNT\system32\config\SAM.LOG

Прямое чтение C:\WINNT\system32\config\SecEvent.Evt

Прямое чтение C:\WINNT\system32\config\SECURITY

Прямое чтение C:\WINNT\system32\config\SysEvent.Evt

Прямое чтение C:\WINNT\system32\config\system

Прямое чтение C:\WINNT\system32\wbem\Repository\FS\INDEX.BTR

Прямое чтение C:\WINNT\system32\wbem\Repository\FS\MAPPING1.MAP

Прямое чтение C:\WINNT\system32\wbem\Repository\FS\MAPPING2.MAP

Прямое чтение C:\WINNT\system32\wbem\Repository\FS\OBJECTS.DATA

Прямое чтение C:\WINNT\system32\wbem\Repository\FS\OBJECTS.MAP

Прямое чтение C:\WINNT\WindowsUpdate.log

D:\Program Files\RhinoSoft.com\Serv-U\ServUTray.exe >>> подозрение на Trojan.Win32.Vapsup.lvd

E:\Adfiles\upimages\2389medium.jpg >>> подозрение на Packed.Win32.Tibs.an

Файл успешно помещен в карантин (E:\Adfiles\upimages\2389medium.jpg)

4. Проверка Winsock Layered Service Provider (SPI/LSP)

Настройки LSP проверены. Ошибок не обнаружено

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

C:\WINNT\system32\cpadvai.dll --> Подозрение на троянскую DLL. Обнаружена маскировка реального имени DLL

C:\WINNT\system32\cpadvai.dll>>> Поведенческий анализ

Типичное для кейлоггеров поведение не зарегистрировано

Ошибка карантина файла, попытка прямого чтения (C:\WINNT\system32\cpadvai.dll)

Карантин с использованием прямого чтения - ошибка

e:\program files\crypto pro\csp\cpcrypt.dll --> Подозрение на Keylogger или троянскую DLL

e:\program files\crypto pro\csp\cpcrypt.dll>>> Поведенческий анализ

Типичное для кейлоггеров поведение не зарегистрировано

Файл успешно помещен в карантин (e:\program files\crypto pro\csp\cpcrypt.dll)

e:\program files\crypto pro\csp\cpwinet.dll --> Подозрение на Keylogger или троянскую DLL

e:\program files\crypto pro\csp\cpwinet.dll>>> Поведенческий анализ

Типичное для кейлоггеров поведение не зарегистрировано

Файл успешно помещен в карантин (e:\program files\crypto pro\csp\cpwinet.dll)

C:\Program Files\Logitech\MouseWare\System\LgWndHk.dll --> Подозрение на Keylogger или троянскую DLL

C:\Program Files\Logitech\MouseWare\System\LgWndHk.dll>>> Поведенческий анализ

1. Реагирует на события: клавиатура, мышь

C:\Program Files\Logitech\MouseWare\System\LgWndHk.dll>>> Нейросеть: файл с вероятностью 99.91% похож на

типовой перехватчик событий клавиатуры/мыши

Файл успешно помещен в карантин (C:\Program Files\Logitech\MouseWare\System\LgWndHk.dll)

C:\Program Files\Common Files\Logitech\Scrolling\LgMsgHk.dll --> Подозрение на Keylogger или троянскую DLL

C:\Program Files\Common Files\Logitech\Scrolling\LgMsgHk.dll>>> Поведенческий анализ

1. Реагирует на события: клавиатура, мышь

C:\Program Files\Common Files\Logitech\Scrolling\LgMsgHk.dll>>> Нейросеть: файл с вероятностью 99.48% похож на

типовой перехватчик событий клавиатуры/мыши

Файл успешно помещен в карантин (C:\Program Files\Common Files\Logitech\Scrolling\LgMsgHk.dll)

E:\Program Files\Crypto Pro\CSP\cpcspi.dll --> Подозрение на Keylogger или троянскую DLL

E:\Program Files\Crypto Pro\CSP\cpcspi.dll>>> Поведенческий анализ

Типичное для кейлоггеров поведение не зарегистрировано

Файл успешно помещен в карантин (E:\Program Files\Crypto Pro\CSP\cpcspi.dll)

E:\Program Files\Crypto Pro\CSP\cpcspr.dll --> Подозрение на Keylogger или троянскую DLL

E:\Program Files\Crypto Pro\CSP\cpcspr.dll>>> Поведенческий анализ

Типичное для кейлоггеров поведение не зарегистрировано

Файл успешно помещен в карантин (E:\Program Files\Crypto Pro\CSP\cpcspr.dll)

E:\Program Files\Crypto Pro\CSP\cpsuprt.dll --> Подозрение на Keylogger или троянскую DLL

E:\Program Files\Crypto Pro\CSP\cpsuprt.dll>>> Поведенческий анализ

Типичное для кейлоггеров поведение не зарегистрировано

Файл успешно помещен в карантин (E:\Program Files\Crypto Pro\CSP\cpsuprt.dll)

E:\Program Files\Crypto Pro\CSP\cprndm.dll --> Подозрение на Keylogger или троянскую DLL

E:\Program Files\Crypto Pro\CSP\cprndm.dll>>> Поведенческий анализ

Типичное для кейлоггеров поведение не зарегистрировано

Файл успешно помещен в карантин (E:\Program Files\Crypto Pro\CSP\cprndm.dll)

E:\Program Files\Crypto Pro\CSP\bio.dll --> Подозрение на Keylogger или троянскую DLL

E:\Program Files\Crypto Pro\CSP\bio.dll>>> Поведенческий анализ

Типичное для кейлоггеров поведение не зарегистрировано

Файл успешно помещен в карантин (E:\Program Files\Crypto Pro\CSP\bio.dll)

На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к.

существует множество полезных DLL-перехватчиков

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

В базе 317 описаний портов

На данном ПК открыто 18 TCP портов и 17 UDP портов

Проверка завершена, подозрительные порты не обнаружены

7. Эвристичеcкая проверка системы

Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL"

Проверка завершена

8. Поиск потенциальных уязвимостей

9. Мастер поиска и устранения проблем

>> Разрешен автозапуск с HDD

>>> Разрешен автозапуск с HDD - исправлено

>> Разрешен автозапуск с сетевых дисков

>>> Разрешен автозапуск с сетевых дисков - исправлено

>> Разрешен автозапуск со сменных носителей

>>> Разрешен автозапуск со сменных носителей - исправлено

Проверка завершена

Просканировано файлов: 310897, извлечено из архивов: 228555, найдено вредоносных программ 0, подозрений - 3

Сканирование завершено в 25.12.2008 12:03:21

Сканирование длилось 00:45:48

=========================================================

2. Dr.Web CureIt!- вообще не видит угрозы от advapi.$$$

3. NOD при глубокой проверке удаляет advapi.$$$, но после перезагрузки, как уже говорил, ВСЁ повторяется.

4. Ad-aware тоже ничего подозрительного не находит.

Кто знает как решить проблему, что нужно сделать, что посоветуете? До НГ надо с компом разобраться (

Заранее спасибо.

[ТроПа]

timoteus, вы немного невнимательно прочитали эти правила. Нужен не тот лога АВЗ. Там всё расписано.

[шпилька]

Попытайся скачать себе Gmer и просканировать снова,как писал многоуважаемый Akok,эта прога указывает непосредственно на угрозу,т.е. на трояна,вообще-то у тебя лицензионный "нод"? Если нет,то может тебе поставить "Авиру",к примеру.Я всегда справлялась со всеми проблемами сама.Если что-то Авира находила,то ручками удаляла тот файл,на который она указывала.Бывало такое,что в не лицензионном ноде сам по себе скрывался вирус и очень трудно его было удалить.Только если будешь устанавливать Gmer,то отключи все функции нода,да и при сканировании,чтобы не было конфликтов не включай.С уважением,шпилька.

ЗЫ Поставь бесплатную "Авиру"-за полгода ни разу сбоя не давала.

[timoteus]

timoteus, вы немного невнимательно прочитали эти правила. Нужен не тот лога АВЗ. Там всё расписано.

Спасибо, исправлюсь...

4 шпилька, Спасибо за совет... Доберусь до компа и сделаю по Вашему сценарию.

[шпилька]

Да не за что,никогда не доверяла не лицензионному "ноду",тем более знаю,что после него "Авира" вычищала вирусы.

С уважением,шпилька.

[timoteus]

Все оказалось куда проще.

После нового обновления НОД стал идентифицировать файл advapi.$$$ программы КриптоПРО как вирус.

Решили проблему добавлением advapi.$$$ в список исключений.

Спасибо еще раз)

[шпилька]

Старайся с проблемами справляться все-таки сам,не всегда в нужный момент сможет прийти помощь. Хотя здесь не отказывают никому и всегда найдешь поддержку.С уважением,шпилька