timoteus Опубликовано 25 декабря, 2008 Жалоба Поделиться Опубликовано 25 декабря, 2008 Здравствуйте... У меня вот что случилось. NOD постоянно выдает угрозу: После удаления файла и перезагрузки компьютера ВСЁ повторяется. т.е. файл advapi.$$$ остается на месте и NOD продолжает сообщать об угрозе от этого файла. Результаты проверки: 1. AVZ Протокол антивирусной утилиты AVZ версии 4.30 Сканирование запущено в 25.12.2008 11:17:47 Загружена база: сигнатуры - 202224, нейропрофили - 2, микропрограммы лечения - 56, база от 23.12.2008 21:05 Загружены микропрограммы эвристики: 372 Загружены микропрограммы ИПУ: 9 Загружены цифровые подписи системных файлов: 74370 Режим эвристического анализатора: Средний уровень эвристики Режим лечения: включено AVZ работает с правами администратора Восстановление системы: включено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод APICodeHijack.JmpTo[600D230F] >>> Код руткита в функции LoadLibraryExW нейтрализован Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Функция advapi32.dll:SystemFunction035 (619) перехвачена, метод APICodeHijack.JmpTo[600D1541] >>> Код руткита в функции SystemFunction035 нейтрализован Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Функция wininet.dll:InternetAlgIdToStringA (212) перехвачена, метод APICodeHijack.JmpTo[67001634] >>> Код руткита в функции InternetAlgIdToStringA нейтрализован Функция wininet.dll:InternetAlgIdToStringW (213) перехвачена, метод APICodeHijack.JmpTo[670017CF] >>> Код руткита в функции InternetAlgIdToStringW нейтрализован Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=082B80) Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000 SDT = 80559B80 KiST = 804E2D20 (284) Проверено функций: 284, перехвачено: 0, восстановлено: 0 1.3 Проверка IDT и SYSENTER Анализ для процессора 1 >>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [b1A3883B] C:\WINNT\system32\haspnt.sys, драйвер опознан как безопасный >>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [b1A38780] C:\WINNT\system32\haspnt.sys, драйвер опознан как безопасный Проверка IDT и SYSENTER завершена 1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM Драйвер успешно загружен 1.5 Проверка обработчиков IRP Проверка завершена 2. Проверка памяти Количество найденных процессов: 53 d:\program files\rhinosoft.com\serv-u\servutray.exe >>> подозрение на Trojan.Win32.Vapsup.lvd Файл успешно помещен в карантин (d:\program files\rhinosoft.com\serv-u\servutray.exe) Количество загруженных модулей: 349 Проверка памяти завершена 3. Сканирование дисков Прямое чтение C:\WINNT\SchedLgU.Txt Прямое чтение C:\WINNT\system32\advapi32.$$$ Прямое чтение C:\WINNT\system32\CatRoot2\edb.log Прямое чтение C:\WINNT\system32\CatRoot2\tmp.edb Прямое чтение C:\WINNT\system32\config\AppEvent.Evt Прямое чтение C:\WINNT\system32\config\default Прямое чтение C:\WINNT\system32\config\SAM Прямое чтение C:\WINNT\system32\config\SAM.LOG Прямое чтение C:\WINNT\system32\config\SecEvent.Evt Прямое чтение C:\WINNT\system32\config\SECURITY Прямое чтение C:\WINNT\system32\config\SysEvent.Evt Прямое чтение C:\WINNT\system32\config\system Прямое чтение C:\WINNT\system32\wbem\Repository\FS\INDEX.BTR Прямое чтение C:\WINNT\system32\wbem\Repository\FS\MAPPING1.MAP Прямое чтение C:\WINNT\system32\wbem\Repository\FS\MAPPING2.MAP Прямое чтение C:\WINNT\system32\wbem\Repository\FS\OBJECTS.DATA Прямое чтение C:\WINNT\system32\wbem\Repository\FS\OBJECTS.MAP Прямое чтение C:\WINNT\WindowsUpdate.log D:\Program Files\RhinoSoft.com\Serv-U\ServUTray.exe >>> подозрение на Trojan.Win32.Vapsup.lvd E:\Adfiles\upimages\2389medium.jpg >>> подозрение на Packed.Win32.Tibs.an Файл успешно помещен в карантин (E:\Adfiles\upimages\2389medium.jpg) 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) C:\WINNT\system32\cpadvai.dll --> Подозрение на троянскую DLL. Обнаружена маскировка реального имени DLL C:\WINNT\system32\cpadvai.dll>>> Поведенческий анализ Типичное для кейлоггеров поведение не зарегистрировано Ошибка карантина файла, попытка прямого чтения (C:\WINNT\system32\cpadvai.dll) Карантин с использованием прямого чтения - ошибка e:\program files\crypto pro\csp\cpcrypt.dll --> Подозрение на Keylogger или троянскую DLL e:\program files\crypto pro\csp\cpcrypt.dll>>> Поведенческий анализ Типичное для кейлоггеров поведение не зарегистрировано Файл успешно помещен в карантин (e:\program files\crypto pro\csp\cpcrypt.dll) e:\program files\crypto pro\csp\cpwinet.dll --> Подозрение на Keylogger или троянскую DLL e:\program files\crypto pro\csp\cpwinet.dll>>> Поведенческий анализ Типичное для кейлоггеров поведение не зарегистрировано Файл успешно помещен в карантин (e:\program files\crypto pro\csp\cpwinet.dll) C:\Program Files\Logitech\MouseWare\System\LgWndHk.dll --> Подозрение на Keylogger или троянскую DLL C:\Program Files\Logitech\MouseWare\System\LgWndHk.dll>>> Поведенческий анализ 1. Реагирует на события: клавиатура, мышь C:\Program Files\Logitech\MouseWare\System\LgWndHk.dll>>> Нейросеть: файл с вероятностью 99.91% похож на типовой перехватчик событий клавиатуры/мыши Файл успешно помещен в карантин (C:\Program Files\Logitech\MouseWare\System\LgWndHk.dll) C:\Program Files\Common Files\Logitech\Scrolling\LgMsgHk.dll --> Подозрение на Keylogger или троянскую DLL C:\Program Files\Common Files\Logitech\Scrolling\LgMsgHk.dll>>> Поведенческий анализ 1. Реагирует на события: клавиатура, мышь C:\Program Files\Common Files\Logitech\Scrolling\LgMsgHk.dll>>> Нейросеть: файл с вероятностью 99.48% похож на типовой перехватчик событий клавиатуры/мыши Файл успешно помещен в карантин (C:\Program Files\Common Files\Logitech\Scrolling\LgMsgHk.dll) E:\Program Files\Crypto Pro\CSP\cpcspi.dll --> Подозрение на Keylogger или троянскую DLL E:\Program Files\Crypto Pro\CSP\cpcspi.dll>>> Поведенческий анализ Типичное для кейлоггеров поведение не зарегистрировано Файл успешно помещен в карантин (E:\Program Files\Crypto Pro\CSP\cpcspi.dll) E:\Program Files\Crypto Pro\CSP\cpcspr.dll --> Подозрение на Keylogger или троянскую DLL E:\Program Files\Crypto Pro\CSP\cpcspr.dll>>> Поведенческий анализ Типичное для кейлоггеров поведение не зарегистрировано Файл успешно помещен в карантин (E:\Program Files\Crypto Pro\CSP\cpcspr.dll) E:\Program Files\Crypto Pro\CSP\cpsuprt.dll --> Подозрение на Keylogger или троянскую DLL E:\Program Files\Crypto Pro\CSP\cpsuprt.dll>>> Поведенческий анализ Типичное для кейлоггеров поведение не зарегистрировано Файл успешно помещен в карантин (E:\Program Files\Crypto Pro\CSP\cpsuprt.dll) E:\Program Files\Crypto Pro\CSP\cprndm.dll --> Подозрение на Keylogger или троянскую DLL E:\Program Files\Crypto Pro\CSP\cprndm.dll>>> Поведенческий анализ Типичное для кейлоггеров поведение не зарегистрировано Файл успешно помещен в карантин (E:\Program Files\Crypto Pro\CSP\cprndm.dll) E:\Program Files\Crypto Pro\CSP\bio.dll --> Подозрение на Keylogger или троянскую DLL E:\Program Files\Crypto Pro\CSP\bio.dll>>> Поведенческий анализ Типичное для кейлоггеров поведение не зарегистрировано Файл успешно помещен в карантин (E:\Program Files\Crypto Pro\CSP\bio.dll) На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами В базе 317 описаний портов На данном ПК открыто 18 TCP портов и 17 UDP портов Проверка завершена, подозрительные порты не обнаружены 7. Эвристичеcкая проверка системы Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL" Проверка завершена 8. Поиск потенциальных уязвимостей 9. Мастер поиска и устранения проблем >> Разрешен автозапуск с HDD >>> Разрешен автозапуск с HDD - исправлено >> Разрешен автозапуск с сетевых дисков >>> Разрешен автозапуск с сетевых дисков - исправлено >> Разрешен автозапуск со сменных носителей >>> Разрешен автозапуск со сменных носителей - исправлено Проверка завершена Просканировано файлов: 310897, извлечено из архивов: 228555, найдено вредоносных программ 0, подозрений - 3 Сканирование завершено в 25.12.2008 12:03:21 Сканирование длилось 00:45:48 ========================================================= 2. Dr.Web CureIt!- вообще не видит угрозы от advapi.$$$ 3. NOD при глубокой проверке удаляет advapi.$$$, но после перезагрузки, как уже говорил, ВСЁ повторяется. 4. Ad-aware тоже ничего подозрительного не находит. Кто знает как решить проблему, что нужно сделать, что посоветуете? До НГ надо с компом разобраться ( Заранее спасибо. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 25 декабря, 2008 Жалоба Поделиться Опубликовано 25 декабря, 2008 timoteus, вы немного невнимательно прочитали эти правила. Нужен не тот лога АВЗ. Там всё расписано. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
шпилька Опубликовано 25 декабря, 2008 Жалоба Поделиться Опубликовано 25 декабря, 2008 Попытайся скачать себе Gmer и просканировать снова,как писал многоуважаемый Akok,эта прога указывает непосредственно на угрозу,т.е. на трояна,вообще-то у тебя лицензионный "нод"? Если нет,то может тебе поставить "Авиру",к примеру.Я всегда справлялась со всеми проблемами сама.Если что-то Авира находила,то ручками удаляла тот файл,на который она указывала.Бывало такое,что в не лицензионном ноде сам по себе скрывался вирус и очень трудно его было удалить.Только если будешь устанавливать Gmer,то отключи все функции нода,да и при сканировании,чтобы не было конфликтов не включай.С уважением,шпилька. ЗЫ Поставь бесплатную "Авиру"-за полгода ни разу сбоя не давала. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
timoteus Опубликовано 25 декабря, 2008 Автор Жалоба Поделиться Опубликовано 25 декабря, 2008 timoteus, вы немного невнимательно прочитали эти правила. Нужен не тот лога АВЗ. Там всё расписано. Спасибо, исправлюсь... 4 шпилька, Спасибо за совет... Доберусь до компа и сделаю по Вашему сценарию. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
шпилька Опубликовано 25 декабря, 2008 Жалоба Поделиться Опубликовано 25 декабря, 2008 Да не за что,никогда не доверяла не лицензионному "ноду",тем более знаю,что после него "Авира" вычищала вирусы. С уважением,шпилька. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
timoteus Опубликовано 26 декабря, 2008 Автор Жалоба Поделиться Опубликовано 26 декабря, 2008 Все оказалось куда проще. После нового обновления НОД стал идентифицировать файл advapi.$$$ программы КриптоПРО как вирус. Решили проблему добавлением advapi.$$$ в список исключений. Спасибо еще раз) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
шпилька Опубликовано 26 декабря, 2008 Жалоба Поделиться Опубликовано 26 декабря, 2008 Старайся с проблемами справляться все-таки сам,не всегда в нужный момент сможет прийти помощь. Хотя здесь не отказывают никому и всегда найдешь поддержку.С уважением,шпилька Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.