Jump to content
СофтФорум - всё о компьютерах и не только

Помогите справиться с проблемой...


Recommended Posts

Здравствуйте...

У меня вот что случилось. NOD постоянно выдает угрозу:

2512081206pf1.png

После удаления файла и перезагрузки компьютера ВСЁ повторяется. т.е. файл advapi.$$$ остается на месте и NOD

продолжает сообщать об угрозе от этого файла.

Результаты проверки:

1. AVZ

Протокол антивирусной утилиты AVZ версии 4.30

Сканирование запущено в 25.12.2008 11:17:47

Загружена база: сигнатуры - 202224, нейропрофили - 2, микропрограммы лечения - 56, база от 23.12.2008 21:05

Загружены микропрограммы эвристики: 372

Загружены микропрограммы ИПУ: 9

Загружены цифровые подписи системных файлов: 74370

Режим эвристического анализатора: Средний уровень эвристики

Режим лечения: включено

AVZ работает с правами администратора

Восстановление системы: включено

1. Поиск RootKit и программ, перехватывающих функции API

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод APICodeHijack.JmpTo[600D230F]

>>> Код руткита в функции LoadLibraryExW нейтрализован

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Анализ user32.dll, таблица экспорта найдена в секции .text

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Функция advapi32.dll:SystemFunction035 (619) перехвачена, метод APICodeHijack.JmpTo[600D1541]

>>> Код руткита в функции SystemFunction035 нейтрализован

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Функция wininet.dll:InternetAlgIdToStringA (212) перехвачена, метод APICodeHijack.JmpTo[67001634]

>>> Код руткита в функции InternetAlgIdToStringA нейтрализован

Функция wininet.dll:InternetAlgIdToStringW (213) перехвачена, метод APICodeHijack.JmpTo[670017CF]

>>> Код руткита в функции InternetAlgIdToStringW нейтрализован

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.2 Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

SDT найдена (RVA=082B80)

Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000

SDT = 80559B80

KiST = 804E2D20 (284)

Проверено функций: 284, перехвачено: 0, восстановлено: 0

1.3 Проверка IDT и SYSENTER

Анализ для процессора 1

>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [b1A3883B] C:\WINNT\system32\haspnt.sys, драйвер

опознан как безопасный

>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [b1A38780] C:\WINNT\system32\haspnt.sys, драйвер

опознан как безопасный

Проверка IDT и SYSENTER завершена

1.4 Поиск маскировки процессов и драйверов

Проверка не производится, так как не установлен драйвер мониторинга AVZPM

Драйвер успешно загружен

1.5 Проверка обработчиков IRP

Проверка завершена

2. Проверка памяти

Количество найденных процессов: 53

d:\program files\rhinosoft.com\serv-u\servutray.exe >>> подозрение на Trojan.Win32.Vapsup.lvd

Файл успешно помещен в карантин (d:\program files\rhinosoft.com\serv-u\servutray.exe)

Количество загруженных модулей: 349

Проверка памяти завершена

3. Сканирование дисков

Прямое чтение C:\WINNT\SchedLgU.Txt

Прямое чтение C:\WINNT\system32\advapi32.$$$

Прямое чтение C:\WINNT\system32\CatRoot2\edb.log

Прямое чтение C:\WINNT\system32\CatRoot2\tmp.edb

Прямое чтение C:\WINNT\system32\config\AppEvent.Evt

Прямое чтение C:\WINNT\system32\config\default

Прямое чтение C:\WINNT\system32\config\SAM

Прямое чтение C:\WINNT\system32\config\SAM.LOG

Прямое чтение C:\WINNT\system32\config\SecEvent.Evt

Прямое чтение C:\WINNT\system32\config\SECURITY

Прямое чтение C:\WINNT\system32\config\SysEvent.Evt

Прямое чтение C:\WINNT\system32\config\system

Прямое чтение C:\WINNT\system32\wbem\Repository\FS\INDEX.BTR

Прямое чтение C:\WINNT\system32\wbem\Repository\FS\MAPPING1.MAP

Прямое чтение C:\WINNT\system32\wbem\Repository\FS\MAPPING2.MAP

Прямое чтение C:\WINNT\system32\wbem\Repository\FS\OBJECTS.DATA

Прямое чтение C:\WINNT\system32\wbem\Repository\FS\OBJECTS.MAP

Прямое чтение C:\WINNT\WindowsUpdate.log

D:\Program Files\RhinoSoft.com\Serv-U\ServUTray.exe >>> подозрение на Trojan.Win32.Vapsup.lvd

E:\Adfiles\upimages\2389medium.jpg >>> подозрение на Packed.Win32.Tibs.an

Файл успешно помещен в карантин (E:\Adfiles\upimages\2389medium.jpg)

4. Проверка Winsock Layered Service Provider (SPI/LSP)

Настройки LSP проверены. Ошибок не обнаружено

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

C:\WINNT\system32\cpadvai.dll --> Подозрение на троянскую DLL. Обнаружена маскировка реального имени DLL

C:\WINNT\system32\cpadvai.dll>>> Поведенческий анализ

Типичное для кейлоггеров поведение не зарегистрировано

Ошибка карантина файла, попытка прямого чтения (C:\WINNT\system32\cpadvai.dll)

Карантин с использованием прямого чтения - ошибка

e:\program files\crypto pro\csp\cpcrypt.dll --> Подозрение на Keylogger или троянскую DLL

e:\program files\crypto pro\csp\cpcrypt.dll>>> Поведенческий анализ

Типичное для кейлоггеров поведение не зарегистрировано

Файл успешно помещен в карантин (e:\program files\crypto pro\csp\cpcrypt.dll)

e:\program files\crypto pro\csp\cpwinet.dll --> Подозрение на Keylogger или троянскую DLL

e:\program files\crypto pro\csp\cpwinet.dll>>> Поведенческий анализ

Типичное для кейлоггеров поведение не зарегистрировано

Файл успешно помещен в карантин (e:\program files\crypto pro\csp\cpwinet.dll)

C:\Program Files\Logitech\MouseWare\System\LgWndHk.dll --> Подозрение на Keylogger или троянскую DLL

C:\Program Files\Logitech\MouseWare\System\LgWndHk.dll>>> Поведенческий анализ

1. Реагирует на события: клавиатура, мышь

C:\Program Files\Logitech\MouseWare\System\LgWndHk.dll>>> Нейросеть: файл с вероятностью 99.91% похож на

типовой перехватчик событий клавиатуры/мыши

Файл успешно помещен в карантин (C:\Program Files\Logitech\MouseWare\System\LgWndHk.dll)

C:\Program Files\Common Files\Logitech\Scrolling\LgMsgHk.dll --> Подозрение на Keylogger или троянскую DLL

C:\Program Files\Common Files\Logitech\Scrolling\LgMsgHk.dll>>> Поведенческий анализ

1. Реагирует на события: клавиатура, мышь

C:\Program Files\Common Files\Logitech\Scrolling\LgMsgHk.dll>>> Нейросеть: файл с вероятностью 99.48% похож на

типовой перехватчик событий клавиатуры/мыши

Файл успешно помещен в карантин (C:\Program Files\Common Files\Logitech\Scrolling\LgMsgHk.dll)

E:\Program Files\Crypto Pro\CSP\cpcspi.dll --> Подозрение на Keylogger или троянскую DLL

E:\Program Files\Crypto Pro\CSP\cpcspi.dll>>> Поведенческий анализ

Типичное для кейлоггеров поведение не зарегистрировано

Файл успешно помещен в карантин (E:\Program Files\Crypto Pro\CSP\cpcspi.dll)

E:\Program Files\Crypto Pro\CSP\cpcspr.dll --> Подозрение на Keylogger или троянскую DLL

E:\Program Files\Crypto Pro\CSP\cpcspr.dll>>> Поведенческий анализ

Типичное для кейлоггеров поведение не зарегистрировано

Файл успешно помещен в карантин (E:\Program Files\Crypto Pro\CSP\cpcspr.dll)

E:\Program Files\Crypto Pro\CSP\cpsuprt.dll --> Подозрение на Keylogger или троянскую DLL

E:\Program Files\Crypto Pro\CSP\cpsuprt.dll>>> Поведенческий анализ

Типичное для кейлоггеров поведение не зарегистрировано

Файл успешно помещен в карантин (E:\Program Files\Crypto Pro\CSP\cpsuprt.dll)

E:\Program Files\Crypto Pro\CSP\cprndm.dll --> Подозрение на Keylogger или троянскую DLL

E:\Program Files\Crypto Pro\CSP\cprndm.dll>>> Поведенческий анализ

Типичное для кейлоггеров поведение не зарегистрировано

Файл успешно помещен в карантин (E:\Program Files\Crypto Pro\CSP\cprndm.dll)

E:\Program Files\Crypto Pro\CSP\bio.dll --> Подозрение на Keylogger или троянскую DLL

E:\Program Files\Crypto Pro\CSP\bio.dll>>> Поведенческий анализ

Типичное для кейлоггеров поведение не зарегистрировано

Файл успешно помещен в карантин (E:\Program Files\Crypto Pro\CSP\bio.dll)

На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к.

существует множество полезных DLL-перехватчиков

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

В базе 317 описаний портов

На данном ПК открыто 18 TCP портов и 17 UDP портов

Проверка завершена, подозрительные порты не обнаружены

7. Эвристичеcкая проверка системы

Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL"

Проверка завершена

8. Поиск потенциальных уязвимостей

9. Мастер поиска и устранения проблем

>> Разрешен автозапуск с HDD

>>> Разрешен автозапуск с HDD - исправлено

>> Разрешен автозапуск с сетевых дисков

>>> Разрешен автозапуск с сетевых дисков - исправлено

>> Разрешен автозапуск со сменных носителей

>>> Разрешен автозапуск со сменных носителей - исправлено

Проверка завершена

Просканировано файлов: 310897, извлечено из архивов: 228555, найдено вредоносных программ 0, подозрений - 3

Сканирование завершено в 25.12.2008 12:03:21

Сканирование длилось 00:45:48

=========================================================

2. Dr.Web CureIt!- вообще не видит угрозы от advapi.$$$

3. NOD при глубокой проверке удаляет advapi.$$$, но после перезагрузки, как уже говорил, ВСЁ повторяется.

4. Ad-aware тоже ничего подозрительного не находит.

Кто знает как решить проблему, что нужно сделать, что посоветуете? До НГ надо с компом разобраться (

Заранее спасибо.

Link to comment
Share on other sites

Попытайся скачать себе Gmer и просканировать снова,как писал многоуважаемый Akok,эта прога указывает непосредственно на угрозу,т.е. на трояна,вообще-то у тебя лицензионный "нод"? Если нет,то может тебе поставить "Авиру",к примеру.Я всегда справлялась со всеми проблемами сама.Если что-то Авира находила,то ручками удаляла тот файл,на который она указывала.Бывало такое,что в не лицензионном ноде сам по себе скрывался вирус и очень трудно его было удалить.Только если будешь устанавливать Gmer,то отключи все функции нода,да и при сканировании,чтобы не было конфликтов не включай.С уважением,шпилька.

ЗЫ Поставь бесплатную "Авиру"-за полгода ни разу сбоя не давала.

Link to comment
Share on other sites

timoteus, вы немного невнимательно прочитали эти правила. Нужен не тот лога АВЗ. Там всё расписано.

Спасибо, исправлюсь...

4 шпилька, Спасибо за совет... Доберусь до компа и сделаю по Вашему сценарию.

Link to comment
Share on other sites

Все оказалось куда проще.

После нового обновления НОД стал идентифицировать файл advapi.$$$ программы КриптоПРО как вирус.

Решили проблему добавлением advapi.$$$ в список исключений.

Спасибо еще раз)

Link to comment
Share on other sites

Старайся с проблемами справляться все-таки сам,не всегда в нужный момент сможет прийти помощь. Хотя здесь не отказывают никому и всегда найдешь поддержку.С уважением,шпилька :(

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...