Соседка подцепила гадость... Окно а в нём: "У вас стоит не лицензионная копия Windows" Отправьте СМС на номер: 3649 С текстом: 212117 Протокол антивирусной утилиты AVZ версии 4.32 Сканирование запущено в 09.10.2009 23:27:32 Загружена база: сигнатуры - 244196, нейропрофили - 2, микропрограммы лечения - 56, база от 08.10.2009 00:09 Загружены микропрограммы эвристики: 374 Загружены микропрограммы ИПУ: 9 Загружены цифровые подписи системных файлов: 144957 Режим эвристического анализатора: Средний уровень эвристики Режим лечения: включено Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора Восстановление системы: включено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=08B520) Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000 SDT = 80562520 KiST = 804E48A0 (284) Проверено функций: 284, перехвачено: 0, восстановлено: 0 1.3 Проверка IDT и SYSENTER Анализ для процессора 1 Анализ для процессора 2 CmpCallCallBacks = 0014509C Disable callback - уже нейтирализованы Проверка IDT и SYSENTER завершена 1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM Драйвер успешно загружен 1.5 Проверка обработчиков IRP \FileSystem\ntfs[iRP_MJ_CREATE] = 867D71F8 -> перехватчик не определен \FileSystem\ntfs[iRP_MJ_CLOSE] = 867D71F8 -> перехватчик не определен \FileSystem\ntfs[iRP_MJ_WRITE] = 867D71F8 -> перехватчик не определен \FileSystem\ntfs[iRP_MJ_QUERY_INFORMATION] = 867D71F8 -> перехватчик не определен \FileSystem\ntfs[iRP_MJ_SET_INFORMATION] = 867D71F8 -> перехватчик не определен \FileSystem\ntfs[iRP_MJ_QUERY_EA] = 867D71F8 -> перехватчик не определен \FileSystem\ntfs[iRP_MJ_SET_EA] = 867D71F8 -> перехватчик не определен \FileSystem\ntfs[iRP_MJ_QUERY_VOLUME_INFORMATION] = 867D71F8 -> перехватчик не определен \FileSystem\ntfs[iRP_MJ_SET_VOLUME_INFORMATION] = 867D71F8 -> перехватчик не определен \FileSystem\ntfs[iRP_MJ_DIRECTORY_CONTROL] = 867D71F8 -> перехватчик не определен \FileSystem\ntfs[iRP_MJ_FILE_SYSTEM_CONTROL] = 867D71F8 -> перехватчик не определен \FileSystem\ntfs[iRP_MJ_DEVICE_CONTROL] = 867D71F8 -> перехватчик не определен \FileSystem\ntfs[iRP_MJ_LOCK_CONTROL] = 867D71F8 -> перехватчик не определен \FileSystem\ntfs[iRP_MJ_QUERY_SECURITY] = 867D71F8 -> перехватчик не определен \FileSystem\ntfs[iRP_MJ_SET_SECURITY] = 867D71F8 -> перехватчик не определен \FileSystem\ntfs[iRP_MJ_PNP] = 867D71F8 -> перехватчик не определен \FileSystem\FastFat[iRP_MJ_CREATE] = 8639A500 -> перехватчик не определен \FileSystem\FastFat[iRP_MJ_CLOSE] = 8639A500 -> перехватчик не определен \FileSystem\FastFat[iRP_MJ_WRITE] = 8639A500 -> перехватчик не определен \FileSystem\FastFat[iRP_MJ_QUERY_INFORMATION] = 8639A500 -> перехватчик не определен \FileSystem\FastFat[iRP_MJ_SET_INFORMATION] = 8639A500 -> перехватчик не определен \FileSystem\FastFat[iRP_MJ_QUERY_EA] = 8639A500 -> перехватчик не определен \FileSystem\FastFat[iRP_MJ_SET_EA] = 8639A500 -> перехватчик не определен \FileSystem\FastFat[iRP_MJ_QUERY_VOLUME_INFORMATION] = 8639A500 -> перехватчик не определен \FileSystem\FastFat[iRP_MJ_SET_VOLUME_INFORMATION] = 8639A500 -> перехватчик не определен \FileSystem\FastFat[iRP_MJ_DIRECTORY_CONTROL] = 8639A500 -> перехватчик не определен \FileSystem\FastFat[iRP_MJ_FILE_SYSTEM_CONTROL] = 8639A500 -> перехватчик не определен \FileSystem\FastFat[iRP_MJ_DEVICE_CONTROL] = 8639A500 -> перехватчик не определен \FileSystem\FastFat[iRP_MJ_LOCK_CONTROL] = 8639A500 -> перехватчик не определен \FileSystem\FastFat[iRP_MJ_PNP] = 8639A500 -> перехватчик не определен Проверка завершена 2. Проверка памяти Количество найденных процессов: 34 Количество загруженных модулей: 412 Проверка памяти завершена 3. Сканирование дисков Прямое чтение C:\Documents and Settings\Марина\Local Settings\Temp\~DFFB34.tmp Прямое чтение C:\Program Files\Total Commander\Soft\Opera\mail\indexer\indexer.ax Прямое чтение C:\Program Files\Total Commander\Soft\Opera\mail\lexicon\lexicon.ax Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0000\url.ax Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0000\w.ax Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0000\wb.vx Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0001\url.ax Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0001\w.ax Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0001\wb.vx Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0002\url.ax Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0002\w.ax Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0002\wb.vx Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0003\url.ax Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0003\w.ax Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0003\wb.vx Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0004\url.ax Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0004\w.ax Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0004\wb.vx Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0005\url.ax Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0005\w.ax Прямое чтение C:\WINDOWS.0\system32\drivers\sptd.sys Прямое чтение C:\WINDOWS.0\Temp\HTT5E2.tmp 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) C:\WINDOWS.0\system32\ntshrui.dll --> Подозрение на Keylogger или троянскую DLL C:\WINDOWS.0\system32\ntshrui.dll>>> Поведенческий анализ Типичное для кейлоггеров поведение не зарегистрировано Файл успешно помещен в карантин (C:\WINDOWS.0\system32\ntshrui.dll) C:\WINDOWS.0\system32\mstask.dll --> Подозрение на Keylogger или троянскую DLL C:\WINDOWS.0\system32\mstask.dll>>> Поведенческий анализ Типичное для кейлоггеров поведение не зарегистрировано Файл успешно помещен в карантин (C:\WINDOWS.0\system32\mstask.dll) C:\WINDOWS.0\system32\NETSHELL.dll --> Подозрение на Keylogger или троянскую DLL C:\WINDOWS.0\system32\NETSHELL.dll>>> Поведенческий анализ Типичное для кейлоггеров поведение не зарегистрировано Файл успешно помещен в карантин (C:\WINDOWS.0\system32\NETSHELL.dll) C:\WINDOWS.0\system32\credui.dll --> Подозрение на Keylogger или троянскую DLL C:\WINDOWS.0\system32\credui.dll>>> Поведенческий анализ Типичное для кейлоггеров поведение не зарегистрировано Файл успешно помещен в карантин (C:\WINDOWS.0\system32\credui.dll) C:\WINDOWS.0\system32\msxml3.dll --> Подозрение на Keylogger или троянскую DLL C:\WINDOWS.0\system32\msxml3.dll>>> Поведенческий анализ Типичное для кейлоггеров поведение не зарегистрировано Файл успешно помещен в карантин (C:\WINDOWS.0\system32\msxml3.dll) C:\Program Files\ESET\ESET NOD32 Antivirus\shellExt.dll --> Подозрение на Keylogger или троянскую DLL C:\Program Files\ESET\ESET NOD32 Antivirus\shellExt.dll>>> Поведенческий анализ Типичное для кейлоггеров поведение не зарегистрировано Файл успешно помещен в карантин (C:\Program Files\ESET\ESET NOD32 Antivirus\shellExt.dll) На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами Проверка отключена пользователем 7. Эвристичеcкая проверка системы >>> Обратите внимание - заблокирован диспетчер задач >>> Обратите внимание - нестандартный диспетчер задач "C:\RECYCLER\S-1-5-21-6113106537-9389935096-040156175-8869\sysdate.exe" >>> Обратите внимание - заблокирован редактор реестра Проверка завершена 8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику Проверка завершена 9. Мастер поиска и устранения проблем >> Блокировка редактора реестра >> Блокировка диспетчера задач >> Подмена диспетчера задач >> Разрешен автозапуск с HDD Проверка завершена Просканировано файлов: 79594, извлечено из архивов: 41396, найдено вредоносных программ 0, подозрений - 0 Сканирование завершено в 09.10.2009 23:44:48 Сканирование длилось 00:17:17 Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам, то Вы можете обратиться в конференцию - http://virusinfo.info
