всем привет.
вчера лазил по инету, и при переходе на один сайтик - поймал какуюто заразу.
Симантик теперь мотом ругается как сумашедший.
окошко автоматической защиты выскакивает каждые 2 секунды и говорит про какуюто заразу.
пишется конесно, что вирус удалён, но это повторяется каждые 2-5 секунд.
работать просто невозможно.
угроза описывается как downloader но фаервол гад никого нерегистрирует.
я пробовал делать откат, пробовал ставить НОД, пробовал в безопасном режиме сканирование - но нифига. ниодного вируса не обнаружил.
пробовал антиспаем сканить - толка никакого.
а когда загружаешь комп в нормальном режиме - то зараза тутже выплывает...
что делать? подскажите плиз.

Тема по этим вопросам [Для просмотра ссылки зарегистрируйтесь].
Закрываю

а какойнибуть процесс лишний в деспетчере грузится? Если да то попробуй его завершить, отпишись в потом

avz и HijackThis пройдитесь. логи сюда

saf84
поподробнее о том, что пишет антивирус.

TERMIN2783

QUOTE

а какойнибуть процесс лишний в деспетчере грузится? Если да то попробуй его завершить, отпишись в потом

лишних процессов ненаблюдается.
Duke

QUOTE

поподробнее о том, что пишет антивирус.

журнал устроит?
Угроза Действие Количество Имя файла Тип угрозы Исходный путь Компьютер Пользователь Состояние Текущий путь Основное действие Резервное действие Источник Описание действия Дата
Downloader Удалено 2 APQ3A36.tmp Файл C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\ MAN1 MAN1\SYSTEM Удалено Удалено Устранить угрозу безопасности Изолировать Автоматический осмотр Файл удален успешно. 10.05.2007 13:30:45
Downloader Удалено 2 APQ3A34.tmp Файл C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\ MAN1 MAN1\SYSTEM Удалено Удалено Устранить угрозу безопасности Изолировать Автоматический осмотр Файл удален успешно. 10.05.2007 13:30:28
Downloader Удалено 2 APQ3A32.tmp Файл C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\ MAN1 MAN1\SYSTEM Удалено Удалено Устранить угрозу безопасности Изолировать Автоматический осмотр Файл удален успешно. 10.05.2007 13:30:20
Downloader Удалено 2 APQ3A30.tmp Файл C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\ MAN1 MAN1\SYSTEM Удалено Удалено Устранить угрозу безопасности Изолировать Автоматический осмотр Файл удален успешно. 10.05.2007 13:30:12
Downloader Удалено 2 APQ3A2E.tmp Файл C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\ MAN1 MAN1\SYSTEM Удалено Удалено Устранить угрозу безопасности Изолировать Автоматический осмотр Файл удален успешно. 10.05.2007 13:30:04
Downloader Удалено 2 APQ3A2C.tmp Файл C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\ MAN1 MAN1\SYSTEM Удалено Удалено Устранить угрозу безопасности Изолировать Автоматический осмотр Файл удален успешно. 10.05.2007 13:29:57
Downloader Удалено 2 APQ3A2A.tmp Файл C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\ MAN1 MAN1\SYSTEM Удалено Удалено Устранить угрозу безопасности Изолировать Автоматический осмотр Файл удален успешно. 10.05.2007 13:29:50
Downloader Удалено 2 APQ3A0E.tmp Файл C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\ MAN1 MAN1\SYSTEM Удалено Удалено Устранить угрозу безопасности Изолировать Автоматический осмотр Файл удален успешно. 10.05.2007 13:29:43
Downloader Удалено 2 APQ39EF.tmp Файл C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\ MAN1 MAN1\SYSTEM Удалено Удалено Устранить угрозу безопасности Изолировать Автоматический осмотр Файл удален успешно. 10.05.2007 13:29:35
Downloader Удалено 2 APQ39B0.tmp Файл C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\ MAN1 MAN1\SYSTEM Удалено Удалено Устранить угрозу безопасности Изолировать Автоматический осмотр Файл удален успешно. 10.05.2007 13:29:28
Downloader Удалено 2 APQ399F.tmp Файл C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\ MAN1 MAN1\SYSTEM Удалено Удалено Устранить угрозу безопасности Изолировать Автоматический осмотр Файл удален успешно. 10.05.2007 13:29:21
Downloader Удалено 2 APQ399D.tmp Файл C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\ MAN1 MAN1\SYSTEM Удалено Удалено Устранить угрозу безопасности Изолировать Автоматический осмотр Файл удален успешно. 10.05.2007 13:29:14
Downloader Удалено 2 APQ399B.tmp Файл C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\ MAN1 MAN1\SYSTEM Удалено Удалено Устранить угрозу безопасности Изолировать Автоматический осмотр Файл удален успешно. 10.05.2007 13:29:06
Downloader Удалено 2 APQ3999.tmp Файл C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\ MAN1 MAN1\SYSTEM Удалено Удалено Устранить угрозу безопасности Изолировать Автоматический осмотр Файл удален успешно. 10.05.2007 13:28:59
Downloader Удалено 2 APQ3997.tmp Файл C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\ MAN1 MAN1\SYSTEM Удалено Удалено Устранить угрозу безопасности Изолировать Автоматический осмотр Файл удален успешно. 10.05.2007 13:28:52
Downloader Удалено 2 APQ3995.tmp Файл C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\ MAN1 MAN1\SYSTEM Удалено Удалено Устранить угрозу безопасности Изолировать Автоматический осмотр Файл удален успешно. 10.05.2007 13:28:44
Downloader Удалено 2 APQ3993.tmp Файл C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\ MAN1 MAN1\SYSTEM Удалено Удалено Устранить угрозу безопасности Изолировать Автоматический осмотр Файл удален успешно. 10.05.2007 13:28:37
Downloader Удалено 2 APQ3991.tmp Файл C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\ MAN1 MAN1\SYSTEM Удалено Удалено Устранить угрозу безопасности Изолировать Автоматический осмотр Файл удален успешно. 10.05.2007 13:28:29
Downloader Удалено 2 APQ398F.tmp Файл C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\ MAN1 MAN1\SYSTEM Удалено Удалено Устранить угрозу безопасности Изолировать Автоматический осмотр Файл удален успешно. 10.05.2007 13:28:21
Downloader Удалено 2 APQ398D.tmp Файл C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\ MAN1 MAN1\SYSTEM Удалено Удалено Устранить угрозу безопасности Изолировать Автоматический осмотр Файл удален успешно. 10.05.2007 13:28:13
Downloader Удалено 2 APQ398B.tmp Файл C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\ MAN1 MAN1\SYSTEM Удалено Удалено Устранить угрозу безопасности Изолировать Автоматический осмотр Файл удален успешно. 10.05.2007 13:28:06
Downloader Удалено 2 APQ3989.tmp Файл C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\ MAN1 MAN1\SYSTEM Удалено Удалено Устранить угрозу безопасности Изолировать Автоматический осмотр Файл удален успешно. 10.05.2007 13:27:57
Downloader Удалено 2 APQ3987.tmp Файл C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\ MAN1 MAN1\SYSTEM Удалено Удалено Устранить угрозу безопасности Изолировать Автоматический осмотр Файл удален успешно. 10.05.2007 13:27:49
Downloader Удалено 2 APQ3985.tmp Файл C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\ MAN1 MAN1\SYSTEM Удалено Удалено Устранить угрозу безопасности Изолировать Автоматический осмотр Файл удален успешно. 10.05.2007 13:27:35
Downloader Удалено 2 APQ3983.tmp Файл C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\ MAN1 MAN1\SYSTEM Удалено Удалено Устранить угрозу безопасности Изолировать Автоматический осмотр Файл удален успешно. 10.05.2007 13:27:27
Downloader Удалено 2 APQ3981.tmp Файл C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\ MAN1 MAN1\SYSTEM Удалено Удалено Устранить угрозу безопасности Изолировать Автоматический осмотр Файл удален успешно. 10.05.2007 13:27:19
Downloader Удалено 2 APQ397F.tmp Файл C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\ MAN1 MAN1\SYSTEM Удалено Удалено Устранить угрозу безопасности Изолировать Автоматический осмотр Файл удален успешно. 10.05.2007 13:27:12
Downloader Удалено 2 APQ397D.tmp Файл C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\ MAN1 MAN1\SYSTEM Удалено Удалено Устранить угрозу безопасности Изолировать Автоматический осмотр Файл удален успешно. 10.05.2007 13:27:05
Downloader Удалено 2 APQ397B.tmp Файл C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\ MAN1 MAN1\SYSTEM Удалено Удалено Устранить угрозу безопасности Изолировать Автоматический осмотр Файл удален успешно. 10.05.2007 13:26:57
Downloader Удалено 2 APQ3979.tmp Файл C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\ MAN1 MAN1\SYSTEM Удалено Удалено Устранить угрозу безопасности Изолировать Автоматический осмотр Файл удален успешно. 10.05.2007 13:26:49
Downloader Удалено 2 APQ3977.tmp Файл C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\ MAN1 MAN1\SYSTEM Удалено Удалено Устранить угрозу безопасности Изолировать Автоматический осмотр Файл удален успешно. 10.05.2007 13:26:41
Downloader Удалено 2 APQ3975.tmp Файл C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\ MAN1 MAN1\SYSTEM Удалено Удалено Устранить угрозу безопасности Изолировать Автоматический осмотр Файл удален успешно. 10.05.2007 13:26:34
Добавлено:
Ell

QUOTE

avz и HijackThis

а что это?

Ell

QUOTE

avz

Протокол антивирусной утилиты AVZ версии 4.25
Сканирование запущено в 10.05.2007 14:32:30
Загружена база: 106719 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, база от 09.05.2007 13:42
Загружены микропрограммы эвристики: 370
Загружены цифровые подписи системных файлов: 59305
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:CreateProcessA (99) перехвачена, метод APICodeHijack.JmpTo[1004D532]
Функция kernel32.dll:CreateProcessW (103) перехвачена, метод APICodeHijack.JmpTo[1004D50A]
Функция kernel32.dll:CreateRemoteThread (104) перехвачена, метод APICodeHijack.JmpTo[1004D82E]
Функция kernel32.dll:DebugActiveProcess (117) перехвачена, метод APICodeHijack.JmpTo[1004D806]
Функция kernel32.dll:WinExec (896) перехвачена, метод APICodeHijack.JmpTo[1004D4E2]
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:LdrLoadDll (70) перехвачена, метод APICodeHijack.JmpTo[1004D7DE]
Функция ntdll.dll:LdrUnloadDll (80) перехвачена, метод APICodeHijack.JmpTo[1004D7B6]
Функция ntdll.dll:NtCreateThread (140) перехвачена, метод APICodeHijack.JmpTo[1004D5D2]
Функция ntdll.dll:NtProtectVirtualMemory (226) перехвачена, метод APICodeHijack.JmpTo[1004D622]
Функция ntdll.dll:NtSetContextThread (304) перехвачена, метод APICodeHijack.JmpTo[1004D5FA]
Функция ntdll.dll:NtSetValueKey (338) перехвачена, метод APICodeHijack.JmpTo[1004D78E]
Функция ntdll.dll:NtSuspendProcess (344) перехвачена, метод APICodeHijack.JmpTo[1004D6EA]
Функция ntdll.dll:NtSuspendThread (345) перехвачена, метод APICodeHijack.JmpTo[1004D6C2]
Функция ntdll.dll:NtTerminateProcess (348) перехвачена, метод APICodeHijack.JmpTo[1004D73A]
Функция ntdll.dll:NtWriteVirtualMemory (369) перехвачена, метод APICodeHijack.JmpTo[1004D766]
Функция ntdll.dll:ZwCreateThread (950) перехвачена, метод APICodeHijack.JmpTo[1004D5D2]
Функция ntdll.dll:ZwProtectVirtualMemory (1035) перехвачена, метод APICodeHijack.JmpTo[1004D622]
Функция ntdll.dll:ZwSetContextThread (1113) перехвачена, метод APICodeHijack.JmpTo[1004D5FA]
Функция ntdll.dll:ZwSetValueKey (1147) перехвачена, метод APICodeHijack.JmpTo[1004D78E]
Функция ntdll.dll:ZwSuspendProcess (1153) перехвачена, метод APICodeHijack.JmpTo[1004D6EA]
Функция ntdll.dll:ZwSuspendThread (1154) перехвачена, метод APICodeHijack.JmpTo[1004D6C2]
Функция ntdll.dll:ZwTerminateProcess (1157) перехвачена, метод APICodeHijack.JmpTo[1004D73A]
Функция ntdll.dll:ZwWriteVirtualMemory (1178) перехвачена, метод APICodeHijack.JmpTo[1004D766]
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (27) перехвачена, метод APICodeHijack.JmpTo[1004DBEE]
Функция user32.dll:ChangeDisplaySettingsExA (34) перехвачена, метод APICodeHijack.JmpTo[1004D3F2]
Функция user32.dll:ChangeDisplaySettingsExW (35) перехвачена, метод APICodeHijack.JmpTo[1004D3CA]
Функция user32.dll:DdeConnect (108) перехвачена, метод APICodeHijack.JmpTo[1004DBC6]
Функция user32.dll:DdeConnectList (109) перехвачена, метод APICodeHijack.JmpTo[1004DB9E]
Функция user32.dll:DdeInitializeA (122) перехвачена, метод APICodeHijack.JmpTo[1004DB76]
Функция user32.dll:DdeInitializeW (123) перехвачена, метод APICodeHijack.JmpTo[1004DB4E]
Функция user32.dll:EndTask (202) перехвачена, метод APICodeHijack.JmpTo[1004D87E]
Функция user32.dll:ExitWindowsEx (226) перехвачена, метод APICodeHijack.JmpTo[1004D91E]
Функция user32.dll:FindWindowExA (229) перехвачена, метод APICodeHijack.JmpTo[1004D996]
Функция user32.dll:FindWindowExW (230) перехвачена, метод APICodeHijack.JmpTo[1004D96E]
Функция user32.dll:PostMessageA (512) перехвачена, метод APICodeHijack.JmpTo[1004DA86]
Функция user32.dll:PostMessageW (513) перехвачена, метод APICodeHijack.JmpTo[1004DA5E]
Функция user32.dll:SendInput (571) перехвачена, метод APICodeHijack.JmpTo[1004D946]
Функция user32.dll:SendMessageA (572) перехвачена, метод APICodeHijack.JmpTo[1004DB26]
Функция user32.dll:SendMessageCallbackA (573) перехвачена, метод APICodeHijack.JmpTo[1004D9E6]
Функция user32.dll:SendMessageCallbackW (574) перехвачена, метод APICodeHijack.JmpTo[1004D9BE]
Функция user32.dll:SendMessageTimeoutA (575) перехвачена, метод APICodeHijack.JmpTo[1004DA36]
Функция user32.dll:SendMessageTimeoutW (576) перехвачена, метод APICodeHijack.JmpTo[1004DA0E]
Функция user32.dll:SendMessageW (577) перехвачена, метод APICodeHijack.JmpTo[1004DAFE]
Функция user32.dll:SendNotifyMessageA (578) перехвачена, метод APICodeHijack.JmpTo[1004DAD6]
Функция user32.dll:SendNotifyMessageW (579) перехвачена, метод APICodeHijack.JmpTo[1004DAAE]
Функция user32.dll:SetForegroundWindow (600) перехвачена, метод APICodeHijack.JmpTo[1004D8F6]
Функция user32.dll:SetWinEventHook (639) перехвачена, метод APICodeHijack.JmpTo[1004D856]
Функция user32.dll:SetWindowPos (644) перехвачена, метод APICodeHijack.JmpTo[1004D8A6]
Функция user32.dll:SetWindowsHookExA (651) перехвачена, метод APICodeHijack.JmpTo[1004DC3E]
Функция user32.dll:SetWindowsHookExW (652) перехвачена, метод APICodeHijack.JmpTo[1004DC16]
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=07B280)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 80552280
KiST = 8050115C (284)
Функция NtAssignProcessToJobObject (13) перехвачена (805CB280->EBB16420), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtClose (19) перехвачена (805B0804->EBB06DB0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtConnectPort (1F) перехвачена (8059852A->85250060), перехватчик не определен
Функция NtCreateFile (25) перехвачена (8056D252->EBB04410), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtCreateKey (29) перехвачена (80618D30->EBB0BF30), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtCreateProcess (2F) перехвачена (805C5E06->EBB13C40), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtCreateProcessEx (30) перехвачена (805C5D50->EBB14310), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtCreateSection (32) перехвачена (8059F32E->EBB036D0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtCreateSymbolicLinkObject (34) перехвачена (805B9508->EBB0BCF0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtCreateThread (35) перехвачена (805C5BEE->EBC67070), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\FILTNT.SYS
Функция NtDeleteFile (3E) перехвачена (8056AE32->EBB0ACC0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtDeleteKey (3F) перехвачена (806191C0->EBB0D180), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtDeleteValueKey (41) перехвачена (80619390->EBB11BF0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtDuplicateObject (44) перехвачена (805B22E0->85465260), перехватчик не определен
Функция NtLoadDriver (61) перехвачена (80578442->EBB12680), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtMakeTemporaryObject (69) перехвачена (805B08A8->EBB0B580), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtOpenFile (74) перехвачена (8056E370->EBB05CD0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtOpenKey (77) перехвачена (8061A0C6->EBB0CB60), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtOpenProcess (7A) перехвачена (805BFC96->EBB149F0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtOpenSection (7D) перехвачена (8059E364->EBB03DD0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtOpenThread (80) перехвачена (805BFF22->85380770), перехватчик не определен
Функция NtProtectVirtualMemory (89) перехвачена (805AC5D2->EBB172C0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtQueryDirectoryFile (91) перехвачена (8056E04A->EBB072C0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtQueryKey (A0) перехвачена (8061A3EA->EBB0DBD0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtQueryValueKey (B1) перехвачена (80616DEA->EBB0E320), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtReplaceKey (C1) перехвачена (8061A910->EBB0F5F0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtRestoreKey (CC) перехвачена (80617138->EBB114B0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtSaveKey (CF) перехвачена (806171DA->EBB10640), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtSaveKeyEx (D0) перехвачена (8061726A->EBB10D70), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtSetInformationFile (E0) перехвачена (8056F220->EBB08470), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtSetValueKey (F7) перехвачена (806173F0->EBB0EAA0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtTerminateProcess (101) перехвачена (805C75E6->EBC67A20), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\FILTNT.SYS
Функция NtTerminateThread (102) перехвачена (805C77E0->EBB15C20), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtUnloadDriver (106) перехвачена (805785D6->EBB12D90), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtWriteVirtualMemory (115) перехвачена (805A83E6->EBB16B40), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Проверено функций: 284, перехвачено: 35, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
Количество найденных процессов: 35
Анализатор - изучается процесс 1428 C:\Program Files\Eset\nod32krn.exe
[ES]:Может работать с сетью
[ES]:Может отправлять почту ?!
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 1964 C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Записан в автозапуск !!
[ES]:Предположительно может бороться с антивирусами
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 1700 C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 1280 C:\Program Files\Hewlett-Packard\HP UT\bin\hppusg.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
>>> Реальный размер предположительно = 2064384
Анализатор - изучается процесс 1940 C:\R&Q\R&Q.exe
[ES]:Может работать с сетью
[ES]:Может отправлять почту ?!
[ES]:Приложение не имеет видимых окон
[ES]:EXE упаковщик ?
[ES]:Записан в автозапуск !!
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Количество загруженных модулей: 395
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Documents and Settings\Manager\Local Settings\Temp\~DFD95C.tmp
Прямое чтение C:\WINDOWS\Temp\JET2370.tmp
C:\Владимир\Владимир\Не влезай! УБЬЁТ!!!\На мобилу\1\862.jar Invalid file - not a PKZip file
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 95803, извлечено из архивов: 83223, найдено вредоносных программ 0
Сканирование завершено в 10.05.2007 15:13:54
Сканирование длилось 00:41:25
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - [Для просмотра ссылки зарегистрируйтесь]
Добавлено:
Ell
Я этой прогой ранее не пользовался. Она адекватно работает? Мне винду не завалит? Можно лечение ей сказать?

судя по логам он сидит в скрытой папке в документах и настройках пользователя.
ну..я советую отключить восстановление на всех дисках, загрузиться в safe mode и отдельно просканировать антивирусом с последними базами и высокой защитой папку *диск с windows*:\Documents and Settings
так же не помешало бы проверить папку *диск с windows*:\windows\temp
если подозреваете, что вирус ещё куда-то прописался, сканируйте всю систему.
P.S.

QUOTE

а что это?

[Для просмотра ссылки зарегистрируйтесь]

P.P.S. так же стоит помнить, что любой антивирус может ошибаться

avz-это один из самых адекватных антивирусов. работает почти со всем. и главное-он корректно обрабатывает вирусы =)

чёт ничего крименального не вижу....

Ell

QUOTE

загрузиться в safe mode и отдельно просканировать антивирусом с последними базами и высокой защитой папку *диск с windows*:\Documents and Settings так же не помешало бы проверить папку *диск с windows*:\windows\temp если подозреваете, что вирус ещё куда-то прописался, сканируйте всю систему.

Дык в том то и дело, что я так делал.
или нада avz запустить в safe mode?
после работы запущу. Может поможет...
Duke

QUOTE

чёт ничего крименального не вижу....

а гадость какаято сидит Сообщения о заразе постоянно выпрыгивают...

Duke
в avz ничего. если судить по записям антивируса, он огрызается на темпы. почему-чёрт знает.
saf84
можешь кстати тут проверить один файлег, на который он орёт
[Для просмотра ссылки зарегистрируйтесь]
[Для просмотра ссылки зарегистрируйтесь] - проверяется сразу 18 антивирусами

Ell
дык антивирь удаляет их сразу...
а папку сунуть на тест я не могу...

Ad-avare прогони Не антивирус,под другое несколько заточена, но некоторую заразу ловит.

saf84
сколько раз сканировал? при каждом скане находит?

Feles
эм...тогда уж лучше Trojan Remover

Ell
Адеварка не антивирь , как таковой Но в некоторых случаях она и вирусню чистит неплохо. Незнаю, я ей всегда прохожусь, а потом уже антивирем.

saf84@Thursday, 10 May 2007, 8:46

QUOTE

вчера лазил по инету, и при переходе на один сайтик - поймал какуюто заразу.

А может не стоит под админом сидеть?

QUOTE

фаервол гад никого нерегистрирует

Контроль компонентов в outpost включен?

QUOTE

пишется конесно, что вирус удалён, но это повторяется каждые 2-5 секунд.

QUOTE

а когда загружаешь комп в нормальном режиме - то зараза тутже выплывает...

К инету в этот момент подключен?

Может еще каспера до кучи попробовать? Только включить в нем еще режим "Проактивной защиты" чтобы отследить перехватичк, так как судя по логам avz он есть.

QUOTE

Анализ kernel32.dll, таблица экспорта найдена в секции .text Функция kernel32.dll:CreateProcessA (99) перехвачена, метод APIquoteHijack.JmpTo[1004D532] Функция kernel32.dll:CreateProcessW (103) перехвачена, метод APIquoteHijack.JmpTo[1004D50A] .... Анализ ntdll.dll, таблица экспорта найдена в секции .text Функция ntdll.dll:LdrLoadDll (70) перехвачена, метод APIquoteHijack.JmpTo[1004D7DE] Функция ntdll.dll:LdrUnloadDll (80) перехвачена, метод APIquoteHijack.JmpTo[1004D7B6] .... Анализ user32.dll, таблица экспорта найдена в секции .text Функция user32.dll:CallNextHookEx (27) перехвачена, метод APIquoteHijack.JmpTo[1004DBEE] Функция user32.dll:ChangeDisplaySettingsExA (34) перехвачена, метод APIquoteHijack.JmpTo[1004D3F2]

можно ещё загрузиться с дискеты и переместить куданить подозрительные файлы !

bestya

QUOTE

Может еще каспера до кучи попробовать? Только включить в нем еще режим "Проактивной защиты" чтобы отследить перехватичк, так как судя по логам avz он есть.

каспера пробовал.
Комп вааще повисает на загрузке и не отвисает. 10 минут ждал, думал мож очухается... но так и не очухался. завалил каспера...
кстати в защищённом режиме каспером сканил - нифига ненашёл. Каспер шестой был.
пробовал НОД - нифига не видит
тока симантик регистрирует

QUOTE

Контроль компонентов в outpost включен?

Да
Вобщм винт домой возьму, винду завалю и поставлю заново.

saf84

QUOTE

тока симантик регистрирует

а может у него эвристика глючит ? такое часто бывает.....
saf84

QUOTE

винду завалю и поставлю заново.

ну это совсем уж крайние меры....

Duke

QUOTE

а может у него эвристика глючит ? такое часто бывает.....

фиг знает...

QUOTE

ну это совсем уж крайние меры....

может быть, но мне это винда ненравилась изначально...
да и софт свой поставлю...
Добавлено:
всем спасибо за помощь