Поймал заразу

saf84 · 10 мая 2007, 05:46:37

всем привет.
вчера лазил по инету, и при переходе на один сайтик - поймал какуюто заразу.
Симантик теперь мотом ругается как сумашедший.
окошко автоматической защиты выскакивает каждые 2 секунды и говорит про какуюто заразу.
пишется конесно, что вирус удалён, но это повторяется каждые 2-5 секунд.
работать просто невозможно.
угроза описывается как downloader но фаервол гад никого нерегистрирует.
я пробовал делать откат, пробовал ставить НОД, пробовал в безопасном режиме сканирование - но нифига. ниодного вируса не обнаружил.
пробовал антиспаем сканить - толка никакого.
а когда загружаешь комп в нормальном режиме - то зараза тутже выплывает...
что делать? подскажите плиз.

Тема по этим вопросам [Для просмотра ссылки зарегистрируйтесь].
Закрываю

TERMIN2783 · 10 мая 2007, 07:20:22

а какойнибуть процесс лишний в деспетчере грузится? Если да то попробуй его завершить, отпишись в потом

Ell · 10 мая 2007, 08:11:00

avz и HijackThis пройдитесь. логи сюда

Duke · 10 мая 2007, 08:33:33

saf84
поподробнее о том, что пишет антивирус.

saf84 · 10 мая 2007, 09:37:03

TERMIN2783

Цитироватьа какойнибуть процесс лишний в деспетчере грузится? Если да то попробуй его завершить, отпишись в потом

лишних процессов ненаблюдается.
Duke

Цитироватьпоподробнее о том, что пишет антивирус.

журнал устроит?
Угроза   Действие   Количество   Имя файла   Тип угрозы   Исходный путь   Компьютер   Пользователь   Состояние   Текущий путь   Основное действие   Резервное действие   Источник   Описание действия   Дата
Downloader   Удалено   2   APQ3A36.tmp   Файл   C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\   MAN1   MAN1\SYSTEM   Удалено   Удалено   Устранить угрозу безопасности   Изолировать   Автоматический осмотр   Файл удален успешно.   10.05.2007 13:30:45
Downloader   Удалено   2   APQ3A34.tmp   Файл   C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\   MAN1   MAN1\SYSTEM   Удалено   Удалено   Устранить угрозу безопасности   Изолировать   Автоматический осмотр   Файл удален успешно.   10.05.2007 13:30:28
Downloader   Удалено   2   APQ3A32.tmp   Файл   C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\   MAN1   MAN1\SYSTEM   Удалено   Удалено   Устранить угрозу безопасности   Изолировать   Автоматический осмотр   Файл удален успешно.   10.05.2007 13:30:20
Downloader   Удалено   2   APQ3A30.tmp   Файл   C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\   MAN1   MAN1\SYSTEM   Удалено   Удалено   Устранить угрозу безопасности   Изолировать   Автоматический осмотр   Файл удален успешно.   10.05.2007 13:30:12
Downloader   Удалено   2   APQ3A2E.tmp   Файл   C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\   MAN1   MAN1\SYSTEM   Удалено   Удалено   Устранить угрозу безопасности   Изолировать   Автоматический осмотр   Файл удален успешно.   10.05.2007 13:30:04
Downloader   Удалено   2   APQ3A2C.tmp   Файл   C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\   MAN1   MAN1\SYSTEM   Удалено   Удалено   Устранить угрозу безопасности   Изолировать   Автоматический осмотр   Файл удален успешно.   10.05.2007 13:29:57
Downloader   Удалено   2   APQ3A2A.tmp   Файл   C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\   MAN1   MAN1\SYSTEM   Удалено   Удалено   Устранить угрозу безопасности   Изолировать   Автоматический осмотр   Файл удален успешно.   10.05.2007 13:29:50
Downloader   Удалено   2   APQ3A0E.tmp   Файл   C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\   MAN1   MAN1\SYSTEM   Удалено   Удалено   Устранить угрозу безопасности   Изолировать   Автоматический осмотр   Файл удален успешно.   10.05.2007 13:29:43
Downloader   Удалено   2   APQ39EF.tmp   Файл   C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\   MAN1   MAN1\SYSTEM   Удалено   Удалено   Устранить угрозу безопасности   Изолировать   Автоматический осмотр   Файл удален успешно.   10.05.2007 13:29:35
Downloader   Удалено   2   APQ39B0.tmp   Файл   C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\   MAN1   MAN1\SYSTEM   Удалено   Удалено   Устранить угрозу безопасности   Изолировать   Автоматический осмотр   Файл удален успешно.   10.05.2007 13:29:28
Downloader   Удалено   2   APQ399F.tmp   Файл   C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\   MAN1   MAN1\SYSTEM   Удалено   Удалено   Устранить угрозу безопасности   Изолировать   Автоматический осмотр   Файл удален успешно.   10.05.2007 13:29:21
Downloader   Удалено   2   APQ399D.tmp   Файл   C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\   MAN1   MAN1\SYSTEM   Удалено   Удалено   Устранить угрозу безопасности   Изолировать   Автоматический осмотр   Файл удален успешно.   10.05.2007 13:29:14
Downloader   Удалено   2   APQ399B.tmp   Файл   C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\   MAN1   MAN1\SYSTEM   Удалено   Удалено   Устранить угрозу безопасности   Изолировать   Автоматический осмотр   Файл удален успешно.   10.05.2007 13:29:06
Downloader   Удалено   2   APQ3999.tmp   Файл   C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\   MAN1   MAN1\SYSTEM   Удалено   Удалено   Устранить угрозу безопасности   Изолировать   Автоматический осмотр   Файл удален успешно.   10.05.2007 13:28:59
Downloader   Удалено   2   APQ3997.tmp   Файл   C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\   MAN1   MAN1\SYSTEM   Удалено   Удалено   Устранить угрозу безопасности   Изолировать   Автоматический осмотр   Файл удален успешно.   10.05.2007 13:28:52
Downloader   Удалено   2   APQ3995.tmp   Файл   C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\   MAN1   MAN1\SYSTEM   Удалено   Удалено   Устранить угрозу безопасности   Изолировать   Автоматический осмотр   Файл удален успешно.   10.05.2007 13:28:44
Downloader   Удалено   2   APQ3993.tmp   Файл   C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\   MAN1   MAN1\SYSTEM   Удалено   Удалено   Устранить угрозу безопасности   Изолировать   Автоматический осмотр   Файл удален успешно.   10.05.2007 13:28:37
Downloader   Удалено   2   APQ3991.tmp   Файл   C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\   MAN1   MAN1\SYSTEM   Удалено   Удалено   Устранить угрозу безопасности   Изолировать   Автоматический осмотр   Файл удален успешно.   10.05.2007 13:28:29
Downloader   Удалено   2   APQ398F.tmp   Файл   C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\   MAN1   MAN1\SYSTEM   Удалено   Удалено   Устранить угрозу безопасности   Изолировать   Автоматический осмотр   Файл удален успешно.   10.05.2007 13:28:21
Downloader   Удалено   2   APQ398D.tmp   Файл   C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\   MAN1   MAN1\SYSTEM   Удалено   Удалено   Устранить угрозу безопасности   Изолировать   Автоматический осмотр   Файл удален успешно.   10.05.2007 13:28:13
Downloader   Удалено   2   APQ398B.tmp   Файл   C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\   MAN1   MAN1\SYSTEM   Удалено   Удалено   Устранить угрозу безопасности   Изолировать   Автоматический осмотр   Файл удален успешно.   10.05.2007 13:28:06
Downloader   Удалено   2   APQ3989.tmp   Файл   C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\   MAN1   MAN1\SYSTEM   Удалено   Удалено   Устранить угрозу безопасности   Изолировать   Автоматический осмотр   Файл удален успешно.   10.05.2007 13:27:57
Downloader   Удалено   2   APQ3987.tmp   Файл   C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\   MAN1   MAN1\SYSTEM   Удалено   Удалено   Устранить угрозу безопасности   Изолировать   Автоматический осмотр   Файл удален успешно.   10.05.2007 13:27:49
Downloader   Удалено   2   APQ3985.tmp   Файл   C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\   MAN1   MAN1\SYSTEM   Удалено   Удалено   Устранить угрозу безопасности   Изолировать   Автоматический осмотр   Файл удален успешно.   10.05.2007 13:27:35
Downloader   Удалено   2   APQ3983.tmp   Файл   C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\   MAN1   MAN1\SYSTEM   Удалено   Удалено   Устранить угрозу безопасности   Изолировать   Автоматический осмотр   Файл удален успешно.   10.05.2007 13:27:27
Downloader   Удалено   2   APQ3981.tmp   Файл   C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\   MAN1   MAN1\SYSTEM   Удалено   Удалено   Устранить угрозу безопасности   Изолировать   Автоматический осмотр   Файл удален успешно.   10.05.2007 13:27:19
Downloader   Удалено   2   APQ397F.tmp   Файл   C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\   MAN1   MAN1\SYSTEM   Удалено   Удалено   Устранить угрозу безопасности   Изолировать   Автоматический осмотр   Файл удален успешно.   10.05.2007 13:27:12
Downloader   Удалено   2   APQ397D.tmp   Файл   C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\   MAN1   MAN1\SYSTEM   Удалено   Удалено   Устранить угрозу безопасности   Изолировать   Автоматический осмотр   Файл удален успешно.   10.05.2007 13:27:05
Downloader   Удалено   2   APQ397B.tmp   Файл   C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\   MAN1   MAN1\SYSTEM   Удалено   Удалено   Устранить угрозу безопасности   Изолировать   Автоматический осмотр   Файл удален успешно.   10.05.2007 13:26:57
Downloader   Удалено   2   APQ3979.tmp   Файл   C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\   MAN1   MAN1\SYSTEM   Удалено   Удалено   Устранить угрозу безопасности   Изолировать   Автоматический осмотр   Файл удален успешно.   10.05.2007 13:26:49
Downloader   Удалено   2   APQ3977.tmp   Файл   C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\   MAN1   MAN1\SYSTEM   Удалено   Удалено   Устранить угрозу безопасности   Изолировать   Автоматический осмотр   Файл удален успешно.   10.05.2007 13:26:41
Downloader   Удалено   2   APQ3975.tmp   Файл   C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1.5\APTemp\   MAN1   MAN1\SYSTEM   Удалено   Удалено   Устранить угрозу безопасности   Изолировать   Автоматический осмотр   Файл удален успешно.   10.05.2007 13:26:34
Добавлено:
Ell

Цитироватьavz и HijackThis

а что это?

saf84 · 10 мая 2007, 11:23:49

Ell

Цитироватьavz

Протокол антивирусной утилиты AVZ версии 4.25
Сканирование запущено в 10.05.2007 14:32:30
Загружена база: 106719 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, база от 09.05.2007 13:42
Загружены микропрограммы эвристики: 370
Загружены цифровые подписи системных файлов: 59305
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:CreateProcessA (99) перехвачена, метод APICodeHijack.JmpTo[1004D532]
Функция kernel32.dll:CreateProcessW (103) перехвачена, метод APICodeHijack.JmpTo[1004D50A]
Функция kernel32.dll:CreateRemoteThread (104) перехвачена, метод APICodeHijack.JmpTo[1004D82E]
Функция kernel32.dll:DebugActiveProcess (117) перехвачена, метод APICodeHijack.JmpTo[1004D806]
Функция kernel32.dll:WinExec (896) перехвачена, метод APICodeHijack.JmpTo[1004D4E2]
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:LdrLoadDll (70) перехвачена, метод APICodeHijack.JmpTo[1004D7DE]
Функция ntdll.dll:LdrUnloadDll (80) перехвачена, метод APICodeHijack.JmpTo[1004D7B6]
Функция ntdll.dll:NtCreateThread (140) перехвачена, метод APICodeHijack.JmpTo[1004D5D2]
Функция ntdll.dll:NtProtectVirtualMemory (226) перехвачена, метод APICodeHijack.JmpTo[1004D622]
Функция ntdll.dll:NtSetContextThread (304) перехвачена, метод APICodeHijack.JmpTo[1004D5FA]
Функция ntdll.dll:NtSetValueKey (338) перехвачена, метод APICodeHijack.JmpTo[1004D78E]
Функция ntdll.dll:NtSuspendProcess (344) перехвачена, метод APICodeHijack.JmpTo[1004D6EA]
Функция ntdll.dll:NtSuspendThread (345) перехвачена, метод APICodeHijack.JmpTo[1004D6C2]
Функция ntdll.dll:NtTerminateProcess (348) перехвачена, метод APICodeHijack.JmpTo[1004D73A]
Функция ntdll.dll:NtWriteVirtualMemory (369) перехвачена, метод APICodeHijack.JmpTo[1004D766]
Функция ntdll.dll:ZwCreateThread (950) перехвачена, метод APICodeHijack.JmpTo[1004D5D2]
Функция ntdll.dll:ZwProtectVirtualMemory (1035) перехвачена, метод APICodeHijack.JmpTo[1004D622]
Функция ntdll.dll:ZwSetContextThread (1113) перехвачена, метод APICodeHijack.JmpTo[1004D5FA]
Функция ntdll.dll:ZwSetValueKey (1147) перехвачена, метод APICodeHijack.JmpTo[1004D78E]
Функция ntdll.dll:ZwSuspendProcess (1153) перехвачена, метод APICodeHijack.JmpTo[1004D6EA]
Функция ntdll.dll:ZwSuspendThread (1154) перехвачена, метод APICodeHijack.JmpTo[1004D6C2]
Функция ntdll.dll:ZwTerminateProcess (1157) перехвачена, метод APICodeHijack.JmpTo[1004D73A]
Функция ntdll.dll:ZwWriteVirtualMemory (1178) перехвачена, метод APICodeHijack.JmpTo[1004D766]
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (27) перехвачена, метод APICodeHijack.JmpTo[1004DBEE]
Функция user32.dll:ChangeDisplaySettingsExA (34) перехвачена, метод APICodeHijack.JmpTo[1004D3F2]
Функция user32.dll:ChangeDisplaySettingsExW (35) перехвачена, метод APICodeHijack.JmpTo[1004D3CA]
Функция user32.dll:DdeConnect (108) перехвачена, метод APICodeHijack.JmpTo[1004DBC6]
Функция user32.dll:DdeConnectList (109) перехвачена, метод APICodeHijack.JmpTo[1004DB9E]
Функция user32.dll:DdeInitializeA (122) перехвачена, метод APICodeHijack.JmpTo[1004DB76]
Функция user32.dll:DdeInitializeW (123) перехвачена, метод APICodeHijack.JmpTo[1004DB4E]
Функция user32.dll:EndTask (202) перехвачена, метод APICodeHijack.JmpTo[1004D87E]
Функция user32.dll:ExitWindowsEx (226) перехвачена, метод APICodeHijack.JmpTo[1004D91E]
Функция user32.dll:FindWindowExA (229) перехвачена, метод APICodeHijack.JmpTo[1004D996]
Функция user32.dll:FindWindowExW (230) перехвачена, метод APICodeHijack.JmpTo[1004D96E]
Функция user32.dll:PostMessageA (512) перехвачена, метод APICodeHijack.JmpTo[1004DA86]
Функция user32.dll:PostMessageW (513) перехвачена, метод APICodeHijack.JmpTo[1004DA5E]
Функция user32.dll:SendInput (571) перехвачена, метод APICodeHijack.JmpTo[1004D946]
Функция user32.dll:SendMessageA (572) перехвачена, метод APICodeHijack.JmpTo[1004DB26]
Функция user32.dll:SendMessageCallbackA (573) перехвачена, метод APICodeHijack.JmpTo[1004D9E6]
Функция user32.dll:SendMessageCallbackW (574) перехвачена, метод APICodeHijack.JmpTo[1004D9BE]
Функция user32.dll:SendMessageTimeoutA (575) перехвачена, метод APICodeHijack.JmpTo[1004DA36]
Функция user32.dll:SendMessageTimeoutW (576) перехвачена, метод APICodeHijack.JmpTo[1004DA0E]
Функция user32.dll:SendMessageW (577) перехвачена, метод APICodeHijack.JmpTo[1004DAFE]
Функция user32.dll:SendNotifyMessageA (578) перехвачена, метод APICodeHijack.JmpTo[1004DAD6]
Функция user32.dll:SendNotifyMessageW (579) перехвачена, метод APICodeHijack.JmpTo[1004DAAE]
Функция user32.dll:SetForegroundWindow (600) перехвачена, метод APICodeHijack.JmpTo[1004D8F6]
Функция user32.dll:SetWinEventHook (639) перехвачена, метод APICodeHijack.JmpTo[1004D856]
Функция user32.dll:SetWindowPos (644) перехвачена, метод APICodeHijack.JmpTo[1004D8A6]
Функция user32.dll:SetWindowsHookExA (651) перехвачена, метод APICodeHijack.JmpTo[1004DC3E]
Функция user32.dll:SetWindowsHookExW (652) перехвачена, метод APICodeHijack.JmpTo[1004DC16]
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=07B280)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 80552280
KiST = 8050115C (284)
Функция NtAssignProcessToJobObject (13) перехвачена (805CB280->EBB16420), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtClose (19) перехвачена (805B0804->EBB06DB0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtConnectPort (1F) перехвачена (8059852A->85250060), перехватчик не определен
Функция NtCreateFile (25) перехвачена (8056D252->EBB04410), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtCreateKey (29) перехвачена (80618D30->EBB0BF30), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtCreateProcess (2F) перехвачена (805C5E06->EBB13C40), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtCreateProcessEx (30) перехвачена (805C5D50->EBB14310), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtCreateSection (32) перехвачена (8059F32E->EBB036D0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtCreateSymbolicLinkObject (34) перехвачена (805B9508->EBB0BCF0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtCreateThread (35) перехвачена (805C5BEE->EBC67070), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\FILTNT.SYS
Функция NtDeleteFile (3E) перехвачена (8056AE32->EBB0ACC0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtDeleteKey (3F) перехвачена (806191C0->EBB0D180), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtDeleteValueKey (41) перехвачена (80619390->EBB11BF0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtDuplicateObject (44) перехвачена (805B22E0->85465260), перехватчик не определен
Функция NtLoadDriver (61) перехвачена (80578442->EBB12680), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtMakeTemporaryObject (69) перехвачена (805B08A8->EBB0B580), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtOpenFile (74) перехвачена (8056E370->EBB05CD0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtOpenKey (77) перехвачена (8061A0C6->EBB0CB60), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtOpenProcess (7A) перехвачена (805BFC96->EBB149F0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtOpenSection (7D) перехвачена (8059E364->EBB03DD0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtOpenThread (80) перехвачена (805BFF22->85380770), перехватчик не определен
Функция NtProtectVirtualMemory (89) перехвачена (805AC5D2->EBB172C0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtQueryDirectoryFile (91) перехвачена (8056E04A->EBB072C0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtQueryKey (A0) перехвачена (8061A3EA->EBB0DBD0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtQueryValueKey (B1) перехвачена (80616DEA->EBB0E320), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtReplaceKey (C1) перехвачена (8061A910->EBB0F5F0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtRestoreKey (CC) перехвачена (80617138->EBB114B0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtSaveKey (CF) перехвачена (806171DA->EBB10640), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtSaveKeyEx (D0) перехвачена (8061726A->EBB10D70), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtSetInformationFile (E0) перехвачена (8056F220->EBB08470), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtSetValueKey (F7) перехвачена (806173F0->EBB0EAA0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtTerminateProcess (101) перехвачена (805C75E6->EBC67A20), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\FILTNT.SYS
Функция NtTerminateThread (102) перехвачена (805C77E0->EBB15C20), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtUnloadDriver (106) перехвачена (805785D6->EBB12D90), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtWriteVirtualMemory (115) перехвачена (805A83E6->EBB16B40), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Проверено функций: 284, перехвачено: 35, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
Количество найденных процессов: 35
Анализатор - изучается процесс 1428 C:\Program Files\Eset\nod32krn.exe
[ES]:Может работать с сетью
[ES]:Может отправлять почту ?!
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 1964 C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Записан в автозапуск !!
[ES]:Предположительно может бороться с антивирусами
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 1700 C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 1280 C:\Program Files\Hewlett-Packard\HP UT\bin\hppusg.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
>>> Реальный размер предположительно = 2064384
Анализатор - изучается процесс 1940 C:\R&Q\R&Q.exe
[ES]:Может работать с сетью
[ES]:Может отправлять почту ?!
[ES]:Приложение не имеет видимых окон
[ES]:EXE упаковщик ?
[ES]:Записан в автозапуск !!
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Количество загруженных модулей: 395
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Documents and Settings\Manager\Local Settings\Temp\~DFD95C.tmp
Прямое чтение C:\WINDOWS\Temp\JET2370.tmp
C:\Владимир\Владимир\Не влезай! УБЬЁТ!!!\На мобилу\1\862.jar Invalid file - not a PKZip file
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 95803, извлечено из архивов: 83223, найдено вредоносных программ 0
Сканирование завершено в 10.05.2007 15:13:54
Сканирование длилось 00:41:25
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - [Для просмотра ссылки зарегистрируйтесь]
Добавлено:
Ell
Я этой прогой ранее не пользовался. Она адекватно работает? Мне винду не завалит? Можно лечение ей сказать?

Ell · 10 мая 2007, 11:45:28

судя по логам он сидит в скрытой папке в документах и настройках пользователя.
ну..я советую отключить восстановление на всех дисках, загрузиться в safe mode и отдельно просканировать антивирусом с последними базами и высокой защитой папку *диск с windows*:\Documents and Settings
так же не помешало бы проверить папку *диск с windows*:\windows\temp
если подозреваете, что вирус ещё куда-то прописался, сканируйте всю систему.
P.S.

Цитироватьа что это?

[Для просмотра ссылки зарегистрируйтесь]

P.P.S. так же стоит помнить, что любой антивирус может ошибаться

avz-это один из самых адекватных антивирусов. работает почти со всем. и главное-он корректно обрабатывает вирусы =)

Duke · 10 мая 2007, 11:54:48

чёт ничего крименального не вижу....

saf84 · 10 мая 2007, 13:24:10

Ell

Цитироватьзагрузиться в safe mode и отдельно просканировать антивирусом с последними базами и высокой защитой папку *диск с windows*:\Documents and Settings
так же не помешало бы проверить папку *диск с windows*:\windows\temp
если подозреваете, что вирус ещё куда-то прописался, сканируйте всю систему.

Дык в том то и дело, что я так делал.
или нада avz запустить в safe mode?
после работы запущу. Может поможет...
Duke

Цитироватьчёт ничего крименального не вижу....

а гадость какаято сидит

Сообщения о заразе постоянно выпрыгивают...

Ell · 10 мая 2007, 13:27:52

Duke
в avz ничего. если судить по записям антивируса, он огрызается на темпы. почему-чёрт знает.
saf84
можешь кстати тут проверить один файлег, на который он орёт
[Для просмотра ссылки зарегистрируйтесь]
[Для просмотра ссылки зарегистрируйтесь] - проверяется сразу 18 антивирусами

Новости:

Поймал заразу

saf84

10 мая 2007, 05:46:37 Последнее редактирование: 15 января 2008, 16:16:00 от Ell

TERMIN2783

10 мая 2007, 07:20:22 #1

Ell

10 мая 2007, 08:11:00 #2

Duke

10 мая 2007, 08:33:33 #3

saf84

10 мая 2007, 09:37:03 #4

saf84

10 мая 2007, 11:23:49 #5

Ell

10 мая 2007, 11:45:28 #6 Последнее редактирование: 10 мая 2007, 11:47:43 от Ell

Duke

10 мая 2007, 11:54:48 #7

saf84

10 мая 2007, 13:24:10 #8

Ell

10 мая 2007, 13:27:52 #9 Последнее редактирование: 10 мая 2007, 13:29:34 от Ell