adsl club

Справочник

Форум

Программы

Фильмы

Ресурсы

Файлообмен

Хостинг

Ростелеком
полезла вирусня
Ответить на тему    Форум АДСЛ КлубаЦИФРОВОЙ ФЛЕЙМ :)СОФТ
Автор Сообщение
leoboec
Эксперт
СообщениеДобавлено: Вт 10-12-13 : 21-32    Заголовок сообщения: полезла вирусня Ответить с цитатой

полезла вирусня в браузере Firefox каспер ничего не увидел гаденыш.... куда копать???! чуть позже скину логи с AVZ. как пример вотс крин того что полезло


2.jpg
 Описание:  
 Размер файла:  257.45 KB
 Просмотрено:  369 раз(а)

2.jpg


vir.jpg
 Описание:  
 Размер файла:  304.05 KB
 Просмотрено:  319 раз(а)

vir.jpg

 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение   Номер ICQ
leoboec
Эксперт
СообщениеДобавлено: Вт 10-12-13 : 22-24    Заголовок сообщения: Ответить с цитатой

вот что выдал avz

Нажмите сюда, чтобы просмотреть текст

Внимание !!! База поcледний раз обновлялась 12.07.2013 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.41
Сканирование запущено в 10.12.2013 21:21:03
Загружена база: сигнатуры - 297614, нейропрофили - 2, микропрограммы лечения - 56, база от 12.07.2013 13:39
Загружены микропрограммы эвристики: 403
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 565706
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 6.2.9200, ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1103) перехвачена, метод ProcAddressHijack.GetProcAddress ->7795BBD2->76CEE524
Функция kernel32.dll:ReadConsoleInputExW (1104) перехвачена, метод ProcAddressHijack.GetProcAddress ->7795BC05->76CEE548
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (268) перехвачена, метод ProcAddressHijack.GetProcAddress ->77C1E138->722B12A3
Функция ntdll.dll:NtSetInformationFile (547) перехвачена, метод ProcAddressHijack.GetProcAddress ->77C1DE58->722934CF
Функция ntdll.dll:NtSetValueKey (577) перехвачена, метод ProcAddressHijack.GetProcAddress ->77C1E1E8->722A9925
Функция ntdll.dll:ZwCreateFile (1621) перехвачена, метод ProcAddressHijack.GetProcAddress ->77C1E138->722B12A3
Функция ntdll.dll:ZwSetInformationFile (1898) перехвачена, метод ProcAddressHijack.GetProcAddress ->77C1DE58->722934CF
Функция ntdll.dll:ZwSetValueKey (1928) перехвачена, метод ProcAddressHijack.GetProcAddress ->77C1E1E8->722A9925
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1531) перехвачена, метод ProcAddressHijack.GetProcAddress ->76D9B633->72293537
Функция user32.dll:SetWindowsHookExW (2298) перехвачена, метод ProcAddressHijack.GetProcAddress ->76D9C784->722EC5DF
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка - не найден файл (C:\SystemRoot\system32\ntoskrnl.exe)
>>>> Обнаружена маскировка процесса 10764 ?
>>>> Обнаружена маскировка процесса 6692 ?
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Ошибка загрузки драйвера - проверка прервана [C000036B]
2. Проверка памяти
Количество найденных процессов: 79
Количество загруженных модулей: 551
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Users\дом\AppData\Local\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm3133.tmp
Прямое чтение C:\Users\дом\AppData\Local\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm6921.tmp
Прямое чтение C:\Users\дом\AppData\Local\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm6C83.tmp
Прямое чтение C:\Users\дом\AppData\Local\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm6C85.tmp
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
>>> C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2013\avp.exe ЭПС: подозрение на Файл с подозрительным именем (CH - Service) (высокая степень вероятности)
>>> C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2013\avp.exe ЭПС: подозрение на Файл с подозрительным именем (CH - Service) (высокая степень вероятности)
>>> C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2013\avp.exe ЭПС: подозрение на Файл с подозрительным именем (CH - Service) (высокая степень вероятности)
>>> C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2013\avp.exe ЭПС: подозрение на Файл с подозрительным именем (CH - Service) (высокая степень вероятности)
>>> C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2013\avp.exe ЭПС: подозрение на Файл с подозрительным именем (CH - Service) (высокая степень вероятности)
>>> C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2013\avp.exe ЭПС: подозрение на Файл с подозрительным именем (CH - Service) (высокая степень вероятности)
>>> C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2013\avp.exe ЭПС: подозрение на Файл с подозрительным именем (CH - Service) (высокая степень вероятности)
>>> C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2013\avp.exe ЭПС: подозрение на Файл с подозрительным именем (CH - Service) (высокая степень вероятности)
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
>> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
>> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX
>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
>> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME
>> Таймаут завершения служб находится за пределами допустимых значений
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 129252, извлечено из архивов: 65737, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 10.12.2013 22:10:43
Сканирование длилось 00:49:42
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ
можно использовать сервис http://virusdetector.ru/


// расширение BetterSurf удаляй из всех браузеров
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение   Номер ICQ
Peplove
Эксперт
СообщениеДобавлено: Ср 11-12-13 : 06-23    Заголовок сообщения: Ответить с цитатой

Понаставят хрени а потом сами удивляются откуда хрень на компе появилась.
Добавлю: некоторая хрень ставится с полезной хренью,нужно следить что устанавливать и кому доступ давать. Very Happy
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение  
leoboec
Эксперт
СообщениеДобавлено: Ср 11-12-13 : 21-55    Заголовок сообщения: Ответить с цитатой

так самое интересное что последнее время ничего не устанавлвиалось вообще....
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение   Номер ICQ
leoboec
Эксперт
СообщениеДобавлено: Ср 11-12-13 : 22-00    Заголовок сообщения: Ответить с цитатой

// расширение BetterSurf удаляй из всех браузеров[/quote]

отключено расширение аткое... удалить его не могу а все те же баннеры лезут



.jpg
 Описание:  
 Размер файла:  252.34 KB
 Просмотрено:  312 раз(а)

.jpg

 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение   Номер ICQ
Показать сообщения:   
Ответить на тему    Форум АДСЛ КлубаЦИФРОВОЙ ФЛЕЙМ :)СОФТ Часовой пояс: GMT + 7
Страница 1 из 1

 

 
Аватары: Вкл|Выкл   ЮзерИнфо: Вкл|Выкл   Подписи: Вкл|Выкл
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете вкладывать файлы
Вы можете скачивать файлы