vovan613
Newbie | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Как убить Trojan.Mayachok.1 Помогите !!! avz лог Протокол антивирусной утилиты AVZ версии 4.37 Сканирование запущено в 26.11.2011 12:03:54 Загружена база: сигнатуры - 296773, нейропрофили - 2, микропрограммы лечения - 56, база от 24.11.2011 21:49 Загружены микропрограммы эвристики: 388 Загружены микропрограммы ИПУ: 9 Загружены цифровые подписи системных файлов: 308877 Режим эвристического анализатора: Средний уровень эвристики Режим лечения: выключено Версия Windows: 6.1.7600, ; AVZ работает с правами администратора Восстановление системы: включено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Функция ws2_32.dll:WSAConnect (42) перехвачена, метод APICodeHijack.JmpTo[02533D91] Функция ws2_32.dll:connect (4) перехвачена, метод APICodeHijack.JmpTo[02533D7A] Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=1689C0) Ядро ntkrnlpa.exe обнаружено в памяти по адресу 83052000 SDT = 831BA9C0 KiST = 830C16F0 (401) Функция NtAllocateVirtualMemory (13) перехвачена (8329DE0F->8B79E2C4), перехватчик C:\Windows\system32\drivers\dwprot.sys, драйвер опознан как безопасный Функция NtCreateThread (57) перехвачена (8332CC0E->8B79F8F6), перехватчик C:\Windows\system32\drivers\dwprot.sys, драйвер опознан как безопасный Функция NtCreateThreadEx (58) перехвачена (8328AD51->8B79F9D2), перехватчик C:\Windows\system32\drivers\dwprot.sys, драйвер опознан как безопасный Функция NtFreeVirtualMemory (83) перехвачена (83105821->8B79E550), перехватчик C:\Windows\system32\drivers\dwprot.sys, драйвер опознан как безопасный Функция NtLoadDriver (9B) перехвачена (831F3279->8B9DC8B0), перехватчик C:\Windows\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный Функция NtQueueApcThread (10D) перехвачена (8323EAF1->8B79F9FE), перехватчик C:\Windows\system32\drivers\dwprot.sys, драйвер опознан как безопасный Функция NtQueueApcThreadEx (10E) перехвачена (8323EB15->8B79FA24), перехватчик C:\Windows\system32\drivers\dwprot.sys, драйвер опознан как безопасный Функция NtSetContextThread (13C) перехвачена (8332DD13->8B79FA4A), перехватчик C:\Windows\system32\drivers\dwprot.sys, драйвер опознан как безопасный Функция NtSetSystemInformation (15E) перехвачена (832DCDF5->8B9DC870), перехватчик C:\Windows\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный Функция NtSystemDebugControl (170) перехвачена (8325B2FC->8B9DC830), перехватчик C:\Windows\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный Функция NtWriteVirtualMemory (18F) перехвачена (832D95B5->8B79E660), перехватчик C:\Windows\system32\drivers\dwprot.sys, драйвер опознан как безопасный Проверено функций: 401, перехвачено: 11, восстановлено: 0 1.3 Проверка IDT и SYSENTER Анализ для процессора 1 Анализ для процессора 2 Проверка IDT и SYSENTER завершена 1.4 Поиск маскировки процессов и драйверов Маскировка процесса с PID=300, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 300) Маскировка процесса с PID=352, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 352) Маскировка процесса с PID=440, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 440) Маскировка процесса с PID=912, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 912) Маскировка процесса с PID=1096, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 1096) Маскировка процесса с PID=1592, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 1592) Маскировка процесса с PID=1652, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 1652) Маскировка процесса с PID=1664, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 1664) Маскировка процесса с PID=1832, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 1832) Маскировка процесса с PID=1988, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 1988) Маскировка процесса с PID=712, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 712) Маскировка процесса с PID=1228, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 1228) Маскировка процесса с PID=1512, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 1512) Маскировка процесса с PID=1532, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 1532) Маскировка процесса с PID=1540, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 1540) Маскировка процесса с PID=2112, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2112) Маскировка процесса с PID=2132, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2132) Маскировка процесса с PID=3272, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3272) Маскировка процесса с PID=3496, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3496) Маскировка процесса с PID=3536, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3536) Маскировка процесса с PID=3636, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3636) Маскировка процесса с PID=3720, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3720) Маскировка процесса с PID=2128, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2128) Маскировка процесса с PID=2196, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2196) Маскировка процесса с PID=3768, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3768) Маскировка процесса с PID=3808, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3808) Маскировка процесса с PID=1200, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 1200) Маскировка процесса с PID=1444, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 1444) Маскировка процесса с PID=2036, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2036) Маскировка процесса с PID=3344, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3344) Маскировка процесса с PID=1936, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 1936) Маскировка процесса с PID=3888, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3888) Маскировка процесса с PID=1288, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 1288) Маскировка процесса с PID=2528, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2528) Маскировка процесса с PID=180, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 180) Маскировка процесса с PID=3976, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3976) Маскировка процесса с PID=4060, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 4060) Маскировка процесса с PID=4004, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 4004) Маскировка процесса с PID=4088, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 4088) Маскировка процесса с PID=3540, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3540) Маскировка процесса с PID=3244, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3244) Маскировка процесса с PID=3648, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3648) Маскировка процесса с PID=4220, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 4220) Маскировка процесса с PID=4428, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 4428) Маскировка процесса с PID=5304, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 5304) Маскировка процесса с PID=5548, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 5548) Маскировка процесса с PID=5696, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 5696) Маскировка процесса с PID=4672, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 4672) Маскировка процесса с PID=3520, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3520) Маскировка процесса с PID=4444, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 4444) Маскировка процесса с PID=3608, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3608) Маскировка процесса с PID=6060, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 6060) Маскировка процесса с PID=2380, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2380) Маскировка процесса с PID=4828, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 4828) Маскировка процесса с PID=5204, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 5204) Маскировка процесса с PID=1196, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 1196) Маскировка процесса с PID=4504, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 4504) Маскировка процесса с PID=3428, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3428) Маскировка процесса с PID=2944, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2944) Маскировка процесса с PID=5612, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 5612) Поиск маскировки процессов и драйверов завершен 1.5 Проверка обработчиков IRP Драйвер успешно загружен \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 85AFF1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 85AFF1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 85AFF1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_EA] = 85AFF1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 85AFF1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 85AFF1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 85AFF1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 85AFF1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 85AFF1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 85AFF1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_PNP] = 85AFF1F8 -> перехватчик не определен Проверка завершена 2. Проверка памяти Количество найденных процессов: 54 Количество загруженных модулей: 588 Проверка памяти завершена 3. Сканирование дисков 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) C:\Windows\system32\pnwdiyh.dll --> Подозрение на Keylogger или троянскую DLL C:\Windows\system32\pnwdiyh.dll>>> Поведенческий анализ Типичное для кейлоггеров поведение не зарегистрировано На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами Проверка отключена пользователем 7. Эвристичеcкая проверка системы Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\Windows\system32\pnwdiyh.dll" Ошибка скрипта: ')' expected, позиция [44:3] Ошибка микропрограммы 385 Проверка завершена 8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помощнику Проверка завершена 9. Мастер поиска и устранения проблем Проверка завершена Просканировано файлов: 642, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0 Сканирование завершено в 26.11.2011 12:04:30 Сканирование длилось 00:00:36 Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам, то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18 Добавлено: Dr.Web пишет Процесс в памяти: C:\Windows\System32\wininit.exe:448 Trojan. Mayachok.1 Обезврежен Но после перезагрузки всё повторяется Забивает оперативу напроч |