Вирус(ы) в Windows XP,Vista,7,8,8.1,10. Проблемы. Решения. - [2128] :: Microsoft Windows

Внимание !!! База поcледний раз обновлялась 12.07.2013 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.41
Сканирование запущено в 15.12.2013 10:30:13
Загружена база: сигнатуры - 297614, нейропрофили - 2, микропрограммы лечения - 56, база от 12.07.2013 13:39
Загружены микропрограммы эвристики: 403
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 565706
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: включено
Версия Windows: 6.1.7601, Service Pack 1 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:CreateProcessA (167) перехвачена, метод APICodeHijack.JmpTo[772B2082]
>>> Код руткита в функции CreateProcessA нейтрализован
Функция kernel32.dll:CreateProcessW (171) перехвачена, метод APICodeHijack.JmpTo[772B204D]
>>> Код руткита в функции CreateProcessW нейтрализован
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:LdrUnloadDll (161) перехвачена, метод APICodeHijack.JmpTo[777CC86E]
>>> Код руткита в функции LdrUnloadDll нейтрализован
Функция ntdll.dll:NtAlpcSendWaitReceivePort (216) перехвачена, метод APICodeHijack.JmpTo[777B5418]
>>> Код руткита в функции NtAlpcSendWaitReceivePort нейтрализован
Функция ntdll.dll:NtClose (227) перехвачена, метод APICodeHijack.JmpTo[777B54C8]
>>> Код руткита в функции NtClose нейтрализован
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:SetWinEventHook (2216) перехвачена, метод APICodeHijack.JmpTo[776124DC]
>>> Код руткита в функции SetWinEventHook нейтрализован
Функция user32.dll:SetWindowsHookExA (2231) перехвачена, метод APICodeHijack.JmpTo[77636D0C]
>>> Код руткита в функции SetWindowsHookExA нейтрализован
Функция user32.dll:SetWindowsHookExW (2232) перехвачена, метод APICodeHijack.JmpTo[7760E30C]
>>> Код руткита в функции SetWindowsHookExW нейтрализован
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CreateProcessAsUserA (1125) перехвачена, метод APICodeHijack.JmpTo[77712538]
>>> Код руткита в функции CreateProcessAsUserA нейтрализован
Функция advapi32.dll:CreateProcessWithLogonW (1127) перехвачена, метод APICodeHijack.JmpTo[777152E9]
>>> Код руткита в функции CreateProcessWithLogonW нейтрализован
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=340, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 340)
Маскировка процесса с PID=392, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 392)
Маскировка процесса с PID=544, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 544)
Маскировка процесса с PID=1012, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1012)
Маскировка процесса с PID=1372, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1372)
Маскировка процесса с PID=2648, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2648)
Маскировка процесса с PID=2764, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2764)
Маскировка процесса с PID=2904, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2904)
Маскировка процесса с PID=2928, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2928)
Маскировка процесса с PID=3432, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3432)
Маскировка процесса с PID=3452, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3452)
Маскировка процесса с PID=3640, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3640)
Маскировка процесса с PID=3672, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3672)
Маскировка процесса с PID=3684, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3684)
Маскировка процесса с PID=3828, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3828)
Маскировка процесса с PID=3888, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3888)
Маскировка процесса с PID=3976, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3976)
Маскировка процесса с PID=4000, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4000)
Маскировка процесса с PID=4080, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4080)
Маскировка процесса с PID=2112, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2112)
Маскировка процесса с PID=2992, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2992)
Маскировка процесса с PID=2956, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2956)
Маскировка процесса с PID=1048, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1048)
Маскировка процесса с PID=3224, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3224)
Маскировка процесса с PID=4192, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4192)
Маскировка процесса с PID=4656, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4656)
Маскировка процесса с PID=4696, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4696)
Маскировка процесса с PID=4832, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4832)
Маскировка процесса с PID=4880, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4880)
Маскировка процесса с PID=5508, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 5508)
Поиск маскировки процессов и драйверов завершен
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 66
Анализатор - изучается процесс 876 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 1164 C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 1976 C:\Program Files\Avira\AntiVir Desktop\sched.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 368 C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
[ES]:Может работать с сетью
[ES]:Может отправлять почту ?!
[ES]:Прослушивает порты TCP !
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 2596 C:\Program Files\MGE\PersonalSolutionPac\CilRS232.exe
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 2604 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 2684 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 3900 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
[ES]:Может работать с сетью
Количество загруженных модулей: 670
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Boot\BCD
Прямое чтение C:\Boot\BCD.LOG
Прямое чтение C:\Program Files\COMODO\COMODO Internet Security\database\vendor.h
C:\Program Files\Trojan Remover\Rmvtrjan.exe.BAK - PE файл с нестандартным расширением(степень опасности 5%)
Прямое чтение C:\ProgramData\Avira\AntiVir Desktop\EVENTDB\gavid.dat
Прямое чтение C:\ProgramData\Avira\AntiVir Desktop\EVENTDB\gavid2.dat
Прямое чтение C:\ProgramData\Avira\AntiVir Desktop\EVENTDB\gavid2.dat_1
Прямое чтение C:\ProgramData\Avira\AntiVir Desktop\EVENTDB\gavid2.dat_2
Прямое чтение C:\ProgramData\Comodo\Firewall Pro\cisboost.sdb
Прямое чтение C:\ProgramData\Comodo\Firewall Pro\cisboost.sdb-shm
Прямое чтение C:\ProgramData\Comodo\Firewall Pro\cisboost.sdb-wal
Прямое чтение C:\ProgramData\Comodo\Firewall Pro\cisdata.sdb
Прямое чтение C:\ProgramData\Comodo\Firewall Pro\cislogs.sdb
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\BUTTON.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\CHECKBOX.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\COMBOBOX.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\DIVWRAPPER.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\EXTERNALWRAPPER.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_1025.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_1028.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_1037.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_1038.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_1041.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_1042.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_1081.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_1095.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_1097.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_1098.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_1099.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_1100.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_1102.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_2052.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_3098.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_DEFAULT.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\HIPUSER.HTM
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\IMAGE.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\LINK.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\LOCALIZATION.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\MULTIUSERSSO.HTM
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\NEWUSER.HTM
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\NEWUSERCOMM.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\NEWUSERFED.HTM
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\SAVEDUSER.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\SAVEDUSERS.HTM
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\TEXT.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\TEXTBOX.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\TILEBOX.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\UICORE.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\UIRESOURCE.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\USERTILE.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\WAITPAGE.HTM
Прямое чтение C:\ProgramData\Microsoft\Network\Downloader\qmgr0.dat
Прямое чтение C:\ProgramData\Microsoft\Network\Downloader\qmgr1.dat
C:\ProgramData\Microsoft\Windows\WER\ReportQueue\NonCritical_Microsoft Window_f2f5863b135cbf290772df66cdf918cab5d720_cab_168f1d6f\Pkg1C56.cab/{CAB}/81006DDA-A4DE-4D17-BD62-E125C00D6ABB.Repair.Admin.0.etl >>> подозрение на Trojan.Win32.Agent2.byu ( 1BBFE612 1E621768 004D6E44 004D6E44 131072)
Файл успешно помещен в карантин (C:\ProgramData\Microsoft\Windows\WER\ReportQueue\NonCritical_Microsoft Window_f2f5863b135cbf290772df66cdf918cab5d720_cab_168f1d6f\Pkg1C56.cab)
C:\ProgramData\Microsoft\Windows\WER\ReportQueue\NonCritical_Microsoft_a2d58e5bd77b85bf78145612592afcbb6e4fac3_cab_043b01d4\{81006DDA-A4DE-4D17-BD62-E125C00D6ABB}-WER-11272013-2200.etl >>> подозрение на Trojan.Win32.Agent2.byu ( 1BBFE612 1E621768 004D6E44 004D6E44 131072)
Файл успешно помещен в карантин (C:\ProgramData\Microsoft\Windows\WER\ReportQueue\NonCritical_Microsoft_a2d58e5bd77b85bf78145612592afcbb6e4fac3_cab_043b01d4\{81006DDA-A4DE-4D17-BD62-E125C00D6ABB}-WER-11272013-2200.etl)
Прямое чтение C:\ProgramData\TuneUp Software\TuneUp Utilities\Program Statistics\ProgramStatistics.2013.tudb
Прямое чтение C:\ProgramData\TuneUp Software\TuneUp Utilities\TUProgMan.10.tudb
Прямое чтение C:\ProgramData\TuneUp Software\TuneUp Utilities\TUUtilitiesSvc.13.tudb
Прямое чтение C:\System Volume Information\3698329drv.isw
Прямое чтение C:\System Volume Information\mdllog.dat
Прямое чтение C:\System Volume Information\Syscache.hve
Прямое чтение C:\System Volume Information\Syscache.hve.LOG1
C:\Users\Master\AppData\Local\ElevatedDiagnostics\460911090\2013112720.000\81006DDA-A4DE-4D17-BD62-E125C00D6ABB.Repair.Admin.0.etl >>> подозрение на Trojan.Win32.Agent2.byu ( 1BBFE612 1E621768 004D6E44 004D6E44 131072)
Файл успешно помещен в карантин (C:\Users\Master\AppData\Local\ElevatedDiagnostics\460911090\2013112720.000\81006DDA-A4DE-4D17-BD62-E125C00D6ABB.Repair.Admin.0.etl)
C:\Users\Master\AppData\Local\ElevatedDiagnostics\460911090\2013112720.001\5F469986-ECFD-4B58-BF82-05B4547086E6.Repair.Admin.0.etl >>> подозрение на Trojan.Win32.Agent2.byu ( 1BBFA9CA 1E621768 004D6E44 004D6E44 131072)
Файл успешно помещен в карантин (C:\Users\Master\AppData\Local\ElevatedDiagnostics\460911090\2013112720.001\5F469986-ECFD-4B58-BF82-05B4547086E6.Repair.Admin.0.etl)
C:\Users\Master\AppData\Local\ElevatedDiagnostics\460911090\latest.cab/{CAB}/5F469986-ECFD-4B58-BF82-05B4547086E6.Repair.Admin.0.etl >>> подозрение на Trojan.Win32.Agent2.byu ( 1BBFA9CA 1E621768 004D6E44 004D6E44 131072)
Файл успешно помещен в карантин (C:\Users\Master\AppData\Local\ElevatedDiagnostics\460911090\latest.cab)
Прямое чтение C:\Users\Master\AppData\Local\Microsoft\Internet Explorer\MSIMGSIZ.DAT
Прямое чтение C:\Users\Master\AppData\Local\Microsoft\Windows\Explorer\thumbcache_1024.db
Прямое чтение C:\Users\Master\AppData\Local\Microsoft\Windows\Explorer\thumbcache_256.db
Прямое чтение C:\Users\Master\AppData\Local\Microsoft\Windows\Explorer\thumbcache_32.db
Прямое чтение C:\Users\Master\AppData\Local\Microsoft\Windows\Explorer\thumbcache_idx.db
Прямое чтение C:\Users\Master\AppData\Local\Microsoft\Windows\UsrClass.dat
Прямое чтение C:\Users\Master\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG1
Прямое чтение C:\Users\Master\AppData\Local\Microsoft\Windows\UsrClass.dat{fff2e009-64b5-11e3-9948-001d60db8da8}.TM.blf
Прямое чтение C:\Users\Master\AppData\Local\Microsoft\Windows\UsrClass.dat{fff2e009-64b5-11e3-9948-001d60db8da8}.TMContainer00000000000000000001.regtrans-ms
Прямое чтение C:\Users\Master\AppData\Local\Microsoft\Windows\UsrClass.dat{fff2e009-64b5-11e3-9948-001d60db8da8}.TMContainer00000000000000000002.regtrans-ms
Прямое чтение C:\Users\Master\AppData\Local\Microsoft\Windows\WebCache\V01.log
Прямое чтение C:\Users\Master\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.tmp
Прямое чтение C:\Users\Master\AppData\Local\Mozilla\Firefox\Profiles\ua13o6k6.HOME\Cache\_CACHE_001_
Прямое чтение C:\Users\Master\AppData\Local\Mozilla\Firefox\Profiles\ua13o6k6.HOME\Cache\_CACHE_002_
Прямое чтение C:\Users\Master\AppData\Local\Mozilla\Firefox\Profiles\ua13o6k6.HOME\Cache\_CACHE_003_
Прямое чтение C:\Users\Master\AppData\Local\Mozilla\Firefox\Profiles\ua13o6k6.HOME\Cache\_CACHE_MAP_
Прямое чтение C:\Users\Master\AppData\Roaming\Microsoft\Шаблоны\Normal.dotm
Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\cert8.db
Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\content-prefs.sqlite
Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\cookies.sqlite
Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\cookies.sqlite-shm
Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\cookies.sqlite-wal
Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\downloads.sqlite
Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\extensions.sqlite
Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\healthreport.sqlite
Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\healthreport.sqlite-shm
Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\key3.db
Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\permissions.sqlite
Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\places.sqlite
Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\places.sqlite-shm
Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\places.sqlite-wal
Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\signons.sqlite
Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\webappsstore.sqlite
Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\webappsstore.sqlite-shm
Прямое чтение C:\Users\Master\AppData\Roaming\uTorrent\ie\ie.1387096146.tmp
Прямое чтение C:\Users\Master\AppData\Roaming\uTorrent\ie\ie.1387096147.tmp
Прямое чтение C:\Users\Master\ntuser.dat
Прямое чтение C:\Users\Master\ntuser.dat.LOG1
Прямое чтение C:\Users\Master\ntuser.dat{fff2e005-64b5-11e3-9948-001d60db8da8}.TM.blf
Прямое чтение C:\Users\Master\ntuser.dat{fff2e005-64b5-11e3-9948-001d60db8da8}.TMContainer00000000000000000001.regtrans-ms
Прямое чтение C:\Users\Master\ntuser.dat{fff2e005-64b5-11e3-9948-001d60db8da8}.TMContainer00000000000000000002.regtrans-ms
Прямое чтение C:\Windows\debug\WIA\wiatrace.log
C:\Windows\Logs\SystemRestore\RestoreUI.4.etl >>> подозрение на Trojan.Win32.Agent2.byu ( 1CA34539 1E621768 004D6E44 004D6E44 131072)
Файл успешно помещен в карантин (C:\Windows\Logs\SystemRestore\RestoreUI.4.etl)
Прямое чтение C:\Windows\ServiceProfiles\LocalService\AppData\Local\~FontCache-FontFace.dat
Прямое чтение C:\Windows\ServiceProfiles\LocalService\AppData\Local\~FontCache-S-1-5-21-286380137-1249790891-3202259320-1000.dat
Прямое чтение C:\Windows\ServiceProfiles\LocalService\AppData\Local\~FontCache-System.dat
Прямое чтение C:\Windows\ServiceProfiles\LocalService\ntuser.dat
Прямое чтение C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT.LOG1
Прямое чтение C:\Windows\ServiceProfiles\LocalService\ntuser.dat{fff2e000-64b5-11e3-9948-001d60db8da8}.TM.blf
Прямое чтение C:\Windows\ServiceProfiles\LocalService\ntuser.dat{fff2e000-64b5-11e3-9948-001d60db8da8}.TMContainer00000000000000000001.regtrans-ms
Прямое чтение C:\Windows\ServiceProfiles\LocalService\ntuser.dat{fff2e000-64b5-11e3-9948-001d60db8da8}.TMContainer00000000000000000002.regtrans-ms
Прямое чтение C:\Windows\ServiceProfiles\NetworkService\ntuser.dat
Прямое чтение C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT.LOG1
Прямое чтение C:\Windows\ServiceProfiles\NetworkService\ntuser.dat{fff2dffc-64b5-11e3-9948-806e6f6e6963}.TM.blf
Прямое чтение C:\Windows\ServiceProfiles\NetworkService\ntuser.dat{fff2dffc-64b5-11e3-9948-806e6f6e6963}.TMContainer00000000000000000001.regtrans-ms
Прямое чтение C:\Windows\ServiceProfiles\NetworkService\ntuser.dat{fff2dffc-64b5-11e3-9948-806e6f6e6963}.TMContainer00000000000000000002.regtrans-ms
Прямое чтение C:\Windows\SoftwareDistribution\ReportingEvents.log
Прямое чтение C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
Прямое чтение C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
Прямое чтение C:\Windows\System32\catroot2\edb.log
Прямое чтение C:\Windows\System32\config\default
Прямое чтение C:\Windows\System32\config\DEFAULT.LOG1
Прямое чтение C:\Windows\System32\config\RegBack\DEFAULT
Прямое чтение C:\Windows\System32\config\RegBack\SAM
Прямое чтение C:\Windows\System32\config\RegBack\SECURITY
Прямое чтение C:\Windows\System32\config\RegBack\SYSTEM
Прямое чтение C:\Windows\System32\config\sam
Прямое чтение C:\Windows\System32\config\SAM.LOG1
Прямое чтение C:\Windows\System32\config\security
Прямое чтение C:\Windows\System32\config\SECURITY.LOG1
Прямое чтение C:\Windows\System32\config\SOFTWARE.LOG1
Прямое чтение C:\Windows\System32\config\system
Прямое чтение C:\Windows\System32\config\SYSTEM.LOG1
Прямое чтение C:\Windows\System32\config\TxR\{fff2dff7-64b5-11e3-9948-806e6f6e6963}.TM.blf
Прямое чтение C:\Windows\System32\config\TxR\{fff2dff7-64b5-11e3-9948-806e6f6e6963}.TMContainer00000000000000000001.regtrans-ms
Прямое чтение C:\Windows\System32\config\TxR\{fff2dff7-64b5-11e3-9948-806e6f6e6963}.TMContainer00000000000000000002.regtrans-ms
C:\Windows\System32\LogFiles\Scm\SCM.EVM.2 >>> подозрение на Trojan-Downloader.Win32.AutoIt.q ( 1CE8AFC6 1E621768 004D6E44 004D6E44 491520)
Файл успешно помещен в карантин (C:\Windows\System32\LogFiles\Scm\SCM.EVM.2)
C:\Windows\System32\LogFiles\Scm\SCM.EVM.4 >>> подозрение на Trojan-Downloader.Win32.AutoIt.q ( 1CECDCC3 1E621768 004D6E44 004D6E44 491520)
Файл успешно помещен в карантин (C:\Windows\System32\LogFiles\Scm\SCM.EVM.4)
Прямое чтение C:\Windows\System32\LogFiles\SQM\SQMLogger.etl.003
Прямое чтение C:\Windows\System32\wbem\repository\INDEX.BTR
Прямое чтение C:\Windows\System32\wbem\repository\MAPPING1.MAP
Прямое чтение C:\Windows\System32\wbem\repository\MAPPING2.MAP
Прямое чтение C:\Windows\System32\wbem\repository\MAPPING3.MAP
Прямое чтение C:\Windows\System32\wbem\repository\OBJECTS.DATA
Прямое чтение C:\Windows\System32\wdi\LogFiles\WdiContextLog.etl.001
Прямое чтение C:\Windows\System32\wfp\wfpdiag.etl
Прямое чтение C:\Windows\System32\winevt\Logs\ACEEventLog.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Application.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\DebugChannel.etl
Прямое чтение C:\Windows\System32\winevt\Logs\Doctor Web.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\HardwareEvents.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Internet Explorer.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Key Management Service.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Media Center.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Application-Experience%4Problem-Steps-Recorder.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Application-Experience%4Program-Compatibility-Assistant.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Application-Experience%4Program-Compatibility-Troubleshooter.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Application-Experience%4Program-Inventory.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Application-Experience%4Program-Telemetry.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Bits-Client%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-BranchCacheSMB%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-CodeIntegrity%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Dhcp-Client%4Admin.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Dhcpv6-Client%4Admin.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Diagnosis-DPS%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Diagnosis-Scheduled%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Diagnostics-Performance%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Fault-Tolerant-Heap%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-GroupPolicy%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Help%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Kernel-Power%4Thermal-Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Kernel-StoreMgr%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Kernel-WHEA%4Errors.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Kernel-WHEA%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-NCSI%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-NetworkAccessProtection%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-NetworkAccessProtection%4WHC.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-NetworkProfile%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-OfflineFiles%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-ReadyBoost%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Resource-Exhaustion-Detector%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-TerminalServices-LocalSessionManager%4Admin.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-User Profile Service%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-WER-Diag%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Windows Defender%4WHC.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Windows Firewall With Advanced Security%4ConnectionSecurity.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Windows Firewall With Advanced Security%4Firewall.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-WindowsBackup%4ActionCenter.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-WindowsUpdateClient%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Winlogon%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\OAlerts.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Security.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\System.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\TuneUp.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Windows PowerShell.evtx
Прямое чтение C:\Windows\Tasks\SCHEDLGU.TXT
Прямое чтение C:\Windows\WindowsUpdate.log
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Windows\system32\guard32.dll --> Подозрение на Keylogger или троянскую DLL
C:\Windows\system32\guard32.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (C:\Windows\system32\guard32.dll)
C:\Windows\WinSxS\x86_microsoft.vc90.crt_1fc8b3b9a1e18e3b_9.0.30729.7523_none_508f21ccbcbbb7a8\MSVCR90.dll --> Подозрение на Keylogger или троянскую DLL
C:\Windows\WinSxS\x86_microsoft.vc90.crt_1fc8b3b9a1e18e3b_9.0.30729.7523_none_508f21ccbcbbb7a8\MSVCR90.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (C:\Windows\WinSxS\x86_microsoft.vc90.crt_1fc8b3b9a1e18e3b_9.0.30729.7523_none_508f21ccbcbbb7a8\MSVCR90.dll)
C:\Windows\WinSxS\x86_microsoft.vc90.crt_1fc8b3b9a1e18e3b_9.0.30729.7523_none_508f21ccbcbbb7a8\MSVCP90.dll --> Подозрение на Keylogger или троянскую DLL
C:\Windows\WinSxS\x86_microsoft.vc90.crt_1fc8b3b9a1e18e3b_9.0.30729.7523_none_508f21ccbcbbb7a8\MSVCP90.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (C:\Windows\WinSxS\x86_microsoft.vc90.crt_1fc8b3b9a1e18e3b_9.0.30729.7523_none_508f21ccbcbbb7a8\MSVCP90.dll)
C:\Windows\WinSxS\x86_microsoft.vc90.atl_1fc8b3b9a1e18e3b_9.0.30729.7523_none_51c8dd18bbe8adec\ATL90.DLL --> Подозрение на Keylogger или троянскую DLL
C:\Windows\WinSxS\x86_microsoft.vc90.atl_1fc8b3b9a1e18e3b_9.0.30729.7523_none_51c8dd18bbe8adec\ATL90.DLL>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (C:\Windows\WinSxS\x86_microsoft.vc90.atl_1fc8b3b9a1e18e3b_9.0.30729.7523_none_51c8dd18bbe8adec\ATL90.DLL)
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 69 TCP портов и 18 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
>> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
>> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX
>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
>> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME
>> Таймаут, по истечению которого принимается решение о том, что процесс не отвечает, находится за пределами допустимых значений
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 288019, извлечено из архивов: 158790, найдено вредоносных программ 0, подозрений - 8
Сканирование завершено в 15.12.2013 11:16:25
Сканирование длилось 00:46:13
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ
можно использовать сервис http://virusdetector.ru/

Модерирует : KLASS, IFkO
KLASS (16-02-2017 18:32): Продолжение в Вирус(ы) в ОС Windows. Проблемы. Решения. (II)	Версия для печати • Подписаться • Добавить в закладки
На первую страницу • к этому сообщению • к последнему сообщению