Раздел: Вирусы

В блог Подписаться на Дзен!

Отвечать в конференциях и заводить новые темы может любой участник, независимо от наличия регистрации на сайте 7я.ру.

у меня вирус?

Несколько дней назад у меня кончился срок Касперского-антивирусника /ломанного/, он вроде проверяет, но просто базы не скачивает новые.
Ещё у меня есть AVZ. ими двумя всё время и проверяла..

Ниже лог AVZ. У меня вирус, да? Что делать посоветуете? Спасибо.
=============
Протокол антивирусной утилиты AVZ версии 4.20
Сканирование запущено в 06.10.2006 17:27:53
Загружена база: 51951 сигнатура, 2 нейропрофиля, 55 микропрограмм лечения, база от 06.10.2006 12:50
Загружены микропрограммы эвристики: 361
Загружены цифровые подписи системных файлов: 51827
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FC4<>7C801D77
Функция kernel32.dll:LoadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FD3<>7C801D4F
Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FF1<>7C801AF1
Функция kernel32.dll:LoadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FE2<>7C80ACD3
Детектирована модификация IAT: LoadLibraryA - 7C882FC4<>7C801D77
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082B80)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559B80
KiST = 819F9340 (297)
>>> Внимание, таблица KiST перемещена ! (804E2D20(284)->819F9340(297))
Функция ZwClose (19) перехвачена (805675D9->F809D2E0), перехватчик E:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateProcess (2F) перехвачена (805B3543->F809D000), перехватчик E:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateProcessEx (30) перехвачена (805885D3->F809D170), перехватчик E:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateSection (32) перехвачена (80564B1B->F809D420), перехватчик E:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateThread (35) перехвачена (8057F262->F809DBAE), перехватчик E:\WINDOWS\System32\drivers\klif.sys
Функция ZwOpenProcess (7A) перехвачена (8057459E->F809CE00), перехватчик E:\WINDOWS\System32\drivers\klif.sys
Функция ZwQueryInformationFile (97) перехвачена (80572D12->F809D8EE), перехватчик E:\WINDOWS\System32\drivers\klif.sys
Функция ZwQuerySystemInformation (AD) перехвачена (8057CC27->F809DA2E), перехватчик E:\WINDOWS\System32\drivers\klif.sys
Функция ZwResumeThread (CE) перехвачена (8057F8D5->F809DB8E), перехватчик E:\WINDOWS\System32\drivers\klif.sys
Функция ZwSetInformationProcess (E4) перехвачена (8056C608->F809F950), перехватчик E:\WINDOWS\System32\drivers\klif.sys
Функция ZwTerminateProcess (101) перехвачена (8058AE1E->F809D7A0), перехватчик E:\WINDOWS\System32\drivers\klif.sys
Проверено функций: 284, перехвачено: 11, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
2. Проверка памяти
Количество найденных процессов: 24
Количество загруженных модулей: 248
Проверка памяти завершена
3. Сканирование дисков
C:\ANTI\Trojan Remover\Trojan.Remover.v6.4.2-RES-Incl.patch.zip Invalid file - not a PKZip file
C:\System Volume Information\_restore{5A7346F5-AB0C-4E29-962A-E88FC549A593}\RP394\A0068304.exe >>> подозрение на Trojan-Proxy.Win32.Horst.jf ( 0A26D096 07968FD2 001D0A83 00244445 47104)
C:\System Volume Information\_restore{5A7346F5-AB0C-4E29-962A-E88FC549A593}\RP397\A0068399.exe >>> подозрение на Trojan-Proxy.Win32.Horst.jn ( 0A4554EB 0776D884 00247B03 00246F30 40960)
C:\System Volume Information\_restore{5A7346F5-AB0C-4E29-962A-E88FC549A593}\RP404\A0069320.exe >>> подозрение на Trojan-Proxy.Win32.Horst.jq ( 0A5D0458 0776D884 0023317B 00254A22 40448)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 71007, извлечено из архивов: 52571, найдено вредоносных программ 0
Сканирование завершено в 06.10.2006 17:51:06
Сканирование длилось 00:23:14
06.10.2006 22:13:10,

6 комментариев

От кого: Настройки

Вы не авторизованы. Авторизоваться

Если Вы отправите сообщение анонимно, то потеряете возможность редактировать и удалить это сообщение после отправки.

E-mail:
получать ответы на E-mail
показывать ссылки на изображения в виде картинок
svet
вы используете очень старый касперский. он и сам по себе г. порядочное, а старое так еще и больше. от этого и проблемы с klif.sys
поставьте нормальный антивирусник, хотя бы NOD32, есть и бесплатные достаточно неплохие.

"найдено вредоносных программ 0", что вас не устраивает?
08.10.2006 21:16:53, svet
нашла Вашу ссылку в конфе
http://www.esetnod32.ru/
7.4.2006 11:15:54, svet
попробую ...
08.10.2006 22:26:12, мяу :(
svet
самое главное обновлять его регулярно.
триальный вы месяц сможеет бесплатно пользовать, а потом придется выкручиваться. хотя и лицензия на него стоит совсем недорого.
09.10.2006 11:06:37, svet
>поставьте нормальный антивирусник, хотя бы NOD32, есть и бесплатные достаточно неплохие

NOD32 - где взять? ссылки, плиз, дайте пожалуйста. Или по мылу.

>"найдено вредоносных программ 0", что вас не устраивает?

просто тормоза стали жууткие.. и всяка бяка вдруг в логе полезла, вот эта
===
C:\System Volume Information\_restore{5A7346F5-AB0C-4E29-962A-E88FC549A593}\RP394\A0068304.exe >>> подозрение на Trojan-Proxy.Win32.Horst.jf ( 0A26D096 07968FD2 001D0A83 00244445 47104)
C:\System Volume Information\_restore{5A7346F5-AB0C-4E29-962A-E88FC549A593}\RP397\A0068399.exe >>> подозрение на Trojan-Proxy.Win32.Horst.jn ( 0A4554EB 0776D884 00247B03 00246F30 40960)
C:\System Volume Information\_restore{5A7346F5-AB0C-4E29-962A-E88FC549A593}\RP404\A0069320.exe >>> подозрение на Trojan-Proxy.Win32.Horst.jq ( 0A5D0458 0776D884 0023317B 00254A22 40448)
===
08.10.2006 22:03:11, мяу :(
svet
это бяка в точке восстановления системы, а не в данной рабоче конфигурации. т.е. если вы конечно восстановите эту точку, то получите и эту прелесть. хотя она вполне может бвть просто закачанной в какую-нить папку типа download files и никогда не получить управления. 09.10.2006 00:09:32, svet
кое-что, в ручную поудаляла... вот новый лог АVZ. Всё остальное как вычистить?
Поможите уже хучь кто-нибууууть... плааак... :(((
=====
Протокол антивирусной утилиты AVZ версии 4.20
Сканирование запущено в 08.10.2006 18:10:42
Загружена база: 52448 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, база от 08.10.2006 13:17
Загружены микропрограммы эвристики: 362
Загружены цифровые подписи системных файлов: 51735
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082B80)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559B80
KiST = 804E2D20 (284)
Проверено функций: 284, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
2. Проверка памяти
Количество найденных процессов: 26
Количество загруженных модулей: 285
Проверка памяти завершена
3. Сканирование дисков
C:\System Volume Information\_restore{5A7346F5-AB0C-4E29-962A-E88FC549A593}\RP394\A0068304.exe >>> подозрение на Trojan-Proxy.Win32.Horst.jf ( 0A26D096 07968FD2 001D0A83 00244445 47104)
C:\System Volume Information\_restore{5A7346F5-AB0C-4E29-962A-E88FC549A593}\RP397\A0068399.exe >>> подозрение на Trojan-Proxy.Win32.Horst.jn ( 0A4554EB 0776D884 00247B03 00246F30 40960)
C:\System Volume Information\_restore{5A7346F5-AB0C-4E29-962A-E88FC549A593}\RP404\A0069320.exe >>> подозрение на Trojan-Proxy.Win32.Horst.jq ( 0A5D0458 0776D884 0023317B 00254A22 40448)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 71054, извлечено из архивов: 52580, найдено вредоносных программ 0
Сканирование завершено в 08.10.2006 18:22:33
Сканирование длилось 00:11:52
08.10.2006 18:31:13, мяу :(

Статья дня

«Как связать шары на елку: схема вязания и фото»

Вязаные елочные шары спицами от авторов бренда ARNE & CARLOS
Есть ли вероятность забеременеть при прерванном акте?







© 2000-2020, 7я.ру.

SIA "ALP-Media", Свидетельство о регистрации СМИ №000740455. info@7ya.ru, https://www.7ya.ru/

Change privacy settings

Материалы сайта носят информационный характер и предназначены для образовательных целей. Мнение редакции может не совпадать с мнениями авторов. Перепечатка материалов сайта запрещена без письменного согласия компании SIA "ALP-Media" и авторов. Права авторов и издателя защищены.

18+

© 2000-2020, 7я.ру

SIA "ALP-Media", Свидетельство о регистрации СМИ №000740455. info@7ya.ru, https://www.7ya.ru/

О проекте  |  Политика обработки персональных данных  |  Реклама  |  Обратная связь

Change privacy settings

Материалы сайта носят информационный характер и предназначены для образовательных целей. Мнение редакции может не совпадать с мнениями авторов. Перепечатка материалов сайта запрещена без письменного согласия компании SIA "ALP-Media" и авторов. Права авторов и издателя защищены.



Рейтинг@Mail.ru
18+

Если вы обнаружили на странице ошибки, неполадки, неточности, пожалуйста, сообщите нам об этом. Спасибо!