Discussion:
опять spider
(слишком старое сообщение для ответа)
Vitaliy Geydeko
2009-01-09 15:57:03 UTC
Permalink
Привет Уважаемый All!

spidernt.exe есть в процессах, не снимается
"официально" включен
при попытки копирования вируса молчит . гад
выключить/включить не помогло.


=== Hачало Windows Clipboard ===
Протокол антивирусной утилиты AVZ версии 4.30
Сканирование запущено в 09.01.2009 18:48:35
Загружена база: сигнатуры - 204891, нейропрофили - 2, микропрограммы лечения -
56, база от 08.01.2009 17:46
Загружены микропрограммы эвристики: 372
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 75597
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами
администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=085700)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 8055C700
KiST = 80504450 (284)
Функция NtCreateKey (29) перехвачена (80623786->F7476B3A), перехватчик
E:\WINDOWS\system32\Drivers\sptd.sys
Функция NtEnumerateKey (47) перехвачена (80623FC6->F7476C7E), перехватчик
E:\WINDOWS\system32\Drivers\sptd.sys
Функция NtEnumerateValueKey (49) перехвачена (80624230->F7476FF6), перехватчик
E:\WINDOWS\system32\Drivers\sptd.sys
Функция NtOpenKey (77) перехвачена (80624B58->F7476A18), перехватчик
E:\WINDOWS\system32\Drivers\sptd.sys
Функция NtQueryKey (A0) перехвачена (80624E7E->F74770C0), перехватчик
E:\WINDOWS\system32\Drivers\sptd.sys
Функция NtQueryValueKey (B1) перехвачена (806219BE->F7476F58), перехватчик
E:\WINDOWS\system32\Drivers\sptd.sys
Функция NtSetValueKey (F7) перехвачена (80621D0C->F7477148), перехватчик
E:\WINDOWS\system32\Drivers\sptd.sys
Проверено функций: 284, перехвачено: 7, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Видимый процесс с PID=2396, имя = "\Device\HarddiskVolume2\Program
Files\DrWeb\spidernt.exe"
обнаружена подмена имени, новое имя = "e:\progra~1\drweb\spidernt.exe"
Маскировка процесса с PID=3220, имя = "DrWeb32w.exe", полное имя =
"\Device\HarddiskVolume2\Program Files\DrWeb\DrWeb32w.exe"
обнаружена подмена PID (текущий PID=2247554168, реальный = 3220)
обнаружена подмена имени, новое имя = "0п┼Рх"("
Маскировка процесса с PID=5244, имя = "DrWeb32w.exe", полное имя =
"\Device\HarddiskVolume2\Program Files\DrWeb\DrWeb32w.exe"
обнаружена подмена PID (текущий PID=0, реальный = 5244)
обнаружена подмена имени, новое имя = "н}д"
Маскировка процесса с PID=4424, имя = "DrWeb32w.exe", полное имя =
"\Device\HarddiskVolume2\Program Files\DrWeb\DrWeb32w.exe"
обнаружена подмена PID (текущий PID=65536, реальный = 4424)
обнаружена подмена имени, новое имя = "Р÷"TР÷"TР÷"J/P"
Маскировка процесса с PID=4080, имя = "DrWeb32w.exe", полное имя =
"\Device\HarddiskVolume2\Program Files\DrWeb\DrWeb32w.exe"
обнаружена подмена PID (текущий PID=0, реальный = 4080)
обнаружена подмена имени, новое имя = ""
Маскировка процесса с PID=8176, имя = "DrWeb32w.exe", полное имя =
"\Device\HarddiskVolume2\Program Files\DrWeb\DrWeb32w.exe"
обнаружена подмена PID (текущий PID=6648, реальный = 8176)
обнаружена подмена имени, новое имя = "mplayerc.exe"
Маскировка процесса с PID=6628, имя = "taskmgr.exe", полное имя =
"\Device\HarddiskVolume2\WINDOWS\system32\taskmgr.exe"
обнаружена подмена PID (текущий PID=0, реальный = 6628)
обнаружена подмена имени, новое имя = ""
Маскировка процесса с PID=7524, имя = "drwreg.exe", полное имя =
"\Device\HarddiskVolume2\Program Files\DrWeb\drwreg.exe"
обнаружена подмена PID (текущий PID=65536, реальный = 7524)
обнаружена подмена имени, новое имя = ""T "T "J/P"
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 865D4EB0 -> перехватчик не
определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 865D4EB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 865D4EB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 865D4EB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 865D4EB0 -> перехватчик не
определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 865D4EB0 -> перехватчик не
определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 865D4EB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 865D4EB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 865D4EB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 865D4EB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 865D4EB0 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 85ED30E8 -> перехватчик не
определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 85ED30E8 -> перехватчик не
определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 85ED30E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 85ED30E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 85ED30E8 -> перехватчик
не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 85ED30E8 -> перехватчик не
определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 85ED30E8 -> перехватчик не
определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 85ED30E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 85ED30E8 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 80
Количество загруженных модулей: 536
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
E:\Program Files\DrWeb\drwebsp.dll --> Подозрение на Keylogger или троянскую
DLL
E:\Program Files\DrWeb\drwebsp.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для
анализа (подробности в FAQ), т.к. существует множество полезных
DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
Службы: разрешена потенциально опасная служба TermService (Службы
терминалов)
Службы: разрешена потенциально опасная служба SSDPSRV (Служба
обнаружения SSDP)
Службы: разрешена потенциально опасная служба Schedule (Планировщик
заданий)
Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер
сеанса справки для удаленного рабочего стола)
Службы: обратите внимание - набор применяемых на ПК служб зависит от
области применения ПК (домашний, ПК в ЛВС компании ...)!
Безопасность: разрешен автозапуск программ с CDROM
Безопасность: разрешен административный доступ к локальным дискам (C$,
D$ ...)
Безопасность: к ПК разрешен доступ анонимного пользователя
Безопасность: Разрешены терминальные подключения к данному ПК
Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
Нарушение ассоциации REG файлов
Таймаут завершения служб находится за пределами допустимых значений
Проверка завершена
Просканировано файлов: 616, извлечено из архивов: 0, найдено вредоносных
программ 0, подозрений - 0
Сканирование завершено в 09.01.2009 18:49:20
Сканирование длилось 00:00:47
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным
объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info
=== Конец Windows Clipboard ===


сканер с базами 17:24 промолчал


перегружаюсь



Всего Наилучшего All!
Удачи, /*Wit*/
Alexey Podtoptalow
2009-01-09 17:46:25 UTC
Permalink
Hello, Vitaliy!
09 янваpя 09 from Vitaliy Geydeko to All :

VG> spidernt.exe есть в пpоцессах, не снимается
VG> "официально" включен
И не должен сниматься, защитник не даст. Тепеpь всё чеpез него.
VG> пpи попытки копиpования виpуса молчит . гад
VG> выключить/включить не помогло.
А что за виpус такой ?

VG> E:\WINDOWS\system32\Drivers\sptd.sys Функция NtEnumerateKey (47)
VG> пеpехвачена (80623FC6->F7476C7E), пеpехватчик
Это Alcohol 120%. Та ещё штучка.

VG> \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 865D4EB0 -> пеpехватчик не
VG> опpеделен \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 865D4EB0 ->
Раз у тебя pаботает сканеp, то это не кpиминал, шилд пеpехватывает очень много
чего, скоpее всего это он и есть.

С уважением, Алексей
Vitaliy Geydeko
2009-01-10 10:11:07 UTC
Permalink
Ответ на письмо написанное в 54.POINTS.ECHOMAIL (О чем пишут мои поинты).
Привет Уважаемый Alexey!

09 января 2009 20:46, Alexey Podtoptalow писал Vitaliy Geydeko:

AP> А что за виpус такой ?

iecar :)

AP> Это Alcohol 120%. Та ещё штучка.

да знаю
вроде с этим билдом А. у меня проблем нема.

VG>> \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 865D4EB0 ->
VG>> пеpехватчик не опpеделен \FileSystem\ntfs[IRP_MJ_SET_INFORMATION]
VG>> = 865D4EB0 ->

AP> Раз у тебя pаботает сканеp, то это не кpиминал, шилд пеpехватывает
AP> очень много чего, скоpее всего это он и есть.

пасибо

моя ошибка была в том , что я поставил 5 поверх 4.44
полный вынос решил проблему

Всего Наилучшего Alexey!
Удачи, /*Wit*/

Loading...