Перейти к содержанию

Рекомендуемые сообщения

Помогите с этой заразой:

Покупка декриптора: perfect.mind@aol.com
Ключ хранится 3 суток. (до 24.12.2013)
Обращения после 24.12.2013 будут игнорироваться.
В теме письма укажите ваш ID:450154665604
Стоимость ключа будет увеличиваться ежедневно.
Торга нет и не будет.

Действия, которые могут привести к удалению ключа:
- Оскорбления
- Угрозы
- Запрос платежных реквизитов без последующей оплаты


Данные AVZ:

Протокол антивирусной утилиты AVZ версии 4.41
Сканирование запущено в 29.12.2013 01:41:36
Загружена база: сигнатуры - 297613, нейропрофили - 2, микропрограммы лечения - 56, база от 28.12.2013 16:00
Загружены микропрограммы эвристики: 405
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 630585
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 6.1.7601, Service Pack 1 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=169B00)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 83A40000
SDT = 83BA9B00
KiST = 83ABE43C (401)
Функция NtAlertResumeThread (0D) перехвачена (83D1EDA3->88A92B38), перехватчик не определен
Функция NtAlertThread (0E) перехвачена (83C71CC7->88A780B0), перехватчик не определен
Функция NtAllocateVirtualMemory (13) перехвачена (83C6ACBC->88CC5278), перехватчик не определен
Функция NtConnectPort (3B) перехвачена (83CB90A0->88C02B80), перехватчик не определен
Функция NtCreateKey (46) перехвачена (83C42009->83A40FEC), перехватчик C:\Windows\system32\ntkrnlpa.exe, драйвер опознан как безопасный
Функция NtCreateMutant (4A) перехвачена (83C5135A->88692FC0), перехватчик не определен
Функция NtCreateThread (57) перехвачена (83D1CFDA->88E7DB70), перехватчик не определен
Функция NtFreeVirtualMemory (83) перехвачена (83AF982C->88F5E0B0), перехватчик не определен
Функция NtImpersonateAnonymousToken (91) перехвачена (83C36970->88AAB2E8), перехватчик не определен
Функция NtImpersonateThread (93) перехвачена (83CBA992->88A99BE0), перехватчик не определен
Функция NtMapViewOfSection (A8) перехвачена (83C875F1->88664710), перехватчик не определен
Функция NtOpenEvent (B1) перехвачена (83C50D56->88AAB668), перехватчик не определен
Функция NtOpenKey (B6) перехвачена (83C8C8D2->83A40FF1), перехватчик C:\Windows\system32\ntkrnlpa.exe, драйвер опознан как безопасный
Функция NtOpenProcessToken (BF) перехвачена (83CA537F->88A1C0B0), перехватчик не определен
Функция NtOpenThreadToken (C7) перехвачена (83CB967B->8866D6D8), перехватчик не определен
Функция NtProtectVirtualMemory (D7) перехвачена (83C83651->94D216B0), перехватчик C:\Windows\system32\drivers\wpsdrvnt.sys, драйвер опознан как безопасный
Функция NtResumeThread (130) перехвачена (83CB16D2->88819710), перехватчик не определен
Функция NtSetContextThread (13C) перехвачена (83D1E84F->88A15098), перехватчик не определен
Функция NtSetInformationProcess (14D) перехвачена (83C79875->88EF0480), перехватчик не определен
Функция NtSetInformationThread (14F) перехвачена (83CAAE36->88662E10), перехватчик не определен
Функция NtSuspendProcess (16E) перехвачена (83D1ECDF->88AC2648), перехватчик не определен
Функция NtSuspendThread (16F) перехвачена (83CD61CB->88A5C938), перехватчик не определен
Функция NtTerminateProcess (172) перехвачена (83C9BD9A->88839240), перехватчик не определен
Функция NtTerminateThread (173) перехвачена (83CB96CB->889FAA08), перехватчик не определен
Функция NtUnmapViewOfSection (181) перехвачена (83CA59BA->88879A40), перехватчик не определен
Функция NtWriteVirtualMemory (18F) перехвачена (83CA0A97->8868D4A0), перехватчик не определен
Проверено функций: 401, перехвачено: 26, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [bC95616D] C:\Windows\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [bC955FC2] C:\Windows\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
Анализ для процессора 2
>>> Опасно - подозрение на подмену адреса ЦП[2].IDT[06] = [bC95616D] C:\Windows\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
>>> Опасно - подозрение на подмену адреса ЦП[2].IDT[0E] = [bC955FC2] C:\Windows\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=308, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 308)
Маскировка процесса с PID=532, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 532)
Маскировка процесса с PID=1016, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1016)
Маскировка процесса с PID=1752, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1752)
Маскировка процесса с PID=1980, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1980)
Маскировка процесса с PID=1340, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1340)
Маскировка процесса с PID=2092, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2092)
Маскировка процесса с PID=2156, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2156)
Маскировка процесса с PID=2188, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2188)
Маскировка процесса с PID=2240, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2240)
Маскировка процесса с PID=2272, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2272)
Маскировка процесса с PID=2556, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2556)
Маскировка процесса с PID=2604, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2604)
Маскировка процесса с PID=2984, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2984)
Маскировка процесса с PID=3192, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3192)
Маскировка процесса с PID=3332, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3332)
Маскировка процесса с PID=3376, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3376)
Маскировка процесса с PID=3384, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3384)
Маскировка процесса с PID=3440, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3440)
Маскировка процесса с PID=3704, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3704)
Маскировка процесса с PID=3712, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3712)
Маскировка процесса с PID=3940, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3940)
Маскировка процесса с PID=3440, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3440)
Маскировка процесса с PID=3896, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3896)
Маскировка процесса с PID=2084, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2084)
Маскировка процесса с PID=2952, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2952)
Маскировка процесса с PID=3032, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3032)
Маскировка процесса с PID=4108, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4108)
Маскировка процесса с PID=4324, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4324)
Маскировка процесса с PID=4372, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4372)
Маскировка процесса с PID=4944, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4944)
Маскировка процесса с PID=5148, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 5148)
Маскировка процесса с PID=5328, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 5328)
Маскировка процесса с PID=5396, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 5396)
Маскировка процесса с PID=5456, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 5456)
Маскировка процесса с PID=5548, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 5548)
Маскировка процесса с PID=5580, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 5580)
Маскировка процесса с PID=5616, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 5616)
Маскировка процесса с PID=5636, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 5636)
Маскировка процесса с PID=5656, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 5656)
Маскировка процесса с PID=5688, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 5688)
Маскировка процесса с PID=5696, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 5696)
Маскировка процесса с PID=5816, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 5816)
Маскировка процесса с PID=2560, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2560)
Маскировка процесса с PID=2276, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2276)
Маскировка процесса с PID=4620, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4620)
Маскировка процесса с PID=4996, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4996)
Маскировка процесса с PID=5704, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 5704)
Маскировка процесса с PID=5608, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 5608)
Маскировка процесса с PID=3296, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3296)
Маскировка процесса с PID=1772, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1772)
Маскировка процесса с PID=1640, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1640)
Маскировка процесса с PID=2512, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2512)
Маскировка процесса с PID=4976, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4976)
Маскировка процесса с PID=5336, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 5336)
Маскировка процесса с PID=1492, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1492)
Маскировка процесса с PID=5704, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 5704)
Маскировка процесса с PID=2288, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2288)
Поиск маскировки процессов и драйверов завершен
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 78
Количество загруженных модулей: 763
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\ProgramData\Symantec\SRTSP\Quarantine\APQ45DC.tmp
Прямое чтение C:\ProgramData\Symantec\SRTSP\Quarantine\APQ631D.tmp
Прямое чтение C:\ProgramData\Symantec\SRTSP\Quarantine\APQ89BE.tmp
Прямое чтение C:\ProgramData\Symantec\SRTSP\Quarantine\APQF6F3.tmp
Прямое чтение C:\Users\Сергей\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.tmp
D:\Игры\Новая папка\ArcheAge\Bin32\awesomiumprocess.exe >>> подозрение на Trojan.Win32.Vapsup.mka ( 0A413B5B 0836EC59 001D2664 00203B29 344064)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\Windows\system32\nvinit.dll"
Обнаружен вызов интерпретатора командной строки в автозапуске [DR=1] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\HotKeysCmds = [C:\Windows\system32\hkcmd.exe]
Подозрение на скрытый автозапуск - HKCU\Software\Microsoft\Windows\CurrentVersion\Run\NextLive="C:\Windows\system32\rundll32.exe "C:\Users\Сергей\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l"
>>> C:\Users\Сергей\appdata\roaming\digita~1\update~1\update~1.exe ЭПС: подозрение на Файл с подозрительным именем (CH)
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Таймаут завершения процессов находится за пределами допустимых значений
>> Таймаут завершения служб находится за пределами допустимых значений
Проверка завершена
Просканировано файлов: 207561, извлечено из архивов: 104142, найдено вредоносных программ 0, подозрений - 1
Сканирование завершено в 29.12.2013 02:17:48
Сканирование длилось 00:36:15
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ
можно использовать сервис http://virusdetector.ru/

 

Сообщение от модератора Mark D. Pearlstone
Перенесено из темы http://forum.kasperskyclub.ru/index.php?showtopic=9405

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Порядок оформления запроса о помощи http://forum.kasperskyclub.ru/index.php?showtopic=31551

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

+ Перед диагностикой отключите драйвер расширенного мониторинга процессов AVZPM. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

+ Перед диагностикой отключите драйвер расширенного мониторинга процессов AVZ

как это сделать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Отключите

- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

 



begin
SetAVZPMStatus(false);
RebootWindows(true);
end.


 

Внимание! Будет выполнена перезагрузка компьютера.

 

После перезагрузки делайте логи по правилам раздела. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

 

Отключите
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:
 
begin
SetAVZPMStatus(false);
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера.
 
После перезагрузки делайте логи по правилам раздела. 

 

нет востоновления, вирус как был так и сидит

 

 

Отключите
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:
 
begin
SetAVZPMStatus(false);
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера.
 
После перезагрузки делайте логи по правилам раздела. 

 

нет востоновления, вирус как был так и сидит

 

к примеру

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
@Сергей Малюгин, внимательно читайте, что вам пишут. Выполните правила радела http://forum.kasperskyclub.ru/index.php?showtopic=31551

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

было фото, стал Файл "PERFECT" (.perfect)


 

Отключите
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:
 
begin
SetAVZPMStatus(false);
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера.
 
После перезагрузки делайте логи по правилам раздела. 

 

нет именений(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Логи по правилам раздела где? 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

@Сергей Малюгин

Сообщение от модератора Mark D. Pearlstone
Если вы не выполните правила раздела, то тема будет закрыта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

я прошу о помощи, а вы мне про разделы и логи, так и скажите, что бессильным perfect.mind@aol.com

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

×
×
  • Создать...