Сергей Малюгин 0 Опубликовано 28 декабря, 2013 Share Опубликовано 28 декабря, 2013 Помогите с этой заразой:Покупка декриптора: perfect.mind@aol.comКлюч хранится 3 суток. (до 24.12.2013)Обращения после 24.12.2013 будут игнорироваться.В теме письма укажите ваш ID:450154665604Стоимость ключа будет увеличиваться ежедневно.Торга нет и не будет.Действия, которые могут привести к удалению ключа:- Оскорбления- Угрозы- Запрос платежных реквизитов без последующей оплатыДанные AVZ: Протокол антивирусной утилиты AVZ версии 4.41Сканирование запущено в 29.12.2013 01:41:36Загружена база: сигнатуры - 297613, нейропрофили - 2, микропрограммы лечения - 56, база от 28.12.2013 16:00Загружены микропрограммы эвристики: 405Загружены микропрограммы ИПУ: 9Загружены цифровые подписи системных файлов: 630585Режим эвристического анализатора: Средний уровень эвристикиРежим лечения: включеноВерсия Windows: 6.1.7601, Service Pack 1 ; AVZ работает с правами администратораВосстановление системы: включено1. Поиск RootKit и программ, перехватывающих функции API1.1 Поиск перехватчиков API, работающих в UserModeАнализ kernel32.dll, таблица экспорта найдена в секции .textАнализ ntdll.dll, таблица экспорта найдена в секции .textАнализ user32.dll, таблица экспорта найдена в секции .textАнализ advapi32.dll, таблица экспорта найдена в секции .textАнализ ws2_32.dll, таблица экспорта найдена в секции .textАнализ wininet.dll, таблица экспорта найдена в секции .textАнализ rasapi32.dll, таблица экспорта найдена в секции .textАнализ urlmon.dll, таблица экспорта найдена в секции .textАнализ netapi32.dll, таблица экспорта найдена в секции .text1.2 Поиск перехватчиков API, работающих в KernelModeДрайвер успешно загруженSDT найдена (RVA=169B00)Ядро ntkrnlpa.exe обнаружено в памяти по адресу 83A40000SDT = 83BA9B00KiST = 83ABE43C (401)Функция NtAlertResumeThread (0D) перехвачена (83D1EDA3->88A92B38), перехватчик не определенФункция NtAlertThread (0E) перехвачена (83C71CC7->88A780B0), перехватчик не определенФункция NtAllocateVirtualMemory (13) перехвачена (83C6ACBC->88CC5278), перехватчик не определенФункция NtConnectPort (3B) перехвачена (83CB90A0->88C02B80), перехватчик не определенФункция NtCreateKey (46) перехвачена (83C42009->83A40FEC), перехватчик C:\Windows\system32\ntkrnlpa.exe, драйвер опознан как безопасныйФункция NtCreateMutant (4A) перехвачена (83C5135A->88692FC0), перехватчик не определенФункция NtCreateThread (57) перехвачена (83D1CFDA->88E7DB70), перехватчик не определенФункция NtFreeVirtualMemory (83) перехвачена (83AF982C->88F5E0B0), перехватчик не определенФункция NtImpersonateAnonymousToken (91) перехвачена (83C36970->88AAB2E8), перехватчик не определенФункция NtImpersonateThread (93) перехвачена (83CBA992->88A99BE0), перехватчик не определенФункция NtMapViewOfSection (A8) перехвачена (83C875F1->88664710), перехватчик не определенФункция NtOpenEvent (B1) перехвачена (83C50D56->88AAB668), перехватчик не определенФункция NtOpenKey (B6) перехвачена (83C8C8D2->83A40FF1), перехватчик C:\Windows\system32\ntkrnlpa.exe, драйвер опознан как безопасныйФункция NtOpenProcessToken (BF) перехвачена (83CA537F->88A1C0B0), перехватчик не определенФункция NtOpenThreadToken (C7) перехвачена (83CB967B->8866D6D8), перехватчик не определенФункция NtProtectVirtualMemory (D7) перехвачена (83C83651->94D216B0), перехватчик C:\Windows\system32\drivers\wpsdrvnt.sys, драйвер опознан как безопасныйФункция NtResumeThread (130) перехвачена (83CB16D2->88819710), перехватчик не определенФункция NtSetContextThread (13C) перехвачена (83D1E84F->88A15098), перехватчик не определенФункция NtSetInformationProcess (14D) перехвачена (83C79875->88EF0480), перехватчик не определенФункция NtSetInformationThread (14F) перехвачена (83CAAE36->88662E10), перехватчик не определенФункция NtSuspendProcess (16E) перехвачена (83D1ECDF->88AC2648), перехватчик не определенФункция NtSuspendThread (16F) перехвачена (83CD61CB->88A5C938), перехватчик не определенФункция NtTerminateProcess (172) перехвачена (83C9BD9A->88839240), перехватчик не определенФункция NtTerminateThread (173) перехвачена (83CB96CB->889FAA08), перехватчик не определенФункция NtUnmapViewOfSection (181) перехвачена (83CA59BA->88879A40), перехватчик не определенФункция NtWriteVirtualMemory (18F) перехвачена (83CA0A97->8868D4A0), перехватчик не определенПроверено функций: 401, перехвачено: 26, восстановлено: 01.3 Проверка IDT и SYSENTERАнализ для процессора 1>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [bC95616D] C:\Windows\system32\drivers\Haspnt.sys, драйвер опознан как безопасный>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [bC955FC2] C:\Windows\system32\drivers\Haspnt.sys, драйвер опознан как безопасныйАнализ для процессора 2>>> Опасно - подозрение на подмену адреса ЦП[2].IDT[06] = [bC95616D] C:\Windows\system32\drivers\Haspnt.sys, драйвер опознан как безопасный>>> Опасно - подозрение на подмену адреса ЦП[2].IDT[0E] = [bC955FC2] C:\Windows\system32\drivers\Haspnt.sys, драйвер опознан как безопасныйПроверка IDT и SYSENTER завершена1.4 Поиск маскировки процессов и драйверовМаскировка процесса с PID=308, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 308)Маскировка процесса с PID=532, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 532)Маскировка процесса с PID=1016, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 1016)Маскировка процесса с PID=1752, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 1752)Маскировка процесса с PID=1980, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 1980)Маскировка процесса с PID=1340, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 1340)Маскировка процесса с PID=2092, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 2092)Маскировка процесса с PID=2156, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 2156)Маскировка процесса с PID=2188, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 2188)Маскировка процесса с PID=2240, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 2240)Маскировка процесса с PID=2272, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 2272)Маскировка процесса с PID=2556, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 2556)Маскировка процесса с PID=2604, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 2604)Маскировка процесса с PID=2984, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 2984)Маскировка процесса с PID=3192, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 3192)Маскировка процесса с PID=3332, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 3332)Маскировка процесса с PID=3376, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 3376)Маскировка процесса с PID=3384, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 3384)Маскировка процесса с PID=3440, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 3440)Маскировка процесса с PID=3704, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 3704)Маскировка процесса с PID=3712, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 3712)Маскировка процесса с PID=3940, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 3940)Маскировка процесса с PID=3440, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 3440)Маскировка процесса с PID=3896, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 3896)Маскировка процесса с PID=2084, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 2084)Маскировка процесса с PID=2952, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 2952)Маскировка процесса с PID=3032, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 3032)Маскировка процесса с PID=4108, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 4108)Маскировка процесса с PID=4324, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 4324)Маскировка процесса с PID=4372, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 4372)Маскировка процесса с PID=4944, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 4944)Маскировка процесса с PID=5148, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 5148)Маскировка процесса с PID=5328, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 5328)Маскировка процесса с PID=5396, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 5396)Маскировка процесса с PID=5456, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 5456)Маскировка процесса с PID=5548, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 5548)Маскировка процесса с PID=5580, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 5580)Маскировка процесса с PID=5616, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 5616)Маскировка процесса с PID=5636, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 5636)Маскировка процесса с PID=5656, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 5656)Маскировка процесса с PID=5688, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 5688)Маскировка процесса с PID=5696, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 5696)Маскировка процесса с PID=5816, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 5816)Маскировка процесса с PID=2560, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 2560)Маскировка процесса с PID=2276, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 2276)Маскировка процесса с PID=4620, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 4620)Маскировка процесса с PID=4996, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 4996)Маскировка процесса с PID=5704, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 5704)Маскировка процесса с PID=5608, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 5608)Маскировка процесса с PID=3296, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 3296)Маскировка процесса с PID=1772, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 1772)Маскировка процесса с PID=1640, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 1640)Маскировка процесса с PID=2512, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 2512)Маскировка процесса с PID=4976, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 4976)Маскировка процесса с PID=5336, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 5336)Маскировка процесса с PID=1492, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 1492)Маскировка процесса с PID=5704, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 5704)Маскировка процесса с PID=2288, имя = "">> обнаружена подмена PID (текущий PID=0, реальный = 2288)Поиск маскировки процессов и драйверов завершен1.5 Проверка обработчиков IRPДрайвер успешно загруженПроверка завершена2. Проверка памятиКоличество найденных процессов: 78Количество загруженных модулей: 763Проверка памяти завершена3. Сканирование дисковПрямое чтение C:\ProgramData\Symantec\SRTSP\Quarantine\APQ45DC.tmpПрямое чтение C:\ProgramData\Symantec\SRTSP\Quarantine\APQ631D.tmpПрямое чтение C:\ProgramData\Symantec\SRTSP\Quarantine\APQ89BE.tmpПрямое чтение C:\ProgramData\Symantec\SRTSP\Quarantine\APQF6F3.tmpПрямое чтение C:\Users\Сергей\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.tmpD:\Игры\Новая папка\ArcheAge\Bin32\awesomiumprocess.exe >>> подозрение на Trojan.Win32.Vapsup.mka ( 0A413B5B 0836EC59 001D2664 00203B29 344064)4. Проверка Winsock Layered Service Provider (SPI/LSP)Настройки LSP проверены. Ошибок не обнаружено5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)6. Поиск открытых портов TCP/UDP, используемых вредоносными программамиПроверка отключена пользователем7. Эвристичеcкая проверка системыПодозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\Windows\system32\nvinit.dll"Обнаружен вызов интерпретатора командной строки в автозапуске [DR=1] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\HotKeysCmds = [C:\Windows\system32\hkcmd.exe]Подозрение на скрытый автозапуск - HKCU\Software\Microsoft\Windows\CurrentVersion\Run\NextLive="C:\Windows\system32\rundll32.exe "C:\Users\Сергей\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l">>> C:\Users\Сергей\appdata\roaming\digita~1\update~1\update~1.exe ЭПС: подозрение на Файл с подозрительным именем (CH)Проверка завершена8. Поиск потенциальных уязвимостей>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!>> Безопасность: разрешен автозапуск программ с CDROM>> Безопасность: к ПК разрешен доступ анонимного пользователя>> Безопасность: Разрешена отправка приглашений удаленному помощникуПроверка завершена9. Мастер поиска и устранения проблем>> Таймаут завершения процессов находится за пределами допустимых значений>> Таймаут завершения служб находится за пределами допустимых значенийПроверка завершенаПросканировано файлов: 207561, извлечено из архивов: 104142, найдено вредоносных программ 0, подозрений - 1Сканирование завершено в 29.12.2013 02:17:48Сканирование длилось 00:36:15Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZможно использовать сервис http://virusdetector.ru/ Сообщение от модератора Mark D. Pearlstone Перенесено из темы http://forum.kasperskyclub.ru/index.php?showtopic=9405 Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 704 Опубликовано 28 декабря, 2013 Share Опубликовано 28 декабря, 2013 Порядок оформления запроса о помощи http://forum.kasperskyclub.ru/index.php?showtopic=31551 Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 28 декабря, 2013 Share Опубликовано 28 декабря, 2013 + Перед диагностикой отключите драйвер расширенного мониторинга процессов AVZPM. Ссылка на сообщение Поделиться на другие сайты
Сергей Малюгин 0 Опубликовано 28 декабря, 2013 Автор Share Опубликовано 28 декабря, 2013 + Перед диагностикой отключите драйвер расширенного мониторинга процессов AVZ как это сделать? Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 28 декабря, 2013 Share Опубликовано 28 декабря, 2013 Отключите - Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828) Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ: begin SetAVZPMStatus(false); RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки делайте логи по правилам раздела. Ссылка на сообщение Поделиться на другие сайты
Сергей Малюгин 0 Опубликовано 28 декабря, 2013 Автор Share Опубликовано 28 декабря, 2013 Отключите - Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828) Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ: begin SetAVZPMStatus(false); RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки делайте логи по правилам раздела. нет востоновления, вирус как был так и сидит Отключите - Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828) Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ: begin SetAVZPMStatus(false); RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки делайте логи по правилам раздела. нет востоновления, вирус как был так и сидит к примеру Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 704 Опубликовано 28 декабря, 2013 Share Опубликовано 28 декабря, 2013 @Сергей Малюгин, внимательно читайте, что вам пишут. Выполните правила радела http://forum.kasperskyclub.ru/index.php?showtopic=31551 Ссылка на сообщение Поделиться на другие сайты
Сергей Малюгин 0 Опубликовано 28 декабря, 2013 Автор Share Опубликовано 28 декабря, 2013 было фото, стал Файл "PERFECT" (.perfect) Отключите - Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828) Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ: begin SetAVZPMStatus(false); RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки делайте логи по правилам раздела. нет именений( Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 28 декабря, 2013 Share Опубликовано 28 декабря, 2013 Логи по правилам раздела где? Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 704 Опубликовано 28 декабря, 2013 Share Опубликовано 28 декабря, 2013 @Сергей Малюгин Сообщение от модератора Mark D. Pearlstone Если вы не выполните правила раздела, то тема будет закрыта. Ссылка на сообщение Поделиться на другие сайты
Сергей Малюгин 0 Опубликовано 28 декабря, 2013 Автор Share Опубликовано 28 декабря, 2013 я прошу о помощи, а вы мне про разделы и логи, так и скажите, что бессильным perfect.mind@aol.com Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 704 Опубликовано 28 декабря, 2013 Share Опубликовано 28 декабря, 2013 Сообщение от модератора Mark D. Pearlstone Тема закрыта. 1 Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения