Обнаружены вирусы- trojan.win32.badur.gjov; packed.win32.krap.hc

[Andreyuser]

Антивирус kaspersky internet security 2014 обнаружил вирусы и поместил в карантин. Отчет сканирования прикрепляю. Еще сделал проверку на уязвимости и было обнаружено в браузере internet explorer^

1)Microsoft Internet Explorer: некоторые сайты сохранили данные (Cookies) на вашем компьютере  

 

2)Microsoft Internet Explorer: изменена домашняя страница

 

Нажал исправить уязвимости. 

 

В отчете утилиты avz обнаружены перехватчики процессоввыделены красным)

Драйвер успешно загружен

 SDT найдена (RVA=085700)

 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000

   SDT = 8055C700

   KiST = 80504480 (284)

1.5 Проверка обработчиков IRP

 Драйвер успешно загружен

\FileSystem\ntfs[iRP_MJ_CREATE] = 8AAF01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_CLOSE] = 8AAF01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_WRITE] = 8AAF01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_INFORMATION] = 8AAF01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_INFORMATION] = 8AAF01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_EA] = 8AAF01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_EA] = 8AAF01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_VOLUME_INFORMATION] = 8AAF01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_VOLUME_INFORMATION] = 8AAF01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_DIRECTORY_CONTROL] = 8AAF01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_FILE_SYSTEM_CONTROL] = 8AAF01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_DEVICE_CONTROL] = 8AAF01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_LOCK_CONTROL] = 8AAF01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_SECURITY] = 8AAF01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_SECURITY] = 8AAF01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_PNP] = 8AAF01F8 -> перехватчик не определен

Помогите пожалуйста. 

 

[thyrex]

Антивирус явно нелицензионный, ибо trojan.win32.badur.gjov был найден в файле с ворованными ключами, похоже

 

packed.win32.krap.hc найден в резервном хранилище системы. Отключите и заново включите восстановление системы на диске С

 

В остальном плохого не увидел

[Andreyuser]

Можно ли удалить все контрольные точки восстановления системы?

Что значит уязвимость Обнаружен уязвимый объект (файл) - C:\Program Files\GRETECH\GomPlayer\GOM.EXE -эту программу надо удалять? В avz был обнаружен вызов интерпретатора командной строки в автозапуске hkcmd.exe - это что за файл? 

в корне диска C: есть папка: ~ErdUserProfile.$$$-в ней вложены 3-и подпапки Desktop;  My Documents; Recent. - можно ли их удалить, т.к. они пустые. 

Изменено 16 февраля, 2014 пользователем Andreyuser

[thyrex]

 

 

Можно ли удалить все контрольные точки восстановления системы?

Я же написал

 

 

Отключите и заново включите восстановление системы на диске С

Обнаружен уязвимый объект (файл) - C:\Program Files\GRETECH\GomPlayer\GOM.EXE

Обновите плейер до последней версии

 

 

 

В avz был обнаружен вызов интерпретатора командной строки в автозапуске hkcmd.exe - это что за файл? 

Легитимный, не трогайте

 

 

 

в корне диска C: есть папка: ~ErdUserProfile.$$$

ERDCommander когда-то использовали. Это от него следы. Удаляйте

[Andreyuser]

Не могу открыть папку в корне диска C: появляется ошибка отказ в доступе. Путь к папке:C:\ 73244f877b73cb5d2ae2763c 

[thyrex]

Временная папка от одного из установленных обновлений для системы. Угрозы не представляет

[Andreyuser]

Сделал повторное сканирование антивирусом, пишет обнаружено 2 угрозы. Лог сканирования выкладываю.

[Roman_Five]

а что не понятно? в вердикте же явно написано  "не-вирус"

[Andreyuser]

В журнале событий появилась такая ошибка:

журнал:

 

Тип события: Ошибка

Источник события: Schannel

Категория события: Отсутствует

Код события: 36876

Дата: 21.02.2014

Время: 12:46:17

Пользователь: Н/Д

Компьютер: USER-4E85909771

Описание:

Сертификат, полученный от удаленного клиентского приложения, не прошел проверку. Код ошибки - 0x80092012. Не удалось выполнить запрос на подключение SSL.  В данных содержится клиентский сертификат.

Данные:

0000: 30 82 03 da 30 82 02 c2   0.?0.?

0008: a0 03 02 01 02 02 09 00    .......

0010: b2 44 e4 ce 41 cb 2f 37   ?D??A?/7

0018: 30 0d 06 09 2a 86 48 86   0...*H

0020: f7 0d 01 01 05 05 00 30   ?......0

0028: 55 31 1a 30 18 06 03 55   U1.0...U

0030: 04 0a 13 11 4b 61 73 70   ....Kasp

0038: 65 72 73 6b 79 20 4c 61   ersky La

0040: 62 20 5a 41 4f 31 37 30   b ZAO170

0048: 35 06 03 55 04 03 13 2e   5..U....

0050: 4b 61 73 70 65 72 73 6b   Kaspersk

0058: 79 20 41 6e 74 69 2d 56   y Anti-V

0060: 69 72 75 73 20 50 65 72   irus Per

0068: 73 6f 6e 61 6c 20 52 6f   sonal Ro

0070: 6f 74 20 43 65 72 74 69   ot Certi

0078: 66 69 63 61 74 65 30 1e   ficate0.

0080: 17 0d 31 33 30 31 32 35   ..130125

0088: 30 30 30 30 30 30 5a 17   000000Z.

0090: 0d 31 35 30 31 33 30 31   .1501301

0098: 32 30 30 30 30 5a 30 67   20000Z0g

00a0: 31 0b 30 09 06 03 55 04   1.0...U.

00a8: 06 13 02 4e 4f 31 0d 30   ...NO1.0

00b0: 0b 06 03 55 04 08 13 04   ...U....

00b8: 4f 73 6c 6f 31 0d 30 0b   Oslo1.0.

00c0: 06 03 55 04 07 13 04 4f   ..U....O

00c8: 73 6c 6f 31 1b 30 19 06   slo1.0..

00d0: 03 55 04 0a 13 12 4f 70   .U....Op

00d8: 65 72 61 20 53 6f 66 74   era Soft

00e0: 77 61 72 65 20 41 53 41   ware ASA

00e8: 31 1d 30 1b 06 03 55 04   1.0...U.

00f0: 03 13 14 61 75 74 6f 75   ...autou

00f8: 70 64 61 74 65 2e 6f 70   pdate.op

0100: 65 72 61 2e 63 6f 6d 30   era.com0

0108: 82 01 22 30 0d 06 09 2a   ."0...*

0110: 86 48 86 f7 0d 01 01 01   H?....

0118: 05 00 03 82 01 0f 00 30   ......0

0120: 82 01 0a 02 82 01 01 00   ......

0128: a1 da 74 3d f3 ad d4 52   ??t=?­?R

0130: 27 86 63 a8 37 cc 13 9d   'c?7?.

0138: 92 fc 98 0c 66 bf 4f 4f   ?.f?OO

0140: 5c e0 05 e4 72 4e ac 83   \?.?rN¬

0148: 0f 1d 93 1b ce 1e 2a ad   ...?.*­

0150: 98 37 48 9d 75 75 a0 1f   7Huu .

0158: 06 af 9d ad 95 01 6b 6e   .?­.kn

0160: db 5e 5c 83 4b a7 3d 36   ?^\K§=6

0168: 65 8f d4 c0 5d 0c b6 ae   e??].¶®

0170: f7 9e ad 56 ac 5e dc 69   ?­V¬^?i

0178: 33 2a 44 b2 5d 9c f9 b6   3*D?]?¶

0180: e7 2a 01 58 0c df 06 8c   ?*.X.?.

0188: 43 3a 3f 17 b0 d6 98 32   C:?.°?2

0190: 84 f9 c1 4b 51 bb 1f cb   ??KQ».?

0198: a6 b6 21 3b 56 ef 35 51   ¦¶!;V?5Q

01a0: 65 56 e1 2b 27 69 51 09   eV?+'iQ.

01a8: 46 14 67 12 a0 f4 17 88   F.g. ?.

01b0: 20 a3 55 74 aa b9 59 17    ?Ut??Y.

01b8: d8 e0 ac 96 dc 6d 87 40   ??¬?m@

01c0: a0 f5 8e 04 a6 73 76 63    ?.¦svc

01c8: 87 0c a6 19 3b fc 08 17   .¦.;?..

01d0: 5f 5b 75 a9 eb 62 e3 c1   _[u©?b??

01d8: f1 9a 6c b7 a4 d5 c4 ef   ?l·¤???

01e0: 3e 9a b7 e6 c2 12 13 04   >·??...

01e8: 32 fe a3 99 1e 53 b5 1d   2??.Sµ.

01f0: 2b ee 95 76 08 b9 9e be   +?v.??

01f8: ce 95 72 ab 79 36 17 f5   ?r«y6.?

0200: 4a aa f0 15 32 22 6d bf   J??.2"m?

0208: 4e c2 cd dc 5e e3 4a f2   N???^?J?

0210: 74 f3 a8 20 38 6a 8f ac   t?? 8j¬

0218: 4a a5 1a a2 0d 5c 8f 81   J?.?.\

0220: 40 93 de a7 c9 04 33 87   @?§?.3

0228: 02 03 01 00 01 a3 81 9a   .....?

0230: 30 81 97 30 58 06 03 55   00X..U

0238: 1d 11 04 51 30 4f 82 14   ...Q0O.

0240: 61 75 74 6f 75 70 64 61   autoupda

0248: 74 65 2e 6f 70 65 72 61   te.opera

0250: 2e 63 6f 6d 82 18 61 75   .com.au

0258: 74 6f 75 70 64 61 74 65   toupdate

0260: 2e 67 65 6f 2e 6f 70 65   .geo.ope

0268: 72 61 2e 63 6f 6d 82 0d   ra.com.

0270: 78 6d 6c 2e 6f 70 65 72   xml.oper

0278: 61 2e 63 6f 6d 82 0e 68   a.com.h

0280: 65 6c 70 2e 6f 70 65 72   elp.oper

0288: 61 2e 63 6f 6d 30 0c 06   a.com0..

0290: 03 55 1d 13 01 01 ff 04   .U....?.

0298: 02 30 00 30 0e 06 03 55   .0.0...U

02a0: 1d 0f 01 01 ff 04 04 03   ....?...

02a8: 02 05 a0 30 1d 06 03 55   .. 0...U

02b0: 1d 25 04 16 30 14 06 08   .%..0...

02b8: 2b 06 01 05 05 07 03 01   +.......

02c0: 06 08 2b 06 01 05 05 07   ..+.....

02c8: 03 02 30 0d 06 09 2a 86   ..0...*

02d0: 48 86 f7 0d 01 01 05 05   H?.....

02d8: 00 03 82 01 01 00 64 96   .....d

02e0: fc 72 d3 80 01 a0 4f 20   ?r?. O 

02e8: 27 c7 40 a5 89 99 2d 5f   '?@?-_

02f0: 30 57 41 1f 4b 91 20 46   0WA.K F

02f8: d1 7d 35 cb a9 7d 82 c3   ?}5?©}?

0300: 97 d7 91 47 69 d7 e4 6c   ?Gi??l

0308: 6b 7d 2a 79 d9 45 51 6c   k}*y?EQl

0310: 71 ce 97 27 f5 90 41 15   q?'?A.

0318: 4c 89 15 b7 8c a1 0c 41   L.·?.A

0320: 40 af b2 40 53 6c 28 a9   @??@Sl(©

0328: 2f 2f d0 08 26 21 6e b8   //?.&!n?

0330: 66 94 3b 43 63 fc 54 8b   f;Cc?T

0338: 05 aa 94 42 e4 01 f4 c6   .?B?.??

0340: 18 7c 0b 1b c7 2c ef db   .|..?,??

0348: 3f 1d 6d b5 35 32 b2 40   ?.mµ52?@

0350: 0e 2b d0 4e b7 d8 f3 42   .+?N·??B

0358: ca fc c8 2c 3f d4 fd 59   ???,???Y

0360: 1e 69 43 55 d7 d1 06 3e   .iCU??.>

0368: 9e f2 ac e0 93 fa 6a d2   ?¬??j?

0370: d9 df 1e ce f0 52 ea 6c   ??.??R?l

0378: 0e 24 47 70 c3 6f 8f d6   .$Gp?o?

0380: ca 7d 0e a2 28 de 40 84   ?}.?(?@

0388: 0c d7 2f 8d 1a 80 a3 60   .?/.?`

0390: 0f 57 7b 5e 4f c1 13 90   .W{^O?.

0398: d3 53 06 21 d9 67 40 20   ?S.!?g@ 

03a0: 75 2b bc 9d 07 1d be 31   u+?..?1

03a8: 20 df d1 c7 f4 6a 9a 57    ????jW

03b0: b7 88 4d 96 03 4d 44 ed   ·M.MD?

03b8: b0 2d db 75 5b 6c c7 b5   °-?u[l?µ

03c0: 6d 57 1c 78 c3 09 0c 4b   mW.x?..K

03c8: ef b6 f7 dc 7e b2 38 0b   ?¶??~?8.

03d0: 5f 8d b3 c2 46 4b ff 93   _??FK?

03d8: 33 7d 30 db 8a d8         3}0??