Антивирус Avira Premium 2012 в ходе очередной проверки уведомил о наличии 1 скрытого объекта. Вылечить не смог.

Тогда я скачал с сайта z-oleg.com утилиту AVZ, которая нашла вот что:

code:

---

Протокол антивирусной утилиты AVZ версии 4.39
Сканирование запущено в 19.02.2013 17:16:26
Загружена база: сигнатуры - 297614, нейропрофили - 2, микропрограммы лечения - 56, база от 19.02.2013 04:00
Загружены микропрограммы эвристики: 401
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 519516
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 6.1.7601, Service Pack 1 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:CreateProcessA (167) перехвачена, метод APICodeHijack.JmpTo[10025BF6]
>>> Код руткита в функции CreateProcessA нейтрализован
Функция kernel32.dll:CreateProcessW (171) перехвачена, метод APICodeHijack.JmpTo[10025066]
>>> Код руткита в функции CreateProcessW нейтрализован
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:LdrLoadDll (137) перехвачена, метод APICodeHijack.JmpTo[10027F36]
>>> Код руткита в функции LdrLoadDll нейтрализован
Функция ntdll.dll:LdrUnloadDll (161) перехвачена, метод APICodeHijack.JmpTo[1001D236]
>>> Код руткита в функции LdrUnloadDll нейтрализован
Функция ntdll.dll:NtAdjustPrivilegesToken (190) перехвачена, метод APICodeHijack.JmpTo[1002C3B6]
>>> Код руткита в функции NtAdjustPrivilegesToken нейтрализован
Функция ntdll.dll:NtAlpcConnectPort (200) перехвачена, метод APICodeHijack.JmpTo[1002CDD6]
>>> Код руткита в функции NtAlpcConnectPort нейтрализован
Функция ntdll.dll:NtAlpcSendWaitReceivePort (217) перехвачена, метод APICodeHijack.JmpTo[1002B666]
>>> Код руткита в функции NtAlpcSendWaitReceivePort нейтрализован
Функция ntdll.dll:NtClose (228) перехвачена, метод APICodeHijack.JmpTo[1001D116]
>>> Код руткита в функции NtClose нейтрализован
Функция ntdll.dll:NtConnectPort (237) перехвачена, метод APICodeHijack.JmpTo[1002F8A6]
>>> Код руткита в функции NtConnectPort нейтрализован
Функция ntdll.dll:NtCreateFile (244) перехвачена, метод APICodeHijack.JmpTo[1002E3F6]
>>> Код руткита в функции NtCreateFile нейтрализован
Функция ntdll.dll:NtCreateSection (262) перехвачена, метод APICodeHijack.JmpTo[1002E796]
>>> Код руткита в функции NtCreateSection нейтрализован
Функция ntdll.dll:NtCreateSymbolicLinkObject (264) перехвачена, метод APICodeHijack.JmpTo[1002BFD6]
>>> Код руткита в функции NtCreateSymbolicLinkObject нейтрализован
Функция ntdll.dll:NtCreateThread (265) перехвачена, метод APICodeHijack.JmpTo[10030076]
>>> Код руткита в функции NtCreateThread нейтрализован
Функция ntdll.dll:NtCreateThreadEx (266) перехвачена, метод APICodeHijack.JmpTo[1002CA36]
>>> Код руткита в функции NtCreateThreadEx нейтрализован
Функция ntdll.dll:NtLoadDriver (335) перехвачена, метод APICodeHijack.JmpTo[1002F696]
>>> Код руткита в функции NtLoadDriver нейтрализован
Функция ntdll.dll:NtMakeTemporaryObject (344) перехвачена, метод APICodeHijack.JmpTo[1002F216]
>>> Код руткита в функции NtMakeTemporaryObject нейтрализован
Функция ntdll.dll:NtOpenFile (359) перехвачена, метод APICodeHijack.JmpTo[1002E0F6]
>>> Код руткита в функции NtOpenFile нейтрализован
Функция ntdll.dll:NtOpenSection (374) перехвачена, метод APICodeHijack.JmpTo[1002ED86]
>>> Код руткита в функции NtOpenSection нейтрализован
Функция ntdll.dll:NtSetSystemInformation (530) перехвачена, метод APICodeHijack.JmpTo[1002F456]
>>> Код руткита в функции NtSetSystemInformation нейтрализован
Функция ntdll.dll:NtShutdownSystem (540) перехвачена, метод APICodeHijack.JmpTo[1002C666]
>>> Код руткита в функции NtShutdownSystem нейтрализован
Функция ntdll.dll:NtSystemDebugControl (548) перехвачена, метод APICodeHijack.JmpTo[1002F016]
>>> Код руткита в функции NtSystemDebugControl нейтрализован
Функция ntdll.dll:NtTerminateProcess (550) перехвачена, метод APICodeHijack.JmpTo[1002FC16]
>>> Код руткита в функции NtTerminateProcess нейтрализован
Функция ntdll.dll:NtTerminateThread (551) перехвачена, метод APICodeHijack.JmpTo[1002FE36]
>>> Код руткита в функции NtTerminateThread нейтрализован
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:BlockInput (1517) перехвачена, метод APICodeHijack.JmpTo[10018576]
>>> Код руткита в функции BlockInput нейтрализован
Функция user32.dll:EnableWindow (1725) перехвачена, метод APICodeHijack.JmpTo[10017E96]
>>> Код руткита в функции EnableWindow нейтрализован
Функция user32.dll:ExitWindowsEx (1754) перехвачена, метод APICodeHijack.JmpTo[10017C86]
>>> Код руткита в функции ExitWindowsEx нейтрализован
Функция user32.dll:GetAsyncKeyState (1772) перехвачена, метод APICodeHijack.JmpTo[10019116]
>>> Код руткита в функции GetAsyncKeyState нейтрализован
Функция user32.dll:GetClipboardData (1787) перехвачена, метод APICodeHijack.JmpTo[10018366]
>>> Код руткита в функции GetClipboardData нейтрализован
Функция user32.dll:GetKeyState (1826) перехвачена, метод APICodeHijack.JmpTo[100193C6]
>>> Код руткита в функции GetKeyState нейтрализован
Функция user32.dll:GetKeyboardState (1831) перехвачена, метод APICodeHijack.JmpTo[10019676]
>>> Код руткита в функции GetKeyboardState нейтрализован
Функция user32.dll:MoveWindow (2052) перехвачена, метод APICodeHijack.JmpTo[10018C16]
>>> Код руткита в функции MoveWindow нейтрализован
Функция user32.dll:PostMessageA (2078) перехвачена, метод APICodeHijack.JmpTo[1001BEB6]
>>> Код руткита в функции PostMessageA нейтрализован
Функция user32.dll:PostMessageW (2079) перехвачена, метод APICodeHijack.JmpTo[1001BC16]
>>> Код руткита в функции PostMessageW нейтрализован
Функция user32.dll:PostThreadMessageA (2081) перехвачена, метод APICodeHijack.JmpTo[1001B976]
>>> Код руткита в функции PostThreadMessageA нейтрализован
Функция user32.dll:PostThreadMessageW (2082) перехвачена, метод APICodeHijack.JmpTo[1001B6D6]
>>> Код руткита в функции PostThreadMessageW нейтрализован
Функция user32.dll:RegisterHotKey (2111) перехвачена, метод APICodeHijack.JmpTo[10018136]
>>> Код руткита в функции RegisterHotKey нейтрализован
Функция user32.dll:RegisterRawInputDevices (2115) перехвачена, метод APICodeHijack.JmpTo[10018EF6]
>>> Код руткита в функции RegisterRawInputDevices нейтрализован
Функция user32.dll:SendDlgItemMessageA (2139) перехвачена, метод APICodeHijack.JmpTo[10019EA6]
>>> Код руткита в функции SendDlgItemMessageA нейтрализован
Функция user32.dll:SendDlgItemMessageW (2140) перехвачена, метод APICodeHijack.JmpTo[10019BF6]
>>> Код руткита в функции SendDlgItemMessageW нейтрализован
Функция user32.dll:SendInput (2143) перехвачена, метод APICodeHijack.JmpTo[10019926]
>>> Код руткита в функции SendInput нейтрализован
Функция user32.dll:SendMessageA (2144) перехвачена, метод APICodeHijack.JmpTo[1001B436]
>>> Код руткита в функции SendMessageA нейтрализован
Функция user32.dll:SendMessageCallbackA (2145) перехвачена, метод APICodeHijack.JmpTo[1001A956]
>>> Код руткита в функции SendMessageCallbackA нейтрализован
Функция user32.dll:SendMessageCallbackW (2146) перехвачена, метод APICodeHijack.JmpTo[1001A696]
>>> Код руткита в функции SendMessageCallbackW нейтрализован
Функция user32.dll:SendMessageTimeoutA (2147) перехвачена, метод APICodeHijack.JmpTo[1001AED6]
>>> Код руткита в функции SendMessageTimeoutA нейтрализован
Функция user32.dll:SendMessageTimeoutW (2148) перехвачена, метод APICodeHijack.JmpTo[1001AC16]
>>> Код руткита в функции SendMessageTimeoutW нейтрализован
Функция user32.dll:SendMessageW (2149) перехвачена, метод APICodeHijack.JmpTo[1001B196]
>>> Код руткита в функции SendMessageW нейтрализован
Функция user32.dll:SendNotifyMessageA (2150) перехвачена, метод APICodeHijack.JmpTo[1001A3F6]
>>> Код руткита в функции SendNotifyMessageA нейтрализован
Функция user32.dll:SendNotifyMessageW (2151) перехвачена, метод APICodeHijack.JmpTo[1001A156]
>>> Код руткита в функции SendNotifyMessageW нейтрализован
Функция user32.dll:SetClipboardViewer (2160) перехвачена, метод APICodeHijack.JmpTo[10018776]
>>> Код руткита в функции SetClipboardViewer нейтрализован
Функция user32.dll:SetParent (2191) перехвачена, метод APICodeHijack.JmpTo[10018976]
>>> Код руткита в функции SetParent нейтрализован
Функция user32.dll:SetWinEventHook (2216) перехвачена, метод APICodeHijack.JmpTo[1001C156]
>>> Код руткита в функции SetWinEventHook нейтрализован
Функция user32.dll:SetWindowsHookExA (2231) перехвачена, метод APICodeHijack.JmpTo[1001CB16]
>>> Код руткита в функции SetWindowsHookExA нейтрализован
Функция user32.dll:SetWindowsHookExW (2232) перехвачена, метод APICodeHijack.JmpTo[1001C8A6]
>>> Код руткита в функции SetWindowsHookExW нейтрализован
Функция user32.dll:SystemParametersInfoA (2260) перехвачена, метод APICodeHijack.JmpTo[1001C686]
>>> Код руткита в функции SystemParametersInfoA нейтрализован
Функция user32.dll:SystemParametersInfoW (2261) перехвачена, метод APICodeHijack.JmpTo[1001C466]
>>> Код руткита в функции SystemParametersInfoW нейтрализован
Функция user32.dll:keybd_event (2329) перехвачена, метод APICodeHijack.JmpTo[100299C6]
>>> Код руткита в функции keybd_event нейтрализован
Функция user32.dll:mouse_event (2330) перехвачена, метод APICodeHijack.JmpTo[100297B6]
>>> Код руткита в функции mouse_event нейтрализован
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CreateProcessAsUserA (1125) перехвачена, метод APICodeHijack.JmpTo[100244C6]
>>> Код руткита в функции CreateProcessAsUserA нейтрализован
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка - не найден файл (C:\SystemRoot\system32\xNtKrnl.exe)
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Ошибка загрузки драйвера - проверка прервана [C000036B]
2. Проверка памяти
Количество найденных процессов: 28
Количество загруженных модулей: 351
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 379, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 19.02.2013 17:16:37
Сканирование длилось 00:00:12
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Сканирование прервано пользователем

---

AVZ вылечить не смог. После перезагрузки и повторного запуска AVZ то же самое.

Тогда я погуглил и нагуглил утилиту GMER. Она, как я понял, ругается на файл C:\Windows\system32\xNtKrnl.exe (который AVZ не видит, выделено красным в протоколе), а если быть точнее, то вот скрин:

Как с помощью неё лечить систему я не понял. Может поможете?

а не пробовал логи авз выложить на форум ?

quote:

---

Originally posted by termit:

а не пробовал логи авз выложить на форум ?

---

Протокол проверки AVZ выложил в первом посте. Или под словом "логи" подразумевается что-то другое?

Под словами "логи" подразумеваются два файла с именами virusinfo_syscheck.htm и virusinfo_syscheck.xml после выполнения второго скрипта из набора стандартных скриптов.

ок завтра выложу

Вот логи AVZ:
http://rusfolder.com/35094268

Там нет вирусов и подозрительных файлов. =) Только логи.

эм ... на этом форуме не надо. хотя бы сюда. http://virusinfo.info/content.php?r=136-pravila

На вирусинфо пока не писал. Однако, творятся какие-то непонятные вещи.
1) Скачал Drweb CureIt. Запустил. Нашлось 4 вируса и ни одного руткита. Вирусы были убиты. Перезагрузка.

2) Запускаю сканер Avira Premium 2012. Вирусов 0, зато находится 34 скрытых объекта!!! Лечить их Авира не умеет.

3) Запускаю снова Drweb CureIt. Скрытых объектов = 0, зато нашлась пара десятков вирусов Win32.Gael.3666 , которые были благополучно обезврежены.

4) AVZ стабильно при каждой проверке выдаёт протокол как в первом посте.

Вобщем, все антивирусы показывают разную херню, хотя, по логике, должны показывать одно и то же...

Всё начиналось с одного скрытого объекта, а закончилось после проверок 3 антивирусами 34 скрытыми объектами и обезвреживанием 21 вируса Win32.Gael.3666., причём скрытые объекты, так и остались не обезвреженными (если они вообще есть)... Система (Win7) работает стабильно и безо всяких глюков.

Если я щас запущу Avira Premium 2012 сколько скрытых объектов обнаружится? Принимаю ставки. =)

антивирусы могут и полезное удалить :-))), так что не факт что компьютер заражен вирусом )))

попробуй установить mbam. иногда помогает. может как раз твой случай.

quote:

---

Originally posted by termit:

mbam

---

Быстрое сканирование выявило 1 adware (некое eBay shortcut.exe), которое не увидели AVZ, CureIt и Avira. Уж не знаю какому антивирю верить. (((

верь всем, каждый заточен на то, чтобы найти то, чего другие не находят, маркетинг :-)))))))))

поставь есенциале от майкрософт и сделай полную проверку :-))), ну и оставь ее в качестве антивируса

если ничего не мучает. поставь MSE + mbam. если мучает, то логи авз на форум.

ок

Ради прикола, поверьте систему KVRT. Может он вас спасет.

ну и докучи прогнать drweb cureit, а лучше liveusb. И Kastorsky TDSSKiller

quote:

---

Originally posted by Froz09:

ну и докучи прогнать drweb cureit

---

Прогонял и не раз. См. пост №8

пардон, проглядел

Всё же многие в Сети хвалят утилиту GMER.
http://www.gmer.net/
Типа, уничтожает практически все руткиты. Однако, как ей пользоваться я не понял. Может кто научит?

Обновляйте регулярно систему и не работайте под админской учеткой и будет Вам счастье, и на антивирь тратится не придется.

quote:

---

Originally posted by THE HEDGEHOG:

на антивирь тратится не придется

---

А кто сказал, что я на него трачусь?

Вобщем, повторная полная проверка всех дисков CureIt'ом (шла всю ночь) зловредов не выявила.

AVZ по-прежнему при каждом запуске утверждает, что "Код руткита в функции ... нейтрализован". Видимо, нифига не нейтрализован, если сообщение выдаётся при каждом запуске.
Кстати, сдаётся мне, что на системе х64 AVZ бесполезен, ибо на х64 не работает AVZGuarg и не устанавливается драйвер расширенного мониторинга процессов AVZPM.

Avira Premium 2012 по-прежнему сообщает об отсутствии вирусов и о наличии 1 скрытого объекта. Х.З. что с ним делать. Ни один антивирь из использованных мной не может с ним справиться!!!

ОС работает нормально.

попробуй всё же Drweb LiveUSB или Kaspersky Rescue Disk - чтобы проверяльщики не зависели от установленной операционной системы

quote:

---

Обновляйте регулярно систему и не работайте под админской учеткой и будет Вам счастье, и на антивирь тратится не придется.

---

вот именно так делаю дома, есенциале стоит для спокойствия, а раньше авиру премиум покупал по акции за 10 евро, но сейчас подорожало, и решил ну его нафиг, есенциале справляется. Чужих флешек нет, свои никуда особо не сую.

quote:

---

Originally posted by ZVER:

раньше авиру премиум покупал по акции за 10 евро, но сейчас подорожало

---

Подешевело.
Погугли фразу "Avkeys v.1.3"
Каждый месяц можно получать бесплатно новый, полностью функциональный, вполне легальный пробный ключ.

quote:

---

Каждый месяц можно получать бесплатно новый,

---

ключевая фраза, а я хочу раз в год :-), хотя авира free ничуть не хуже премиум :-)).

Стоит попробовать какой-нибудь Live CD от одного из производителей антивирусов.

Пробовал Live CD от Авиры. Комп не загрузился с него, завис на этапе "Load Kernel". Может потому что х64? Х.З. Другие live cd не пробовал, пока наблюдаю, благо, что система работает нормально, подозрительной активности пока не заметно...

Таак... Опять началось. (((
Есть у меня папка "Portable". По названию понятно что за софт там лежит. Так вот сегодня случайно обнаружил, что почти все exe-шники в этой папке оказались заражены дрянью Win32.Gael.3666. В других папках, в т.ч. в системных вроде пока чисто. Срочно качаю Kaspersky Rescue CD!!!

какой антивирь установлен. когда была последняя полная проверка ?

Антивирь Avira Premium 2012. Обновляется ежедневно. Полная проверка была пару дней назад. Вирусов обнаружено не было. Был обнаружен 1 скрытый объект. Этот объект не смог обезвредить никто: ни AVZ, ни Авира, ни DrWeb CureIt!, причём CureIt вообще не видел этот скрытый объект, зато видел вирусню, которую не видела Авира. Вобщем, белиберда какая-то...

эм ... вроде советовали. установи MSE + mbam.

и прогони mbam полную проверку

Сначала прогоню Kaspersky Rescue Cd.

ну и каков результат ?

1) Почистил кэши браузеров и удалил временные файлы, прочий мусор и содержимое System Volume Information.
2)Установил с сайта M$ Microsoft Security Essentials. Было найдено и удалено несколько троянов.
3) Прогнал Kaspersky Rescue Cd вроде всё чисто.
4) Переустановил Авиру. Закралось подозрение, что она повреждена и не работает, поскольку не отреагировала на тестовый файл EICAR.
5) Заодно, дабы не плодить троянов, примонтировал и прогнал через Microsoft Security Essentials все бэкапы дисков, сделанные Acronis True Image.
6) Прогнал через Kaspersky Rescue Cd ПК в локальной сети. Чисто.
7) Сегодня ночью прогоню через Kaspersky Rescue Cd последний возможный оплот вирусни - домашний ноут.

Щас вроде всё нормально. Скрин папки Portable в которой пряталась вся нечисть.

Система чиста. Надеюсь. Думаю, что теперь можно сделать бэкап чистой системы Acronis True Image и успокоиться.

Кстати, давно пользуюсь файерволом Comodo. Обычно Проактивную защиту и Sandbox отключал. Использовал только файер. Отныне включено будет ВСЁ! Браузеры и все новые exe из непроверенных источников будут запускаться в песочнице, что должно повысить безопасность.

Сейчас в комплекте с комодом-антивирусом идёт не только их хромиумный браузер <Dragon>, но и киоск - виртуальная среда для запуска браузера и программ.

quote:

---

Originally posted by Morituruz:

хромиумный браузер <Dragon>

---

Только Оперу признаю.

quote:

---

Originally posted by Morituruz:

киоск

---

Это интересно. Спасибо.
Э

quote:

---

Originally posted by Дент:

Только Оперу признаю.

---

Скоро Опера будет на вебките, так что скоро большой разницы не будет

p.s. T_T

Мда...(((((((

Разрабы забивают на двиг Presto, который пилили столь долго и упорно много лет, и в будущем под мордой оперы будет скрываться очередная быдлосборка на основе Хрома, которых и так бесчисленное множество.

(с) http://lurkmore.to/Опера