Антивирус Avira Premium 2012 в ходе очередной проверки уведомил о наличии 1 скрытого объекта. Вылечить не смог.
Показать текст сообщения полностью
Тогда я скачал с сайта z-oleg.com утилиту AVZ, которая нашла вот что:
code:Протокол антивирусной утилиты AVZ версии 4.39
Сканирование запущено в 19.02.2013 17:16:26
Загружена база: сигнатуры - 297614, нейропрофили - 2, микропрограммы лечения - 56, база от 19.02.2013 04:00
Загружены микропрограммы эвристики: 401
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 519516
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 6.1.7601, Service Pack 1 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:CreateProcessA (167) перехвачена, метод APICodeHijack.JmpTo[10025BF6]
>>> Код руткита в функции CreateProcessA нейтрализован
Функция kernel32.dll:CreateProcessW (171) перехвачена, метод APICodeHijack.JmpTo[10025066]
>>> Код руткита в функции CreateProcessW нейтрализован
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:LdrLoadDll (137) перехвачена, метод APICodeHijack.JmpTo[10027F36]
>>> Код руткита в функции LdrLoadDll нейтрализован
Функция ntdll.dll:LdrUnloadDll (161) перехвачена, метод APICodeHijack.JmpTo[1001D236]
>>> Код руткита в функции LdrUnloadDll нейтрализован
Функция ntdll.dll:NtAdjustPrivilegesToken (190) перехвачена, метод APICodeHijack.JmpTo[1002C3B6]
>>> Код руткита в функции NtAdjustPrivilegesToken нейтрализован
Функция ntdll.dll:NtAlpcConnectPort (200) перехвачена, метод APICodeHijack.JmpTo[1002CDD6]
>>> Код руткита в функции NtAlpcConnectPort нейтрализован
Функция ntdll.dll:NtAlpcSendWaitReceivePort (217) перехвачена, метод APICodeHijack.JmpTo[1002B666]
>>> Код руткита в функции NtAlpcSendWaitReceivePort нейтрализован
Функция ntdll.dll:NtClose (228) перехвачена, метод APICodeHijack.JmpTo[1001D116]
>>> Код руткита в функции NtClose нейтрализован
Функция ntdll.dll:NtConnectPort (237) перехвачена, метод APICodeHijack.JmpTo[1002F8A6]
>>> Код руткита в функции NtConnectPort нейтрализован
Функция ntdll.dll:NtCreateFile (244) перехвачена, метод APICodeHijack.JmpTo[1002E3F6]
>>> Код руткита в функции NtCreateFile нейтрализован
Функция ntdll.dll:NtCreateSection (262) перехвачена, метод APICodeHijack.JmpTo[1002E796]
>>> Код руткита в функции NtCreateSection нейтрализован
Функция ntdll.dll:NtCreateSymbolicLinkObject (264) перехвачена, метод APICodeHijack.JmpTo[1002BFD6]
>>> Код руткита в функции NtCreateSymbolicLinkObject нейтрализован
Функция ntdll.dll:NtCreateThread (265) перехвачена, метод APICodeHijack.JmpTo[10030076]
>>> Код руткита в функции NtCreateThread нейтрализован
Функция ntdll.dll:NtCreateThreadEx (266) перехвачена, метод APICodeHijack.JmpTo[1002CA36]
>>> Код руткита в функции NtCreateThreadEx нейтрализован
Функция ntdll.dll:NtLoadDriver (335) перехвачена, метод APICodeHijack.JmpTo[1002F696]
>>> Код руткита в функции NtLoadDriver нейтрализован
Функция ntdll.dll:NtMakeTemporaryObject (344) перехвачена, метод APICodeHijack.JmpTo[1002F216]
>>> Код руткита в функции NtMakeTemporaryObject нейтрализован
Функция ntdll.dll:NtOpenFile (359) перехвачена, метод APICodeHijack.JmpTo[1002E0F6]
>>> Код руткита в функции NtOpenFile нейтрализован
Функция ntdll.dll:NtOpenSection (374) перехвачена, метод APICodeHijack.JmpTo[1002ED86]
>>> Код руткита в функции NtOpenSection нейтрализован
Функция ntdll.dll:NtSetSystemInformation (530) перехвачена, метод APICodeHijack.JmpTo[1002F456]
>>> Код руткита в функции NtSetSystemInformation нейтрализован
Функция ntdll.dll:NtShutdownSystem (540) перехвачена, метод APICodeHijack.JmpTo[1002C666]
>>> Код руткита в функции NtShutdownSystem нейтрализован
Функция ntdll.dll:NtSystemDebugControl (548) перехвачена, метод APICodeHijack.JmpTo[1002F016]
>>> Код руткита в функции NtSystemDebugControl нейтрализован
Функция ntdll.dll:NtTerminateProcess (550) перехвачена, метод APICodeHijack.JmpTo[1002FC16]
>>> Код руткита в функции NtTerminateProcess нейтрализован
Функция ntdll.dll:NtTerminateThread (551) перехвачена, метод APICodeHijack.JmpTo[1002FE36]
>>> Код руткита в функции NtTerminateThread нейтрализован
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:BlockInput (1517) перехвачена, метод APICodeHijack.JmpTo[10018576]
>>> Код руткита в функции BlockInput нейтрализован
Функция user32.dll:EnableWindow (1725) перехвачена, метод APICodeHijack.JmpTo[10017E96]
>>> Код руткита в функции EnableWindow нейтрализован
Функция user32.dll:ExitWindowsEx (1754) перехвачена, метод APICodeHijack.JmpTo[10017C86]
>>> Код руткита в функции ExitWindowsEx нейтрализован
Функция user32.dll:GetAsyncKeyState (1772) перехвачена, метод APICodeHijack.JmpTo[10019116]
>>> Код руткита в функции GetAsyncKeyState нейтрализован
Функция user32.dll:GetClipboardData (1787) перехвачена, метод APICodeHijack.JmpTo[10018366]
>>> Код руткита в функции GetClipboardData нейтрализован
Функция user32.dll:GetKeyState (1826) перехвачена, метод APICodeHijack.JmpTo[100193C6]
>>> Код руткита в функции GetKeyState нейтрализован
Функция user32.dll:GetKeyboardState (1831) перехвачена, метод APICodeHijack.JmpTo[10019676]
>>> Код руткита в функции GetKeyboardState нейтрализован
Функция user32.dll:MoveWindow (2052) перехвачена, метод APICodeHijack.JmpTo[10018C16]
>>> Код руткита в функции MoveWindow нейтрализован
Функция user32.dll:PostMessageA (2078) перехвачена, метод APICodeHijack.JmpTo[1001BEB6]
>>> Код руткита в функции PostMessageA нейтрализован
Функция user32.dll:PostMessageW (2079) перехвачена, метод APICodeHijack.JmpTo[1001BC16]
>>> Код руткита в функции PostMessageW нейтрализован
Функция user32.dll:PostThreadMessageA (2081) перехвачена, метод APICodeHijack.JmpTo[1001B976]
>>> Код руткита в функции PostThreadMessageA нейтрализован
Функция user32.dll:PostThreadMessageW (2082) перехвачена, метод APICodeHijack.JmpTo[1001B6D6]
>>> Код руткита в функции PostThreadMessageW нейтрализован
Функция user32.dll:RegisterHotKey (2111) перехвачена, метод APICodeHijack.JmpTo[10018136]
>>> Код руткита в функции RegisterHotKey нейтрализован
Функция user32.dll:RegisterRawInputDevices (2115) перехвачена, метод APICodeHijack.JmpTo[10018EF6]
>>> Код руткита в функции RegisterRawInputDevices нейтрализован
Функция user32.dll:SendDlgItemMessageA (2139) перехвачена, метод APICodeHijack.JmpTo[10019EA6]
>>> Код руткита в функции SendDlgItemMessageA нейтрализован
Функция user32.dll:SendDlgItemMessageW (2140) перехвачена, метод APICodeHijack.JmpTo[10019BF6]
>>> Код руткита в функции SendDlgItemMessageW нейтрализован
Функция user32.dll:SendInput (2143) перехвачена, метод APICodeHijack.JmpTo[10019926]
>>> Код руткита в функции SendInput нейтрализован
Функция user32.dll:SendMessageA (2144) перехвачена, метод APICodeHijack.JmpTo[1001B436]
>>> Код руткита в функции SendMessageA нейтрализован
Функция user32.dll:SendMessageCallbackA (2145) перехвачена, метод APICodeHijack.JmpTo[1001A956]
>>> Код руткита в функции SendMessageCallbackA нейтрализован
Функция user32.dll:SendMessageCallbackW (2146) перехвачена, метод APICodeHijack.JmpTo[1001A696]
>>> Код руткита в функции SendMessageCallbackW нейтрализован
Функция user32.dll:SendMessageTimeoutA (2147) перехвачена, метод APICodeHijack.JmpTo[1001AED6]
>>> Код руткита в функции SendMessageTimeoutA нейтрализован
Функция user32.dll:SendMessageTimeoutW (2148) перехвачена, метод APICodeHijack.JmpTo[1001AC16]
>>> Код руткита в функции SendMessageTimeoutW нейтрализован
Функция user32.dll:SendMessageW (2149) перехвачена, метод APICodeHijack.JmpTo[1001B196]
>>> Код руткита в функции SendMessageW нейтрализован
Функция user32.dll:SendNotifyMessageA (2150) перехвачена, метод APICodeHijack.JmpTo[1001A3F6]
>>> Код руткита в функции SendNotifyMessageA нейтрализован
Функция user32.dll:SendNotifyMessageW (2151) перехвачена, метод APICodeHijack.JmpTo[1001A156]
>>> Код руткита в функции SendNotifyMessageW нейтрализован
Функция user32.dll:SetClipboardViewer (2160) перехвачена, метод APICodeHijack.JmpTo[10018776]
>>> Код руткита в функции SetClipboardViewer нейтрализован
Функция user32.dll:SetParent (2191) перехвачена, метод APICodeHijack.JmpTo[10018976]
>>> Код руткита в функции SetParent нейтрализован
Функция user32.dll:SetWinEventHook (2216) перехвачена, метод APICodeHijack.JmpTo[1001C156]
>>> Код руткита в функции SetWinEventHook нейтрализован
Функция user32.dll:SetWindowsHookExA (2231) перехвачена, метод APICodeHijack.JmpTo[1001CB16]
>>> Код руткита в функции SetWindowsHookExA нейтрализован
Функция user32.dll:SetWindowsHookExW (2232) перехвачена, метод APICodeHijack.JmpTo[1001C8A6]
>>> Код руткита в функции SetWindowsHookExW нейтрализован
Функция user32.dll:SystemParametersInfoA (2260) перехвачена, метод APICodeHijack.JmpTo[1001C686]
>>> Код руткита в функции SystemParametersInfoA нейтрализован
Функция user32.dll:SystemParametersInfoW (2261) перехвачена, метод APICodeHijack.JmpTo[1001C466]
>>> Код руткита в функции SystemParametersInfoW нейтрализован
Функция user32.dll:keybd_event (2329) перехвачена, метод APICodeHijack.JmpTo[100299C6]
>>> Код руткита в функции keybd_event нейтрализован
Функция user32.dll:mouse_event (2330) перехвачена, метод APICodeHijack.JmpTo[100297B6]
>>> Код руткита в функции mouse_event нейтрализован
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CreateProcessAsUserA (1125) перехвачена, метод APICodeHijack.JmpTo[100244C6]
>>> Код руткита в функции CreateProcessAsUserA нейтрализован
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка - не найден файл (C:\SystemRoot\system32\xNtKrnl.exe)
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Ошибка загрузки драйвера - проверка прервана [C000036B]
2. Проверка памяти
Количество найденных процессов: 28
Количество загруженных модулей: 351
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 379, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 19.02.2013 17:16:37
Сканирование длилось 00:00:12
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Сканирование прервано пользователем
AVZ вылечить не смог. После перезагрузки и повторного запуска AVZ то же самое.
Тогда я погуглил и нагуглил утилиту GMER. Она, как я понял, ругается на файл C:\Windows\system32\xNtKrnl.exe (который AVZ не видит, выделено красным в протоколе), а если быть точнее, то вот скрин:
Как с помощью неё лечить систему я не понял. Может поможете? 
