Архив форума ЛГ - Вирус - помогите избавиться

Вирус - помогите избавиться

Guard

Назад к темам раздела.

2010-05-02 02:48:04

Guard

sphf.sys - сам вирус

Прога AVZ

удаляю после проверки - перезагружаю - а он все равно жив здоров и невредим
переодически ноутбук сам отрубается, чаще показывает синий экран

вот отчет - если кому поможет

Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.32
Сканирование запущено в 02.05.2010 2:04:26
Загружена база: сигнатуры - 237871, нейропрофили - 2, микропрограммы лечения - 56, база от 21.08.2009 14:23
Загружены микропрограммы эвристики: 374
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 135524
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: Отключено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=08B520)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80562520
KiST = 804E48B0 (284)
Функция NtAssignProcessToJobObject (13) перехвачена (805E83C2->859FCA20), перехватчик не определен
Функция NtCreateKey (29) перехвачена (8057791D->F764E0E0), перехватчик sphf.sys
Функция NtDebugActiveProcess (39) перехвачена (8066259D->859FD5A0), перехватчик не определен
Функция NtDuplicateObject (44) перехвачена (80581216->859FCFD0), перехватчик не определен
Функция NtEnumerateKey (47) перехвачена (80578E14->F766CCA4), перехватчик sphf.sys
Функция NtEnumerateValueKey (49) перехвачена (80587693->F766D032), перехватчик sphf.sys
Функция NtOpenKey (77) перехвачена (80572BF4->F764E0C0), перехватчик sphf.sys
Функция NtOpenProcess (7A) перехвачена (80581702->859FC160), перехватчик не определен
Функция NtOpenThread (80) перехвачена (805E1959->859FC460), перехватчик не определен
Функция NtProtectVirtualMemory (89) перехвачена (80581889->859FCE60), перехватчик не определен
Функция NtQueryKey (A0) перехвачена (80578A14->F766D10A), перехватчик sphf.sys
Функция NtQueryValueKey (B1) перехвачена (80573037->F766CF8A), перехватчик sphf.sys
Функция NtSetContextThread (D5) перехвачена (806359C3->859FCD00), перехватчик не определен
Функция NtSetInformationThread (E5) перехвачена (80578F9F->859FCB80), перехватчик не определен
Функция NtSetSecurityObject (ED) перехвачена (805D9CCF->859F9A50), перехватчик не определен
Функция NtSetValueKey (F7) перехвачена (8058228C->F766D19C), перехватчик sphf.sys
Функция NtSuspendProcess (FD) перехвачена (8063775B->859FC8C0), перехватчик не определен
Функция NtSuspendThread (FE) перехвачена (80637677->859FC760), перехватчик не определен
Функция NtTerminateProcess (101) перехвачена (8058E695->859FC2F0), перехватчик не определен
Функция NtTerminateThread (102) перехвачена (805838E7->859FC5F0), перехватчик не определен
Функция NtWriteVirtualMemory (115) перехвачена (805885C4->859FD3F0), перехватчик не определен
Проверено функций: 284, перехвачено: 21, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
FileSystemntfs[IRP_MJ_CREATE] = 873D61F8 -> перехватчик не определен
FileSystemntfs[IRP_MJ_CLOSE] = 873D61F8 -> перехватчик не определен
FileSystemntfs[IRP_MJ_WRITE] = 873D61F8 -> перехватчик не определен
FileSystemntfs[IRP_MJ_QUERY_INFORMATION] = 873D61F8 -> перехватчик не определен
FileSystemntfs[IRP_MJ_SET_INFORMATION] = 873D61F8 -> перехватчик не определен
FileSystemntfs[IRP_MJ_QUERY_EA] = 873D61F8 -> перехватчик не определен
FileSystemntfs[IRP_MJ_SET_EA] = 873D61F8 -> перехватчик не определен
FileSystemntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 873D61F8 -> перехватчик не определен
FileSystemntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 873D61F8 -> перехватчик не определен
FileSystemntfs[IRP_MJ_DIRECTORY_CONTROL] = 873D61F8 -> перехватчик не определен
FileSystemntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 873D61F8 -> перехватчик не определен
FileSystemntfs[IRP_MJ_DEVICE_CONTROL] = 873D61F8 -> перехватчик не определен
FileSystemntfs[IRP_MJ_LOCK_CONTROL] = 873D61F8 -> перехватчик не определен
FileSystemntfs[IRP_MJ_QUERY_SECURITY] = 873D61F8 -> перехватчик не определен
FileSystemntfs[IRP_MJ_SET_SECURITY] = 873D61F8 -> перехватчик не определен
FileSystemntfs[IRP_MJ_PNP] = 873D61F8 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 40
Количество загруженных модулей: 399
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:WINDOWSsystem32driverssptd.sys
Прямое чтение C:WINDOWSTempHTTA98.tmp
Прямое чтение D:40b8f7bc3701a4996eiexplore.exe
Прямое чтение D:40b8f7bc3701a4996eimgutil.dll
Прямое чтение D:40b8f7bc3701a4996einetcpl.cpl
Прямое чтение D:40b8f7bc3701a4996einfobar.wav
Прямое чтение D:40b8f7bc3701a4996einseng.dll
Прямое чтение D:40b8f7bc3701a4996ejscript.dll
Прямое чтение D:40b8f7bc3701a4996ejsdbgui.dll
Прямое чтение D:40b8f7bc3701a4996ejsdebuggeride.dll
Прямое чтение D:40b8f7bc3701a4996ejsprofilercore.dll
Прямое чтение D:40b8f7bc3701a4996ejsprofilerui.dll
Прямое чтение D:40b8f7bc3701a4996ejsproxy.dll
Прямое чтение D:40b8f7bc3701a4996elicmgr10.dll
Прямое чтение D:40b8f7bc3701a4996emsdbg2.dll
Прямое чтение D:40b8f7bc3701a4996emsfeeds.dll
Прямое чтение D:40b8f7bc3701a4996emsfeedsbs.dll
Прямое чтение D:40b8f7bc3701a4996emsfeedssync.exe
Прямое чтение D:40b8f7bc3701a4996emshta.exe
Прямое чтение D:40b8f7bc3701a4996emshtml.dll
Прямое чтение D:40b8f7bc3701a4996emshtmled.dll
Прямое чтение D:40b8f7bc3701a4996emshtmler.dll
Прямое чтение D:40b8f7bc3701a4996emsls31.dll
Прямое чтение D:40b8f7bc3701a4996emsrating.dll
Прямое чтение D:40b8f7bc3701a4996emstime.dll
Прямое чтение D:40b8f7bc3701a4996enavstart.wav
Прямое чтение D:40b8f7bc3701a4996eoccache.dll
Прямое чтение D:40b8f7bc3701a4996epdm.dll
Прямое чтение D:40b8f7bc3701a4996epngfilt.dll
Прямое чтение D:40b8f7bc3701a4996epopupblk.wav
Прямое чтение D:40b8f7bc3701a4996eshdocvw.dll
Прямое чтение D:40b8f7bc3701a4996eshlwapi.dll
Прямое чтение D:40b8f7bc3701a4996espmsg.dll
Прямое чтение D:40b8f7bc3701a4996espuninst.exe
Прямое чтение D:40b8f7bc3701a4996espupdsvc.exe
Прямое чтение D:40b8f7bc3701a4996esqmapi.dll
Прямое чтение D:40b8f7bc3701a4996esupportidndl.dll
Прямое чтение D:40b8f7bc3701a4996esupportnlsdl.dll
Прямое чтение D:40b8f7bc3701a4996esupportnormaliz.dll
Прямое чтение D:40b8f7bc3701a4996esupportxmllite.dll
Прямое чтение D:40b8f7bc3701a4996etdc.ocx
Прямое чтение D:40b8f7bc3701a4996eupdateiecustom.dll
Прямое чтение D:40b8f7bc3701a4996eupdateiesetup.exe
Прямое чтение D:40b8f7bc3701a4996eupdatesqmapi.dll
Прямое чтение D:40b8f7bc3701a4996eupdateupdate.exe
Прямое чтение D:40b8f7bc3701a4996eupdateupdate.inf
Прямое чтение D:40b8f7bc3701a4996eupdateupdspapi.dll
Прямое чтение D:40b8f7bc3701a4996eurl.dll
Прямое чтение D:40b8f7bc3701a4996eurlmon.dll
Прямое чтение D:40b8f7bc3701a4996evbscript.dll
Прямое чтение D:40b8f7bc3701a4996evgx.dll
Прямое чтение D:40b8f7bc3701a4996ewebcheck.dll
Прямое чтение D:40b8f7bc3701a4996ewinfxdocobj.exe
Прямое чтение D:40b8f7bc3701a4996ewininet.dll
Прямое чтение D:40b8f7bc3701a4996expshims.dll
Прямое чтение D:5e605dcd71e008ccee86003339751camd64filterpipelineprintproc.dll
Прямое чтение D:5e605dcd71e008ccee86003339751camd64mxdwdrv.dll
Прямое чтение D:5e605dcd71e008ccee86003339751camd64xpssvcs.dll
Прямое чтение D:5e605dcd71e008ccee86003339751ci386filterpipelineprintproc.dll
Прямое чтение D:5e605dcd71e008ccee86003339751ci386mxdwdrv.dll
Прямое чтение D:5e605dcd71e008ccee86003339751ci386xpssvcs.dll
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
Проверка завершена
9. Мастер поиска и устранения проблем
>> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
>> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
>> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX
>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
>> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 71121, извлечено из архивов: 46453, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 02.05.2010 2:25:15
Сканирование длилось 00:20:51
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info
Ошибка карантина файла, попытка прямого чтения (sphf.sys)
Карантин с использованием прямого чтения - ошибка
>>>Для удаления файла sphf.sys необходима перезагрузка

2010-05-02 02:52:54

MrHide

Guard
http://www.kaspersky.ru/trials
рекомендую загрузить, обновить базы и выполнить полную проверку ПК
пробная версия бесплатна и полностью функциональна, только ограничена по сроку

2010-05-02 03:03:03

Guard

MrHide
пасиб. буду пробовать

2010-05-02 03:09:49

Guard

сайт не пашет

2010-05-02 16:00:33

MrHide

Guard
странно у меня работает
а вот такая ссылка: kav.ru

2010-05-02 18:52:58

CaBa

MrHide
И она не будет работать, скорей всего он блочит подобные сайты..
Проще скачать с другой машины и с флешки проверить( подобие Dr.Web CureNet)

2010-05-03 04:51:33

Guard

MrHide писал(а):

а вот такая ссылка: kav.ru

не открывает. Видимо CaBa прав

2010-05-03 04:54:51

Guard

CaBa писал(а):

Dr.Web

сайт веба тож не открывает

2010-05-03 05:18:19

Typhus

Guard
http://www.freedrweb.com/cureit/?lng=ru

так не открывает?

вирусы нынче блочат сайты антивирусов, уже старо. если скачаешь - в безопасном режиме (кнопочка ф8 перед запуском винды) и запускаешь сканирование.

не забудь распаковать архив, когда скачаешь. в безопасном не даст.

2010-05-03 13:04:05

Алекс_13

скачай Cureit на сайте доктор веб и просканируй весь комп

2010-05-03 14:06:47

Guard

Typhus писал(а):

http://www.freedrweb.com/cureit/?lng=ru

аналогично - блочит

2010-05-03 14:40:38

CaBa

Guard
Дим, скачай с другого компа Dr.Web CureNet, закинь ее на флэшку и прямо с нее проверь.

2010-05-03 15:11:57

Guard

CaBa
сейчас попробую

2010-05-03 15:15:29

Guard

попробовал со стационарного компа - тож самое - ничего не открывается
сейчас второй ноутбук тогда включу для пробы

2010-05-03 15:23:52

Guard

со второго ноута пошло скачивание.
эт значит что 1 ноут и комп у меня под вирусами.

2010-05-03 16:31:07

Guard

может у кого и найдутся свежие ключи для НОД 32

2010-05-03 16:48:01

Sarra

http://antinod.com/

2010-05-03 17:05:12

Guard

на компе удалил 73 трояна. но с него пока также не могу выйти на сайты антивирусов

2010-05-03 17:07:41

Guard

Sarra
спасибо. а версии как опознать?

2010-05-03 17:20:38

-Ракот-

Guard
можно было и каспу так-же скачать и поставить, а ключи для любых антивирусов в инете есть, но адресов не знаю, у меня лицуха KIS стоит и проблем не знаю

2010-05-03 17:25:14

Guard

начал полную проверку после быстрой - нашел еще пока 15

2010-05-03 19:35:20

MrHide

Guard
рекомендую:
1. перед проверкой отключить ПК от сети (выдернуть провод) и закрыть все приложения, которые возможно
2. после полной проверки перезагрузиться и выполнить проверку заново

2010-05-04 15:37:41

Guard

MrHide
не видел твои рекомендации. попробую снова.

2 аппарата заражены были троянами на одном 49 на другом 94 аж

после повторной проверки не показали вирусы. но на сайты антивирусников не пускают

2010-05-04 16:35:34

AZaT

Guard
Мб в Hosts что-нибудь нехорошее прописалось?)

2010-05-04 19:28:01

level13

Guard
если блочит такие сайт как антивирусы, майкрасофт то у тебя KIDO как то был наплыв. и легко убивается с помощью KIDOKILLER.
а по поводу синего экрана это скорее всего перегрев. и что скорее всего ноут на тряпке полежал или на столе без подкладки такое на многих ноутах + может сам вентилятор перестать работать.