volodya62
Advanced Member | Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Протокол антивирусной утилиты AVZ версии 4.30 Сканирование запущено в 07.10.2008 20:44:09 Загружена база: сигнатуры - 190543, нейропрофили - 2, микропрограммы лечения - 56, база от 05.10.2008 21:23 Загружены микропрограммы эвристики: 370 Загружены микропрограммы ИПУ: 9 Загружены цифровые подписи системных файлов: 73460 Режим эвристического анализатора: Средний уровень эвристики Режим лечения: включено Версия Windows: 6.0.6001, Service Pack 1 ; AVZ работает с правами администратора Восстановление системы: включено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Анализ ntdll.dll, таблица экспорта найдена в секции .text Функция ntdll.dll:LdrLoadDll (122) перехвачена, метод APICodeHijack.JmpTo[30781F16] Анализ user32.dll, таблица экспорта найдена в секции .text Функция user32.dll:DrawIconEx (193) перехвачена, метод APICodeHijack.JmpTo[023711D6] Функция user32.dll:GetIconInfo (297) перехвачена, метод APICodeHijack.JmpTo[02371116] Функция user32.dll:SetWindowPos (680) перехвачена, метод APICodeHijack.JmpTo[02371036] Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=12C8C0) Ядро ntoskrnl.exe обнаружено в памяти по адресу 83043000 SDT = 8316F8C0 KiST = 830B0890 (391) Проверено функций: 391, перехвачено: 0, восстановлено: 0 1.3 Проверка IDT и SYSENTER Анализ для процессора 1 Анализ для процессора 2 Проверка IDT и SYSENTER завершена 1.4 Поиск маскировки процессов и драйверов Маскировка процесса с PID=644, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 644) Маскировка процесса с PID=692, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 692) Маскировка процесса с PID=744, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 744) Маскировка процесса с PID=1164, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 1164) Маскировка процесса с PID=1716, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 1716) Маскировка процесса с PID=1896, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 1896) Маскировка процесса с PID=2000, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2000) Маскировка процесса с PID=1016, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 1016) Маскировка процесса с PID=1072, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 1072) Маскировка процесса с PID=2220, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2220) Маскировка процесса с PID=2312, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2312) Маскировка процесса с PID=2324, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2324) Маскировка процесса с PID=2344, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2344) Маскировка процесса с PID=2504, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2504) Маскировка процесса с PID=2524, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2524) Маскировка процесса с PID=2532, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2532) Маскировка процесса с PID=2592, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2592) Маскировка процесса с PID=2652, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2652) Маскировка процесса с PID=2708, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2708) Маскировка процесса с PID=2736, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2736) Маскировка процесса с PID=2988, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2988) Маскировка процесса с PID=3056, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3056) Маскировка процесса с PID=3072, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3072) Маскировка процесса с PID=3088, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3088) Маскировка процесса с PID=3252, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3252) Маскировка процесса с PID=3364, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3364) Маскировка процесса с PID=3684, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3684) Маскировка процесса с PID=2972, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2972) Маскировка процесса с PID=3340, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3340) Маскировка процесса с PID=1440, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 1440) Маскировка процесса с PID=3372, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3372) Маскировка процесса с PID=3972, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3972) Маскировка процесса с PID=3704, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3704) Маскировка процесса с PID=3736, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3736) Маскировка процесса с PID=1104, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 1104) Маскировка процесса с PID=3032, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3032) Маскировка процесса с PID=3640, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3640) Маскировка процесса с PID=3868, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3868) Маскировка процесса с PID=2212, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2212) Маскировка процесса с PID=2664, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2664) Маскировка процесса с PID=1372, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 1372) Маскировка процесса с PID=4072, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 4072) Маскировка процесса с PID=980, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 980) Маскировка процесса с PID=3640, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3640) Маскировка процесса с PID=2292, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2292) Маскировка процесса с PID=2568, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2568) Маскировка процесса с PID=3832, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3832) Маскировка процесса с PID=2716, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2716) Маскировка процесса с PID=1568, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 1568) Маскировка процесса с PID=3652, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3652) Маскировка процесса с PID=2116, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2116) Маскировка процесса с PID=3472, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3472) Маскировка процесса с PID=2072, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2072) Маскировка процесса с PID=2116, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2116) Маскировка процесса с PID=984, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 984) Маскировка процесса с PID=1164, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 1164) Маскировка процесса с PID=2072, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2072) Маскировка процесса с PID=2764, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2764) Маскировка процесса с PID=3836, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3836) Маскировка процесса с PID=1832, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 1832) Маскировка процесса с PID=2664, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2664) Маскировка процесса с PID=1164, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 1164) Маскировка процесса с PID=888, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 888) Маскировка процесса с PID=2664, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2664) Маскировка процесса с PID=2680, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2680) Маскировка процесса с PID=2748, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2748) Маскировка процесса с PID=1668, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 1668) Маскировка процесса с PID=2084, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2084) Маскировка процесса с PID=2384, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2384) Маскировка процесса с PID=192, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 192) Маскировка процесса с PID=1016, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 1016) Маскировка процесса с PID=3808, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3808) Маскировка процесса с PID=2956, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2956) Маскировка процесса с PID=4000, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 4000) Маскировка процесса с PID=3808, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3808) Маскировка процесса с PID=3680, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3680) Маскировка процесса с PID=3832, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3832) Маскировка процесса с PID=1572, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 1572) Маскировка процесса с PID=2840, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2840) Маскировка процесса с PID=2680, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2680) Маскировка процесса с PID=4072, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 4072) Маскировка процесса с PID=2348, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2348) Маскировка процесса с PID=1892, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 1892) Маскировка процесса с PID=2224, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2224) Маскировка процесса с PID=2136, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2136) Маскировка процесса с PID=2340, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2340) Маскировка процесса с PID=856, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 856) Маскировка процесса с PID=3704, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3704) Маскировка процесса с PID=3496, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3496) Маскировка процесса с PID=2564, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2564) Маскировка процесса с PID=512, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 512) Маскировка процесса с PID=2996, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2996) Маскировка процесса с PID=3968, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3968) Маскировка процесса с PID=2788, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2788) Маскировка процесса с PID=3764, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3764) Маскировка процесса с PID=2040, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2040) Маскировка процесса с PID=2368, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2368) Маскировка процесса с PID=3568, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3568) Маскировка процесса с PID=1892, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 1892) Маскировка процесса с PID=2988, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2988) Маскировка процесса с PID=2780, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2780) Маскировка процесса с PID=3644, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3644) Маскировка процесса с PID=3600, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3600) Маскировка процесса с PID=1104, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 1104) Маскировка процесса с PID=3680, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3680) Маскировка процесса с PID=1156, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 1156) Маскировка процесса с PID=2344, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2344) Поиск маскировки процессов и драйверов завершен Драйвер успешно загружен 1.5 Проверка обработчиков IRP \FileSystem\ntfs[IRP_MJ_CREATE] = 864291F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_CLOSE] = 864291F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_WRITE] = 864291F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 864291F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 864291F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 864291F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_EA] = 864291F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 864291F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 864291F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 864291F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 864291F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 864291F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 864291F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 864291F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 864291F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_PNP] = 864291F8 -> перехватчик не определен Проверка завершена 2. Проверка памяти Количество найденных процессов: 63 Количество загруженных модулей: 582 Проверка памяти завершена 3. Сканирование дисков Прямое чтение C:\Temp\~DF8034.tmp Прямое чтение C:\Windows\System32\drivers\sptd.sys 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll --> Подозрение на Keylogger или троянскую DLL C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll>>> Поведенческий анализ Типичное для кейлоггеров поведение не зарегистрировано Файл успешно помещен в карантин (C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll) C:\Program Files\Unlocker\UnlockerHook.dll --> Подозрение на Keylogger или троянскую DLL C:\Program Files\Unlocker\UnlockerHook.dll>>> Поведенческий анализ Типичное для кейлоггеров поведение не зарегистрировано Файл успешно помещен в карантин (C:\Program Files\Unlocker\UnlockerHook.dll) C:\Program Files\Punto Switcher\pshook.dll --> Подозрение на Keylogger или троянскую DLL C:\Program Files\Punto Switcher\pshook.dll>>> Поведенческий анализ 1. Реагирует на события: клавиатура 2. Выясняет, какое окно находится в фокусе ввода C:\Program Files\Punto Switcher\pshook.dll>>> Нейросеть: файл с вероятностью 50,00% похож на типовой перехватчик событий клавиатуры/мыши Файл успешно помещен в карантин (C:\Program Files\Punto Switcher\pshook.dll) C:\Program Files\Stardock\CursorFX\CurXP0.dll --> Подозрение на Keylogger или троянскую DLL C:\Program Files\Stardock\CursorFX\CurXP0.dll>>> Поведенческий анализ Типичное для кейлоггеров поведение не зарегистрировано Файл успешно помещен в карантин (C:\Program Files\Stardock\CursorFX\CurXP0.dll) На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами В базе 317 описаний портов На данном ПК открыто 114 TCP портов и 21 UDP портов Проверка завершена, подозрительные порты не обнаружены 7. Эвристичеcкая проверка системы Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll" Проверка завершена 8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP) >> Службы: разрешена потенциально опасная служба Schedule (@%SystemRoot%\system32\schedsvc.dll,-100) >> Службы: разрешена потенциально опасная служба RDSessMgr () > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: Разрешена отправка приглашений удаленному помошнику Проверка завершена 9. Мастер поиска и устранения проблем >> Нарушение ассоциации REG файлов >> Таймаут завершения служб находится за пределами допустимых значений >> Разрешен автозапуск с HDD >> Разрешен автозапуск с сетевых дисков >> Разрешен автозапуск со сменных носителей Проверка завершена Просканировано файлов: 174150, извлечено из архивов: 81593, найдено вредоносных программ 0, подозрений - 0 Сканирование завершено в 07.10.2008 22:52:53 Сканирование длилось 02:08:46 Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам, то Вы можете обратиться в конференцию - http://virusinfo.info |