Zeroto9
Junior Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору удалил, распаковал заново. не обновляются базы((( Добавлено: выполнил скрипт. ща вышлю файл. пока так: Внимание !!! База поcледний раз обновлялась 08.02.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) Протокол антивирусной утилиты AVZ версии 4.30 Сканирование запущено в 02.06.2009 17:08:50 Загружена база: сигнатуры - 209302, нейропрофили - 2, микропрограммы лечения - 56, база от 08.02.2009 18:56 Загружены микропрограммы эвристики: 372 Загружены микропрограммы ИПУ: 9 Загружены цифровые подписи системных файлов: 91560 Режим эвристического анализатора: Максимальный уровень эвристики Режим лечения: выключено Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора Восстановление системы: включено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Анализ ntdll.dll, таблица экспорта найдена в секции .text Функция ntdll.dll:LdrUnloadDll (80) перехвачена, метод APICodeHijack.JmpTo[10005736] Функция ntdll.dll:NtClose (111) перехвачена, метод APICodeHijack.JmpTo[10005806] Функция ntdll.dll:ZwClose (922) перехвачена, метод APICodeHijack.JmpTo[10005806] Анализ user32.dll, таблица экспорта найдена в секции .text Функция user32.dll:EndTask (202) перехвачена, метод APICodeHijack.JmpTo[100053C6] Функция user32.dll:keybd_event (727) перехвачена, метод APICodeHijack.JmpTo[10001546] Функция user32.dll:mouse_event (728) перехвачена, метод APICodeHijack.JmpTo[100016C6] Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=08B520) Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000 SDT = 80562520 KiST = 804E48B0 (284) Функция NtAdjustPrivilegesToken (0B) перехвачена (80594AC3->F0107906), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный Функция NtAssignProcessToJobObject (13) перехвачена (805E62E8->85C07630), перехватчик не определен Функция NtConnectPort (1F) перехвачена (8059408E->F0106E66), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный Функция NtCreateFile (25) перехвачена (8057A184->F01074C2), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный Функция NtCreateKey (29) перехвачена (80577D6F->F01080D0), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный Функция NtCreatePort (2E) перехвачена (805A0A38->F0106BC0), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный Функция NtCreateSection (32) перехвачена (8056DE25->F0108DC0), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный Функция NtCreateSymbolicLinkObject (34) перехвачена (805E52CD->F0107AEC), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный Функция NtCreateThread (35) перехвачена (80586A6E->F0106796), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный Функция NtDeleteKey (3F) перехвачена (8059F837->F0107D3A), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный Функция NtDeleteValueKey (41) перехвачена (8059E48E->F0107EEA), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный Функция NtDuplicateObject (44) перехвачена (8057C629->F01064F8), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный Функция NtEnumerateKey (47) перехвачена (80578EE4->F772ECA2), перехватчик spyb.sys Функция NtEnumerateValueKey (49) перехвачена (8058AF3E->F772F030), перехватчик spyb.sys Функция NtLoadDriver (61) перехвачена (805D1D0C->F0108A42), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный Функция NtMakeTemporaryObject (69) перехвачена (805E559C->F01070AC), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный Функция NtOpenFile (74) перехвачена (8057A2F8->F01076FA), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный Функция NtOpenKey (77) перехвачена (80572CC8->F77110C0), перехватчик spyb.sys Функция NtOpenProcess (7A) перехвачена (8057CABD->85C06A60), перехватчик не определен Функция NtOpenSection (7D) перехвачена (8057B90A->F010733C), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный Функция NtOpenThread (80) перехвачена (8059C7B4->85C06E80), перехватчик не определен Функция NtQueryKey (A0) перехвачена (80578AE4->F772F108), перехватчик spyb.sys Функция NtQueryValueKey (B1) перехвачена (8057310C->F772EF88), перехватчик spyb.sys Функция NtRenameKey (C0) перехвачена (806557B9->F0108496), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный Функция NtRequestWaitReplyPort (C8) перехвачена (8057F6BE->F0106CDE), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный Функция NtSecureConnectPort (D2) перехвачена (805885E5->F01087FA), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный Функция NtSetSystemInformation (F0) перехвачена (805DC12C->F0108BF0), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный Функция NtSetValueKey (F7) перехвачена (8057D7D5->F0108296), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный Функция NtShutdownSystem (F9) перехвачена (8064E027->F0107046), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный Функция NtSuspendProcess (FD) перехвачена (80637193->85C07460), перехватчик не определен Функция NtSuspendThread (FE) перехвачена (806370AF->85C07280), перехватчик не определен Функция NtSystemDebugControl (FF) перехвачена (80650827->F0107230), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный Функция NtTerminateProcess (101) перехвачена (8058F609->85C06C90), перехватчик не определен Функция NtTerminateThread (102) перехвачена (805837AC->85C070B0), перехватчик не определен Проверено функций: 284, перехвачено: 34, восстановлено: 0 1.3 Проверка IDT и SYSENTER Анализ для процессора 1 Анализ для процессора 2 Проверка IDT и SYSENTER завершена 1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM Драйвер успешно загружен 1.5 Проверка обработчиков IRP \FileSystem\ntfs[IRP_MJ_CREATE] = 867D71F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_CLOSE] = 867D71F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_WRITE] = 867D71F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 867D71F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 867D71F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 867D71F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_EA] = 867D71F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 867D71F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 867D71F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 867D71F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 867D71F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 867D71F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 867D71F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 867D71F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 867D71F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_PNP] = 867D71F8 -> перехватчик не определен Проверка завершена 2. Проверка памяти Количество найденных процессов: 22 Анализатор - изучается процесс 1936 C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe [ES]:Может работать с сетью [ES]:Может отправлять почту ?! [ES]:Прослушивает порты TCP ! [ES]:Прослушивает порты, применяемые протоколом HTTP ! [ES]:Приложение не имеет видимых окон [ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ? Количество загруженных модулей: 283 Проверка памяти завершена 3. Сканирование дисков 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) C:\WINDOWS\system32\guard32.dll --> Подозрение на Keylogger или троянскую DLL C:\WINDOWS\system32\guard32.dll>>> Поведенческий анализ 1. Реагирует на события: клавиатура, мышь 2. Определяет PID текущего процесса C:\WINDOWS\system32\guard32.dll>>> Нейросеть: файл с вероятностью 0.60% похож на типовой перехватчик событий клавиатуры/мыши На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами Проверка отключена пользователем 7. Эвристичеcкая проверка системы Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\WINDOWS\system32\guard32.dll" Проверка завершена 8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя Проверка завершена 9. Мастер поиска и устранения проблем Проверка завершена Просканировано файлов: 305, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0 Сканирование завершено в 02.06.2009 17:09:47 Сканирование длилось 00:01:00 Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам, то Вы можете обратиться в конференцию - http://virusinfo.info Выполняется исследование системы Исследование системы завершено guard32.dll - это COMODO. AVZ, как я понял, думает, что это вирус (я прав?). Меня напрягло также, что разрешены некоторые службы опасные. Их закрыть? Ведь когда я восстанавливал бэкап С, то там еще эти службы прикрыты не были. Добавлено: http://webfile.ru/3668687 - ссылка на virusinfo_syscheck.zip |