ASE_DAG
Gold Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Внимание !!! База поcледний раз обновлялась 12.07.2013 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) Протокол антивирусной утилиты AVZ версии 4.41 Сканирование запущено в 15.12.2013 10:30:13 Загружена база: сигнатуры - 297614, нейропрофили - 2, микропрограммы лечения - 56, база от 12.07.2013 13:39 Загружены микропрограммы эвристики: 403 Загружены микропрограммы ИПУ: 9 Загружены цифровые подписи системных файлов: 565706 Режим эвристического анализатора: Максимальный уровень эвристики Режим лечения: включено Версия Windows: 6.1.7601, Service Pack 1 ; AVZ работает с правами администратора Восстановление системы: включено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Функция kernel32.dll:CreateProcessA (167) перехвачена, метод APICodeHijack.JmpTo[772B2082] >>> Код руткита в функции CreateProcessA нейтрализован Функция kernel32.dll:CreateProcessW (171) перехвачена, метод APICodeHijack.JmpTo[772B204D] >>> Код руткита в функции CreateProcessW нейтрализован Анализ ntdll.dll, таблица экспорта найдена в секции .text Функция ntdll.dll:LdrUnloadDll (161) перехвачена, метод APICodeHijack.JmpTo[777CC86E] >>> Код руткита в функции LdrUnloadDll нейтрализован Функция ntdll.dll:NtAlpcSendWaitReceivePort (216) перехвачена, метод APICodeHijack.JmpTo[777B5418] >>> Код руткита в функции NtAlpcSendWaitReceivePort нейтрализован Функция ntdll.dll:NtClose (227) перехвачена, метод APICodeHijack.JmpTo[777B54C8] >>> Код руткита в функции NtClose нейтрализован Анализ user32.dll, таблица экспорта найдена в секции .text Функция user32.dll:SetWinEventHook (2216) перехвачена, метод APICodeHijack.JmpTo[776124DC] >>> Код руткита в функции SetWinEventHook нейтрализован Функция user32.dll:SetWindowsHookExA (2231) перехвачена, метод APICodeHijack.JmpTo[77636D0C] >>> Код руткита в функции SetWindowsHookExA нейтрализован Функция user32.dll:SetWindowsHookExW (2232) перехвачена, метод APICodeHijack.JmpTo[7760E30C] >>> Код руткита в функции SetWindowsHookExW нейтрализован Анализ advapi32.dll, таблица экспорта найдена в секции .text Функция advapi32.dll:CreateProcessAsUserA (1125) перехвачена, метод APICodeHijack.JmpTo[77712538] >>> Код руткита в функции CreateProcessAsUserA нейтрализован Функция advapi32.dll:CreateProcessWithLogonW (1127) перехвачена, метод APICodeHijack.JmpTo[777152E9] >>> Код руткита в функции CreateProcessWithLogonW нейтрализован Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.4 Поиск маскировки процессов и драйверов Маскировка процесса с PID=340, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 340) Маскировка процесса с PID=392, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 392) Маскировка процесса с PID=544, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 544) Маскировка процесса с PID=1012, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 1012) Маскировка процесса с PID=1372, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 1372) Маскировка процесса с PID=2648, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2648) Маскировка процесса с PID=2764, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2764) Маскировка процесса с PID=2904, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2904) Маскировка процесса с PID=2928, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2928) Маскировка процесса с PID=3432, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3432) Маскировка процесса с PID=3452, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3452) Маскировка процесса с PID=3640, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3640) Маскировка процесса с PID=3672, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3672) Маскировка процесса с PID=3684, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3684) Маскировка процесса с PID=3828, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3828) Маскировка процесса с PID=3888, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3888) Маскировка процесса с PID=3976, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3976) Маскировка процесса с PID=4000, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 4000) Маскировка процесса с PID=4080, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 4080) Маскировка процесса с PID=2112, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2112) Маскировка процесса с PID=2992, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2992) Маскировка процесса с PID=2956, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2956) Маскировка процесса с PID=1048, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 1048) Маскировка процесса с PID=3224, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3224) Маскировка процесса с PID=4192, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 4192) Маскировка процесса с PID=4656, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 4656) Маскировка процесса с PID=4696, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 4696) Маскировка процесса с PID=4832, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 4832) Маскировка процесса с PID=4880, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 4880) Маскировка процесса с PID=5508, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 5508) Поиск маскировки процессов и драйверов завершен 1.5 Проверка обработчиков IRP Драйвер успешно загружен Проверка завершена 2. Проверка памяти Количество найденных процессов: 66 Анализатор - изучается процесс 876 C:\Program Files\Avira\AntiVir Desktop\avguard.exe [ES]:Может работать с сетью [ES]:Приложение не имеет видимых окон Анализатор - изучается процесс 1164 C:\Program Files\Avira\AntiVir Desktop\avshadow.exe [ES]:Приложение не имеет видимых окон Анализатор - изучается процесс 1976 C:\Program Files\Avira\AntiVir Desktop\sched.exe [ES]:Может работать с сетью [ES]:Приложение не имеет видимых окон [ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ? Анализатор - изучается процесс 368 C:\Program Files\Avira\AntiVir Desktop\avmailc.exe [ES]:Может работать с сетью [ES]:Может отправлять почту ?! [ES]:Прослушивает порты TCP ! [ES]:Приложение не имеет видимых окон Анализатор - изучается процесс 2596 C:\Program Files\MGE\PersonalSolutionPac\CilRS232.exe [ES]:Приложение не имеет видимых окон Анализатор - изучается процесс 2604 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe [ES]:Может работать с сетью [ES]:Приложение не имеет видимых окон Анализатор - изучается процесс 2684 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [ES]:Может работать с сетью [ES]:Приложение не имеет видимых окон [ES]:Записан в автозапуск !! Анализатор - изучается процесс 3900 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [ES]:Может работать с сетью Количество загруженных модулей: 670 Проверка памяти завершена 3. Сканирование дисков Прямое чтение C:\Boot\BCD Прямое чтение C:\Boot\BCD.LOG Прямое чтение C:\Program Files\COMODO\COMODO Internet Security\database\vendor.h C:\Program Files\Trojan Remover\Rmvtrjan.exe.BAK - PE файл с нестандартным расширением(степень опасности 5%) Прямое чтение C:\ProgramData\Avira\AntiVir Desktop\EVENTDB\gavid.dat Прямое чтение C:\ProgramData\Avira\AntiVir Desktop\EVENTDB\gavid2.dat Прямое чтение C:\ProgramData\Avira\AntiVir Desktop\EVENTDB\gavid2.dat_1 Прямое чтение C:\ProgramData\Avira\AntiVir Desktop\EVENTDB\gavid2.dat_2 Прямое чтение C:\ProgramData\Comodo\Firewall Pro\cisboost.sdb Прямое чтение C:\ProgramData\Comodo\Firewall Pro\cisboost.sdb-shm Прямое чтение C:\ProgramData\Comodo\Firewall Pro\cisboost.sdb-wal Прямое чтение C:\ProgramData\Comodo\Firewall Pro\cisdata.sdb Прямое чтение C:\ProgramData\Comodo\Firewall Pro\cislogs.sdb Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\BUTTON.JS Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\CHECKBOX.JS Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\COMBOBOX.JS Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\DIVWRAPPER.JS Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\EXTERNALWRAPPER.JS Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_1025.CSS Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_1028.CSS Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_1037.CSS Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_1038.CSS Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_1041.CSS Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_1042.CSS Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_1081.CSS Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_1095.CSS Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_1097.CSS Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_1098.CSS Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_1099.CSS Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_1100.CSS Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_1102.CSS Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_2052.CSS Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_3098.CSS Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_DEFAULT.CSS Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\HIPUSER.HTM Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\IMAGE.JS Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\LINK.JS Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\LOCALIZATION.JS Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\MULTIUSERSSO.HTM Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\NEWUSER.HTM Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\NEWUSERCOMM.JS Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\NEWUSERFED.HTM Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\SAVEDUSER.JS Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\SAVEDUSERS.HTM Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\TEXT.JS Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\TEXTBOX.JS Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\TILEBOX.JS Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\UICORE.JS Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\UIRESOURCE.JS Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\USERTILE.JS Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\WAITPAGE.HTM Прямое чтение C:\ProgramData\Microsoft\Network\Downloader\qmgr0.dat Прямое чтение C:\ProgramData\Microsoft\Network\Downloader\qmgr1.dat C:\ProgramData\Microsoft\Windows\WER\ReportQueue\NonCritical_Microsoft Window_f2f5863b135cbf290772df66cdf918cab5d720_cab_168f1d6f\Pkg1C56.cab/{CAB}/81006DDA-A4DE-4D17-BD62-E125C00D6ABB.Repair.Admin.0.etl >>> подозрение на Trojan.Win32.Agent2.byu ( 1BBFE612 1E621768 004D6E44 004D6E44 131072) Файл успешно помещен в карантин (C:\ProgramData\Microsoft\Windows\WER\ReportQueue\NonCritical_Microsoft Window_f2f5863b135cbf290772df66cdf918cab5d720_cab_168f1d6f\Pkg1C56.cab) C:\ProgramData\Microsoft\Windows\WER\ReportQueue\NonCritical_Microsoft_a2d58e5bd77b85bf78145612592afcbb6e4fac3_cab_043b01d4\{81006DDA-A4DE-4D17-BD62-E125C00D6ABB}-WER-11272013-2200.etl >>> подозрение на Trojan.Win32.Agent2.byu ( 1BBFE612 1E621768 004D6E44 004D6E44 131072) Файл успешно помещен в карантин (C:\ProgramData\Microsoft\Windows\WER\ReportQueue\NonCritical_Microsoft_a2d58e5bd77b85bf78145612592afcbb6e4fac3_cab_043b01d4\{81006DDA-A4DE-4D17-BD62-E125C00D6ABB}-WER-11272013-2200.etl) Прямое чтение C:\ProgramData\TuneUp Software\TuneUp Utilities\Program Statistics\ProgramStatistics.2013.tudb Прямое чтение C:\ProgramData\TuneUp Software\TuneUp Utilities\TUProgMan.10.tudb Прямое чтение C:\ProgramData\TuneUp Software\TuneUp Utilities\TUUtilitiesSvc.13.tudb Прямое чтение C:\System Volume Information\3698329drv.isw Прямое чтение C:\System Volume Information\mdllog.dat Прямое чтение C:\System Volume Information\Syscache.hve Прямое чтение C:\System Volume Information\Syscache.hve.LOG1 C:\Users\Master\AppData\Local\ElevatedDiagnostics\460911090\2013112720.000\81006DDA-A4DE-4D17-BD62-E125C00D6ABB.Repair.Admin.0.etl >>> подозрение на Trojan.Win32.Agent2.byu ( 1BBFE612 1E621768 004D6E44 004D6E44 131072) Файл успешно помещен в карантин (C:\Users\Master\AppData\Local\ElevatedDiagnostics\460911090\2013112720.000\81006DDA-A4DE-4D17-BD62-E125C00D6ABB.Repair.Admin.0.etl) C:\Users\Master\AppData\Local\ElevatedDiagnostics\460911090\2013112720.001\5F469986-ECFD-4B58-BF82-05B4547086E6.Repair.Admin.0.etl >>> подозрение на Trojan.Win32.Agent2.byu ( 1BBFA9CA 1E621768 004D6E44 004D6E44 131072) Файл успешно помещен в карантин (C:\Users\Master\AppData\Local\ElevatedDiagnostics\460911090\2013112720.001\5F469986-ECFD-4B58-BF82-05B4547086E6.Repair.Admin.0.etl) C:\Users\Master\AppData\Local\ElevatedDiagnostics\460911090\latest.cab/{CAB}/5F469986-ECFD-4B58-BF82-05B4547086E6.Repair.Admin.0.etl >>> подозрение на Trojan.Win32.Agent2.byu ( 1BBFA9CA 1E621768 004D6E44 004D6E44 131072) Файл успешно помещен в карантин (C:\Users\Master\AppData\Local\ElevatedDiagnostics\460911090\latest.cab) Прямое чтение C:\Users\Master\AppData\Local\Microsoft\Internet Explorer\MSIMGSIZ.DAT Прямое чтение C:\Users\Master\AppData\Local\Microsoft\Windows\Explorer\thumbcache_1024.db Прямое чтение C:\Users\Master\AppData\Local\Microsoft\Windows\Explorer\thumbcache_256.db Прямое чтение C:\Users\Master\AppData\Local\Microsoft\Windows\Explorer\thumbcache_32.db Прямое чтение C:\Users\Master\AppData\Local\Microsoft\Windows\Explorer\thumbcache_idx.db Прямое чтение C:\Users\Master\AppData\Local\Microsoft\Windows\UsrClass.dat Прямое чтение C:\Users\Master\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG1 Прямое чтение C:\Users\Master\AppData\Local\Microsoft\Windows\UsrClass.dat{fff2e009-64b5-11e3-9948-001d60db8da8}.TM.blf Прямое чтение C:\Users\Master\AppData\Local\Microsoft\Windows\UsrClass.dat{fff2e009-64b5-11e3-9948-001d60db8da8}.TMContainer00000000000000000001.regtrans-ms Прямое чтение C:\Users\Master\AppData\Local\Microsoft\Windows\UsrClass.dat{fff2e009-64b5-11e3-9948-001d60db8da8}.TMContainer00000000000000000002.regtrans-ms Прямое чтение C:\Users\Master\AppData\Local\Microsoft\Windows\WebCache\V01.log Прямое чтение C:\Users\Master\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.tmp Прямое чтение C:\Users\Master\AppData\Local\Mozilla\Firefox\Profiles\ua13o6k6.HOME\Cache\_CACHE_001_ Прямое чтение C:\Users\Master\AppData\Local\Mozilla\Firefox\Profiles\ua13o6k6.HOME\Cache\_CACHE_002_ Прямое чтение C:\Users\Master\AppData\Local\Mozilla\Firefox\Profiles\ua13o6k6.HOME\Cache\_CACHE_003_ Прямое чтение C:\Users\Master\AppData\Local\Mozilla\Firefox\Profiles\ua13o6k6.HOME\Cache\_CACHE_MAP_ Прямое чтение C:\Users\Master\AppData\Roaming\Microsoft\Шаблоны\Normal.dotm Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\cert8.db Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\content-prefs.sqlite Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\cookies.sqlite Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\cookies.sqlite-shm Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\cookies.sqlite-wal Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\downloads.sqlite Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\extensions.sqlite Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\healthreport.sqlite Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\healthreport.sqlite-shm Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\key3.db Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\permissions.sqlite Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\places.sqlite Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\places.sqlite-shm Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\places.sqlite-wal Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\signons.sqlite Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\webappsstore.sqlite Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\webappsstore.sqlite-shm Прямое чтение C:\Users\Master\AppData\Roaming\uTorrent\ie\ie.1387096146.tmp Прямое чтение C:\Users\Master\AppData\Roaming\uTorrent\ie\ie.1387096147.tmp Прямое чтение C:\Users\Master\ntuser.dat Прямое чтение C:\Users\Master\ntuser.dat.LOG1 Прямое чтение C:\Users\Master\ntuser.dat{fff2e005-64b5-11e3-9948-001d60db8da8}.TM.blf Прямое чтение C:\Users\Master\ntuser.dat{fff2e005-64b5-11e3-9948-001d60db8da8}.TMContainer00000000000000000001.regtrans-ms Прямое чтение C:\Users\Master\ntuser.dat{fff2e005-64b5-11e3-9948-001d60db8da8}.TMContainer00000000000000000002.regtrans-ms Прямое чтение C:\Windows\debug\WIA\wiatrace.log C:\Windows\Logs\SystemRestore\RestoreUI.4.etl >>> подозрение на Trojan.Win32.Agent2.byu ( 1CA34539 1E621768 004D6E44 004D6E44 131072) Файл успешно помещен в карантин (C:\Windows\Logs\SystemRestore\RestoreUI.4.etl) Прямое чтение C:\Windows\ServiceProfiles\LocalService\AppData\Local\~FontCache-FontFace.dat Прямое чтение C:\Windows\ServiceProfiles\LocalService\AppData\Local\~FontCache-S-1-5-21-286380137-1249790891-3202259320-1000.dat Прямое чтение C:\Windows\ServiceProfiles\LocalService\AppData\Local\~FontCache-System.dat Прямое чтение C:\Windows\ServiceProfiles\LocalService\ntuser.dat Прямое чтение C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT.LOG1 Прямое чтение C:\Windows\ServiceProfiles\LocalService\ntuser.dat{fff2e000-64b5-11e3-9948-001d60db8da8}.TM.blf Прямое чтение C:\Windows\ServiceProfiles\LocalService\ntuser.dat{fff2e000-64b5-11e3-9948-001d60db8da8}.TMContainer00000000000000000001.regtrans-ms Прямое чтение C:\Windows\ServiceProfiles\LocalService\ntuser.dat{fff2e000-64b5-11e3-9948-001d60db8da8}.TMContainer00000000000000000002.regtrans-ms Прямое чтение C:\Windows\ServiceProfiles\NetworkService\ntuser.dat Прямое чтение C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT.LOG1 Прямое чтение C:\Windows\ServiceProfiles\NetworkService\ntuser.dat{fff2dffc-64b5-11e3-9948-806e6f6e6963}.TM.blf Прямое чтение C:\Windows\ServiceProfiles\NetworkService\ntuser.dat{fff2dffc-64b5-11e3-9948-806e6f6e6963}.TMContainer00000000000000000001.regtrans-ms Прямое чтение C:\Windows\ServiceProfiles\NetworkService\ntuser.dat{fff2dffc-64b5-11e3-9948-806e6f6e6963}.TMContainer00000000000000000002.regtrans-ms Прямое чтение C:\Windows\SoftwareDistribution\ReportingEvents.log Прямое чтение C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 Прямое чтение C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 Прямое чтение C:\Windows\System32\catroot2\edb.log Прямое чтение C:\Windows\System32\config\default Прямое чтение C:\Windows\System32\config\DEFAULT.LOG1 Прямое чтение C:\Windows\System32\config\RegBack\DEFAULT Прямое чтение C:\Windows\System32\config\RegBack\SAM Прямое чтение C:\Windows\System32\config\RegBack\SECURITY Прямое чтение C:\Windows\System32\config\RegBack\SYSTEM Прямое чтение C:\Windows\System32\config\sam Прямое чтение C:\Windows\System32\config\SAM.LOG1 Прямое чтение C:\Windows\System32\config\security Прямое чтение C:\Windows\System32\config\SECURITY.LOG1 Прямое чтение C:\Windows\System32\config\SOFTWARE.LOG1 Прямое чтение C:\Windows\System32\config\system Прямое чтение C:\Windows\System32\config\SYSTEM.LOG1 Прямое чтение C:\Windows\System32\config\TxR\{fff2dff7-64b5-11e3-9948-806e6f6e6963}.TM.blf Прямое чтение C:\Windows\System32\config\TxR\{fff2dff7-64b5-11e3-9948-806e6f6e6963}.TMContainer00000000000000000001.regtrans-ms Прямое чтение C:\Windows\System32\config\TxR\{fff2dff7-64b5-11e3-9948-806e6f6e6963}.TMContainer00000000000000000002.regtrans-ms C:\Windows\System32\LogFiles\Scm\SCM.EVM.2 >>> подозрение на Trojan-Downloader.Win32.AutoIt.q ( 1CE8AFC6 1E621768 004D6E44 004D6E44 491520) Файл успешно помещен в карантин (C:\Windows\System32\LogFiles\Scm\SCM.EVM.2) C:\Windows\System32\LogFiles\Scm\SCM.EVM.4 >>> подозрение на Trojan-Downloader.Win32.AutoIt.q ( 1CECDCC3 1E621768 004D6E44 004D6E44 491520) Файл успешно помещен в карантин (C:\Windows\System32\LogFiles\Scm\SCM.EVM.4) Прямое чтение C:\Windows\System32\LogFiles\SQM\SQMLogger.etl.003 Прямое чтение C:\Windows\System32\wbem\repository\INDEX.BTR Прямое чтение C:\Windows\System32\wbem\repository\MAPPING1.MAP Прямое чтение C:\Windows\System32\wbem\repository\MAPPING2.MAP Прямое чтение C:\Windows\System32\wbem\repository\MAPPING3.MAP Прямое чтение C:\Windows\System32\wbem\repository\OBJECTS.DATA Прямое чтение C:\Windows\System32\wdi\LogFiles\WdiContextLog.etl.001 Прямое чтение C:\Windows\System32\wfp\wfpdiag.etl Прямое чтение C:\Windows\System32\winevt\Logs\ACEEventLog.evtx Прямое чтение C:\Windows\System32\winevt\Logs\Application.evtx Прямое чтение C:\Windows\System32\winevt\Logs\DebugChannel.etl Прямое чтение C:\Windows\System32\winevt\Logs\Doctor Web.evtx Прямое чтение C:\Windows\System32\winevt\Logs\HardwareEvents.evtx Прямое чтение C:\Windows\System32\winevt\Logs\Internet Explorer.evtx Прямое чтение C:\Windows\System32\winevt\Logs\Key Management Service.evtx Прямое чтение C:\Windows\System32\winevt\Logs\Media Center.evtx Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Application-Experience%4Problem-Steps-Recorder.evtx Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Application-Experience%4Program-Compatibility-Assistant.evtx Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Application-Experience%4Program-Compatibility-Troubleshooter.evtx Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Application-Experience%4Program-Inventory.evtx Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Application-Experience%4Program-Telemetry.evtx Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Bits-Client%4Operational.evtx Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-BranchCacheSMB%4Operational.evtx Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-CodeIntegrity%4Operational.evtx Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Dhcp-Client%4Admin.evtx Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Dhcpv6-Client%4Admin.evtx Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Diagnosis-DPS%4Operational.evtx Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Diagnosis-Scheduled%4Operational.evtx Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Diagnostics-Performance%4Operational.evtx Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Fault-Tolerant-Heap%4Operational.evtx Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-GroupPolicy%4Operational.evtx Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Help%4Operational.evtx Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Kernel-Power%4Thermal-Operational.evtx Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Kernel-StoreMgr%4Operational.evtx Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Kernel-WHEA%4Errors.evtx Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Kernel-WHEA%4Operational.evtx Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-NCSI%4Operational.evtx Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-NetworkAccessProtection%4Operational.evtx Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-NetworkAccessProtection%4WHC.evtx Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-NetworkProfile%4Operational.evtx Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-OfflineFiles%4Operational.evtx Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-ReadyBoost%4Operational.evtx Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Resource-Exhaustion-Detector%4Operational.evtx Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-TerminalServices-LocalSessionManager%4Admin.evtx Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-User Profile Service%4Operational.evtx Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-WER-Diag%4Operational.evtx Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Windows Defender%4WHC.evtx Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Windows Firewall With Advanced Security%4ConnectionSecurity.evtx Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Windows Firewall With Advanced Security%4Firewall.evtx Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-WindowsBackup%4ActionCenter.evtx Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-WindowsUpdateClient%4Operational.evtx Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Winlogon%4Operational.evtx Прямое чтение C:\Windows\System32\winevt\Logs\OAlerts.evtx Прямое чтение C:\Windows\System32\winevt\Logs\Security.evtx Прямое чтение C:\Windows\System32\winevt\Logs\System.evtx Прямое чтение C:\Windows\System32\winevt\Logs\TuneUp.evtx Прямое чтение C:\Windows\System32\winevt\Logs\Windows PowerShell.evtx Прямое чтение C:\Windows\Tasks\SCHEDLGU.TXT Прямое чтение C:\Windows\WindowsUpdate.log 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) C:\Windows\system32\guard32.dll --> Подозрение на Keylogger или троянскую DLL C:\Windows\system32\guard32.dll>>> Поведенческий анализ Типичное для кейлоггеров поведение не зарегистрировано Файл успешно помещен в карантин (C:\Windows\system32\guard32.dll) C:\Windows\WinSxS\x86_microsoft.vc90.crt_1fc8b3b9a1e18e3b_9.0.30729.7523_none_508f21ccbcbbb7a8\MSVCR90.dll --> Подозрение на Keylogger или троянскую DLL C:\Windows\WinSxS\x86_microsoft.vc90.crt_1fc8b3b9a1e18e3b_9.0.30729.7523_none_508f21ccbcbbb7a8\MSVCR90.dll>>> Поведенческий анализ Типичное для кейлоггеров поведение не зарегистрировано Файл успешно помещен в карантин (C:\Windows\WinSxS\x86_microsoft.vc90.crt_1fc8b3b9a1e18e3b_9.0.30729.7523_none_508f21ccbcbbb7a8\MSVCR90.dll) C:\Windows\WinSxS\x86_microsoft.vc90.crt_1fc8b3b9a1e18e3b_9.0.30729.7523_none_508f21ccbcbbb7a8\MSVCP90.dll --> Подозрение на Keylogger или троянскую DLL C:\Windows\WinSxS\x86_microsoft.vc90.crt_1fc8b3b9a1e18e3b_9.0.30729.7523_none_508f21ccbcbbb7a8\MSVCP90.dll>>> Поведенческий анализ Типичное для кейлоггеров поведение не зарегистрировано Файл успешно помещен в карантин (C:\Windows\WinSxS\x86_microsoft.vc90.crt_1fc8b3b9a1e18e3b_9.0.30729.7523_none_508f21ccbcbbb7a8\MSVCP90.dll) C:\Windows\WinSxS\x86_microsoft.vc90.atl_1fc8b3b9a1e18e3b_9.0.30729.7523_none_51c8dd18bbe8adec\ATL90.DLL --> Подозрение на Keylogger или троянскую DLL C:\Windows\WinSxS\x86_microsoft.vc90.atl_1fc8b3b9a1e18e3b_9.0.30729.7523_none_51c8dd18bbe8adec\ATL90.DLL>>> Поведенческий анализ Типичное для кейлоггеров поведение не зарегистрировано Файл успешно помещен в карантин (C:\Windows\WinSxS\x86_microsoft.vc90.atl_1fc8b3b9a1e18e3b_9.0.30729.7523_none_51c8dd18bbe8adec\ATL90.DLL) На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами В базе 317 описаний портов На данном ПК открыто 69 TCP портов и 18 UDP портов Проверка завершена, подозрительные порты не обнаружены 7. Эвристичеcкая проверка системы Проверка завершена 8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: к ПК разрешен доступ анонимного пользователя >>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные >>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса >>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX >>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса >> Безопасность: Разрешена отправка приглашений удаленному помощнику Проверка завершена 9. Мастер поиска и устранения проблем >> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные >> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса >> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX >> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX >> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME >> Таймаут, по истечению которого принимается решение о том, что процесс не отвечает, находится за пределами допустимых значений >> Разрешен автозапуск с HDD >> Разрешен автозапуск с сетевых дисков >> Разрешен автозапуск со сменных носителей Проверка завершена Просканировано файлов: 288019, извлечено из архивов: 158790, найдено вредоносных программ 0, подозрений - 8 Сканирование завершено в 15.12.2013 11:16:25 Сканирование длилось 00:46:13 Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам, то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18 Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ можно использовать сервис http://virusdetector.ru/ |