Протокол исследования системы

Настройки LSP проверены. Ошибок не обнаружено

127.0.0.1       localhost

Протокол антивирусной утилиты AVZ версии 4.32
Сканирование запущено в 26.05.2010 22:22:01
Загружена база: сигнатуры - 273084, нейропрофили - 2, микропрограммы лечения - 56, база от 25.05.2010 10:20
Загружены микропрограммы эвристики: 383
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 204418
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=07C020)
 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
   SDT = 80553020
   KiST = 80501BA4 (284)
Функция NtCreateFile (25) - модификация машинного кода. Метод JmpTo. jmp BA48E7C2mfehidk.sys, драйвер опознан как безопасный
Функция NtCreateKey (29) перехвачена (8061A374->BA6A70E0), перехватчик spkj.sys
Функция NtCreateProcess (2F) - модификация машинного кода. Метод JmpTo. jmp BA48E614mfehidk.sys, драйвер опознан как безопасный
Функция NtCreateProcessEx (30) - модификация машинного кода. Метод JmpTo. jmp BA48E628mfehidk.sys, драйвер опознан как безопасный
Функция NtDeleteKey (3F) - модификация машинного кода. Метод JmpTo. jmp BA48E694mfehidk.sys, драйвер опознан как безопасный
Функция NtDeleteValueKey (41) - модификация машинного кода. Метод JmpTo. jmp BA48E6C0mfehidk.sys, драйвер опознан как безопасный
Функция NtEnumerateKey (47) перехвачена (8061ABC0->BA6C5CA4), перехватчик spkj.sys
Функция NtEnumerateValueKey (49) перехвачена (8061AE2A->BA6C6032), перехватчик spkj.sys
Функция NtLoadKey2 (63) - модификация машинного кода. Метод JmpTo. jmp BA48E744mfehidk.sys, драйвер опознан как безопасный
Функция NtMapViewOfSection (6C) - модификация машинного кода. Метод JmpTo. jmp BA48E802mfehidk.sys, драйвер опознан как безопасный
Функция NtNotifyChangeKey (6F) - модификация машинного кода. Метод JmpTo. jmp BA48E770mfehidk.sys, драйвер опознан как безопасный
Функция NtOpenKey (77) перехвачена (8061B752->BA6A70C0), перехватчик spkj.sys
Функция NtOpenProcess (7A) - модификация машинного кода. Метод JmpTo. jmp BA48E5D8mfehidk.sys, драйвер опознан как безопасный
Функция NtOpenThread (80) - модификация машинного кода. Метод JmpTo. jmp BA48E5ECmfehidk.sys, драйвер опознан как безопасный
Функция NtProtectVirtualMemory (89) - модификация машинного кода. Метод JmpTo. jmp BA48E7D6mfehidk.sys, драйвер опознан как безопасный
Функция NtQueryKey (A0) перехвачена (8061BA94->BA6C610A), перехватчик spkj.sys
Функция NtQueryMultipleValueKey (A1) - модификация машинного кода. Метод JmpTo. jmp BA48E702mfehidk.sys, драйвер опознан как безопасный
Функция NtQueryValueKey (B1) перехвачена (80618598->BA6C5F8A), перехватчик spkj.sys
Функция NtRenameKey (C0) - модификация машинного кода. Метод JmpTo. jmp BA48E6AAmfehidk.sys, драйвер опознан как безопасный
Функция NtReplaceKey (C1) - модификация машинного кода. Метод JmpTo. jmp BA48E798mfehidk.sys, драйвер опознан как безопасный
Функция NtRestoreKey (CC) - модификация машинного кода. Метод JmpTo. jmp BA48E784mfehidk.sys, драйвер опознан как безопасный
Функция NtSetContextThread (D5) - модификация машинного кода. Метод JmpTo. jmp BA48E652mfehidk.sys, драйвер опознан как безопасный
Функция NtSetInformationProcess (E4) - модификация машинного кода. Метод JmpTo. jmp BA48E63Emfehidk.sys, драйвер опознан как безопасный
Функция NtSetValueKey (F7) перехвачена (806188E6->BA6C619C), перехватчик spkj.sys
Функция NtTerminateProcess (101) - модификация машинного кода. Метод JmpTo. jmp BA48E831mfehidk.sys, драйвер опознан как безопасный
Функция NtUnloadKey (107) - модификация машинного кода. Метод JmpTo. jmp BA48E75Amfehidk.sys, драйвер опознан как безопасный
Функция NtUnmapViewOfSection (10B) - модификация машинного кода. Метод JmpTo. jmp BA48E818mfehidk.sys, драйвер опознан как безопасный
Функция NtYieldExecution (116) - модификация машинного кода. Метод JmpTo. jmp BA48E7ECmfehidk.sys, драйвер опознан как безопасный
Функция NtCreateFile (8056E2EE) - модификация машинного кода. Метод JmpTo. jmp BA48E7C2 mfehidk.sys, драйвер опознан как безопасный
Функция NtMapViewOfSection (805A751C) - модификация машинного кода. Метод JmpTo. jmp BA48E802 mfehidk.sys, драйвер опознан как безопасный
Функция NtOpenProcess (805C1346) - модификация машинного кода. Метод JmpTo. jmp BA48E5D8 mfehidk.sys, драйвер опознан как безопасный
Функция NtOpenThread (805C15D2) - модификация машинного кода. Метод JmpTo. jmp BA48E5EC mfehidk.sys, драйвер опознан как безопасный
Функция NtSetInformationProcess (805C3E04) - модификация машинного кода. Метод JmpTo. jmp BA48E63E mfehidk.sys, драйвер опознан как безопасный
Проверено функций: 284, перехвачено: 7, восстановлено: 0
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
 Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 8A8251F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8A8251F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8A8251F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8A8251F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8A8251F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8A8251F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8A8251F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A8251F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8A8251F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8A8251F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A8251F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8A8251F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8A8251F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8A8251F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8A8251F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8A8251F8 -> перехватчик не определен
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 55
 Количество загруженных модулей: 428
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
>>> Обратите внимание - нестандартный диспетчер задач "C:\RECYCLER\S-1-5-21-3685931153-3012594261-111386371-1934\yv8g67.exe"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Подмена диспетчера задач
 >>  Таймаут завершения процессов находится за пределами допустимых значений
 >>  Таймаут завершения служб находится за пределами допустимых значений
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 485, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 26.05.2010 22:22:30
Сканирование длилось 00:00:30
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info
Ошибка скрипта: Not enough actual parameters, позиция [22:16]
Ошибка скрипта: Not enough actual parameters, позиция [22:16]
Ошибка скрипта: Not enough actual parameters, позиция [22:16]
Ошибка скрипта: Not enough actual parameters, позиция [22:16]


Команды скрипта
 
Добавить в скрипт команды:
Нейтрализация перехватов функций при помощи антируткита
Включить AVZGuard
Управление AVZPM (true-включить,false-отключить)
BootCleaner - импорт списка удаленных файлов
Чистка реестра после удаления файлов
BootCleaner - активация
Перезагрузка
Вставить заготовку для QuarantineFile() - помещение файла в карантин
Вставить заготовку для BC_QrFile() - помещение файла в карантин через BC
Вставить заготовку для DeleteFile() - удаление файла
Вставить заготовку для DelCLSID() - удаление CLSID класса из реестра
Дополнительные операции:
Оптимизация - отключить службу TermService (Службы терминалов)
Оптимизация - отключить службу SSDPSRV (Служба обнаружения SSDP)
Оптимизация - отключить службу Schedule (Планировщик заданий)
Оптимизация - отключить службу mnmsrvc (NetMeeting Remote Desktop Sharing)
Оптимизация - отключить службу RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
Оптимизация - безопасность - отключить автозапуск программ с CD
Оптимизация - безопасность - отключить административный доступ к локальным дискам
Оптимизация - безопасность - блокировать возможность подключения анонимных пользователей
Безопасность - запретить отправку приглашений удаленному помошнику

Список файлов