AVZ 4.41 http://z-oleg.com/secur/avz/
| Имя файла | PID | Описание | Copyright | MD5 | Информация
| c:\windows\system32\ati2evxx.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1384 | ATI External Event Utility EXE Module | Copyright © 1999-2009 ATI Technologies Inc. | ?? | 588.00 кб, rsAh, | создан: 11.02.2010 07:33:56, изменен: 11.02.2010 07:33:56 Командная строка: Ati2evxx.exe -Client c:\windows\system32\ati2evxx.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 996 | ATI External Event Utility EXE Module | Copyright © 1999-2009 ATI Technologies Inc. | ?? | 588.00 кб, rsAh, | создан: 11.02.2010 07:33:56, изменен: 11.02.2010 07:33:56 Командная строка: C:\WINDOWS\system32\Ati2evxx.exe c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations mp4\avp.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1692 | Kaspersky Anti-Virus | Copyright © Kaspersky Lab 1997-2010. | ?? | 304.38 кб, rsAh, | создан: 12.03.2010 19:29:22, изменен: 12.03.2010 19:29:22 Командная строка: c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations mp4\avp.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2424 | Kaspersky Anti-Virus | Copyright © Kaspersky Lab 1997-2010. | ?? | 304.38 кб, rsAh, | создан: 12.03.2010 19:29:22, изменен: 12.03.2010 19:29:22 Командная строка: c:\documents and settings\mishke\Рабочий стол\Рабочий стол\avz4\avz.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2776 | Антивирусная утилита AVZ | Антивирусная утилита AVZ | ?? | 758.50 кб, rsAh, | создан: 15.01.2014 17:50:14, изменен: 12.07.2013 13:16:12, имя содержит национальные символы Командная строка: "C:\Documents and Settings\Mishke\Рабочий стол\Рабочий стол\avz4\avz.exe" c:\program files\ati technologies\ati.ace\core-static\ccc.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2820 | Catalyst Control Centre: Host application | 2002-2006 | ?? | 48.00 кб, rsAh, | создан: 18.12.2008 13:19:44, изменен: 18.12.2008 13:19:44 Командная строка: "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe" 0 c:\windows\system32\ctfmon.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2440 | CTF Loader | © Microsoft Corporation. All rights reserved. | ?? | 15.00 кб, rsAh, | создан: 15.04.2008 15:00:00, изменен: 15.04.2008 15:00:00 Командная строка: "C:\WINDOWS\system32\ctfmon.exe" c:\windows\explorer.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2188 | Проводник | © Корпорация Майкрософт. Все права защищены. | ?? | 1010.00 кб, rsAh, | создан: 15.04.2008 15:00:00, изменен: 15.04.2008 15:00:00 Командная строка: C:\WINDOWS\Explorer.EXE c:\program files\ati technologies\ati.ace\core-static\mom.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2488 | Catalyst Control Center: Monitoring program | 2002-2007 | ?? | 48.00 кб, rsAh, | создан: 18.12.2008 14:32:52, изменен: 18.12.2008 14:32:52 Командная строка: "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM" c:\program files\common files\protexis\license service\psiservice_2.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1772 | PsiService PsiService | © 2000-2005 Protexis Inc. | ?? | 181.28 кб, rsAh, | создан: 24.07.2007 11:15:14, изменен: 24.07.2007 11:15:14 Командная строка: "c:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe" c:\windows\system32\spoolsv.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1496 | Spooler SubSystem App | © Microsoft Corporation. All rights reserved. | ?? | 57.50 кб, rsAh, | создан: 15.04.2008 15:00:00, изменен: 15.04.2008 15:00:00 Командная строка: C:\WINDOWS\system32\spoolsv.exe c:\program files\securit\zlock\zlock_tray.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2408 | zlock_tray | Copyright © 2006-2011 ООО "Зекурион Рус" | ?? | 140.26 кб, rsAh, | создан: 21.02.2012 11:02:34, изменен: 21.02.2012 11:02:34 Командная строка: "C:\Program Files\SecurIT\Zlock\zlock_tray.exe" c:\program files\common files\securit\zservice15.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1944 | zservice15 | Copyright © 2006-2011 III "Caeo?eii ?on" | ?? | 47.76 кб, rsAh, | создан: 21.02.2012 11:02:34, изменен: 21.02.2012 11:02:34 Командная строка: "C:\Program Files\Common Files\SecurIT\zservice15.exe" Обнаружено:27, из них опознаны как безопасные 25
| | |||||
| Модуль | Базовый адрес | Размер в памяти | Описание | Производитель
| C:\WINDOWS\System32\Drivers\dump_atapi.sys | Скрипт: Kарантин, Удалить, Удалить через BC EDE63000 | 018000 (98304) |
| C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS | Скрипт: Kарантин, Удалить, Удалить через BC F7B0A000 | 002000 (8192) |
| C:\WINDOWS\system32\Drivers\zlock_drv.sys | Скрипт: Kарантин, Удалить, Удалить через BC F7193000 | 08E000 (581632) | zlock_drv | Copyright © 2006-2011 ООО "Зекурион Рус"
| C:\WINDOWS\system32\Drivers\zntf_drv.sys | Скрипт: Kарантин, Удалить, Удалить через BC F762C000 | 00E000 (57344) | zntf_drv |
| Обнаружено модулей - 126, опознано как безопасные - 122
| | ||||||
| Служба | Описание | Статус | Файл | Группа | Зависимости
| ICM_UpdaterService | Служба: Стоп, Удалить, Отключить, Удалить через BC ICM_UpdaterService Disp | Не запущен | C:\Program Files\SAMSUNG\Samsung Networking Wizard\ICM_Service.exe | Скрипт: Kарантин, Удалить, Удалить через BC |
| Обнаружено - 93, опознано как безопасные - 92
| | ||||||
| Имя файла | Статус | Метод запуска | Описание
| C:\Program Files\Common Files\SecurIT\zcommon_errors.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\zcommon, EventMessageFile
| C:\Program Files\Common Files\SecurIT\zcrashsend15.exe | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, zcrashsend15 | Удалить C:\Program Files\Common Files\SecurIT\zntf_error.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\znotify, EventMessageFile
| C:\Program Files\SecurIT\Zlock\zlock_cs_error.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\zlockcs, EventMessageFile
| C:\Program Files\SecurIT\Zlock\zlock_error.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\zlock, EventMessageFile
| C:\Program Files\SecurIT\Zlock\zlock_tray.exe | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, zlock_tray | Удалить C:\WINDOWS\System32\Drivers\AliIde.sys | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\aliide, EventMessageFile
| C:\WINDOWS\System32\Drivers\CmdIde.sys | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\cmdide, EventMessageFile
| C:\WINDOWS\System32\Drivers\TosIde.sys | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\toside, EventMessageFile
| C:\WINDOWS\System32\Drivers\ViaIde.sys | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\viaide, EventMessageFile
| C:\WINDOWS\System32\Drivers\lbrtfdc.sys | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\lbrtfdc, EventMessageFile
| C:\WINDOWS\System32\igmpv2.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IGMPv2, EventMessageFile
| C:\WINDOWS\System32\ipbootp.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IPBOOTP, EventMessageFile
| C:\WINDOWS\System32\iprip2.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IPRIP2, EventMessageFile
| C:\WINDOWS\System32\ospf.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\OSPF, EventMessageFile
| C:\WINDOWS\System32\ospfmib.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\OSPFMib, EventMessageFile
| C:\WINDOWS\System32\polagent.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\PolicyAgent, EventMessageFile
| C:\WINDOWS\System32\tssdis.exe | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\TermServSessDir, EventMessageFile
| C:\WINDOWS\system32\MsSip1.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\MS Subjects 1, $DLL | Удалить C:\WINDOWS\system32\MsSip2.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\MS Subjects 2, $DLL | Удалить C:\WINDOWS\system32\MsSip3.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\MS Subjects 3, $DLL | Удалить C:\WINDOWS\system32\psxss.exe | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix
| C:\WINDOWS\system32\stisvc.exe | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System, EventMessageFile
| deskpan.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved, {42071714-76d4-11d1-8b24-00a0c9068ff3} | Удалить kbd101.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\i8042prt\Parameters, LayerDriver JPN | Удалить kbd101a.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\i8042prt\Parameters, LayerDriver KOR | Удалить mvfs32.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_USERS, .DEFAULT\Control Panel\IOProcs, MVB | Удалить mvfs32.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_USERS, S-1-5-19\Control Panel\IOProcs, MVB | Удалить mvfs32.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_USERS, S-1-5-20\Control Panel\IOProcs, MVB | Удалить mvfs32.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_USERS, S-1-5-18\Control Panel\IOProcs, MVB | Удалить mvfs32.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_CURRENT_USER, Control Panel\IOProcs, MVB | Удалить Обнаружено элементов автозапуска - 842, опознано как безопасные - 811
| | ||||||
| Имя файла | Тип | Описание | Производитель | CLSID
| Модуль расширения | {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} | Удалить Модуль расширения | {92780B25-18CC-41C8-B9BE-3C9C571A8263} | Удалить Обнаружено элементов - 6, опознано как безопасные - 4
| | ||||||||||||
| Имя файла | Назначение | Описание | Производитель | CLSID
| deskpan.dll | Скрипт: Kарантин, Удалить, Удалить через BC Расширение CPL панорамирования дисплея | {42071714-76d4-11d1-8b24-00a0c9068ff3} | Удалить Расширения оболочки для сжатия файлов | {764BF0E1-F219-11ce-972D-00AA00A14F56} | Удалить Контекстное меню шифрования | {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} | Удалить Панель задач и меню ''Пуск'' | {0DF44EAA-FF21-4412-828E-260A8728E7F1} | Удалить Учетные записи пользователей | {7A9D77BD-5403-11d2-8785-2E0420524153} | Удалить Обнаружено элементов - 205, опознано как безопасные - 200
| | ||||||||||||||||||||
| Имя файла | Тип | Наименование | Описание | Производитель
| Обнаружено элементов - 7, опознано как безопасные - 7
| | ||||||
| Имя файла | Имя задания | Состояние задания | Описание | Производитель | Путь | Командная строка
| C:\WINDOWS\ERDNT\#Date# | Скрипт: Kарантин, Удалить, Удалить через BC Резервная копия реестра.job | Скрипт: Удалить The task is ready to run at its next scheduled time. | C:\WINDOWS\ERDNT\backup.exe C:\WINDOWS\ERDNT\#Date# sysreg curuser otherusers /noprogresswindow /days:3
| Обнаружено элементов - 2, опознано как безопасные - 1
| | |||||||||
| Поставщик | Статус | Исп. файл | Описание | GUID
| Обнаружено - 3, опознано как безопасные - 3
| | ||||||
| Поставщик | Исп. файл | Описание
| Обнаружено - 15, опознано как безопасные - 15
| | ||||||
| Порт | Статус | Remote Host | Remote Port | Приложение | Примечания
| Порты TCP
| 445 | LISTENING | 0.0.0.0 | 16491 | [4] System.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
| 1246 | LISTENING | 0.0.0.0 | 38926 | [1944] c:\program files\common files\securit\zservice15.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
| Порты UDP
| 445 | LISTENING | -- | -- | [4] System.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
| | ||||||||||||
| Имя файла | Описание | Производитель | CLSID | URL загрузки
| Обнаружено элементов - 0, опознано как безопасные - 0
| | ||||||
| Имя файла | Описание | Производитель
| Обнаружено элементов - 23, опознано как безопасные - 23
| | ||||||
| Имя файла | Описание | Производитель | CLSID
| Обнаружено элементов - 12, опознано как безопасные - 12
| | ||||||
Запись файла Hosts
|
| Имя файла | Тип | Описание | Производитель | CLSID
| mscoree.dll | Скрипт: Kарантин, Удалить, Удалить через BC Protocol | Microsoft .NET Runtime Execution Engine () | © Microsoft Corporation. All rights reserved. | {1E66F26B-79EE-11D2-8710-00C04F79ED0D} | Удалить mscoree.dll | Скрипт: Kарантин, Удалить, Удалить через BC Protocol | Microsoft .NET Runtime Execution Engine () | © Microsoft Corporation. All rights reserved. | {1E66F26B-79EE-11D2-8710-00C04F79ED0D} | Удалить mscoree.dll | Скрипт: Kарантин, Удалить, Удалить через BC Protocol | Microsoft .NET Runtime Execution Engine () | © Microsoft Corporation. All rights reserved. | {1E66F26B-79EE-11D2-8710-00C04F79ED0D} | Удалить Обнаружено элементов - 30, опознано как безопасные - 27
| | ||||||
| Сетевое имя | Путь | Примечания
| ADMIN$ | C:\WINDOWS | Удаленный Admin
| C$ | C:\ | Стандартный общий ресурс
| D$ | D:\ | Стандартный общий ресурс
| IPC$ | Удаленный IPC
| |
| Файл | Описание | Тип
| C:\WINDOWS\system32\DRIVERS\klif.sys | Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit | Перехватчик KernelMode
| \SystemRoot\system32\DRIVERS\klif.sys | Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit | Перехватчик KernelMode
| C:\WINDOWS\system32\Drivers\zlock_drv.sys | Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit | Перехватчик KernelMode
| C:\Program Files\SecurIT\Zlock\zlock_gdi_starter.dll | Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на KeyLogger | Подозрение на Keylogger или троянскую DLL
| |
Протокол антивирусной утилиты AVZ версии 4.41 Сканирование запущено в 15.01.2014 20:35:27 Загружена база: сигнатуры - 297613, нейропрофили - 2, микропрограммы лечения - 56, база от 15.01.2014 04:00 Загружены микропрограммы эвристики: 405 Загружены микропрограммы ИПУ: 9 Загружены цифровые подписи системных файлов: 634335 Режим эвристического анализатора: Максимальный уровень эвристики Режим лечения: выключено Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора Восстановление системы: включено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=085700) Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000 SDT = 8055C700 KiST = 80504480 (284) Функция NtAdjustPrivilegesToken (0B) перехвачена (805EC494->EE63281C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtClose (19) перехвачена (805BC55C->EE632F90), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtConnectPort (1F) перехвачена (805A45FC->EE6333B8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtCreateEvent (23) перехвачена (8060EF7E->EE63366C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtCreateFile (25) перехвачена (805790A8->EE6370F2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtCreateKey (29) перехвачена (80624120->EE631F50), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtCreateMutant (2B) перехвачена (806176CE->EE633628), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtCreateNamedPipeFile (2C) перехвачена (805790E2->EE6326E2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtCreatePort (2E) перехвачена (805A5118->EE6335E4), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtCreateSection (32) перехвачена (805AB3F4->EE6327FA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtCreateSemaphore (33) перехвачена (8061507E->EE6336B0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtCreateSymbolicLinkObject (34) перехвачена (805C3A26->EE634466), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtCreateThread (35) перехвачена (805D1048->EE632D42), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtCreateWaitablePort (38) перехвачена (805A513C->EE633606), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtDebugActiveProcess (39) перехвачена (80643B60->EE633E98), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtDeleteKey (3F) перехвачена (806245BC->EE6323F8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtDeleteValueKey (41) перехвачена (8062478C->EE632592), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtDeviceIoControlFile (42) перехвачена (8057926E->EE63318A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtDuplicateObject (44) перехвачена (805BE034->EE6348A8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtEnumerateKey (47) перехвачена (8062496C->EE63267C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtEnumerateValueKey (49) перехвачена (80624BD6->EE63269E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtFsControlFile (54) перехвачена (805792A2->EE63303C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtLoadDriver (61) перехвачена (80584160->EE633F2A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtLoadKey (62) перехвачена (80626344->EE631F2C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtLoadKey2 (63) перехвачена (80625F50->EE631F3E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtOpenEvent (72) перехвачена (8060F07E->EE63368E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtOpenFile (74) перехвачена (8057A1A6->EE636F36), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtOpenKey (77) перехвачена (806254FE->EE6320A6), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtOpenMutant (78) перехвачена (806177A6->EE63364A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtOpenProcess (7A) перехвачена (805CB470->EE632A2A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtOpenSection (7D) перехвачена (805AA418->EE634490), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtOpenSemaphore (7E) перехвачена (80615178->EE6336D2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtOpenThread (80) перехвачена (805CB6FC->EE63294E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtQueryKey (A0) перехвачена (80625840->EE6326C0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtQueryMultipleValueKey (A1) перехвачена (8062326E->EE6324B6), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtQueryValueKey (B1) перехвачена (80622344->EE6322EA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtQueueApcThread (B4) перехвачена (805D12A6->EE6341BE), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtReplaceKey (C1) перехвачена (806261F4->EE631BB2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtRequestWaitReplyPort (C8) перехвачена (805A2DA2->EE633D1E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtRestoreKey (CC) перехвачена (80625B00->EE631D14), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtResumeThread (CE) перехвачена (805D49EA->EE63477C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtSaveKey (CF) перехвачена (80625BFC->EE6319B4), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtSecureConnectPort (D2) перехвачена (805A3D90->EE63327A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtSetContextThread (D5) перехвачена (805D176A->EE632E42), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtSetSecurityObject (ED) перехвачена (805C065A->EE634024), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtSetSystemInformation (F0) перехвачена (8060FD36->EE6344BA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtSetValueKey (F7) перехвачена (80622692->EE6321BE), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtSuspendProcess (FD) перехвачена (805D4AB2->EE63459E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtSuspendThread (FE) перехвачена (805D4924->EE63465A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtSystemDebugControl (FF) перехвачена (806180EA->EE633DC4), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtTerminateProcess (101) перехвачена (805D2A12->EE632BA2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtTerminateThread (102) перехвачена (805D2C0C->EE632AF8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция NtWriteVirtualMemory (115) перехвачена (805B43F8->EE632C82), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция FsRtlCheckLockForReadAccess (804EAF84) - модификация машинного кода. Метод JmpTo. jmp EE64549C \SystemRoot\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Функция IoIsOperationSynchronous (804EF912) - модификация машинного кода. Метод JmpTo. jmp EE645876 \SystemRoot\system32\DRIVERS\klif.sys, драйвер опознан как безопасный Проверено функций: 284, перехвачено: 53, восстановлено: 0 1.3 Проверка IDT и SYSENTER Анализ для процессора 1 Анализ для процессора 2 Проверка IDT и SYSENTER завершена 1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM 1.5 Проверка обработчиков IRP Драйвер успешно загружен \FileSystem\ntfs[IRP_MJ_CREATE] = F71CD830 -> C:\WINDOWS\system32\Drivers\zlock_drv.sys \FileSystem\ntfs[IRP_MJ_CLOSE] = 8679E1E8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_WRITE] = 8679E1E8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8679E1E8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = F71CD9C0 -> C:\WINDOWS\system32\Drivers\zlock_drv.sys \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8679E1E8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_EA] = 8679E1E8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8679E1E8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8679E1E8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8679E1E8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8679E1E8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8679E1E8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8679E1E8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8679E1E8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8679E1E8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_PNP] = 8679E1E8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_CREATE] = F71B50F0 -> C:\WINDOWS\system32\Drivers\zlock_drv.sys \FileSystem\FastFat[IRP_MJ_CLOSE] = F71B3D00 -> C:\WINDOWS\system32\Drivers\zlock_drv.sys \FileSystem\FastFat[IRP_MJ_WRITE] = F71AFBD0 -> C:\WINDOWS\system32\Drivers\zlock_drv.sys \FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 8637D430 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = F71B58B0 -> C:\WINDOWS\system32\Drivers\zlock_drv.sys \FileSystem\FastFat[IRP_MJ_QUERY_EA] = 8637D430 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_SET_EA] = F71B5F70 -> C:\WINDOWS\system32\Drivers\zlock_drv.sys \FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = F71B5530 -> C:\WINDOWS\system32\Drivers\zlock_drv.sys \FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = F71B5F90 -> C:\WINDOWS\system32\Drivers\zlock_drv.sys \FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = F71B5FB0 -> C:\WINDOWS\system32\Drivers\zlock_drv.sys \FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = F71B5110 -> C:\WINDOWS\system32\Drivers\zlock_drv.sys \FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = F71B5470 -> C:\WINDOWS\system32\Drivers\zlock_drv.sys \FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 8637D430 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_PNP] = F71B30D0 -> C:\WINDOWS\system32\Drivers\zlock_drv.sys Проверка завершена 2. Проверка памяти Количество найденных процессов: 26 Анализатор - изучается процесс 1944 C:\Program Files\Common Files\SecurIT\zservice15.exe [ES]:Может работать с сетью [ES]:Прослушивает порты TCP ! [ES]:Приложение не имеет видимых окон [ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ? Анализатор - изучается процесс 2408 C:\Program Files\SecurIT\Zlock\zlock_tray.exe [ES]:Может работать с сетью [ES]:Приложение не имеет видимых окон [ES]:Записан в автозапуск !! Количество загруженных модулей: 572 Проверка памяти завершена 3. Сканирование дисков 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) C:\Program Files\SecurIT\Zlock\zlock_gdi_starter.dll --> Подозрение на Keylogger или троянскую DLL C:\Program Files\SecurIT\Zlock\zlock_gdi_starter.dll>>> Поведенческий анализ Типичное для кейлоггеров поведение не зарегистрировано На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами Проверка отключена пользователем 7. Эвристичеcкая проверка системы Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0FO\kloehk.dll" Проверка завершена 8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя Проверка завершена 9. Мастер поиска и устранения проблем Проверка завершена Просканировано файлов: 598, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0 Сканирование завершено в 15.01.2014 20:36:33 Сканирование длилось 00:01:08 Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам, то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18 Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ можно использовать сервис http://virusdetector.ru/ Выполняется исследование системыДобавить в скрипт команды:
Исследование системы завершено
Команды скрипта