AVZ 4.30 http://z-oleg.com/secur/avz/
| Имя файла | PID | Описание | Copyright | MD5 | Информация
| c:\program files\windows defender\msmpeng.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1156 | Service Executable | © Microsoft Corporation. All rights reserved. | ?? | 13.27 кб, rsAh, | создан: 03.11.2006 20:19:58, изменен: 03.11.2006 20:19:58 Командная строка: "C:\Program Files\Windows Defender\MsMpEng.exe" c:\program files\elaborate bytes\virtualclonedrive\vcddaemon.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1956 | Virtual CloneDrive Daemon | Copyright © 2001 - 2004 Elaborate Bytes AG | ?? | 44.00 кб, rsAh, | создан: 20.08.2004 14:28:27, изменен: 20.08.2004 14:28:27 Командная строка: "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s Обнаружено:30, из них опознаны как безопасные 29
| | |||||
| Имя модуля | Handle | Описание | Copyright | MD5 | Используется процессами
| C:\Documents and Settings\All Users\Application Data\Microsoft\Windows Defender\Definition Updates\{D69CE294-F2FC-4860-BE58-CAB59E4248B2}\mpengine.dll | Скрипт: Kарантин, Удалить, Удалить через BC 1510998016 | Microsoft Malware Protection Engine | © Microsoft Corporation. All rights reserved. | -- | 1156
| C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe | Скрипт: Kарантин, Удалить, Удалить через BC 4194304 | Virtual CloneDrive Daemon | Copyright © 2001 - 2004 Elaborate Bytes AG | ?? | 1956
| C:\Program Files\Windows Defender\MpAsDesc.dll | Скрипт: Kарантин, Удалить, Удалить через BC 1619001344 | Описания обновлений определений | © Корпорация Майкрософт. Все права защищены. | -- | 1156
| C:\WINDOWS\system32\ElbyCDIO.dll | Скрипт: Kарантин, Удалить, Удалить через BC 3342336 | ElbyCDIO DLL | Copyright © 2000 - 2004 Elaborate Bytes AG | -- | 1956
| C:\WINDOWS\system32\ElbyVCD.dll | Скрипт: Kарантин, Удалить, Удалить через BC 268435456 | VirtualCloneDrive | Copyright © 2002 - 2004 Elaborate Bytes AG | -- | 1956
| Обнаружено модулей:317, из них опознаны как безопасные 312
| | |||||
| Модуль | Базовый адрес | Размер в памяти | Описание | Производитель
| C:\WINDOWS\system32\DRIVERS\Cap7134.sys | Скрипт: Kарантин, Удалить, Удалить через BC B99BF000 | 057000 (356352) | AVerMedia WDM capture driver | AVerMedia TECHNOLOGIES, Inc. (2003)
| C:\WINDOWS\System32\Drivers\dump_atapi.sys | Скрипт: Kарантин, Удалить, Удалить через BC B72F9000 | 018000 (98304) |
| C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS | Скрипт: Kарантин, Удалить, Удалить через BC BADFA000 | 002000 (8192) |
| C:\WINDOWS\System32\Drivers\ElbyCDFL.sys | Скрипт: Kарантин, Удалить, Удалить через BC BADDC000 | 002000 (8192) | ElbyCDIO Filter Driver | Copyright (C) 2001 Elaborate Bytes, Oliver Kastl
| C:\WINDOWS\System32\Drivers\incdrm.SYS | Скрипт: Kарантин, Удалить, Удалить через BC BADDE000 | 002000 (8192) | remapper | Copyright (C) Ahead Software AG 2001
| C:\WINDOWS\system32\Drivers\kl1.sys | Скрипт: Kарантин, Удалить, Удалить через BC BA5A1000 | 01D000 (118784) | Kaspersky Unified Driver | Copyright © Kaspersky Lab 1996-2008.
| C:\WINDOWS\system32\DRIVERS\PhTVTune.sys | Скрипт: Kарантин, Удалить, Удалить через BC BAB88000 | 007000 (28672) | WDM Video TV Tuner MiniDriver | AVerMedia TECHNOLOGIES, Inc. (c) 2003
| C:\WINDOWS\system32\Drivers\snapman.sys | Скрипт: Kарантин, Удалить, Удалить через BC BA5D8000 | 011000 (69632) | Acronis Snapshot API | Copyright (c) Acronis 2000-2002
| C:\WINDOWS\system32\DRIVERS\tifsfilt.sys | Скрипт: Kарантин, Удалить, Удалить через BC BABD0000 | 007000 (28672) | TrueImage File System Filter | Copyright (c) Acronis 2000-2002
| C:\WINDOWS\system32\Drivers\timntr.sys | Скрипт: Kарантин, Удалить, Удалить через BC BA5E9000 | 019000 (102400) | TrueImage Backup Archive Explorer | Copyright (c) Acronis 2000-2002
| C:\WINDOWS\system32\Drivers\VClone.sys | Скрипт: Kарантин, Удалить, Удалить через BC BAB38000 | 006000 (24576) | VirtualCloneCD Driver | Copyright (C) 2002 - 2004 Elaborate Bytes AG
| Обнаружено модулей - 136, опознано как безопасные - 125
| | ||||||
| Служба | Описание | Статус | Файл | Группа | Зависимости
| ATI Smart | Служба: Стоп, Удалить, Отключить ATI Smart | Не запущен | C:\WINDOWS\system32\ati2sgag.exe | Скрипт: Kарантин, Удалить, Удалить через BC |
| idsvc | Служба: Стоп, Удалить, Отключить Windows CardSpace | Не запущен | C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe | Скрипт: Kарантин, Удалить, Удалить через BC |
| NetTcpPortSharing | Служба: Стоп, Удалить, Отключить Net.Tcp Port Sharing Service | Не запущен | C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe | Скрипт: Kарантин, Удалить, Удалить через BC |
| Обнаружено - 98, опознано как безопасные - 95
| | ||||||
| Имя файла | Статус | Метод запуска | Описание
| C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, VirtualCloneDrive
| C:\Program Files\Skype\Phone\Skype.exe | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, Skype
| C:\Program Files\SpeedFan\speedfan.exe | Скрипт: Kарантин, Удалить, Удалить через BC Отключен | Ярлык в папке автозагрузки | C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка-\, C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка-\SpeedFan.lnk,
| C:\WINDOWS\JM\JMInsIDE.exe | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, JMB36X IDE Setup
| C:\WINDOWS\VM303_STI.EXE | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, BigDog303
| C:\WINDOWS\system32\JMRaidSetup.exe | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, JMB36X Configure
| C:\WINDOWS\system32\gpprefcl.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{0E28E245-9368-4853-AD84-6DA3BA35BB75}, DLLName
| C:\WINDOWS\system32\gpprefcl.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{17D89FEC-5C44-4972-B12D-241CAEF74509}, DLLName
| C:\WINDOWS\system32\gpprefcl.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{1A6364EB-776B-4120-ADE1-B63A406A76B5}, DLLName
| C:\WINDOWS\system32\gpprefcl.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{3A0DBA37-F8B2-4356-83DE-3E90BD5C261F}, DLLName
| C:\WINDOWS\system32\gpprefcl.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{5794DAFD-BE60-433f-88A2-1A31939AC01F}, DLLName
| C:\WINDOWS\system32\gpprefcl.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{6232C319-91AC-4931-9385-E70C2B099F0E}, DLLName
| C:\WINDOWS\system32\gpprefcl.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{6A4C88C6-C502-4f74-8F60-2CB23EDC24E2}, DLLName
| C:\WINDOWS\system32\gpprefcl.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{7150F9BF-48AD-4da4-A49C-29EF4A8369BA}, DLLName
| C:\WINDOWS\system32\gpprefcl.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{728EE579-943C-4519-9EF7-AB56765798ED}, DLLName
| C:\WINDOWS\system32\gpprefcl.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{74EE6C03-5363-4554-B161-627540339CAB}, DLLName
| C:\WINDOWS\system32\gpprefcl.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{91FBB303-0CD5-4055-BF42-E512A681B325}, DLLName
| C:\WINDOWS\system32\gpprefcl.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{A3F3E39B-5D83-4940-B954-28315B82F0A8}, DLLName
| C:\WINDOWS\system32\gpprefcl.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{AADCED64-746C-4633-A97C-D61349046527}, DLLName
| C:\WINDOWS\system32\gpprefcl.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{B087BE9D-ED37-454f-AF9C-04291E351182}, DLLName
| C:\WINDOWS\system32\gpprefcl.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{BC75B1ED-5833-4858-9BB8-CBF0B166DF9D}, DLLName
| C:\WINDOWS\system32\gpprefcl.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{C418DD9D-0D14-4efb-8FBF-CFE535C8FAC7}, DLLName
| C:\WINDOWS\system32\gpprefcl.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{E47248BA-94CC-49c4-BBB5-9EB7F05183D0}, DLLName
| C:\WINDOWS\system32\gpprefcl.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{E4F48E54-F38D-4884-BFB9-D4D2E5729C18}, DLLName
| C:\WINDOWS\system32\gpprefcl.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{E5094040-C46C-4115-B030-04FB2E545B00}, DLLName
| C:\WINDOWS\system32\gpprefcl.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{E62688F0-25FD-4c90-BFF5-F508B9D2E31F}, DLLName
| C:\WINDOWS\system32\gpprefcl.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{F9C77450-3A41-477E-9310-9ACD617BD9E3}, DLLName
| Обнаружено элементов автозапуска - 105, опознано как безопасные - 78
| | ||||||
| Имя файла | Тип | Описание | Производитель | CLSID
| C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll | Скрипт: Kарантин, Удалить, Удалить через BC BHO | Skype add-on for IE | (c) Skype Technologies. All rights reserved. | {22BF413B-C6D2-4d91-82A9-A0F997BA588C} | Удалить C:\Program Files\Save Flash\SaveFlash.dll | Скрипт: Kарантин, Удалить, Удалить через BC Панель | TODO: | TODO: (c) | {4064EA35-578D-4073-A834-C96D82CBCF40} | Удалить C:\Program Files\Save Flash\SaveFlash.dll | Скрипт: Kарантин, Удалить, Удалить через BC Модуль расширения | TODO: | TODO: (c) | {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} | Удалить C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll | Скрипт: Kарантин, Удалить, Удалить через BC Модуль расширения | Skype add-on for IE | (c) Skype Technologies. All rights reserved. | {77BF5300-1474-4EC7-9980-D32B190E9B07} | Удалить Обнаружено элементов - 11, опознано как безопасные - 7
| | ||||||
| Имя файла | Назначение | Описание | Производитель | CLSID
| deskpan.dll | Скрипт: Kарантин, Удалить, Удалить через BC Расширение CPL панорамирования дисплея | {42071714-76d4-11d1-8b24-00a0c9068ff3}
| Расширения оболочки для сжатия файлов | {764BF0E1-F219-11ce-972D-00AA00A14F56}
| Контекстное меню шифрования | {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}
| Панель задач и меню ''Пуск'' | {0DF44EAA-FF21-4412-828E-260A8728E7F1}
| rundll32.exe C:\WINDOWS\system32\shimgvw.dll,ImageView_COMServer {00E7B358-F65B-4dcf-83DF-CD026B94BFD4} | Скрипт: Kарантин, Удалить, Удалить через BC Autoplay for SlideShow | {00E7B358-F65B-4dcf-83DF-CD026B94BFD4}
| Учетные записи пользователей | {7A9D77BD-5403-11d2-8785-2E0420524153}
| c:\WINDOWS\system32\mscoree.dll | Скрипт: Kарантин, Удалить, Удалить через BC Fusion Cache | Microsoft .NET Runtime Execution Engine | © Microsoft Corporation. All rights reserved. | {1D2680C9-0E2A-469d-B787-065558BC7D43}
| C:\Program Files\Elaborate Bytes\VirtualCloneDrive\ElbyVCDShell.dll | Скрипт: Kарантин, Удалить, Удалить через BC VirtualCloneDrive | CloseTray | Copyright © 2002 - 2004 Elaborate Bytes AG | {B7056B8E-4F99-44f8-8CBD-282390FE5428}
| CorelDRAW Shell Extension Component |
| C:\WINDOWS\system32\MCtxMenu.dll | Скрипт: Kарантин, Удалить, Удалить через BC M Shell Extension | MContextMenu Shell Extension... | Copyrigh ©1997Microsoft Corp,©2000 Dmitry Miloserdov | {7EAA44AF-FF54-11D3-A717-000001264680}}
| Обнаружено элементов - 211, опознано как безопасные - 201
| | |||||||||||||||||||||||||
| Имя файла | Тип | Наименование | Описание | Производитель
| Обнаружено элементов - 10, опознано как безопасные - 10
| | ||||||
| Имя файла | Имя задания | Состояние задания | Описание | Производитель
| Обнаружено элементов - 1, опознано как безопасные - 1
| | ||||||
| Поставщик | Статус | Исп. файл | Описание | GUID
| Обнаружено - 5, опознано как безопасные - 5
| | ||||||
| Поставщик | Исп. файл | Описание
| Обнаружено - 27, опознано как безопасные - 27
| | ||||||
| Имя файла | Описание | Производитель | CLSID | URL загрузки
| C:\Program Files\JavaSoft\JRE\1.2\bin\npjava122_017.dll | Скрипт: Kарантин, Удалить, Удалить через BC Java Plug-in 1.2.2 for Netscape Navigator (DLL Helper) | Copyright ? 2000 | {7B19E477-0FF8-11d4-9914-005004D3B3DB} | Удалить http://java.sun.com/products/plugin/1.2/jinstall-122_017-win.cab
| C:\Program Files\JavaSoft\JRE\1.2\bin\npjava122_017.dll | Скрипт: Kарантин, Удалить, Удалить через BC Java Plug-in 1.2.2 for Netscape Navigator (DLL Helper) | Copyright ? 2000 | {8AD9C840-044E-11D1-B3E9-00805F499D93} | Удалить http://java.sun.com/products/plugin/1.2.2/jinstall-1_2_2-win.cab
| Обнаружено элементов - 3, опознано как безопасные - 1
| | ||||||
| Имя файла | Описание | Производитель
| Обнаружено элементов - 27, опознано как безопасные - 27
| | ||||||
| Имя файла | Описание | Производитель | CLSID
| Обнаружено элементов - 15, опознано как безопасные - 15
| | ||||||
Запись файла Hosts
|
| Имя файла | Тип | Описание | Производитель | CLSID
| mscoree.dll | Скрипт: Kарантин, Удалить, Удалить через BC Protocol | Microsoft .NET Runtime Execution Engine () | © Microsoft Corporation. All rights reserved. | {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
| mscoree.dll | Скрипт: Kарантин, Удалить, Удалить через BC Protocol | Microsoft .NET Runtime Execution Engine () | © Microsoft Corporation. All rights reserved. | {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
| mscoree.dll | Скрипт: Kарантин, Удалить, Удалить через BC Protocol | Microsoft .NET Runtime Execution Engine () | © Microsoft Corporation. All rights reserved. | {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
| Обнаружено элементов - 33, опознано как безопасные - 30
| | ||||||
| Файл | Описание | Тип
| C:\WINDOWS\system32\drivers\klif.sys | Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit | Перехватчик KernelMode
| C:\WINDOWS\system32\Drivers\kl1.sys | Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit | Перехватчик KernelMode
| C:\WINDOWS\system32\drivers\Haspnt.sys | Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit | >>> Перехватчик KernelMode - ЦП[1].IDT[06]
| |
Протокол антивирусной утилиты AVZ версии 4.30 Сканирование запущено в 31.05.2008 0:11:49 Загружена база: сигнатуры - 167156, нейропрофили - 2, микропрограммы лечения - 55, база от 29.05.2008 14:52 Загружены микропрограммы эвристики: 370 Загружены микропрограммы ИПУ: 9 Загружены цифровые подписи системных файлов: 71143 Режим эвристического анализатора: Максимальный уровень эвристики Режим лечения: выключено Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора Восстановление системы: Отключено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Функция kernel32.dll:GetProcAddress (409) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AE30->7C884FEC Функция kernel32.dll:LoadLibraryA (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D7B->7C884F9C Функция kernel32.dll:LoadLibraryExA (582) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D53->7C884FB0 Функция kernel32.dll:LoadLibraryExW (583) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF5->7C884FD8 Функция kernel32.dll:LoadLibraryW (584) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AEDB->7C884FC4 Детектирована модификация IAT: LoadLibraryA - 7C884F9C<>7C801D7B Детектирована модификация IAT: GetProcAddress - 7C884FEC<>7C80AE30 Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Функция user32.dll:RegisterRawInputDevices (546) перехвачена, метод ProcAddressHijack.GetProcAddress ->7E3BCE0E->7E400010 Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=085700) Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000 SDT = 8055C700 KiST = 80504450 (284) Функция NtClose (19) перехвачена (805BC4EC->B73E5370), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Функция NtConnectPort (1F) перехвачена (805A45B4->B73E3420), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Функция NtCreateKey (29) перехвачена (80623786->B73D67A0), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Функция NtCreateProcess (2F) перехвачена (805D11EC->B73E50A0), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Функция NtCreateProcessEx (30) перехвачена (805D1136->B73E5210), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Функция NtCreateSection (32) перехвачена (805AB3AE->B73E5E70), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Функция NtCreateSymbolicLinkObject (34) перехвачена (805C39B6->B73E5940), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Функция NtCreateThread (35) перехвачена (805D0FD4->B73E67B0), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Функция NtDeleteKey (3F) перехвачена (80623C16->B73D68A0), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Функция NtDeleteValueKey (41) перехвачена (80623DE6->B73D6920), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Функция NtDuplicateObject (44) перехвачена (805BDFC4->B73E5510), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Функция NtEnumerateKey (47) перехвачена (80623FC6->B73D69B0), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Функция NtEnumerateValueKey (49) перехвачена (80624230->B73D6A60), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Функция NtFlushKey (4F) перехвачена (8062449A->B73D6B10), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Функция NtInitializeRegistry (5C) перехвачена (806218DC->B73D6B90), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Функция NtLoadDriver (61) перехвачена (8058413A->B73E2FD0), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Функция NtLoadKey (62) перехвачена (80625982->B73D7590), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Функция NtLoadKey2 (63) перехвачена (8062558E->B73D6BB0), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Функция NtNotifyChangeKey (6F) перехвачена (8062594C->B73D6C80), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Функция NtOpenFile (74) перехвачена (8057A182->BA5A3030), перехватчик C:\WINDOWS\system32\Drivers\kl1.sys Функция NtOpenKey (77) перехвачена (80624B58->B73D6D60), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Функция NtOpenProcess (7A) перехвачена (805CB3FC->B73E4E90), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Функция NtOpenSection (7D) перехвачена (805AA3D2->B73E5CA0), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Функция NtQueryKey (A0) перехвачена (80624E7E->B73D6E30), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Функция NtQueryMultipleValueKey (A1) перехвачена (806228D4->B73D6EE0), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Функция NtQuerySystemInformation (AD) перехвачена (8061108C->B73E6460), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Функция NtQueryValueKey (B1) перехвачена (806219BE->B73D6F90), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Функция NtReplaceKey (C1) перехвачена (80625832->B73D7040), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Функция NtRequestWaitReplyPort (C8) перехвачена (805A2D5A->B73E3A00), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Функция NtRestoreKey (CC) перехвачена (8062513E->B73D70D0), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Функция NtResumeThread (CE) перехвачена (805D4976->B73E6760), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Функция NtSaveKey (CF) перехвачена (8062523A->B73D72D0), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Функция NtSetContextThread (D5) перехвачена (805D16F6->B73E6AE0), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Функция NtSetInformationFile (E0) перехвачена (8057B010->B73E70A0), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Функция NtSetInformationKey (E2) перехвачена (806224A0->B73D7360), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Функция NtSetSecurityObject (ED) перехвачена (805C05EA->B73E1C20), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Функция NtSetSystemInformation (F0) перехвачена (8060F3BA->B73E5B20), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Функция NtSetValueKey (F7) перехвачена (80621D0C->B73D7400), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Функция NtSuspendThread (FE) перехвачена (805D48B0->B73E6710), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Функция NtSystemDebugControl (FF) перехвачена (8061776E->B73E32E0), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Функция NtTerminateProcess (101) перехвачена (805D299E->B73E6300), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Функция NtUnloadKey (107) перехвачена (80622036->B73D7550), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Функция NtWriteVirtualMemory (115) перехвачена (805B4394->B73E53D0), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Функция FsRtlCheckLockForReadAccess (804EAF74) - модификация машинного кода. Метод JmpTo. jmp B73E74C0 \??\C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Функция IoIsOperationSynchronous (804EF902) - модификация машинного кода. Метод JmpTo. jmp B73E79C0 \??\C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Проверено функций: 284, перехвачено: 43, восстановлено: 0 1.3 Проверка IDT и SYSENTER Анализ для процессора 1 >>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [B5BFA16D] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный >>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [B5BF9FC2] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный Анализ для процессора 2 >>> Опасно - подозрение на подмену адреса ЦП[2].IDT[06] = [B5BFA16D] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный >>> Опасно - подозрение на подмену адреса ЦП[2].IDT[0E] = [B5BF9FC2] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный Проверка IDT и SYSENTER завершена 1.4 Поиск маскировки процессов и драйверов Поиск маскировки процессов и драйверов завершен Драйвер успешно загружен 1.5 Проверка обработчиков IRP Проверка завершена 2. Проверка памяти Количество найденных процессов: 29 Анализатор - изучается процесс 1956 C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe [ES]:Приложение не имеет видимых окон [ES]:Записан в автозапуск !! Количество загруженных модулей: 298 Проверка памяти завершена 3. Сканирование дисков 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами Проверка отключена пользователем 7. Эвристичеcкая проверка системы Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~2.0\adialhk.dll" Проверка завершена 8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя Проверка завершена 9. Мастер поиска и устранения проблем >> Нарушение ассоциации REG файлов >> Разрешен автозапуск с HDD >> Разрешен автозапуск с сетевых дисков >> Разрешен автозапуск со сменных носителей Проверка завершена Просканировано файлов: 327, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0 Сканирование завершено в 31.05.2008 0:12:09 Сканирование длилось 00:00:20 Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам, то Вы можете обратиться в конференцию - http://virusinfo.info Выполняется исследование системыДобавить в скрипт команды:
Команды скрипта