Протокол исследования системы

Ошибка LSP NameSpace: "mdnsNSP" --> отсутствует файл C:\Program Files\Bonjour\mdnsNSP.dll
Внимание ! Обнаружены ошибки в LSP. Количество ошибок - 1
Возможны проблемы при работе с сетью и Интернет

127.0.0.1       localhost

127.0.0.1	www.subdomain.localhost

127.0.0.1	www.subdomain.test1.ru

127.0.0.1	subdomain.localhost

127.0.0.1	subdomain.test1.ru

127.0.0.1	www.localhost

127.0.0.1	www.test1.ru

127.0.0.2	custom-host

127.0.0.2	www.custom

127.0.0.1	test1.ru

127.0.0.2	custom

Протокол антивирусной утилиты AVZ версии 4.32
Сканирование запущено в 01.11.2009 16:53:28
Загружена база: сигнатуры - 247554, нейропрофили - 2, микропрограммы лечения - 56, база от 31.10.2009 09:42
Загружены микропрограммы эвристики: 374
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 151774
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
Восстановление системы: Отключено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=082480)
 Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
   SDT = 80559480
   KiST = 804E26A8 (284)
Функция NtConnectPort (1F) перехвачена (805894AD->BA7430D2), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасный
Функция NtCreateFile (25) перехвачена (80570D48->BA745302), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасный
Функция NtCreateKey (29) перехвачена (8056E761->F7C39CB6), перехватчик не определен
Функция NtCreatePort (2E) перехвачена (805963A9->BA74302C), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасный
Функция NtCreateSection (32) перехвачена (8056441B->BA743AAE), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасный
Функция NtCreateThread (35) перехвачена (8057B1C5->F7C39CAC), перехватчик не определен
Функция NtDeleteFile (3E) перехвачена (805D3C07->BA744CB0), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасный
Функция NtDeleteKey (3F) перехвачена (80590F78->F7C39CBB), перехватчик не определен
Функция NtDeleteValueKey (41) перехвачена (8058E9FA->F7C39CC5), перехватчик не определен
Функция NtEnumerateKey (47) перехвачена (8056EE68->F742ECA2), перехватчик spoy.sys
Функция NtEnumerateValueKey (49) перехвачена (8057EB28->F742F030), перехватчик spoy.sys
Функция NtLoadKey (62) перехвачена (805AACF0->F7C39CCA), перехватчик не определен
Функция NtOpenKey (77) перехвачена (80567AFB->F74110C0), перехватчик spoy.sys
Функция NtOpenProcess (7A) перехвачена (80573C96->F7C39C98), перехватчик не определен
Функция NtOpenSection (7D) перехвачена (8057769B->BA7439E0), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасный
Функция NtOpenThread (80) перехвачена (80588974->F7C39C9D), перехватчик не определен
Функция NtQueryKey (A0) перехвачена (8056EB71->F742F108), перехватчик spoy.sys
Функция NtQueryValueKey (B1) перехвачена (8056B0BB->F742EF88), перехватчик spoy.sys
Функция NtReplaceKey (C1) перехвачена (8064D232->F7C39CD4), перехватчик не определен
Функция NtRestoreKey (CC) перехвачена (8064BD56->F7C39CCF), перехватчик не определен
Функция NtSetContextThread (D5) перехвачена (8062C143->BA742BB4), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасный
Функция NtSetInformationFile (E0) перехвачена (80577E2C->BA744DE0), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасный
Функция NtSetValueKey (F7) перехвачена (80574C1D->F7C39CC0), перехватчик не определен
Функция NtShutdownSystem (F9) перехвачена (80645557->BA743FA0), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасный
Функция NtTerminateProcess (101) перехвачена (80582C2B->F7C39CA7), перехватчик не определен
Функция NtWriteFile (112) перехвачена (805780D5->BA74514A), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасный
Функция NtWriteFileGather (113) перехвачена (805D62EE->BA744FB4), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасный
Проверено функций: 284, перехвачено: 27, восстановлено: 0
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
 Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 82F6E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 82F6E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 82F6E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 82F6E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 82F6E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 82F6E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 82F6E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 82F6E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 82F6E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 82F6E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 82F6E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 82F6E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 82F6E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 82F6E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 82F6E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 82F6E1F8 -> перехватчик не определен
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 31
 Количество загруженных модулей: 266
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Documents and Settings\King Maxim\Local Settings\Application Data\Opera\Opera\vps\0000\wb.vx
Прямое чтение C:\Documents and Settings\King Maxim\Local Settings\Application Data\Opera\Opera\vps\0001\wb.vx
Прямое чтение C:\Documents and Settings\King Maxim\Local Settings\Application Data\Opera\Opera\vps\0002\wb.vx
Прямое чтение C:\Documents and Settings\King Maxim\Local Settings\Application Data\Opera\Opera\vps\0003\wb.vx
Прямое чтение C:\Documents and Settings\King Maxim\Local Settings\Application Data\Opera\Opera\vps\0004\wb.vx
Прямое чтение C:\Documents and Settings\King Maxim\Local Settings\Application Data\Opera\Opera\vps\0005\wb.vx
Прямое чтение C:\Documents and Settings\King Maxim\Local Settings\Application Data\Opera\Opera\vps\0006\wb.vx
Прямое чтение C:\Documents and Settings\King Maxim\Local Settings\Application Data\Opera\Opera\vps\0007\wb.vx
Прямое чтение C:\Documents and Settings\King Maxim\Local Settings\Application Data\Opera\Opera\vps\0008\wb.vx
Прямое чтение C:\Documents and Settings\King Maxim\Local Settings\Application Data\Opera\Opera\vps\0009\wb.vx
Прямое чтение C:\Documents and Settings\King Maxim\Local Settings\Temp\~DF4169.tmp
Прямое чтение C:\Program Files\Opera\skin\standard_skin.zip
Прямое чтение C:\Program Files\Total Commander\Plugins\wlx\Imagine\Imagine.dll
Прямое чтение C:\Program Files\uTorrent Extreme Leecher Edition\Azureus 2504\uTorrent Extreme LE (Original).exe
Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys
D:\PDA\Документация\FAQ_sgh_i710.chm/{CHM}//Tip & Tweak (настройка Рё твики системы)/Убираем выскакивающее сообщение Рѕ переадресации.files/dci710notify.exe >>> Опасно - исполняемый файл в CHM файле - возможно, маскировка исполняемого файла 
D:\PDA\Новые\spb.mobile.shell.3.kg.rar/{RAR}/cr-keymaker.exe >>>>> Trojan-Downloader.Win32.Agent.bzoe 
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Ошибка LSP NameSpace: "mdnsNSP" --> отсутствует файл C:\Program Files\Bonjour\mdnsNSP.dll
 Внимание ! Обнаружены ошибки в SPI/LSP. Количество ошибок - 1
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Нестандартный ключ Winlogon\Shell, подозрение на скрытый запуск "explorer.exe rundll32.exe dckp.suo printer"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Модифицирован ключ запуска проводника
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 85370, извлечено из архивов: 59260, найдено вредоносных программ 1, подозрений - 0
Сканирование завершено в 01.11.2009 17:46:51
Сканирование длилось 00:53:25
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info


Команды скрипта
 
Добавить в скрипт команды:
Нейтрализация перехватов функций при помощи антируткита
Включить AVZGuard
Управление AVZPM (true-включить,false-отключить)
BootCleaner - импорт списка удаленных файлов
Чистка реестра после удаления файлов
BootCleaner - активация
Перезагрузка
Вставить заготовку для QuarantineFile() - помещение файла в карантин
Вставить заготовку для BC_QrFile() - помещение файла в карантин через BC
Вставить заготовку для DeleteFile() - удаление файла
Вставить заготовку для DelCLSID() - удаление CLSID класса из реестра
Дополнительные операции:
Оптимизация - отключить службу SSDPSRV (Служба обнаружения SSDP)
Оптимизация - отключить службу Alerter (Оповещатель)
Оптимизация - безопасность - отключить автозапуск программ с CD
Оптимизация - безопасность - блокировать возможность подключения анонимных пользователей

Список файлов