AVZ 4.29 http://z-oleg.com/secur/avz/
| Имя файла | PID | Описание | Copyright | MD5 | Информация
| c:\documents and settings\mm2.boom\desktop\avz4\avz4\avz.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 3280 | Антивирусная утилита AVZ | Антивирусная утилита AVZ | ?? | 715.50 кб, rsAh, | создан: 03.03.2008 18:51:47, изменен: 13.12.2007 15:28:04 Командная строка: "C:\Documents and Settings\mm2.boom\Desktop\avz4\avz4\avz.exe" c:\program files\daemon tools\daemon.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1792 | DAEMON Tools main application | (c) DT Soft Ltd. All rights reserved. | ?? | 471.45 кб, rsAh, | создан: 14.12.2007 15:18:23, изменен: 14.12.2007 15:18:23 Командная строка: "C:\Program Files\DAEMON Tools\daemon.exe" c:\windows\explorer.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1588 | Windows Explorer | © Microsoft Corporation. All rights reserved. | ?? | 1008.00 кб, rsAh, | создан: 04.08.2004 3:07:00, изменен: 04.08.2004 3:07:00 Командная строка: C:\WINDOWS\Explorer.EXE c:\program files\internet explorer\iexplore.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 3084 | Internet Explorer | © Microsoft Corporation. All rights reserved. | ?? | 607.50 кб, rsAh, | создан: 15.11.2007 19:37:36, изменен: 17.10.2006 13:04:40 Командная строка: "C:\Program Files\Internet Explorer\iexplore.exe" c:\program files\shadowim\miranda32.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1820 | Miranda IM | Copyright © 2000-2007 Miranda IM Project. This software is released under the terms of the GNU General Public License. | ?? | 538.58 кб, rsAh, | создан: 12.11.2007 21:02:18, изменен: 12.11.2007 21:02:18 Командная строка: "C:\Program Files\ShadowIM\miranda32.exe" c:\program files\cyberlink\powerdvd\pdvdserv.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1700 | PowerDVD RC Service | Copyright (c) CyberLink Corp. 1997-2006 | ?? | 69.55 кб, rsah, | создан: 14.03.2007 21:01:30, изменен: 14.03.2007 21:01:30 Командная строка: "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" c:\program files\windows sidebar\sidebar.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1776 | Windows Sidebar | © Microsoft Corporation. All rights reserved. | ?? | 1224.00 кб, rsAh, | создан: 17.11.2007 20:02:31, изменен: 08.12.2006 4:28:28 Командная строка: "C:\Program Files\Windows Sidebar\sidebar.exe" /autoRun c:\program files\windows sidebar\sidebar.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1928 | Windows Sidebar | © Microsoft Corporation. All rights reserved. | ?? | 1224.00 кб, rsAh, | создан: 17.11.2007 20:02:31, изменен: 08.12.2006 4:28:28 Командная строка: C:\Program Files\Windows Sidebar\sidebar.exe /autoRun c:\windows\system32\winlogon.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 536 | Windows NT Logon Application | © Microsoft Corporation. All rights reserved. | ?? | 490.50 кб, rsAh, | создан: 04.08.2004 3:07:00, изменен: 04.08.2004 3:07:00 Командная строка: winlogon.exe c:\program files\yahoo!\widgets\yahoowidgets.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 212 | Yahoo! Widgets | Copyright (C) 2004-2007 Yahoo! Inc. | ?? | 3659.04 кб, rsAh, | создан: 12.12.2007 0:34:48, изменен: 12.12.2007 0:34:48 Командная строка: C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe /child "C:\Documents and Settings\mm2.boom\My Documents\My Widgets\Yahoo! Mail Checker.widget" /dock c:\program files\yahoo!\widgets\yahoowidgets.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 240 | Yahoo! Widgets | Copyright (C) 2004-2007 Yahoo! Inc. | ?? | 3659.04 кб, rsAh, | создан: 12.12.2007 0:34:48, изменен: 12.12.2007 0:34:48 Командная строка: C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe /child "C:\Documents and Settings\mm2.boom\My Documents\My Widgets\Yahoo! Weather.widget" /dock c:\program files\yahoo!\widgets\yahoowidgets.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1832 | Yahoo! Widgets | Copyright (C) 2004-2007 Yahoo! Inc. | ?? | 3659.04 кб, rsAh, | создан: 12.12.2007 0:34:48, изменен: 12.12.2007 0:34:48 Командная строка: "C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe" c:\program files\yahoo!\widgets\yahoowidgets.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 188 | Yahoo! Widgets | Copyright (C) 2004-2007 Yahoo! Inc. | ?? | 3659.04 кб, rsAh, | создан: 12.12.2007 0:34:48, изменен: 12.12.2007 0:34:48 Командная строка: C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe /child "C:\Documents and Settings\mm2.boom\My Documents\My Widgets\Digital Clock.widget" /dock Обнаружено:30, из них опознаны как безопасные 22
| | |||||
| Модуль | Базовый адрес | Размер в памяти | Описание | Производитель
| C:\Program Files\CyberLink\PowerDVD\000.fcl | Скрипт: Kарантин, Удалить, Удалить через BC A9A59000 | 01D000 (118784) | FCL Driver | Copyright (c) CyberLink Corp. 2005-2006
| \Program Files\DAEMON Tools\daemon.dll | Скрипт: Kарантин, Удалить, Удалить через BC 10000000 | 0EC000 (966656) | Virtual DAEMON control library | Copyright (C) 2000
| C:\WINDOWS\System32\Drivers\DgiVecp.sys | Скрипт: Kарантин, Удалить, Удалить через BC AA36B000 | 00E000 (57344) | Windows NT 4.0 IEEE-1284 parallel class driver for ECP, Byte, and Nibble modes | Copyright © 1998, 1999 by DeviceGuys, Inc.
| C:\WINDOWS\System32\Drivers\dump_atapi.sys | Скрипт: Kарантин, Удалить, Удалить через BC AC90B000 | 018000 (98304) |
| C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS | Скрипт: Kарантин, Удалить, Удалить через BC BA5E8000 | 002000 (8192) |
| C:\WINDOWS\system32\drivers\klif.sys | Скрипт: Kарантин, Удалить, Удалить через BC ACADC000 | 024000 (147456) | Klif Mini-Filter | Copyright © Kaspersky Lab 1996-2007.
| C:\WINDOWS\system32\Drivers\pe3ag72b.sys | Скрипт: Kарантин, Удалить, Удалить через BC B9CC4000 | 013000 (77824) | Neverwinter Nights 2 Environment Driver | © Akella
| C:\WINDOWS\system32\Drivers\pf2ag72b.sys | Скрипт: Kарантин, Удалить, Удалить через BC B9CD7000 | 018000 (98304) | Neverwinter Nights 2 File System Driver | © Akella
| C:\WINDOWS\system32\Drivers\ps7ag72b.sys | Скрипт: Kарантин, Удалить, Удалить через BC B9E3C000 | 016000 (90112) | Neverwinter Nights 2 Synchronization Driver | © Akella
| spru.sys | Скрипт: Kарантин, Удалить, Удалить через BC B9EA9000 | 0FE000 (1040384) |
| C:\WINDOWS\system32\DRIVERS\tcpip.sys | Скрипт: Kарантин, Удалить, Удалить через BC ACA51000 | 058000 (360448) | TCP/IP Protocol Driver | © Microsoft Corporation. All rights reserved.
| Обнаружено модулей - 123, опознано как безопасные - 112
| | |||||||
| Имя файла | Статус | Метод запуска | Описание
| C:\Program Files\CyberLink\PowerDVD\Language\Language.exe | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, LanguageShortcut
| C:\Program Files\DAEMON Tools\daemon.exe | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, DAEMON Tools Lite
| C:\Program Files\Download Master\dmaster.exe | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, Download Master
| C:\Program Files\Kaspersky Lab Tool\setup_7.0.0.180_02.03.2008_11-17.exe | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, AVP
| C:\Program Files\ShadowIM\miranda32.exe | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ярлык в папке автозагрузки | C:\Documents and Settings\mm2.boom\Start Menu\Programs\Startup\, C:\Documents and Settings\mm2.boom\Start Menu\Programs\Startup\ShadowIM.lnk,
| C:\Program Files\TGTSoft\StyleXP\StyleXP.exe | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, STYLEXP
| C:\Program Files\Windows Sidebar\sidebar.exe | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, Sidebar
| C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ярлык в папке автозагрузки | C:\Documents and Settings\mm2.boom\Start Menu\Programs\Startup\, C:\Documents and Settings\mm2.boom\Start Menu\Programs\Startup\Yahoo! Widgets.lnk,
| WgaLogon.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon, DLLName
| Обнаружено элементов автозапуска - 68, опознано как безопасные - 59
| | ||||||
| Имя файла | Тип | Описание | Производитель | CLSID
| C:\Program Files\BitComet\tools\BitCometBHO_1.1.8.30.dll | Скрипт: Kарантин, Удалить, Удалить через BC BHO | BitCometBHO | Copyright (C) 2006 All Rights Reserved. | {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} | Удалить C:\Program Files\BitComet\tools\BitCometBHO_1.1.8.30.dll | Скрипт: Kарантин, Удалить, Удалить через BC Модуль расширения | BitCometBHO | Copyright (C) 2006 All Rights Reserved. | {461CC20B-FB6E-4f16-8FE8-C29359DB100E} | Удалить C:\Program Files\BitComet\tools\BitCometBHO_1.1.8.30.dll | Скрипт: Kарантин, Удалить, Удалить через BC Модуль расширения | BitCometBHO | Copyright (C) 2006 All Rights Reserved. | {92780B25-18CC-41C8-B9BE-3C9C571A8263} | Удалить C:\Program Files\ICQ6\ICQ.exe | Скрипт: Kарантин, Удалить, Удалить через BC Модуль расширения | ICQ Library | Copyright (c) 1998-2007 ICQ, Inc. | {E59EB121-F339-4851-A3BA-FE49C35617C2} | Удалить Обнаружено элементов - 6, опознано как безопасные - 2
| | ||||||
| Имя файла | Назначение | Описание | Производитель | CLSID
| deskpan.dll | Скрипт: Kарантин, Удалить, Удалить через BC Display Panning CPL Extension | {42071714-76d4-11d1-8b24-00a0c9068ff3}
| Shell extensions for file compression | {764BF0E1-F219-11ce-972D-00AA00A14F56}
| Encryption Context Menu | {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}
| Taskbar and Start Menu | {0DF44EAA-FF21-4412-828E-260A8728E7F1}
| rundll32.exe C:\WINDOWS\system32\shimgvw.dll,ImageView_COMServer {00E7B358-F65B-4dcf-83DF-CD026B94BFD4} | Скрипт: Kарантин, Удалить, Удалить через BC Autoplay for SlideShow | {00E7B358-F65B-4dcf-83DF-CD026B94BFD4}
| User Accounts | {7A9D77BD-5403-11d2-8785-2E0420524153}
| AlcoholShellEx | {32020A01-506E-484D-A2A8-BE3CF17601C3}
| C:\Program Files\WinRAR\rarext.dll | Скрипт: Kарантин, Удалить, Удалить через BC WinRAR shell extension | {B41DB860-8EE4-11D2-9906-E49FADC173CA}
| C:\WINDOWS\system32\AviInfoShell.dll | Скрипт: Kарантин, Удалить, Удалить через BC AviInfo ShellExt | AviInfo Explorer Extension | Copyright © 2002-2004 | {609D111E-13F4-40d5-A87D-AFB3B63FE6FE}
| Обнаружено элементов - 201, опознано как безопасные - 192
| | |||||||||||||||||||||||||||
| Имя файла | Тип | Наименование | Описание | Производитель
| Обнаружено элементов - 9, опознано как безопасные - 9
| | ||||||
| Имя файла | Имя задания | Состояние задания | Описание | Производитель
| Обнаружено элементов - 0, опознано как безопасные - 0
| | ||||||
| Поставщик | Статус | Исп. файл | Описание | GUID
| Обнаружено - 3, опознано как безопасные - 3
| | ||||||
| Поставщик | Исп. файл | Описание
| Обнаружено - 13, опознано как безопасные - 13
| | ||||||
| Имя файла | Описание | Производитель | CLSID | URL загрузки
| {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} | Удалить http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab
| Обнаружено элементов - 1, опознано как безопасные - 0
| | |||||||||
| Имя файла | Описание | Производитель
| C:\WINDOWS\system32\PhysX.cpl | Скрипт: Kарантин, Удалить, Удалить через BC AGEIA PhysX Properties Control Panel | Copyright (C) 2007 AGEIA Technologies, Inc.
| Обнаружено элементов - 24, опознано как безопасные - 23
| | ||||||
| Имя файла | Описание | Производитель | CLSID
| C:\WINDOWS\system32\hidec | Скрипт: Kарантин, Удалить, Удалить через BC Windows Sidebar
| Обнаружено элементов - 19, опознано как безопасные - 18
| | ||||||||
Запись файла Hosts
|
| Имя файла | Тип | Описание | Производитель | CLSID
| mscoree.dll | Скрипт: Kарантин, Удалить, Удалить через BC Protocol | Microsoft .NET Runtime Execution Engine () | © Microsoft Corporation. All rights reserved. | {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
| mscoree.dll | Скрипт: Kарантин, Удалить, Удалить через BC Protocol | Microsoft .NET Runtime Execution Engine () | © Microsoft Corporation. All rights reserved. | {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
| mscoree.dll | Скрипт: Kарантин, Удалить, Удалить через BC Protocol | Microsoft .NET Runtime Execution Engine () | © Microsoft Corporation. All rights reserved. | {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
| Обнаружено элементов - 31, опознано как безопасные - 28
| | ||||||
| Файл | Описание | Тип
| spru.sys | Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit | Перехватчик KernelMode
| C:\Program Files\ShadowIM\Plugins\bosskey.dll | Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на KeyLogger | Подозрение на Keylogger или троянскую DLL
| |
Протокол антивирусной утилиты AVZ версии 4.29 Сканирование запущено в 03.03.2008 21:17:15 Загружена база: сигнатуры - 152072, нейропрофили - 2, микропрограммы лечения - 55, база от 03.03.2008 21:14 Загружены микропрограммы эвристики: 370 Загружены микропрограммы ИПУ: 9 Загружены цифровые подписи системных файлов: 69898 Режим эвристического анализатора: Максимальный уровень эвристики Режим лечения: выключено Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора Восстановление системы: Отключено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=07B180) Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000 SDT = 80552180 KiST = 80501030 (284) Функция NtCreateKey (29) перехвачена (80618BD2->B9EAA0E0), перехватчик spru.sys Функция NtEnumerateKey (47) перехвачена (80619412->B9EC7CA2), перехватчик spru.sys Функция NtEnumerateValueKey (49) перехвачена (8061967C->B9EC8030), перехватчик spru.sys Функция NtOpenKey (77) перехвачена (80619F68->B9EAA0C0), перехватчик spru.sys Функция NtQueryKey (A0) перехвачена (8061A28C->B9EC8108), перехватчик spru.sys Функция NtQueryValueKey (B1) перехвачена (80616C8C->B9EC7F88), перехватчик spru.sys Функция NtSetValueKey (F7) перехвачена (80617292->B9EC819A), перехватчик spru.sys Проверено функций: 284, перехвачено: 7, восстановлено: 0 1.3 Проверка IDT и SYSENTER Анализ для процессора 1 Проверка IDT и SYSENTER завершена 1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM 2. Проверка памяти Количество найденных процессов: 29 Анализатор - изучается процесс 1792 C:\Program Files\DAEMON Tools\daemon.exe [ES]:Приложение не имеет видимых окон [ES]:Записан в автозапуск !! Анализатор - изучается процесс 1820 C:\Program Files\ShadowIM\miranda32.exe [ES]:Может работать с сетью [ES]:Прослушивает порты TCP ! [ES]:Приложение не имеет видимых окон [ES]:Записан в автозапуск !! [ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ? Количество загруженных модулей: 367 Проверка памяти завершена 3. Сканирование дисков 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) C:\Program Files\ShadowIM\Plugins\bosskey.dll --> Подозрение на Keylogger или троянскую DLL C:\Program Files\ShadowIM\Plugins\bosskey.dll>>> Поведенческий анализ: 1. Реагирует на события: клавиатура 2. Передает данные процессу: 1820 C:\Program Files\ShadowIM\miranda32.exe (окно = "MY6BossKey_Param") C:\Program Files\ShadowIM\Plugins\bosskey.dll>>> Нейросеть: файл с вероятностью 97.18% похож на типовой перехватчик событий клавиатуры/мыши На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами Проверка отключена пользователем 7. Эвристичеcкая проверка системы Проверка завершена 8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry) >> Службы: разрешена потенциально опасная служба TermService (Terminal Services) >> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service) >> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику Проверка завершена 9. Мастер поиска и устранения проблем >> Разрешен автозапуск с HDD >> Разрешен автозапуск с сетевых дисков >> Разрешен автозапуск со сменных носителей Проверка завершена Просканировано файлов: 396, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0 Сканирование завершено в 03.03.2008 21:17:34 Сканирование длилось 00:00:21 Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам, то Вы можете обратиться в конференцию - http://virusinfo.info Выполняется исследование системыДобавить в скрипт команды:
Команды скрипта