Код:
Протокол антивирусной утилиты AVZ версии 4.27
Сканирование запущено в 09.11.2007 16:38:27
Загружена база: 134942 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, база от 08.11.2007 16:30
Загружены микропрограммы эвристики: 371
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 65956
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:GetProcAddress (408) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80ADA0->7C883FEC
Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D77->7C883F9C
Функция kernel32.dll:LoadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D4F->7C883FB0
Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF1->7C883FD8
Функция kernel32.dll:LoadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AE4B->7C883FC4
Детектирована модификация IAT: LoadLibraryA - 7C883F9C<>7C801D77
Детектирована модификация IAT: GetProcAddress - 7C883FEC<>7C80ADA0
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=08A500)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80561500
KiST = 8314EB58 (297)
>>> Внимание, таблица KiST перемещена ! (804E48B0(284)->8314EB58(297))
Функция NtClose (19) перехвачена (8056E9E9->EFF42A80), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtCreateKey (29) перехвачена (80577237->EFF35380), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtCreatePagingFile (2D) перехвачена (805C4F51->BAFB8B00), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys
Функция NtCreateProcess (2F) перехвачена (805C0BF0->EFF427B0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtCreateProcessEx (30) перехвачена (8058AB10->EFF42920), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtCreateSection (32) перехвачена (8056CE25->EFF433C0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtCreateSymbolicLinkObject (34) перехвачена (805A8658->EFF43010), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtCreateThread (35) перехвачена (805849B2->EFF43CE0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtDeleteKey (3F) перехвачена (80598177->EFF35480), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtDeleteValueKey (41) перехвачена (805969F3->EFF35500), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtDuplicateObject (44) перехвачена (80578BF8->EFF42BE0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtEnumerateKey (47) перехвачена (805783AC->EFF355B0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtEnumerateValueKey (49) перехвачена (8058F45B->EFF35660), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtFlushKey (4F) перехвачена (805B4A59->EFF35710), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtInitializeRegistry (5C) перехвачена (805BAC1A->EFF35790), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtLoadDriver (61) перехвачена (805B97A1->EFF41010), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtLoadKey (62) перехвачена (805DFEF2->EFF361B0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtLoadKey2 (63) перехвачена (805DFD40->EFF357B0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtNotifyChangeKey (6F) перехвачена (805B1B9B->EFF35890), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtOpenFile (74) перехвачена (8057D538->BAD9E000), перехватчик C:\WINDOWS\system32\Drivers\kl1.sys
Функция NtOpenKey (77) перехвачена (80571CBC->EFF35970), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtOpenProcess (7A) перехвачена (8057908C->EFF425A0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtOpenSection (7D) перехвачена (8057EB4A->EFF431F0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtQueryKey (A0) перехвачена (80577FAC->EFF35A50), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtQueryMultipleValueKey (A1) перехвачена (80653CC4->EFF35B00), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtQuerySystemInformation (AD) перехвачена (8058531F->EFF43990), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtQueryValueKey (B1) перехвачена (80572100->EFF35BB0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtReplaceKey (C1) перехвачена (806545FE->EFF35C90), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtRestoreKey (CC) перехвачена (8065311C->EFF35D20), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtResumeThread (CE) перехвачена (80585029->EFF43C90), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSaveKey (CF) перехвачена (806531C3->EFF35F20), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSetContextThread (D5) перехвачена (80633D53->EFF44010), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSetInformationFile (E0) перехвачена (80582BC5->EFF44630), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSetInformationKey (E2) перехвачена (80653827->EFF35FB0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSetInformationProcess (E4) перехвачена (80581B2D->EFF47EE0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSetSecurityObject (ED) перехвачена (805B08E7->EFF3FC30), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSetSystemPowerState (F1) перехвачена (8066D0F9->BAFC4550), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys
Функция NtSetValueKey (F7) перехвачена (8057FF13->EFF36050), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSuspendThread (FE) перехвачена (80635A0B->EFF43C40), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSystemDebugControl (FF) перехвачена (8064F169->EFF41370), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtTerminateProcess (101) перехвачена (8058C399->EFF437E0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtUnloadKey (107) перехвачена (806533F5->EFF36170), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtWriteVirtualMemory (115) перехвачена (8058698B->EFF42AA0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция FsRtlCheckLockForReadAccess (804F3BF9) - модификация машинного кода. Метод JmpTo. jmp EFF44A50 \??\C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция IoAllocateIrp (804EAF6D) - модификация машинного кода. Метод не определен., внедрение с байта 15
Функция IoIsOperationSynchronous (804EAF7E) - модификация машинного кода. Метод JmpTo. jmp EFF44F50 \??\C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Проверено функций: 284, перехвачено: 43, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
Количество найденных процессов: 29
Количество загруженных модулей: 361
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\WINDOWS\$NtUninstallKB824141$\user32.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB824141$\win32k.sys
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\accwiz.exe
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\crypt32.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\cryptsvc.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\hh.exe
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\hhctrl.ocx
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\hhsetup.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\locator.exe
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\magnify.exe
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\migwiz.exe
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\mrxsmb.sys
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\msconv97.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\narrator.exe
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\newdev.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\ntdll.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\ntkrnlpa.exe
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\ntoskrnl.exe
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\osk.exe
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\pchshell.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\raspptp.sys
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\shmedia.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\srrstr.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\srv.sys
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\user32.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\win32k.sys
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\winsrv.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\zipfldr.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB826942$\dhcpcsvc.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB826942$\ndis.sys
Прямое чтение C:\WINDOWS\$NtUninstallKB826942$\ndisuio.sys
Прямое чтение C:\WINDOWS\$NtUninstallKB826942$\netshell.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB826942$\wzcdlg.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB826942$\wzcsapi.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB826942$\wzcsvc.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB828035$\msgsvc.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB828035$\wkssvc.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB828741$\catsrv.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB828741$\catsrvut.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB828741$\clbcatex.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB828741$\clbcatq.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB828741$\colbact.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB828741$\comadmin.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB828741$\comrepl.exe
Прямое чтение C:\WINDOWS\$NtUninstallKB828741$\comsvcs.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB828741$\comuid.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB828741$\es.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB828741$\migregdb.exe
Прямое чтение C:\WINDOWS\$NtUninstallKB828741$\msdtcprx.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB828741$\msdtctm.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB828741$\msdtcuiu.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB828741$\mtxclu.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB828741$\mtxoci.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB828741$\ole32.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB828741$\rpcrt4.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB828741$\rpcss.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB828741$\txflog.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB835732$\callcont.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB835732$\cmdevtgprov.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB835732$\evtgprov.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB835732$\gdi32.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB835732$\h323msp.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB835732$\ipnathlp.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB835732$\lsasrv.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB835732$\mf3216.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB835732$\msasn1.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB835732$\msgina.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB835732$\mst120.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB835732$\nmcom.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB835732$\rtcdll.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB835732$\schannel.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB839645$\fldrclnr.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB839645$\shell32.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB839645$\sxs.dll
Прямое чтение C:\WINDOWS\$NtUninstallQ828026$\msdxm.ocx
Прямое чтение C:\WINDOWS\$NtUninstallQ828026$\wmpcore.dll
Прямое чтение C:\WINDOWS\system32\drivers\atapi.sys
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\adialhk.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\adialhk.dll>>> Поведенческий анализ:
Типичное для кейлоггеров поведение не зарегистрировано
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
Просканировано файлов: 122911, извлечено из архивов: 90001, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 09.11.2007 17:25:35
Сканирование длилось 00:47:13
После загрузки драйвера мониторинга AVZPM невозможно было произвести перезагрузку системы: система не загружалась иначе как в предыдущей конфигурации. Поэтому поиск маскировки процессов и драйверов не производился.
