Старожил
Сообщения: 166
Благодарности: 1
|
Профиль
|
Отправить PM
| Цитировать
вообщем я обрадовался раньше времени
в воскресенье повторилось тоже самое:
вот логи avz:
Цитата:
Протокол антивирусной утилиты AVZ версии 4.32
Сканирование запущено в 19.10.2009 9:40:47
Загружена база: сигнатуры - 245017, нейропрофили - 2, микропрограммы лечения - 56, база от 16.10.2009 10:16
Загружены микропрограммы эвристики: 374
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 148521
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 5.2.3790, Service Pack 2 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
>> Опасно ! Обнаружена маскировка процессов
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
>> Опасно ! Обнаружена маскировка процессов
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=0AEF20)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 80800000
SDT = 808AEF20
KiST = 8083E5C8 (296)
Функция NtAlertResumeThread (0D) перехвачена (809A5D9E->81CB0B00), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtAlertThread (0E) перехвачена (8091D460->81CB0C78), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtAllocateVirtualMemory (12) перехвачена (808468D6->81CD6470), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateMutant (2D) перехвачена (80917C28->81CB0430), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateThread (37) перехвачена (8093BE07->81D630F8), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDeleteValueKey (44) перехвачена (8090C66F->F0587350), перехватчик C:\Program Files\Symantec\SYMEVENT.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtFreeVirtualMemory (57) перехвачена (80851134->81CB1B00), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtImpersonateAnonymousToken (5D) перехвачена (809191F1->81CB05E0), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtImpersonateThread (5F) перехвачена (80925E2F->81CB0788), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtMapViewOfSection (71) перехвачена (809354FA->81C430A8), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenEvent (78) перехвачена (809145C2->81CAF008), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenProcessToken (81) перехвачена (8093A911->81CB1C78), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenThreadToken (87) перехвачена (8093F568->81CB1698), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryValueKey (B9) перехвачена (809316ED->81DB9008), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtResumeThread (D6) перехвачена (8093BBC0->81CCC498), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetContextThread (DD) перехвачена (808C039C->81CB1300), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetInformationProcess (ED) перехвачена (8093C86D->81CB1810), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetInformationThread (EE) перехвачена (8093EEB9->81CB1188), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetValueKey (100) перехвачена (8092F3A6->F0587580), перехватчик C:\Program Files\Symantec\SYMEVENT.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSuspendProcess (106) перехвачена (809A5CE3->81CAFE70), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSuspendThread (107) перехвачена (80904D2D->81CB0DF0), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtTerminateProcess (10A) перехвачена (8090E36C->81CB1DF0), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtTerminateThread (10B) перехвачена (8091F8F6->81CB10B0), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtUnmapViewOfSection (115) перехвачена (80935785->81CB1988), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtWriteVirtualMemory (11F) перехвачена (8093C7A3->81BF9430), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Проверено функций: 296, перехвачено: 25, восстановлено: 25
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
CmpCallCallBacks = 00000000
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 49
Количество загруженных модулей: 374
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 191 TCP портов и 25 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 60755, извлечено из архивов: 48214, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 19.10.2009 10:02:49
!!! Внимание !!! Восстановлено 25 функций KiST в ходе работы антируткита
Это может нарушить нормальную работу ряда программ, поэтому настоятельно рекомендуется перезагрузить компьютер
Сканирование длилось 00:22:09
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info
|
|
