Пользователь
Сообщения: 85
Благодарности: 0
|
Профиль
|
Отправить PM
| Цитировать
RAdmin - я сам установил, иногда нужен, на нем пароль стоит.
cleanup.bat - выполнил
обновления устанавливал preSP3 для Server 2003 скачанный отсюда http://forum.oszone.net/thread-71346.html
Код:  Протокол антивирусной утилиты AVZ версии 4.35
Сканирование запущено в 28.03.2011 11:23:09
Загружена база: сигнатуры - 287889, нейропрофили - 2, микропрограммы лечения - 56, база от 16.03.2011 18:08
Загружены микропрограммы эвристики: 388
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 267478
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: включено
Версия Windows: 5.2.3790, Service Pack 2 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=0A8340)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 80800000
SDT = 808A8340
KiST = 80834BFC (296)
Функция NtAdjustPrivilegesToken (0C) перехвачена (80968E16->ACC6DCC4), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtClose (1B) перехвачена (80936B50->ACC6E496), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtConnectPort (21) перехвачена (809226C4->ACC6E8BE), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateFile (27) перехвачена (808F0EB0->ACC7268A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateNamedPipeFile (2E) перехвачена (808F0EEA->ACC6DB8A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateSymbolicLinkObject (36) перехвачена (8093FAC0->ACC6F96C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateThread (37) перехвачена (8094D258->ACC6E23A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDebugActiveProcess (3B) перехвачена (809A357C->ACC6F39E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDeviceIoControlFile (45) перехвачена (808F1070->ACC6E690), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDuplicateObject (47) перехвачена (809386A0->ACC6FDAE), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtFsControlFile (58) перехвачена (808F10A4->ACC6E542), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtLoadDriver (65) перехвачена (808FC312->ACC6F430), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenFile (7A) перехвачена (808F1FBA->ACC724CE), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenProcess (80) перехвачена (80946E6E->ACC6DEF4), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenSection (83) перехвачена (8092893C->ACC6F996), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenThread (86) перехвачена (809470FC->ACC6DDF6), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueueApcThread (BC) перехвачена (8094D4AE->ACC6F6C4), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtReplaceKey (C9) перехвачена (808DC912->ACC6D05A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtRequestWaitReplyPort (D0) перехвачена (8092098C->ACC6F224), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtRestoreKey (D4) перехвачена (808DC198->ACC6D1BC), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtResumeThread (D6) перехвачена (80951412->ACC6FC82), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSaveKey (D7) перехвачена (808DC294->ACC6CE5C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSecureConnectPort (DA) перехвачена (80921D70->ACC6E780), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetContextThread (DD) перехвачена (8094D97E->ACC6E33A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetSecurityObject (F6) перехвачена (8093B0AE->ACC6F52A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetSystemInformation (F9) перехвачена (8098F850->ACC6F9C0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSuspendProcess (106) перехвачена (809514D8->ACC6FAA4), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSuspendThread (107) перехвачена (8095134E->ACC6FB60), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSystemDebugControl (108) перехвачена (80996F96->ACC6F2CA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtTerminateProcess (10A) перехвачена (8094EC4A->ACC6E08E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtTerminateThread (10B) перехвачена (8094EE56->ACC6DFE4), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtWriteVirtualMemory (11F) перехвачена (8093164A->ACC6E16E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция FsRtlCheckLockForReadAccess (808176EE) - модификация машинного кода. Метод JmpTo. jmp ACC80F1E \SystemRoot\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
Функция IoIsOperationSynchronous (8081C91C) - модификация машинного кода. Метод JmpTo. jmp ACC812F8 \SystemRoot\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
Проверено функций: 296, перехвачено: 32, восстановлено: 34
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
CmpCallCallBacks = 00000000
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=408, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 408)
Маскировка процесса с PID=1848, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1848)
Маскировка процесса с PID=1864, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1864)
Маскировка процесса с PID=204, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 204)
Маскировка процесса с PID=268, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 268)
Маскировка процесса с PID=428, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 428)
Маскировка процесса с PID=196, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 196)
Маскировка процесса с PID=1088, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1088)
Маскировка процесса с PID=1364, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1364)
Маскировка процесса с PID=1140, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1140)
Маскировка процесса с PID=628, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 628)
Маскировка процесса с PID=1696, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1696)
Маскировка процесса с PID=1708, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1708)
Маскировка процесса с PID=2076, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2076)
Маскировка процесса с PID=2152, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2152)
Маскировка процесса с PID=2160, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2160)
Маскировка процесса с PID=2168, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2168)
Маскировка процесса с PID=2176, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2176)
Маскировка процесса с PID=2184, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2184)
Маскировка процесса с PID=2212, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2212)
Маскировка процесса с PID=2224, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2224)
Маскировка процесса с PID=2236, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2236)
Маскировка процесса с PID=2244, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2244)
Маскировка процесса с PID=2492, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2492)
Маскировка процесса с PID=2840, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2840)
Маскировка процесса с PID=2856, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2856)
Маскировка процесса с PID=2868, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2868)
Маскировка процесса с PID=2896, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2896)
Маскировка процесса с PID=2948, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2948)
Маскировка процесса с PID=3000, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3000)
Маскировка процесса с PID=3008, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3008)
Маскировка процесса с PID=3328, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3328)
Маскировка процесса с PID=2676, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2676)
Маскировка процесса с PID=3232, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3232)
Маскировка процесса с PID=2380, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2380)
Маскировка процесса с PID=1100, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1100)
Маскировка процесса с PID=3940, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3940)
Маскировка процесса с PID=3304, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3304)
Маскировка процесса с PID=632, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 632)
Маскировка процесса с PID=2260, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2260)
Маскировка процесса с PID=2440, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2440)
Маскировка процесса с PID=2512, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2512)
Маскировка процесса с PID=2720, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2720)
Маскировка процесса с PID=2892, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2892)
Маскировка процесса с PID=3128, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3128)
Маскировка процесса с PID=2968, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2968)
Маскировка процесса с PID=892, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 892)
Маскировка процесса с PID=1736, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1736)
Маскировка процесса с PID=3936, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3936)
Маскировка процесса с PID=600, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 600)
Маскировка процесса с PID=3972, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3972)
Маскировка процесса с PID=624, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 624)
Маскировка процесса с PID=2152, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2152)
Маскировка процесса с PID=1660, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1660)
Маскировка процесса с PID=3704, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3704)
Маскировка процесса с PID=1732, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1732)
Маскировка процесса с PID=360, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 360)
Маскировка процесса с PID=2312, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2312)
Маскировка процесса с PID=640, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 640)
Маскировка процесса с PID=2160, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2160)
Поиск маскировки процессов и драйверов завершен
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 51
Анализатор - изучается процесс 476 C:\WINDOWS\system32\winlogon.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 752 C:\Program Files\USB Safely Remove\USBSRService.exe
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 1496 C:\Program Files\rnamfler\naofsvc.exe
[ES]:Приложение не имеет видимых окон
[ES]:EXE упаковщик ?
Анализатор - изучается процесс 1564 C:\WINDOWS\System32\r_server.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
Анализатор - изучается процесс 2432 C:\PROGRA~1\TrafInsp\ASP.NET\bin\TIASPN~1.EXE
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
Количество загруженных модулей: 476
Проверка памяти завершена
3. Сканирование дисков
C:\Documents and Settings\Администратор\Application Data\Thinstall\R-Studio 5.0\%drive_D%\WINDOWS\system32\winlogon.bak - PE файл с нестандартным расширением(степень опасности 5%)
Файл успешно помещен в карантин (C:\Documents and Settings\Администратор\Application Data\Thinstall\R-Studio 5.0\%drive_D%\WINDOWS\system32\winlogon.bak)
Прямое чтение C:\Documents and Settings\Администратор\Local Settings\Temp\nsyF.tmp
Прямое чтение C:\Documents and Settings\Администратор\Local Settings\Temp\~DF6024.tmp
C:\Program Files\CommFort_server5\CommFort_server.exe.BAK - PE файл с нестандартным расширением(степень опасности 5%)
Файл успешно помещен в карантин (C:\Program Files\CommFort_server5\CommFort_server.exe.BAK)
C:\Program Files\Remote Office Manager - Viewer\ROMViewer.exe.BAK - PE файл с нестандартным расширением(степень опасности 5%)
Файл успешно помещен в карантин (C:\Program Files\Remote Office Manager - Viewer\ROMViewer.exe.BAK)
C:\Program Files\TrafInsp\ticore.dll.BAK - PE файл с нестандартным расширением(степень опасности 5%)
Файл успешно помещен в карантин (C:\Program Files\TrafInsp\ticore.dll.BAK)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
>>> C:\WINDOWS\system32\r_server.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
Файл успешно помещен в карантин (C:\WINDOWS\system32\r_server.exe)
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: разрешен автоматический вход в систему
Проверка завершена
9. Мастер поиска и устранения проблем
>> Таймаут завершения служб находится за пределами допустимых значений
>> Скрыта кнопка завершения работы
Проверка завершена
Просканировано файлов: 154748, извлечено из архивов: 132642, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 28.03.2011 11:44:53
!!! Внимание !!! Восстановлено 34 функций KiST в ходе работы антируткита
Это может нарушить нормальную работу ряда программ, поэтому настоятельно рекомендуется перезагрузить компьютер
Сканирование длилось 00:21:45
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в систему http://kaspersky-911.ru
Создание архива с файлами из карантина
Создание архива с файлами из карантина завершено
Выполняется исследование системы
Исследование системы завершено
|
