Протокол исследования системы

AVZ 4.39 http://z-oleg.com/secur/avz/

Список процессов

Модули пространства ядра

Службы

Драйверы

Автозапуск

Модули расширения Internet Explorer (BHO, панели ...)

Модули расширения проводника

Модули расширения системы печати (мониторы печати, провайдеры)

Задания планировщика задач Task Scheduler

Настройки SPI/LSP

Настройки LSP проверены. Ошибок не обнаружено

127.0.0.1       localhost

g1111113 

109.200.202.43 my.mail.ru

109.200.202.43 m.my.mail.ru

109.200.202.43 vk.com

109.200.202.43 ok.ru

109.200.202.43 m.vk.com

109.200.202.43 odnoklassniki.ru

109.200.202.43 vk.com

109.200.202.43 www.odnoklassniki.ru

109.200.202.43 m.odnoklassniki.ru

109.200.202.43 ok.ru

109.200.202.43 m.ok.ru

109.200.202.43 www.odnoklassniki.ru

g1111113 

184.105.235.206 my.mail.ru

184.105.235.206 m.my.mail.ru

184.105.235.206 vk.com

184.105.235.206 ok.ru

184.105.235.206 m.vk.com

184.105.235.206 odnoklassniki.ru

184.105.235.206 vk.com

184.105.235.206 www.odnoklassniki.ru

184.105.235.206 m.odnoklassniki.ru

184.105.235.206 ok.ru

184.105.235.206 m.ok.ru

184.105.235.206 www.odnoklassniki.ru

g1111113 

184.105.235.206 my.mail.ru

184.105.235.206 m.my.mail.ru

184.105.235.206 vk.com

184.105.235.206 ok.ru

184.105.235.206 m.vk.com

184.105.235.206 odnoklassniki.ru

184.105.235.206 vk.com

184.105.235.206 www.odnoklassniki.ru

184.105.235.206 m.odnoklassniki.ru

184.105.235.206 ok.ru

184.105.235.206 m.ok.ru

184.105.235.206 www.odnoklassniki.ru

Внимание !!! База поcледний раз обновлялась 30.01.2013 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.39
Сканирование запущено в 25.06.2013 11:34:44
Загружена база: сигнатуры - 297614, нейропрофили - 2, микропрограммы лечения - 56, база от 30.01.2013 18:40
Загружены микропрограммы эвристики: 399
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 506902
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:CopyFileA (64) перехвачена, метод APICodeHijack.JmpTo[00060FF6]
Функция kernel32.dll:CopyFileW (67) перехвачена, метод APICodeHijack.JmpTo[00061096]
Функция kernel32.dll:CreateFileA (80) перехвачена, метод APICodeHijack.JmpTo[000611B6]
Функция kernel32.dll:CreateFileW (83) перехвачена, метод APICodeHijack.JmpTo[00061286]
Функция kernel32.dll:MoveFileA (609) перехвачена, метод APICodeHijack.JmpTo[00062506]
Функция kernel32.dll:MoveFileW (612) перехвачена, метод APICodeHijack.JmpTo[00062566]
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:LdrLoadDll (70) перехвачена, метод APICodeHijack.JmpTo[000652F6]
Функция ntdll.dll:NtEnumerateValueKey (161) перехвачена, метод APICodeHijack.JmpTo[00066386]
Функция ntdll.dll:NtQueryDirectoryFile (234) перехвачена, метод APICodeHijack.JmpTo[00066636]
Функция ntdll.dll:NtResumeThread (297) перехвачена, метод APICodeHijack.JmpTo[000653C6]
Функция ntdll.dll:ZwEnumerateValueKey (970) перехвачена, метод APICodeHijack.JmpTo[00066386]
Функция ntdll.dll:ZwQueryDirectoryFile (1043) перехвачена, метод APICodeHijack.JmpTo[00066636]
Функция ntdll.dll:ZwResumeThread (1106) перехвачена, метод APICodeHijack.JmpTo[000653C6]
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:GetAddrInfoW (24) перехвачена, метод APICodeHijack.JmpTo[00061D06]
Функция ws2_32.dll:send (19) перехвачена, метод APICodeHijack.JmpTo[00067246]
 Анализ wininet.dll, таблица экспорта найдена в секции .text
Функция wininet.dll:HttpSendRequestA (207) перехвачена, метод APICodeHijack.JmpTo[00062096]
Функция wininet.dll:HttpSendRequestW (210) перехвачена, метод APICodeHijack.JmpTo[00062156]
Функция wininet.dll:InternetWriteFile (304) перехвачена, метод APICodeHijack.JmpTo[00062396]
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
Функция urlmon.dll:URLDownloadToFileA (173) перехвачена, метод APICodeHijack.JmpTo[00069076]
Функция urlmon.dll:URLDownloadToFileW (174) перехвачена, метод APICodeHijack.JmpTo[000691E6]
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=07BFA0)
 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
   SDT = 80552FA0
   KiST = 80501B8C (284)
Функция NtAllocateVirtualMemory (11) перехвачена (8059DDBE->B9EBDEDE), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtCreateThread (35) перехвачена (805C7208->B9EC0632), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtFreeVirtualMemory (53) перехвачена (805A8400->B9EBE25C), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtOpenSection (7D) перехвачена (8059F722->B9EBDC12), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtQueueApcThread (B4) перехвачена (805C7466->B9EC07C4), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtSetContextThread (D5) перехвачена (805C792A->B9EC0864), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtSystemDebugControl (FF) перехвачена (8060E1DA->B9EBDAD8), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtUnloadKey (107) перехвачена (80618B36->B0A5D6D0), перехватчик C:\WINDOWS\system32\Drivers\uphcleanhlp.sys
Функция NtWriteVirtualMemory (115) перехвачена (805A981C->B9EBE3A0), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный
Проверено функций: 284, перехвачено: 9, восстановлено: 0
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
 Драйвер успешно загружен
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 33
Анализатор - изучается процесс 616 C:\WINDOWS\system32\ScsiCommandService2.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
>>> Реальный размер предположительно = 2637824
Анализатор - изучается процесс 2120 C:\Documents and Settings\Матрица\Application Data\13.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
 Количество загруженных модулей: 339
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\WINDOWS\system32\calvnql.dll"
>>> Обратите внимание - нестандартный диспетчер задач "C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17256\proxzy16.exe"
>>> C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17256\proxzy16.exe ЭПС: подозрение на Обратите внимание - нестандартный диспетчер задач (высокая степень вероятности)
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Подмена диспетчера задач
 >>  Таймаут завершения служб находится за пределами допустимых значений
Проверка завершена
Просканировано файлов: 372, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 25.06.2013 11:43:49
Сканирование длилось 00:09:15
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Выполняется исследование системы

 Исследование системы завершено


Команды скрипта
 
Добавить в скрипт команды:
Нейтрализация перехватов функций при помощи антируткита
Включить AVZGuard
Управление AVZPM (true-включить,false-отключить)
BootCleaner - импорт списка удаленных файлов
BootCleaner - импортировать все
Чистка реестра после удаления файлов
ExecuteWizard ('TSW',2,3,true) - Выполнение мастера поиска и устранения проблем
BootCleaner - активация
Перезагрузка
Вставить заготовку для QuarantineFile() - помещение файла в карантин
Вставить заготовку для BC_QrFile() - помещение файла в карантин через BC
Вставить заготовку для DeleteFile() - удаление файла
Вставить заготовку для DelCLSID() - удаление CLSID класса из реестра
Дополнительные операции:
Оптимизация - отключить службу TermService (Службы терминалов)
Оптимизация - отключить службу SSDPSRV (Служба обнаружения SSDP)
Оптимизация - отключить службу Schedule (Планировщик заданий)
Оптимизация - отключить службу mnmsrvc (NetMeeting Remote Desktop Sharing)
Оптимизация - отключить службу RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
Оптимизация - безопасность - отключить автозапуск программ с CD
Оптимизация - безопасность - блокировать возможность подключения анонимных пользователей
Безопасность - запретить терминальные подключения к ПК

Список файлов