Протокол исследования системы

AVZ 4.39 http://z-oleg.com/secur/avz/

Список процессов

Модули пространства ядра

Службы

Драйверы

Автозапуск

Модули расширения Internet Explorer (BHO, панели ...)

Модули расширения проводника

Модули расширения системы печати (мониторы печати, провайдеры)

Задания планировщика задач Task Scheduler

Настройки SPI/LSP

Настройки LSP проверены. Ошибок не обнаружено

Внимание !!! База поcледний раз обновлялась 30.01.2013 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.39
Сканирование запущено в 01.07.2013 18:43:23
Загружена база: сигнатуры - 297614, нейропрофили - 2, микропрограммы лечения - 56, база от 30.01.2013 18:40
Загружены микропрограммы эвристики: 399
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 506902
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 6.1.7601, Service Pack 1 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:LdrLoadDll (137) перехвачена, метод APICodeHijack.JmpTo[000701EE]
Функция ntdll.dll:LdrUnloadDll (161) перехвачена, метод APICodeHijack.JmpTo[000703F2]
 Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:SetWinEventHook (2216) перехвачена, метод APICodeHijack.JmpTo[000901EE]
Функция user32.dll:SetWindowsHookExA (2231) перехвачена, метод APICodeHijack.JmpTo[000905F6]
Функция user32.dll:SetWindowsHookExW (2232) перехвачена, метод APICodeHijack.JmpTo[000907FA]
Функция user32.dll:UnhookWinEvent (2279) перехвачена, метод APICodeHijack.JmpTo[000903F2]
Функция user32.dll:UnhookWindowsHookEx (2281) перехвачена, метод APICodeHijack.JmpTo[000909FE]
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=169B00)
 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 82E4C000
   SDT = 82FB5B00
   KiST = 82ECAD5C (401)
Функция NtAddBootEntry (09) перехвачена (831517C2->8E68E610), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS
Функция NtAllocateVirtualMemory (13) перехвачена (83076BCC->912CA5FA), перехватчик C:\Windows\System32\Drivers\aswSP.SYS
Функция NtAssignProcessToJobObject (2B) перехвачена (8304BFCA->8E68F0E6), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS
Функция NtCreateEvent (40) перехвачена (8308D7EF->8E69AF18), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS
Функция NtCreateEventPair (41) перехвачена (831574D0->8E69AF64), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS
Функция NtCreateIoCompletion (43) перехвачена (830A7875->8E69B0FE), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS
Функция NtCreateMutant (4A) перехвачена (8305D28E->8E69AE86), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS
Функция NtCreateProcessEx (50) - модификация машинного кода. Метод JmpTo. jmp 912E3E04\SystemRoot\System32\Drivers\aswSP.SYS
Функция NtCreateSection (54) перехвачена (8307004D->912CA992), перехватчик C:\Windows\System32\Drivers\aswSP.SYS
Функция NtCreateSemaphore (55) перехвачена (83052A85->8E69AECE), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS
Функция NtCreateThread (57) перехвачена (83128ED6->8E68F5E4), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS
Функция NtCreateThreadEx (58) перехвачена (830BD34B->8E68F800), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS
Функция NtCreateTimer (59) перехвачена (8304B3FD->8E69B0B8), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS
Функция NtDebugActiveProcess (60) перехвачена (830FADB0->8E68FE9C), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS
Функция NtDeleteBootEntry (64) перехвачена (831517F3->8E68E676), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS
Функция NtDuplicateObject (6F) перехвачена (8307E65A->8E693596), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS
Функция NtFreeVirtualMemory (83) перехвачена (82F0647A->912CA6C2), перехватчик C:\Windows\System32\Drivers\aswSP.SYS
Функция NtLoadDriver (9B) перехвачена (83012BFC->912C8C12), перехватчик C:\Windows\System32\Drivers\aswSP.SYS
Функция NtModifyBootEntry (A9) перехвачена (831519C4->8E68E6DC), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS
Функция NtNotifyChangeKey (AC) перехвачена (83046F09->8E69398C), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS
Функция NtNotifyChangeMultipleKeys (AD) перехвачена (8304602B->8E69092C), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS
Функция NtOpenEvent (B1) перехвачена (8305CC8A->8E69AF42), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS
Функция NtOpenEventPair (B2) перехвачена (831575D1->8E69AF86), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS
Функция NtOpenIoCompletion (B4) перехвачена (83103F53->8E69B122), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS
Функция NtOpenMutant (BB) перехвачена (830AE2F0->8E69AEAC), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS
Функция NtOpenProcess (BE) перехвачена (8305EAD4->8E692E78), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS
Функция NtOpenSection (C2) перехвачена (830B689B->8E69B036), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS
Функция NtOpenSemaphore (C3) перехвачена (830321B8->8E69AEF6), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS
Функция NtOpenThread (C6) перехвачена (830AAF95->8E69326E), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS
Функция NtOpenTimer (C9) перехвачена (83157277->8E69B0DC), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS
Функция NtProtectVirtualMemory (D7) перехвачена (8308F581->912CA822), перехватчик C:\Windows\System32\Drivers\aswSP.SYS
Функция NtQueryObject (F8) перехвачена (8304DFCE->8E6907F8), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS
Функция NtQueueApcThreadEx (10E) перехвачена (83044F59->8E690506), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS
Функция NtSetBootEntryOrder (13A) перехвачена (831520D5->8E68E742), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS
Функция NtSetBootOptions (13B) перехвачена (831525C1->8E68E7A8), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS
Функция NtSetContextThread (13C) перехвачена (8312A755->8E68FD16), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS
Функция NtSetSystemInformation (15E) перехвачена (8309B26C->8E68E2F8), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS
Функция NtSetSystemPowerState (15F) перехвачена (8316EE4A->8E68E4CE), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS
Функция NtShutdownSystem (168) перехвачена (8314F9F7->8E68E45C), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS
Функция NtSuspendProcess (16E) перехвачена (8312ABE3->8E690066), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS
Функция NtSuspendThread (16F) перехвачена (830E2085->8E6901C8), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS
Функция NtSystemDebugControl (170) перехвачена (830D26BC->8E68E556), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS
Функция NtTerminateProcess (172) перехвачена (830A7BCD->912CA8EA), перехватчик C:\Windows\System32\Drivers\aswSP.SYS
Функция NtTerminateThread (173) перехвачена (830C5584->8E68FCF6), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS
Функция NtUnloadDriver (17B) перехвачена (83106487->912C8C42), перехватчик C:\Windows\System32\Drivers\aswSP.SYS
Функция NtVdmControl (182) перехвачена (83144BAF->8E68E80E), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS
Функция NtWriteVirtualMemory (18F) перехвачена (830AC92A->912CA76E), перехватчик C:\Windows\System32\Drivers\aswSP.SYS
Функция ObMakeTemporaryObject (83057C64) - модификация машинного кода. Метод JmpTo. jmp 912E0C9A \SystemRoot\System32\Drivers\aswSP.SYS
Проверено функций: 401, перехвачено: 46, восстановлено: 0
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Анализ для процессора 2
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
 Драйвер успешно загружен
\FileSystem\ntfs[IRP_MJ_CREATE] = 912E3918 -> C:\Windows\System32\Drivers\aswSP.SYS
\FileSystem\ntfs[IRP_MJ_CLOSE] = 912E3958 -> C:\Windows\System32\Drivers\aswSP.SYS
\FileSystem\ntfs[IRP_MJ_WRITE] = 912E3A20 -> C:\Windows\System32\Drivers\aswSP.SYS
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 912E3A60 -> C:\Windows\System32\Drivers\aswSP.SYS
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 72
Анализатор - изучается процесс 832 C:\Windows\system32\nvvsvc.exe
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
Анализатор - изучается процесс 856 C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 1388 C:\Program Files\AVAST Software\Avast\AvastSvc.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Прослушивает порты, применяемые протоколом HTTP !
[ES]:Приложение не имеет видимых окон
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 1444 C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 1452 C:\Windows\system32\nvvsvc.exe
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
Анализатор - изучается процесс 1860 C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 2188 C:\Program Files\RelevantKnowledge\rlservice.exe
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 2512 C:\Program Files\Common Files\Java\Java Update\jusched.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 2548 C:\Program Files\Razer\Core\rzovlmon.exe
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 5780 C:\Program Files\Common Files\Steam\SteamService.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 6140 C:\Windows\System32\jmdp\stij.exe
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
Анализатор - изучается процесс 4172 C:\Users\Ichi\AppData\Local\Google\Chrome\Application\chrome.exe
[ES]:Может работать с сетью
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 3396 C:\Users\Ichi\AppData\Local\Google\Chrome\Application\chrome.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 2952 C:\Users\Ichi\AppData\Local\Google\Chrome\Application\chrome.exe
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 3548 C:\Users\Ichi\AppData\Local\Google\Chrome\Application\chrome.exe
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 2052 C:\Users\Ichi\AppData\Local\Google\Chrome\Application\chrome.exe
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 988 C:\Users\Ichi\AppData\Local\Google\Chrome\Application\chrome.exe
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 5236 C:\Users\Ichi\AppData\Local\Google\Chrome\Application\chrome.exe
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 5176 C:\Users\Ichi\AppData\Local\Google\Chrome\Application\chrome.exe
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 5308 C:\Users\Ichi\AppData\Local\Google\Chrome\Application\chrome.exe
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 1824 C:\Program Files\Garena Plus\bbtalk\GarenaTalkOverlay.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 528 C:\Users\Ichi\AppData\Local\Google\Chrome\Application\chrome.exe
[ES]:Приложение не имеет видимых окон
 Количество загруженных модулей: 614
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
 Проверка отключена пользователем
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 686, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 01.07.2013 18:45:27
Сканирование длилось 00:02:06
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Выполняется исследование системы

 Исследование системы завершено


Команды скрипта
 
Добавить в скрипт команды:
Нейтрализация перехватов функций при помощи антируткита
Включить AVZGuard
Управление AVZPM (true-включить,false-отключить)
BootCleaner - импорт списка удаленных файлов
BootCleaner - импортировать все
Чистка реестра после удаления файлов
ExecuteWizard ('TSW',2,3,true) - Выполнение мастера поиска и устранения проблем
BootCleaner - активация
Перезагрузка
Вставить заготовку для QuarantineFile() - помещение файла в карантин
Вставить заготовку для BC_QrFile() - помещение файла в карантин через BC
Вставить заготовку для DeleteFile() - удаление файла
Вставить заготовку для DelCLSID() - удаление CLSID класса из реестра
Дополнительные операции:
Оптимизация - отключить службу TermService (Службы удаленных рабочих столов)
Оптимизация - отключить службу SSDPSRV (Обнаружение SSDP)
Оптимизация - отключить службу Schedule (Планировщик заданий)
Оптимизация - безопасность - отключить автозапуск программ с CD
Оптимизация - безопасность - отключить административный доступ к локальным дискам
Оптимизация - безопасность - блокировать возможность подключения анонимных пользователей
Безопасность - запретить отправку приглашений удаленному помощнику

Список файлов