Протокол исследования системы

AVZ 4.43 http://z-oleg.com/secur/avz/

Список процессов

Модули пространства ядра

Службы

Драйверы

Автозапуск

Модули расширения Internet Explorer (BHO, панели ...)

Модули расширения проводника

Модули расширения системы печати (мониторы печати, провайдеры)

Задания планировщика задач Task Scheduler

Настройки SPI/LSP

Ошибка LSP Protocol = "mintcastnetworks over [MSAFD Tcpip [TCP/IP]]" --> отсутствует файл C:\Windows\system32\mintcastnetworks.dll
Ошибка LSP Protocol = "mintcastnetworks over [MSAFD Tcpip [UDP/IP]]" --> отсутствует файл C:\Windows\system32\mintcastnetworks.dll
Ошибка LSP Protocol = "mintcastnetworks over [MSAFD Tcpip [TCP/IPv6]]" --> отсутствует файл C:\Windows\system32\mintcastnetworks.dll
Ошибка LSP Protocol = "mintcastnetworks over [MSAFD Tcpip [UDP/IPv6]]" --> отсутствует файл C:\Windows\system32\mintcastnetworks.dll
Ошибка LSP Protocol = "mintcastnetworks" --> отсутствует файл C:\Windows\system32\mintcastnetworks.dll
Внимание ! Обнаружены ошибки в LSP. Количество ошибок - 5
Возможны проблемы при работе с сетью и Интернет

Протокол антивирусной утилиты AVZ версии 4.43
Сканирование запущено в 30.11.2014 22:50:23
Загружена база: сигнатуры - 297605, нейропрофили - 2, микропрограммы лечения - 56, база от 29.11.2014 16:00
Загружены микропрограммы эвристики: 407
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 702551
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 6.1.7601, Service Pack 1 "Windows 7 Ultimate" ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtDeviceIoControlFile (286) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:NtSuspendProcess (546) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:NtSuspendThread (547) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:NtWriteFile (595) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:ZwDeviceIoControlFile (1537) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:ZwSuspendProcess (1796) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:ZwSuspendThread (1797) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:ZwWriteFile (1845) перехвачена, метод CodeHijack (метод не определен)
 Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:DestroyWindow (1675) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:SetParent (2191) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:SetWindowPlacement (2222) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:ShowWindow (2248) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:ShowWindowAsync (2249) перехвачена, метод CodeHijack (метод не определен)
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Ошибка - не найден файл (C:\SystemRoot\system32\xNtKrnl.exe)
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
 Ошибка загрузки драйвера - проверка прервана [C000036B]
2. Проверка памяти
 Количество найденных процессов: 25
 Количество загруженных модулей: 225
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Ошибка LSP Protocol = "mintcastnetworks over [MSAFD Tcpip [TCP/IP]]" --> отсутствует файл C:\Windows\system32\mintcastnetworks.dll
Ошибка LSP Protocol = "mintcastnetworks over [MSAFD Tcpip [UDP/IP]]" --> отсутствует файл C:\Windows\system32\mintcastnetworks.dll
Ошибка LSP Protocol = "mintcastnetworks over [MSAFD Tcpip [TCP/IPv6]]" --> отсутствует файл C:\Windows\system32\mintcastnetworks.dll
Ошибка LSP Protocol = "mintcastnetworks over [MSAFD Tcpip [UDP/IPv6]]" --> отсутствует файл C:\Windows\system32\mintcastnetworks.dll
Ошибка LSP Protocol = "mintcastnetworks" --> отсутствует файл C:\Windows\system32\mintcastnetworks.dll
 Внимание ! Обнаружены ошибки в SPI/LSP. Количество ошибок - 5
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Нестандартный префикс по умолчанию в IE: "http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=27f3d33c99ec2eb1f1af558e63abd1bd&text="
Нестандартный Default префикс в IE: "http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=27f3d33c99ec2eb1f1af558e63abd1bd&text="
>>> C:\Users\User\appdata\roaming\vopackage\vosrv.exe ЭПС: подозрение на Файл с подозрительным именем (CH)
>>> C:\Users\User\AppData\Roaming\VOPackage\VOsrv.exe ЭПС: подозрение на Файл с подозрительным именем (CH - Service) (высокая степень вероятности)
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Модифицированы префиксы протоколов
 >>  Таймаут завершения процессов находится за пределами допустимых значений
 >>  Таймаут завершения служб находится за пределами допустимых значений
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 250, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 30.11.2014 22:50:48
Сканирование длилось 00:00:26
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ 
можно использовать сервис http://virusdetector.ru/
Выполняется исследование системы
Диагностика сети
 DNS and Ping test
  Host="yandex.ru", IP="213.180.193.11,213.180.204.11,93.158.134.11", Ping=OK (0,49,213.180.193.11)
  Host="google.ru", IP="178.45.253.94,178.45.253.118,178.45.253.88,178.45.253.104,178.45.253.93,178.45.253.99,178.45.253.109,178.45.253.123,178.45.253.108,178.45.253.98,178.45.253.103,178.45.253.113,178.45.253.114,178.45.253.119,178.45.253.84,178.45.253.89", Ping=OK (0,14,178.45.253.94)
  Host="google.com", IP="178.45.253.104,178.45.253.94,178.45.253.108,178.45.253.123,178.45.253.113,178.45.253.109,178.45.253.114,178.45.253.88,178.45.253.84,178.45.253.93,178.45.253.98,178.45.253.118,178.45.253.119,178.45.253.89,178.45.253.99,178.45.253.103", Ping=OK (0,13,178.45.253.104)
  Host="www.kaspersky.com", IP="212.5.89.20", Ping=OK (0,34,212.5.89.20)
  Host="www.kaspersky.ru", IP="212.5.89.229", Ping=OK (0,34,212.5.89.229)
  Host="dnl-03.geo.kaspersky.com", IP="93.191.13.103", Ping=OK (0,34,93.191.13.103)
  Host="dnl-11.geo.kaspersky.com", IP="95.167.139.6", Ping=OK (0,37,95.167.139.6)
  Host="activation-v2.kaspersky.com", IP="212.5.89.37", Ping=OK (0,34,212.5.89.37)
  Host="odnoklassniki.ru", IP="217.20.147.94", Ping=OK (0,35,217.20.147.94)
  Host="vk.com", IP="87.240.131.97,87.240.131.120,87.240.131.99", Ping=OK (0,51,87.240.131.97)
  Host="vkontakte.ru", IP="95.213.4.243,95.213.4.242,95.213.4.244", Ping=OK (0,55,95.213.4.243)
  Host="twitter.com", IP="199.16.156.102,199.16.156.230,199.16.156.198,199.16.156.38", Ping=OK (0,191,199.16.156.102)
  Host="facebook.com", IP="173.252.120.6", Ping=OK (0,188,173.252.120.6)
  Host="ru-ru.facebook.com", IP="31.13.93.3", Ping=OK (0,85,31.13.93.3)
 Network IE settings
  IE setting AutoConfigURL=
  IE setting AutoConfigProxy=wininet.dll
  IE setting ProxyOverride=
  IE setting ProxyServer=
  IE setting Internet\ManualProxies=
 Network TCP/IP settings
  Interface: "Подключение по локальной сети 2"
   IPAddress = "37.187.145.60
   SubnetMask = "255.255.255.0
   DefaultGateway = ""
   NameServer = "127.0.0.1"
   Domain = ""
   DhcpServer = "255.255.255.255"
 Network Persistent Routes

 Исследование системы завершено


Команды скрипта
 
Добавить в скрипт команды:
Нейтрализация перехватов функций при помощи антируткита
Включить AVZGuard
Управление AVZPM (true-включить,false-отключить)
BootCleaner - импорт списка удаленных файлов
BootCleaner - импортировать все
Чистка реестра после удаления файлов
ExecuteWizard ('TSW',2,3,true) - Выполнение мастера поиска и устранения проблем
BootCleaner - активация
Перезагрузка
Вставить заготовку для QuarantineFile() - помещение файла в карантин
Вставить заготовку для BC_QrFile() - помещение файла в карантин через BC
Вставить заготовку для DeleteFile() - удаление файла
Вставить заготовку для DelCLSID() - удаление CLSID класса из реестра
Дополнительные операции:
Оптимизация - отключить службу TermService (Службы удаленных рабочих столов)
Оптимизация - отключить службу SSDPSRV (Обнаружение SSDP)
Оптимизация - отключить службу Schedule (Планировщик заданий)
Оптимизация - безопасность - отключить автозапуск программ с CD
Оптимизация - безопасность - блокировать возможность подключения анонимных пользователей
Безопасность - запретить отправку приглашений удаленному помощнику

Список файлов