Протокол антивирусной утилиты AVZ версии 4.30
Сканирование запущено в 23.07.2008 20:21:10
Загружена база: сигнатуры - 177545, нейропрофили - 2, микропрограммы лечения - 56, база от 22.07.2008 21:37
Загружены микропрограммы эвристики: 370
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 71511
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 6.0.6001, Service Pack 1 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:LdrLoadDll (122) перехвачена, метод APICodeHijack.JmpTo[30781F16]
 Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:DefDlgProcA (143) перехвачена, метод ProcAddressHijack.GetProcAddress ->75BA74E8->779F3DB0
Функция user32.dll:DefDlgProcW (144) перехвачена, метод ProcAddressHijack.GetProcAddress ->75BA7503->779F3DBB
Функция user32.dll:DefWindowProcA (150) перехвачена, метод ProcAddressHijack.GetProcAddress ->75BA751E->779F3D42
Функция user32.dll:DefWindowProcW (151) перехвачена, метод ProcAddressHijack.GetProcAddress ->75BA7539->779F3D4D
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Ошибка - не найден файл (C:\SystemRoot\system32\ntoskrnl.exe)
 >>>> Обнаружена маскировка процесса -2147483641 ?
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
 Ошибка загрузки драйвера - проверка прервана [C000036B]
2. Проверка памяти
 Количество найденных процессов: 17
Анализатор - изучается процесс 428 C:\Program Files (x86)\DAEMON Tools Lite\daemon.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 2052 C:\Program Files (x86)\Picasa2\PicasaMediaDetector.exe
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 2060 C:\Program Files (x86)\uTorrent\uTorrent.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:EXE упаковщик ?
[ES]:Записан в автозапуск !!
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 2068 C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 2084 C:\Program Files (x86)\Common Files\LightScribe\LightScribeControlPanel.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 2112 C:\Program Files (x86)\QuickTime\qttask.exe
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 2296 C:\Program Files (x86)\Adobe\Reader 8.0\Reader\reader_sl.exe
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 2352 C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 2768 C:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 2320 C:\Windows\SysWOW64\YEDIEx.exe
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
Анализатор - изучается процесс 556 C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexingService.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
 Количество загруженных модулей: 161
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\PROGRA~2\KASPER~1\KASPER~1.0\r3hook.dll --> Подозрение на Keylogger или троянскую DLL
C:\PROGRA~2\KASPER~1\KASPER~1.0\r3hook.dll>>> Поведенческий анализ 
 Типичное для кейлоггеров поведение не зарегистрировано
C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll>>> Поведенческий анализ 
 Типичное для кейлоггеров поведение не зарегистрировано
C:\Program Files (x86)\Microsoft Office\Office12\GrooveUtil.DLL --> Подозрение на Keylogger или троянскую DLL
C:\Program Files (x86)\Microsoft Office\Office12\GrooveUtil.DLL>>> Поведенческий анализ 
 Типичное для кейлоггеров поведение не зарегистрировано
C:\Program Files (x86)\Microsoft Office\Office12\GrooveNew.DLL --> Подозрение на Keylogger или троянскую DLL
C:\Program Files (x86)\Microsoft Office\Office12\GrooveNew.DLL>>> Поведенческий анализ 
 Типичное для кейлоггеров поведение не зарегистрировано
C:\Program Files (x86)\DeskSpace\deskspace151.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files (x86)\DeskSpace\deskspace151.dll>>> Поведенческий анализ 
  1. Реагирует на события: клавиатура, мышь, все события
C:\Program Files (x86)\DeskSpace\deskspace151.dll>>> Нейросеть: файл с вероятностью 99.54% похож на типовой перехватчик событий клавиатуры/мыши
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~2\KASPER~1\KASPER~1.0\r3hook.dll"
>>> D:\autorun.inf ЭПС: подозрение на  скрытый автозапуск (высокая степень вероятности)
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (@%SystemRoot%\System32\termsrv.dll,-268)
>> Службы: разрешена потенциально опасная служба SSDPSRV (@%systemroot%\system32\ssdpsrv.dll,-100)
>> Службы: разрешена потенциально опасная служба Schedule (@%SystemRoot%\system32\schedsvc.dll,-100)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 178, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 23.07.2008 20:22:01
Сканирование длилось 00:00:51
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info
Выполняется исследование системы
Исследование системы завершено