Протокол исследования системы

AVZ 5.93 http://z-oleg.com/secur/avz/

Список процессов

Модули пространства ядра

Службы

Драйверы

Автозапуск

Модули расширения Internet Explorer (BHO, панели ...)

Модули расширения проводника

Модули расширения системы печати (мониторы печати, провайдеры)

Задания планировщика задач Task Scheduler

Поставщики пространства имен (NSP)

Поставщики транспортных протоколов (TSP, LSP)

Порты TCP/UDP

Downloaded Program Files (DPF)

Апплеты панели управления (CPL)

Active Setup

Файл HOSTS

Протоколы и обработчики

Общие ресурсы

Задания фоновой интеллектуальной службы передачи файлов (BITS)

Подозрительные объекты

Протокол утилиты AVZ версии 5.93
Сканирование запущено в 14.06.2024 11:57:49
Загружена база: сигнатуры - 297569, нейропрофили - 2, микропрограммы лечения - 56, база от 13.06.2024 04:00
Загружены микропрограммы эвристики: 419
Загружены микропрограммы ИПУ: 10
Загружены цифровые подписи системных файлов: 688089
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 6.1.7601, Service Pack 1 "Windows 7 Ultimate" (Ultimate) x64, дата инсталляции 15.10.2020 21:35:42 ; AVZ работает с правами администратора (+)
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
 Количество найденных процессов: 87
Анализатор - изучается процесс 2948 C:\Program Files (x86)\nr_plugin\ServerHandler.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 2956 C:\Program Files (x86)\МоёДело.Плагин\StekTrustPlugin.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 2188 C:\Users\User\AppData\Local\IntelDrivers.exe
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 2524 C:\Users\Public\Privoxy\privoxy.exe
[ES]:Может работать с сетью
[ES]:Может отправлять почту ?!
[ES]:Прослушивает порты TCP !
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 2072 C:\Users\Public\proxy-pac\webserv.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Приложение не имеет видимых окон
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
 Количество загруженных модулей: 237
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
 Проверка отключена пользователем
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Нестандартный ключ реестра для системной службы: BITS ImagePath=""
Обратите внимание: в настройках IE задан прокси-сервер S-1-5-21-718437350-3454518100-2172079934-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings, ProxyServer="127.0.0.1:7890"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Заблокирована настройка автоматического обновления
 >>  Отключена служба Центр обеспечения безопасности
Проверка завершена
Просканировано файлов: 324, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 14.06.2024 12:00:57
Сканирование длилось 00:03:10
Выполняется исследование системы
В ходе исследования заданий BITS возникла ошибка. Возможно, служба BITS отключена. Данные по ошибке:  Указанная служба не установлена, ClassID: {4991D34B-80A1-4291-83B6-3328366B9097}
Диагностика сети
 DNS and Ping test
  Host="yandex.ru", IP="5.255.255.77", Ping=OK (0,45,5.255.255.77)
  Host="google.ru", IP="142.251.1.94", Ping=OK (0,70,142.251.1.94)
  Host="google.com", IP="74.125.131.101,74.125.131.102,74.125.131.113,74.125.131.139,74.125.131.100,...", Ping=OK (0,66,74.125.131.101)
  Host="www.kaspersky.com", IP="185.85.15.46", Ping=OK (0,86,185.85.15.46)
  Host="www.kaspersky.ru", IP="77.74.178.40", Ping=Error (11010,0,0.0.0.0)
  Host="dnl-03.geo.kaspersky.com", IP="93.191.13.100", Ping=OK (0,61,93.191.13.100)
  Host="dnl-11.geo.kaspersky.com", IP="62.128.100.79", Ping=OK (0,70,62.128.100.79)
  Host="activation-v2.kaspersky.com", IP="195.27.252.50", Ping=Error (11010,0,0.0.0.0)
  Host="odnoklassniki.ru", IP="217.20.155.13,217.20.147.1,5.61.23.11", Ping=OK (0,46,217.20.155.13)
  Host="vk.com", IP="87.240.137.164,87.240.132.78,87.240.132.72,93.186.225.194,87.240.129.133,...", Ping=OK (0,53,87.240.137.164)
  Host="vkontakte.ru", IP="87.240.132.67,87.240.132.72,87.240.137.164,87.240.132.78,87.240.129.133,...", Ping=OK (0,64,87.240.132.67)
  Host="twitter.com", IP="104.244.42.65,104.244.42.193,104.244.42.1,104.244.42.129", Ping=OK (0,85,104.244.42.65)
  Host="facebook.com", IP="31.13.72.36", Ping=OK (0,83,31.13.72.36)
  Host="ru-ru.facebook.com", IP="31.13.72.8", Ping=OK (0,83,31.13.72.8)
 Network IE settings
  IE setting AutoConfigURL=
  IE setting AutoConfigProxy=wininet.dll
  IE setting ProxyOverride=localhost;127.*;10.*;172.16.*;172.17.*;172.18.*;172.19.*;172.20.*;172.21.*;172.22.*;172.23.*;172.24.*;172.25.*;172.26.*;172.27.*;172.28.*;172.29.*;172.30.*;172.31.*;192.168.*
  IE setting ProxyServer=127.0.0.1:7890
  IE setting Internet\ManualProxies=
 Network TCP/IP settings
  Interface: "VPN - VPN Client"
   IPAddress = "0.0.0.0"
   DHCPIPAddress = "0.0.0.0"
   SubnetMask = "255.0.0.0"
   DHCPSubnetMask = "255.0.0.0"
   DefaultGateway = ""
   NameServer = ""
   Domain = ""
   DhcpServer = "255.255.255.255"
  Interface: "Подключение по локальной сети 3"
   IPAddress = "192.168.74.14"
   DHCPIPAddress = "192.168.74.14"
   SubnetMask = "255.255.255.0"
   DHCPSubnetMask = "255.255.255.0"
   DefaultGateway = ""
   NameServer = ""
   Domain = ""
   DhcpServer = "192.168.74.50"
  Interface: "Подключение по локальной сети"
   IPAddress = "192.168.1.102"
   DHCPIPAddress = "192.168.1.102"
   SubnetMask = "255.255.255.0"
   DHCPSubnetMask = "255.255.255.0"
   DefaultGateway = ""
   NameServer = ""
   Domain = ""
   DhcpServer = "192.168.1.1"
  Interface: "Подключение по локальной сети 5"
   IPAddress = "192.168.144.243"
   DHCPIPAddress = "192.168.144.243"
   SubnetMask = "255.255.255.0"
   DHCPSubnetMask = "255.255.255.0"
   DefaultGateway = ""
   NameServer = ""
   Domain = ""
   DhcpServer = "192.168.144.65"
  Interface: "Подключение по локальной сети 2"
   IPAddress = "192.168.31.140"
   DHCPIPAddress = "192.168.31.140"
   SubnetMask = "255.255.255.0"
   DHCPSubnetMask = "255.255.255.0"
   DefaultGateway = ""
   NameServer = "1.1.1.1,1.0.0.1"
   Domain = ""
   DhcpServer = "192.168.31.34"
 Network Persistent Routes

• Нейтрализация перехватов функций при помощи антируткита
  
• Включить AVZGuard
  
• Управление AVZPM (true-включить,false-отключить)
  
• BootCleaner - импорт списка удаленных файлов
  
• BootCleaner - импортировать все
  
• Чистка реестра после удаления файлов
  
• ExecuteWizard ('TSW',2,3,true) - Выполнение мастера поиска и устранения проблем
  
• BootCleaner - активация
  
• Перезагрузка
  
• Вставить заготовку для QuarantineFile() - помещение файла в карантин
  
• Вставить заготовку для BC_QrFile() - помещение файла в карантин через BC
  
• Вставить заготовку для DeleteFile() - удаление файла
  
• Вставить заготовку для DelCLSID() - удаление CLSID класса из реестра
  

• Оптимизация - отключить службу TermService (Службы удаленных рабочих столов)
  
• Оптимизация - безопасность - отключить автозапуск программ с CD
  
• Оптимизация - безопасность - блокировать возможность подключения анонимных пользователей
  
• Безопасность - запретить отправку приглашений удаленному помощнику