Протокол исследования системы

Параметры LSP проверены. Ошибок не обнаружено

127.0.0.1       localhost

127.0.0.1 mpa.one.microsoft.com

Версия Microsoft Windows: Microsoft Windows XP, Build=2600, SP="Service Pack 2"
Восстановление системы: включено
1.1 Поиск перехватчиков API, работающих в пользовательском режиме
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:CreateProcessA (99) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C802367->61F03F42
Перехватчик kernel32.dll:CreateProcessA (99) нейтрализован
Функция kernel32.dll:CreateProcessW (103) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C802332->61F04040
Перехватчик kernel32.dll:CreateProcessW (103) нейтрализован
Функция kernel32.dll:FreeLibrary (241) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AA66->61F041FC
Перехватчик kernel32.dll:FreeLibrary (241) нейтрализован
Функция kernel32.dll:GetModuleFileNameA (372) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80B357->61F040FB
Перехватчик kernel32.dll:GetModuleFileNameA (372) нейтрализован
Функция kernel32.dll:GetModuleFileNameW (373) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80B25D->61F041A0
Перехватчик kernel32.dll:GetModuleFileNameW (373) нейтрализован
Функция kernel32.dll:GetProcAddress (408) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AC28->61F04648
Перехватчик kernel32.dll:GetProcAddress (408) нейтрализован
Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D77->61F03C6F
Перехватчик kernel32.dll:LoadLibraryA (578) нейтрализован
 >>> Функции LoadLibraryA - прививка процесса AVZ от перехвата подменой адреса  !!)
Функция kernel32.dll:LoadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D4F->61F03DAF
Перехватчик kernel32.dll:LoadLibraryExA (579) нейтрализован
 >>> Функции LoadLibraryExA - прививка процесса AVZ от перехвата подменой адреса !!)
Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF1->61F03E5A
Перехватчик kernel32.dll:LoadLibraryExW (580) нейтрализован
Функция kernel32.dll:LoadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80ACD3->61F03D0C
Перехватчик kernel32.dll:LoadLibraryW (581) нейтрализован
Обнаружена модификация IAT: LoadLibraryW - 00C10010<>7C80ACD3
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в привилегированном режиме
 Драйвер успешно загружен
 SDT найдена (RVA=082B80)
 Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
   SDT = 80559B80
   KiST = 804E2D20 (284)
Функция NtCreateKey (29) перехвачена (8056F063->F8B216BE), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateThread (35) перехвачена (8057F262->F8B216B4), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDeleteKey (3F) перехвачена (8059D6BD->F8B216C3), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDeleteValueKey (41) перехвачена (80597430->F8B216CD), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateKey (47) перехвачена (8056F76A->F8435CA2), перехватчик spze.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateValueKey (49) перехвачена (805801FE->F8436030), перехватчик spze.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtLoadKey (62) перехвачена (805B0F28->F8B216D2), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenKey (77) перехвачена (805684D5->F84180C0), перехватчик spze.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenProcess (7A) перехвачена (8057459E->F8B216A0), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenThread (80) перехвачена (80597C0A->F8B216A5), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryKey (A0) перехвачена (8056F473->F8436108), перехватчик spze.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryValueKey (B1) перехвачена (8056B9A8->F8435F88), перехватчик spze.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtReplaceKey (C1) перехвачена (8064D892->F8B216DC), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtRestoreKey (CC) перехвачена (8064C3B0->F8B216D7), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetValueKey (F7) перехвачена (80575527->F8B216C8), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtTerminateProcess (101) перехвачена (8058AE1E->F8B216AF), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Проверено функций: 284, перехвачено: 16, восстановлено: 16
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
 Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 823DB1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 823DB1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 823DB1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 823DB1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 823DB1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 823DB1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 823DB1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 823DB1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 823DB1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 823DB1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 823DB1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 823DB1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 823DB1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 823DB1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 823DB1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 823DB1F8 -> перехватчик не определен
 Проверка завершена
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
 >>  Отключить автозапуск с CD-ROM
 >>  Отключено автоматическое обновление системы (Windows Update)
Выполняется исследование системы...


Команды скрипта
 
Добавить в скрипт команды:
Нейтрализация перехватов функций при помощи антируткита
Включить AVZGuard
BootCleaner: импорт списка удаленных файлов
Чистка реестра после удаления файлов
BootCleaner: активация
Перезагрузка
Вставить заготовку для QuarantineFile() - помещение файла на карантин
Вставить заготовку для BC_QrFile() - помещение файла на карантин через BC
Вставить заготовку для DeleteFile() - удаление файла
Вставить заготовку для DelCLSID() - удаление CLSID-класса из реестра
Дополнительные операции:
Оптимизация - безопасность: отключить административный доступ к локальным дискам

Список файлов