Протокол исследования системы

Параметры LSP проверены. Ошибок не обнаружено

	127.0.0.1		localhost

Версия Microsoft Windows: Microsoft Windows XP, Build=2600, SP="Service Pack 2"
Восстановление системы: включено
1.1 Поиск перехватчиков API, работающих в пользовательском режиме
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:CreateProcessA (99) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C802367->61F03F42
Перехватчик kernel32.dll:CreateProcessA (99) нейтрализован
Функция kernel32.dll:CreateProcessW (103) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C802332->61F04040
Перехватчик kernel32.dll:CreateProcessW (103) нейтрализован
Функция kernel32.dll:FreeLibrary (241) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80ABFE->61F041FC
Перехватчик kernel32.dll:FreeLibrary (241) нейтрализован
Функция kernel32.dll:GetModuleFileNameA (373) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80B4EF->61F040FB
Перехватчик kernel32.dll:GetModuleFileNameA (373) нейтрализован
Функция kernel32.dll:GetModuleFileNameW (374) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80B3F5->61F041A0
Перехватчик kernel32.dll:GetModuleFileNameW (374) нейтрализован
Функция kernel32.dll:GetProcAddress (409) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80ADC0->61F04648
Перехватчик kernel32.dll:GetProcAddress (409) нейтрализован
Функция kernel32.dll:LoadLibraryA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D77->61F03C6F
Перехватчик kernel32.dll:LoadLibraryA (579) нейтрализован
 >>> Функции LoadLibraryA - прививка процесса AVZ от перехвата подменой адреса  !!)
Функция kernel32.dll:LoadLibraryExA (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D4F->61F03DAF
Перехватчик kernel32.dll:LoadLibraryExA (580) нейтрализован
 >>> Функции LoadLibraryExA - прививка процесса AVZ от перехвата подменой адреса !!)
Функция kernel32.dll:LoadLibraryExW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF1->61F03E5A
Перехватчик kernel32.dll:LoadLibraryExW (581) нейтрализован
Функция kernel32.dll:LoadLibraryW (582) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AE6B->61F03D0C
Перехватчик kernel32.dll:LoadLibraryW (582) нейтрализован
Обнаружена модификация IAT: LoadLibraryW - 00B80010<>7C80AE6B
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в привилегированном режиме
 Драйвер успешно загружен
 SDT найдена (RVA=07B580)
 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
   SDT = 80552580
   KiST = 80501354 (284)
Функция NtClose (19) перехвачена (805B0CE0->A88516B8), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateKey (29) перехвачена (8061922E->A8851574), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDeleteValueKey (41) перехвачена (8061988E->A8851A52), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDuplicateObject (44) перехвачена (805B27BC->A885114C), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateKey (47) перехвачена (80619A6E->B9EC7CA2), перехватчик spnf.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateValueKey (49) перехвачена (80619CD8->B9EC8030), перехватчик spnf.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenKey (77) перехвачена (8061A5C4->A885164E), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenProcess (7A) перехвачена (805C01C2->A885108C), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenThread (80) перехвачена (805C044E->A88510F0), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryKey (A0) перехвачена (8061A8E8->B9EC8108), перехватчик spnf.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryValueKey (B1) перехвачена (806172E8->A885176E), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtRestoreKey (CC) перехвачена (80617636->A885172E), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetValueKey (F7) перехвачена (806178EE->A88518AE), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Проверено функций: 284, перехвачено: 13, восстановлено: 13
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Поиск маскировки процессов и драйверов завершен
 Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 8A0B01F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8A0B01F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8A0B01F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8A0B01F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8A0B01F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8A0B01F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8A0B01F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A0B01F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8A0B01F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8A0B01F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A0B01F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8A0B01F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8A0B01F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8A0B01F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8A0B01F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8A0B01F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 88C931F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 88C931F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 88C931F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 88C931F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 88C931F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 88C931F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 88C931F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 88C931F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 88C931F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 88C931F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 88C931F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 88C931F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 88C931F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 88C931F8 -> перехватчик не определен
 Проверка завершена
C:\Program Files\ASUS\ASUS Data Security Manager\OverlayIconShlExt.dll --> Подозрение на перехватчик клавиатуры или троянскую программу
C:\Program Files\ASUS\ASUS Data Security Manager\OverlayIconShlExt.dll>>> Поведенческий анализ 
 Типичное поведение для перехватчиков клавиатуры не зарегистрировано
C:\Program Files\ASUS\ASUS Data Security Manager\OverlayIconShlExt1.dll --> Подозрение на перехватчик клавиатуры или троянскую программу
C:\Program Files\ASUS\ASUS Data Security Manager\OverlayIconShlExt1.dll>>> Поведенческий анализ 
 Типичное поведение для перехватчиков клавиатуры не зарегистрировано
Совет: заподозренные файлы НЕ следует удалять, их следует отправить на исследование (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: набор применяемых на компьютере служб зависит от области его применения (домашний, компьютер в сети предприятия и т.д.)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к компьютеру разрешен доступ анонимного пользователя
>> Безопасность: разрешена отправка приглашений удаленному помошнику
 >>  Отключить автозапуск с жестких дисков
 >>  Отключить автозапуск с сетевых дисков
 >>  Отключить автозапуск с CD-ROM
 >>  Отключить автозапуск с съемных носителей
 >>  Отключено автоматическое обновление системы (Windows Update)
Выполняется исследование системы...


Команды скрипта
 
Добавить в скрипт команды:
Нейтрализация перехватов функций при помощи антируткита
Включить AVZGuard
BootCleaner: импорт списка удаленных файлов
Чистка реестра после удаления файлов
BootCleaner: активация
Перезагрузка
Вставить заготовку для QuarantineFile() - помещение файла на карантин
Вставить заготовку для BC_QrFile() - помещение файла на карантин через BC
Вставить заготовку для DeleteFile() - удаление файла
Вставить заготовку для DelCLSID() - удаление CLSID-класса из реестра
Дополнительные операции:
Оптимизация: отключить службу TermService (Службы терминалов)
Оптимизация: отключить службу SSDPSRV (Служба обнаружения SSDP)
Оптимизация: отключить службу Schedule (Планировщик заданий)
Оптимизация: отключить службу mnmsrvc (NetMeeting Remote Desktop Sharing)
Оптимизация: отключить службу RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
Оптимизация - безопасность: отключить автозапуск программ с CD
Оптимизация - безопасность: отключить административный доступ к локальным дискам
Оптимизация - безопасность: блокировать возможность подключения анонимных пользователей
Безопасность: запретить отправку приглашений удаленному помошнику

Список файлов