Протокол антивирусной утилиты AVZ версии 4.39
Сканирование запущено в 23.06.2012 11:47:37
Загружена база: сигнатуры - 297616, нейропрофили - 2, микропрограммы лечения - 56, база от 23.06.2012 11:05
Загружены микропрограммы эвристики: 399
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 414499
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 6.2.8250,  ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:ReadConsoleInputExA (1091) перехвачена, метод ProcAddressHijack.GetProcAddress ->74BD0487->7514B8DC
Перехватчик kernel32.dll:ReadConsoleInputExA (1091) нейтрализован
Функция kernel32.dll:ReadConsoleInputExW (1092) перехвачена, метод ProcAddressHijack.GetProcAddress ->74BD04BA->7514B900
Перехватчик kernel32.dll:ReadConsoleInputExW (1092) нейтрализован
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (266) перехвачена, метод ProcAddressHijack.GetProcAddress ->7713D838->72DD4D9F
Перехватчик ntdll.dll:NtCreateFile (266) нейтрализован
Функция ntdll.dll:NtSetInformationFile (546) перехвачена, метод ProcAddressHijack.GetProcAddress ->7713D558->72DD4D3D
Перехватчик ntdll.dll:NtSetInformationFile (546) нейтрализован
Функция ntdll.dll:NtSetValueKey (576) перехвачена, метод ProcAddressHijack.GetProcAddress ->7713D8E8->72DD4A96
Перехватчик ntdll.dll:NtSetValueKey (576) нейтрализован
Функция ntdll.dll:ZwCreateFile (1616) перехвачена, метод ProcAddressHijack.GetProcAddress ->7713D838->72DD4D9F
Перехватчик ntdll.dll:ZwCreateFile (1616) нейтрализован
Функция ntdll.dll:ZwSetInformationFile (1894) перехвачена, метод ProcAddressHijack.GetProcAddress ->7713D558->72DD4D3D
Перехватчик ntdll.dll:ZwSetInformationFile (1894) нейтрализован
Функция ntdll.dll:ZwSetValueKey (1924) перехвачена, метод ProcAddressHijack.GetProcAddress ->7713D8E8->72DD4A96
Перехватчик ntdll.dll:ZwSetValueKey (1924) нейтрализован
 Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1532) перехвачена, метод ProcAddressHijack.GetProcAddress ->7535BC5B->72DBB967
Перехватчик user32.dll:CallNextHookEx (1532) нейтрализован
Функция user32.dll:SetWindowsHookExW (2297) перехвачена, метод ProcAddressHijack.GetProcAddress ->75362DA5->72DD4967
Перехватчик user32.dll:SetWindowsHookExW (2297) нейтрализован
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:EnumerateTraces (1278) перехвачена, метод ProcAddressHijack.GetProcAddress ->76908476->75146696
Перехватчик advapi32.dll:EnumerateTraces (1278) нейтрализован
Функция advapi32.dll:EventSetInformation (1290) перехвачена, метод ProcAddressHijack.GetProcAddress ->769084FC->771AE728
Перехватчик advapi32.dll:EventSetInformation (1290) нейтрализован
Функция advapi32.dll:EventWriteEx (1294) перехвачена, метод ProcAddressHijack.GetProcAddress ->76908565->771AE86C
Перехватчик advapi32.dll:EventWriteEx (1294) нейтрализован
Функция advapi32.dll:SystemFunction006 (1773) перехвачена, метод ProcAddressHijack.GetProcAddress ->76908A13->72E740D9
Перехватчик advapi32.dll:SystemFunction006 (1773) нейтрализован
Функция advapi32.dll:SystemFunction007 (1774) перехвачена, метод ProcAddressHijack.GetProcAddress ->76908A2D->72E73CDB
Перехватчик advapi32.dll:SystemFunction007 (1774) нейтрализован
Функция advapi32.dll:SystemFunction008 (1775) перехвачена, метод ProcAddressHijack.GetProcAddress ->76908A47->72E82FFC
Перехватчик advapi32.dll:SystemFunction008 (1775) нейтрализован
Функция advapi32.dll:SystemFunction009 (1776) перехвачена, метод ProcAddressHijack.GetProcAddress ->76908A61->72E82FEF
Перехватчик advapi32.dll:SystemFunction009 (1776) нейтрализован
Функция advapi32.dll:SystemFunction010 (1777) перехвачена, метод ProcAddressHijack.GetProcAddress ->76908A7B->72E830C4
Перехватчик advapi32.dll:SystemFunction010 (1777) нейтрализован
Функция advapi32.dll:SystemFunction011 (1778) перехвачена, метод ProcAddressHijack.GetProcAddress ->76908A95->72E830B7
Перехватчик advapi32.dll:SystemFunction011 (1778) нейтрализован
Функция advapi32.dll:SystemFunction012 (1779) перехвачена, метод ProcAddressHijack.GetProcAddress ->76908AAF->72E8326C
Перехватчик advapi32.dll:SystemFunction012 (1779) нейтрализован
Функция advapi32.dll:SystemFunction013 (1780) перехвачена, метод ProcAddressHijack.GetProcAddress ->76908AC9->72E83230
Перехватчик advapi32.dll:SystemFunction013 (1780) нейтрализован
Функция advapi32.dll:SystemFunction014 (1781) перехвачена, метод ProcAddressHijack.GetProcAddress ->76908AE3->72E83223
Перехватчик advapi32.dll:SystemFunction014 (1781) нейтрализован
Функция advapi32.dll:SystemFunction015 (1782) перехвачена, метод ProcAddressHijack.GetProcAddress ->76908AFD->72E8310E
Перехватчик advapi32.dll:SystemFunction015 (1782) нейтрализован
Функция advapi32.dll:SystemFunction020 (1787) перехвачена, метод ProcAddressHijack.GetProcAddress ->76908B17->72E83223
Перехватчик advapi32.dll:SystemFunction020 (1787) нейтрализован
Функция advapi32.dll:SystemFunction021 (1788) перехвачена, метод ProcAddressHijack.GetProcAddress ->76908B31->72E8310E
Перехватчик advapi32.dll:SystemFunction021 (1788) нейтрализован
Функция advapi32.dll:SystemFunction022 (1789) перехвачена, метод ProcAddressHijack.GetProcAddress ->76908B4B->72E83223
Перехватчик advapi32.dll:SystemFunction022 (1789) нейтрализован
Функция advapi32.dll:SystemFunction023 (1790) перехвачена, метод ProcAddressHijack.GetProcAddress ->76908B65->72E8310E
Перехватчик advapi32.dll:SystemFunction023 (1790) нейтрализован
Функция advapi32.dll:SystemFunction024 (1791) перехвачена, метод ProcAddressHijack.GetProcAddress ->76908B7F->72E8318B
Перехватчик advapi32.dll:SystemFunction024 (1791) нейтрализован
Функция advapi32.dll:SystemFunction025 (1792) перехвачена, метод ProcAddressHijack.GetProcAddress ->76908B99->72E8312B
Перехватчик advapi32.dll:SystemFunction025 (1792) нейтрализован
Функция advapi32.dll:SystemFunction026 (1793) перехвачена, метод ProcAddressHijack.GetProcAddress ->76908BB3->72E8311E
Перехватчик advapi32.dll:SystemFunction026 (1793) нейтрализован
Функция advapi32.dll:SystemFunction027 (1794) перехвачена, метод ProcAddressHijack.GetProcAddress ->76908BCD->72E730D3
Перехватчик advapi32.dll:SystemFunction027 (1794) нейтрализован
Функция advapi32.dll:SystemFunction030 (1797) перехвачена, метод ProcAddressHijack.GetProcAddress ->76908BE7->72E82FCD
Перехватчик advapi32.dll:SystemFunction030 (1797) нейтрализован
Функция advapi32.dll:SystemFunction031 (1798) перехвачена, метод ProcAddressHijack.GetProcAddress ->76908C01->72E730AC
Перехватчик advapi32.dll:SystemFunction031 (1798) нейтрализован
Функция advapi32.dll:SystemFunction032 (1799) перехвачена, метод ProcAddressHijack.GetProcAddress ->76908C1B->72E832A8
Перехватчик advapi32.dll:SystemFunction032 (1799) нейтрализован
Функция advapi32.dll:SystemFunction033 (1800) перехвачена, метод ProcAddressHijack.GetProcAddress ->76908C35->72E832A8
Перехватчик advapi32.dll:SystemFunction033 (1800) нейтрализован
Функция advapi32.dll:TraceQueryInformation (1810) перехвачена, метод ProcAddressHijack.GetProcAddress ->76908CCD->75147A8D
Перехватчик advapi32.dll:TraceQueryInformation (1810) нейтрализован
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:NetCreateProvisioningPackage (101) перехвачена, метод ProcAddressHijack.GetProcAddress ->73634463->6A006129
Перехватчик netapi32.dll:NetCreateProvisioningPackage (101) нейтрализован
Функция netapi32.dll:NetRequestProvisioningPackageInstall (198) перехвачена, метод ProcAddressHijack.GetProcAddress ->73634C60->6A00741D
Перехватчик netapi32.dll:NetRequestProvisioningPackageInstall (198) нейтрализован
1.2 Поиск перехватчиков API, работающих в KernelMode
 Ошибка загрузки драйвера - проверка прервана [C000036B]
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
 Ошибка загрузки драйвера - проверка прервана [C000036B]
2. Проверка памяти
 Количество найденных процессов: 24
 Количество загруженных модулей: 290
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение D:\Users\Евгений\AppData\Local\Microsoft\Windows\WebCache\WebCacheV24.tmp
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
D:\Windows\mfnspstd32.dll --> Подозрение на Keylogger или троянскую DLL
D:\Windows\mfnspstd32.dll>>> Поведенческий анализ 
 Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (D:\Windows\mfnspstd32.dll)
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Remote Desktop Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
 >>  Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
 >>  Internet Explorer - разрешена загрузка неподписанных элементов ActiveX
 >>  Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
 >>  Internet Explorer - разрешен запуск программ и файлов в окне IFRAME
 >>  Таймаут завершения служб находится за пределами допустимых значений
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 97746, извлечено из архивов: 53081, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 23.06.2012 11:59:26
Сканирование длилось 00:11:49
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Создание архива с файлами из карантина
Создание архива с файлами из карантина завершено
Выполняется исследование системы
Исследование системы завершено