Протокол исследования системы

AVZ 4.39 http://z-oleg.com/secur/avz/

Список процессов

Модули пространства ядра

Службы

Драйверы

Автозапуск

Модули расширения Internet Explorer (BHO, панели ...)

Модули расширения проводника

Модули расширения системы печати (мониторы печати, провайдеры)

Задания планировщика задач Task Scheduler

Настройки SPI/LSP

Настройки LSP проверены. Ошибок не обнаружено

Внимание !!! База поcледний раз обновлялась 30.01.2013 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.39
Сканирование запущено в 02.05.2013 10:08:44
Загружена база: сигнатуры - 297614, нейропрофили - 2, микропрограммы лечения - 56, база от 30.01.2013 18:40
Загружены микропрограммы эвристики: 399
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 506902
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 6.1.7600,  ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=1689C0)
 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 83439000
   SDT = 835A19C0
   KiST = 834A8840 (401)
Функция NtCreateThread (57) перехвачена (8371429A->8E6F67F0), перехватчик C:\Windows\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtLoadDriver (9B) перехвачена (835DA313->8E6F68B0), перехватчик C:\Windows\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetSystemInformation (15E) перехвачена (836C44A3->8E6F6870), перехватчик C:\Windows\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSystemDebugControl (170) перехвачена (83642761->8E6F6830), перехватчик C:\Windows\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Проверено функций: 401, перехвачено: 4, восстановлено: 4
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Анализ для процессора 2
CmpCallCallBacks = 00000000
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
 Драйвер успешно загружен
\FileSystem\ntfs[IRP_MJ_CREATE] = 85A7D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 85A7D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 85A7D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 85A7D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 85A7D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 85A7D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 85A7D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 85A7D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 85A7D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 85A7D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 85A7D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 85A7D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 85A7D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 85A7D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 85A7D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 85A7D1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 8B06A1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 8B06A1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 8B06A1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 8B06A1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 8B06A1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 8B06A1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 8B06A1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8B06A1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 8B06A1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 8B06A1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 8B06A1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 8B06A1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 8B06A1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 8B06A1F8 -> перехватчик не определен
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 59
 Количество загруженных модулей: 739
c:\program files\odindoma\spi.dll >>> подозрение на Monitor.Win32.KeyLogger.la ( 093B6DB3 0380C8BA 00245C76 0019BF44 45056)
Файл успешно помещен в карантин (c:\program files\odindoma\spi.dll)
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Program Files\OdinDoma\bin\access.dll
C:\Program Files\OdinDoma\spi.dll >>> подозрение на Monitor.Win32.KeyLogger.la ( 093B6DB3 0380C8BA 00245C76 0019BF44 45056)
Прямое чтение C:\Windows\System32\drivers\sptd.sys
D:\Program Files\Call Of Duty 4 Modern Warfare\main\sound\battlechatter\us\3\US_3_landmark_near_trashcans_02.wav >>> подозрение на Trojan-PSW.Win32.OnLineGames.acxw ( 0C28A02A 0F85E1BF 0027251F 00265C99 77824)
Файл успешно помещен в карантин (D:\Program Files\Call Of Duty 4 Modern Warfare\main\sound\battlechatter\us\3\US_3_landmark_near_trashcans_02.wav)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
 Проверка отключена пользователем
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~2\Mozilla\ztlrhia.dll"
Обнаружен вызов интерпретатора командной строки в автозапуске [DR=1] HKCU\Software\Microsoft\Windows\CurrentVersion\Run\AlcoholAutomount = ["C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount]
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Таймаут завершения процессов находится за пределами допустимых значений
 >>  Таймаут завершения служб находится за пределами допустимых значений
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 123601, извлечено из архивов: 41159, найдено вредоносных программ 0, подозрений - 3
Сканирование завершено в 02.05.2013 10:21:35
!!! Внимание !!! Восстановлено 4 функций KiST в ходе работы антируткита
Это может нарушить нормальную работу ряда программ, поэтому настоятельно рекомендуется перезагрузить компьютер
Сканирование длилось 00:12:53
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Создание архива с файлами из карантина
Создание архива с файлами из карантина завершено
Выполняется исследование системы

 Исследование системы завершено


Команды скрипта
 
Добавить в скрипт команды:
Нейтрализация перехватов функций при помощи антируткита
Включить AVZGuard
Управление AVZPM (true-включить,false-отключить)
BootCleaner - импорт списка удаленных файлов
BootCleaner - импортировать все
Чистка реестра после удаления файлов
ExecuteWizard ('TSW',2,3,true) - Выполнение мастера поиска и устранения проблем
BootCleaner - активация
Перезагрузка
Вставить заготовку для QuarantineFile() - помещение файла в карантин
Вставить заготовку для BC_QrFile() - помещение файла в карантин через BC
Вставить заготовку для DeleteFile() - удаление файла
Вставить заготовку для DelCLSID() - удаление CLSID класса из реестра
Дополнительные операции:
Оптимизация - отключить службу TermService (Службы удаленных рабочих столов)
Оптимизация - отключить службу SSDPSRV (Обнаружение SSDP)
Оптимизация - отключить службу Schedule (Планировщик заданий)
Оптимизация - безопасность - отключить автозапуск программ с CD
Оптимизация - безопасность - отключить административный доступ к локальным дискам
Оптимизация - безопасность - блокировать возможность подключения анонимных пользователей
Безопасность - запретить отправку приглашений удаленному помощнику

Список файлов