AVZ 4.39 http://z-oleg.com/secur/avz/
| Имя файла | PID | Описание | Copyright | MD5 | Информация
| c:\program files\ati technologies\ati.ace\core-static\ccc.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2876 | Catalyst Control Center: Host application | 2002-2012 | ?? | 292.00 кб, rsAh, | создан: 25.01.2012 15:32:42, изменен: 25.01.2012 15:32:42 Командная строка: "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe" 0 c:\program files\odindoma\bin\a\childgui.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 3272 | | | ?? | 4403.50 кб, rsAh, | создан: 16.09.2011 12:34:24, изменен: 16.09.2011 12:34:24 Командная строка: "C:\Program Files\OdinDoma\bin\a\ChildGUI.exe" c:\program files\ati technologies\ati.ace\core-static\mom.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2812 | Catalyst Control Center: Monitoring program | 2002-2012 | ?? | 292.00 кб, rsAh, | создан: 25.01.2012 15:32:42, изменен: 25.01.2012 15:32:42 Командная строка: "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM" PriorityLow c:\program files\odindoma\bin\a\odindomasrv.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 504 | OdinDomaSRV Активная фильтрация трафика | | ?? | 667.00 кб, rsAh, | создан: 12.09.2012 14:53:40, изменен: 12.09.2012 14:53:40 Командная строка: "C:\Program Files\OdinDoma\bin\a\OdinDomaSRV.exe" c:\windows\microsoft.net\framework\v3.0\wpf\presentationfontcache.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2704 | PresentationFontCache.exe | © Microsoft Corporation. All rights reserved. | ?? | 41.85 кб, rsAh, | создан: 14.07.2009 04:35:50, изменен: 11.06.2009 01:14:51 Командная строка: C:\Windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe c:\windows\system32\services.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 556 | Приложение служб и контроллеров | © Корпорация Майкрософт. Все права защищены. | ?? | 253.00 кб, rsAh, | создан: 14.07.2009 03:11:26, изменен: 14.07.2009 05:14:36 Командная строка: C:\Windows\system32\services.exe c:\program files\windows sidebar\sidebar.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2632 | Гаджеты рабочего стола Windows | © Корпорация Майкрософт. Все права защищены. | ?? | 1146.00 кб, rsAh, | создан: 14.07.2009 03:41:21, изменен: 14.07.2009 05:14:38 Командная строка: "C:\Program Files\Windows Sidebar\sidebar.exe" /autoRun c:\windows\system32\spoolsv.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1644 | Диспетчер очереди печати | © Корпорация Майкрософт. Все права защищены. | ?? | 309.50 кб, rsAh, | создан: 06.05.2012 14:53:31, изменен: 21.08.2010 09:32:37 Командная строка: C:\Windows\System32\spoolsv.exe c:\program files\alcohol soft\alcohol 120\starwind\starwindserviceae.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 432 | StarWind iSCSI Target (Alcohol Edition) | Copyright (c) Rocket Division Software 2003-2007. All rights reserved. | ?? | 269.50 кб, rsAh, | создан: 28.05.2007 20:57:54, изменен: 28.05.2007 20:57:54 Командная строка: "C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe" c:\windows\system32\svchost.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1100 | Хост-процесс для служб Windows | © Корпорация Майкрософт. Все права защищены. | ?? | 20.50 кб, rsAh, | создан: 14.07.2009 03:19:28, изменен: 14.07.2009 05:14:41 Командная строка: C:\Windows\system32\svchost.exe -k netsvcs c:\windows\system32\svchost.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 896 | Хост-процесс для служб Windows | © Корпорация Майкрософт. Все права защищены. | ?? | 20.50 кб, rsAh, | создан: 14.07.2009 03:19:28, изменен: 14.07.2009 05:14:41 Командная строка: C:\Windows\system32\svchost.exe -k RPCSS c:\windows\system32\svchost.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1508 | Хост-процесс для служб Windows | © Корпорация Майкрософт. Все права защищены. | ?? | 20.50 кб, rsAh, | создан: 14.07.2009 03:19:28, изменен: 14.07.2009 05:14:41 Командная строка: C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork c:\programdata\vksaver\vksaver.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2528 | VKSaver tray proxy for saving music from vkontakte.ru | Copyright (C) 2009 AudioVkontakte.ru | ?? | 219.50 кб, rsAh, | создан: 13.04.2011 19:08:05, изменен: 03.02.2013 17:50:09 Командная строка: "C:\ProgramData\VKSaver\VKSaver.exe" Обнаружено:60, из них опознаны как безопасные 58
| | |||||
| Модуль | Базовый адрес | Размер в памяти | Описание | Производитель
| C:\Windows\System32\Drivers\dump_diskdump.sys | Скрипт: Kарантин, Удалить, Удалить через BC 81E00000 | 00A000 (40960) |
| C:\Windows\System32\Drivers\dump_dumpfve.sys | Скрипт: Kарантин, Удалить, Удалить через BC 903EE000 | 011000 (69632) |
| C:\Windows\System32\Drivers\dump_nvstor.sys | Скрипт: Kарантин, Удалить, Удалить через BC 901D9000 | 025000 (151552) |
| C:\Windows\System32\Drivers\spzc.sys | Скрипт: Kарантин, Удалить, Удалить через BC 84037000 | 0F3000 (995328) |
| Обнаружено модулей - 208, опознано как безопасные - 204
| | ||||||||
| Служба | Описание | Статус | Файл | Группа | Зависимости
| OdinDomaSRV | Служба: Стоп, Удалить, Отключить, Удалить через BC OdinDomaSRV | Не запущен | C:\Program Files\OdinDoma\OdinDomaSRV | Скрипт: Kарантин, Удалить, Удалить через BC |
| Обнаружено - 153, опознано как безопасные - 152
| | ||||||
| Служба | Описание | Статус | Файл | Группа | Зависимости
| sptd | Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC sptd | Работает | C:\Windows\System32\Drivers\sptd.sys | Скрипт: Kарантин, Удалить, Удалить через BC Boot Bus Extender |
| Обнаружено - 267, опознано как безопасные - 266
| | ||||||
| Имя файла | Статус | Метод запуска | Описание
| C:\Program Files\OdinDoma\OdinDomaGUI.exe | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, Один дома | Удалить C:\Users\Андрей\AppData\Roaming\BaltoStorage\BaltoStorage.exe | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ярлык в папке автозагрузки | C:\Users\Андрей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Андрей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\BaltoStorage.lnk,
| C:\Windows\system32\psxss.exe | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix
| progman.exe | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, shell | Удалить start AMD Accelerated Video Transcoding device initialization | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, AMD AVT | Удалить vgafix.fon | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fixedfon.fon | Удалить vgaoem.fon | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, oemfonts.fon | Удалить vgasys.fon | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fonts.fon | Удалить Обнаружено элементов автозапуска - 719, опознано как безопасные - 711
| | ||||||
| Имя файла | Тип | Описание | Производитель | CLSID
| Обнаружено элементов - 10, опознано как безопасные - 10
| | ||||||
| Имя файла | Назначение | Описание | Производитель | CLSID
| Обнаружено элементов - 10, опознано как безопасные - 10
| | ||||||
| Имя файла | Тип | Наименование | Описание | Производитель
| Обнаружено элементов - 8, опознано как безопасные - 8
| | ||||||
| Имя файла | Имя задания | Состояние задания | Описание | Производитель
| Обнаружено элементов - 5, опознано как безопасные - 5
| | ||||||
| Поставщик | Статус | Исп. файл | Описание | GUID
| Обнаружено - 6, опознано как безопасные - 6
| | ||||||
| Поставщик | Исп. файл | Описание
| OdinDoma over [MSAFD Tcpip [TCP/IP]] | C:\Program Files\OdinDoma\spi.dll | Скрипт: Kарантин, Удалить, Удалить через BC
| OdinDoma | C:\Program Files\OdinDoma\spi.dll | Скрипт: Kарантин, Удалить, Удалить через BC
| Обнаружено - 36, опознано как безопасные - 34
| | ||||||
| Имя файла | Описание | Производитель | CLSID | URL загрузки
| Обнаружено элементов - 0, опознано как безопасные - 0
| | ||||||
| Имя файла | Описание | Производитель
| Обнаружено элементов - 23, опознано как безопасные - 23
| | ||||||
| Имя файла | Описание | Производитель | CLSID
| Обнаружено элементов - 9, опознано как безопасные - 9
| | ||||||
| Запись файла Hosts |
| Имя файла | Тип | Описание | Производитель | CLSID
| mscoree.dll | Скрипт: Kарантин, Удалить, Удалить через BC Protocol | Microsoft .NET Runtime Execution Engine () | © Microsoft Corporation. All rights reserved. | {1E66F26B-79EE-11D2-8710-00C04F79ED0D} | Удалить mscoree.dll | Скрипт: Kарантин, Удалить, Удалить через BC Protocol | Microsoft .NET Runtime Execution Engine () | © Microsoft Corporation. All rights reserved. | {1E66F26B-79EE-11D2-8710-00C04F79ED0D} | Удалить mscoree.dll | Скрипт: Kарантин, Удалить, Удалить через BC Protocol | Microsoft .NET Runtime Execution Engine () | © Microsoft Corporation. All rights reserved. | {1E66F26B-79EE-11D2-8710-00C04F79ED0D} | Удалить Обнаружено элементов - 21, опознано как безопасные - 18
| | ||||||
| Файл | Описание | Тип
| C:\Windows\system32\DRIVERS\ehdrv.sys | Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit | Перехватчик KernelMode
| c:\program files\odindoma\spi.dll | Скрипт: Kарантин, Удалить, Удалить через BC Подозрение файлового сканера | Подозрение на Monitor.Win32.KeyLogger.la ( 093B6DB3 0380C8BA 00245C76 0019BF44 45056)
| |
Протокол антивирусной утилиты AVZ версии 4.39 Сканирование запущено в 02.05.2013 11:58:32 Загружена база: сигнатуры - 297614, нейропрофили - 2, микропрограммы лечения - 56, база от 02.05.2013 04:00 Загружены микропрограммы эвристики: 402 Загружены микропрограммы ИПУ: 9 Загружены цифровые подписи системных файлов: 548982 Режим эвристического анализатора: Максимальный уровень эвристики Режим лечения: выключено Версия Windows: 6.1.7600, ; AVZ работает с правами администратора Восстановление системы: включено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=1689C0) Ядро ntkrnlpa.exe обнаружено в памяти по адресу 8340D000 SDT = 835759C0 KiST = 8347C840 (401) Функция NtCreateThread (57) перехвачена (836E829A->8ECF87F0), перехватчик C:\Windows\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный Функция NtLoadDriver (9B) перехвачена (835AE313->8ECF88B0), перехватчик C:\Windows\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный Функция NtSetSystemInformation (15E) перехвачена (836984A3->8ECF8870), перехватчик C:\Windows\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный Функция NtSystemDebugControl (170) перехвачена (83616761->8ECF8830), перехватчик C:\Windows\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный Проверено функций: 401, перехвачено: 4, восстановлено: 0 1.3 Проверка IDT и SYSENTER Анализ для процессора 1 Анализ для процессора 2 Проверка IDT и SYSENTER завершена 1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM 1.5 Проверка обработчиков IRP Драйвер успешно загружен \FileSystem\ntfs[IRP_MJ_CREATE] = 85A7D1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_CLOSE] = 85A7D1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_WRITE] = 85A7D1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 85A7D1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 85A7D1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 85A7D1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_EA] = 85A7D1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 85A7D1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 85A7D1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 85A7D1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 85A7D1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 85A7D1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 85A7D1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 85A7D1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 85A7D1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_PNP] = 85A7D1F8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_CREATE] = 88CA21F8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_CLOSE] = 88CA21F8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_WRITE] = 88CA21F8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 88CA21F8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 88CA21F8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_QUERY_EA] = 88CA21F8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_SET_EA] = 88CA21F8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 88CA21F8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 88CA21F8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 88CA21F8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 88CA21F8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 88CA21F8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 88CA21F8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_PNP] = 88CA21F8 -> перехватчик не определен Проверка завершена 2. Проверка памяти Количество найденных процессов: 56 Анализатор - изучается процесс 504 C:\Program Files\OdinDoma\bin\a\OdinDomaSRV.exe [ES]:Может работать с сетью [ES]:Прослушивает порты TCP ! [ES]:Прослушивает порты, применяемые протоколом HTTP ! [ES]:Приложение не имеет видимых окон [ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ? Количество загруженных модулей: 682 c:\program files\odindoma\spi.dll >>> подозрение на Monitor.Win32.KeyLogger.la ( 093B6DB3 0380C8BA 00245C76 0019BF44 45056) Проверка памяти завершена 3. Сканирование дисков 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) Проверка отключена пользователем 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами Проверка отключена пользователем 7. Эвристичеcкая проверка системы Обнаружен вызов интерпретатора командной строки в автозапуске [DR=1] HKCU\Software\Microsoft\Windows\CurrentVersion\Run\AlcoholAutomount = ["C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount] Обнаружен вызов интерпретатора командной строки в автозапуске [DR=3] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\AMD AVT = [Cmd.exe /c start "AMD Accelerated Video Transcoding device initialization" /min "C:\Program Files\AMD AVT\bin\kdbsync.exe" aml] Проверка завершена 8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помощнику Проверка завершена 9. Мастер поиска и устранения проблем >> Таймаут завершения процессов находится за пределами допустимых значений >> Таймаут завершения служб находится за пределами допустимых значений >> Разрешен автозапуск с HDD >> Разрешен автозапуск с сетевых дисков >> Разрешен автозапуск со сменных носителей Проверка завершена Просканировано файлов: 738, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 1 Сканирование завершено в 02.05.2013 11:59:26 Сканирование длилось 00:00:54 Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам, то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18 Выполняется исследование системыДобавить в скрипт команды:
Исследование системы завершено
Команды скрипта