Протокол исследования системы

Настройки LSP проверены. Ошибок не обнаружено

127.0.0.1       localhost

127.0.0.1 cod5-pc.auth.mmp.demonware.net

127.0.0.1 cod5-pc.auth.mmp1.demonware.net

127.0.0.1 cod5-pc.auth.mmp2.demonware.net

127.0.0.1 cod5-pc.auth.mmp3.demonware.net

127.0.0.1 cod5-pc.auth.mmp4.demonware.net

127.0.0.1 cod5-pc.auth.mmp5.demonware.net

127.0.0.1 cod5-pc.auth.mmp6.demonware.net

127.0.0.1 cod5-pc.auth.mmp7.demonware.net

127.0.0.1 cod5-pc.auth.mmp8.demonware.net

127.0.0.1 cod5-pc.auth.mmp9.demonware.net

127.0.0.1 master.evenbalance.com

127.0.0.1 master1.evenbalance.com

127.0.0.1 master2.evenbalance.com

127.0.0.1 master3.evenbalance.com

127.0.0.1 master4.evenbalance.com

127.0.0.1 master5.evenbalance.com

127.0.0.1 master6.evenbalance.com

127.0.0.1 master7.evenbalance.com

127.0.0.1 master8.evenbalance.com

127.0.0.1 master9.evenbalance.com

Внимание !!! База поcледний раз обновлялась 02.02.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.30
Сканирование запущено в 09.12.2009 22:11:12
Загружена база: сигнатуры - 208344, нейропрофили - 2, микропрограммы лечения - 56, база от 02.02.2009 22:44
Загружены микропрограммы эвристики: 372
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 89556
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=085700)
 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
   SDT = 8055C700
   KiST = 80504450 (284)
Функция NtClose (19) перехвачена (805BC4EC->B2A056B8), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateKey (29) перехвачена (80623786->B2A05574), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDeleteValueKey (41) перехвачена (80623DE6->B2A05A52), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDuplicateObject (44) перехвачена (805BDFC4->B2A0514C), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateKey (47) перехвачена (80623FC6->B7EC5CA4), перехватчик sphf.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateValueKey (49) перехвачена (80624230->B7EC6032), перехватчик sphf.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenKey (77) перехвачена (80624B58->B2A0564E), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenProcess (7A) перехвачена (805CB3FC->B2A0508C), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenThread (80) перехвачена (805CB688->B2A050F0), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryKey (A0) перехвачена (80624E7E->B7EC610A), перехватчик sphf.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryValueKey (B1) перехвачена (806219BE->B2A0576E), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtRestoreKey (CC) перехвачена (8062513E->B2A0572E), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetValueKey (F7) перехвачена (80621D0C->B2A058AE), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция KeInsertQueueDpc (804FB7A0) - модификация машинного кода. Метод JmpTo. jmp B8469D7D \SystemRoot\system32\DRIVERS\FStarForce.sys
>>> Функция воcстановлена успешно !
Проверено функций: 284, перехвачено: 13, восстановлено: 14
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [B21C316D] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [B21C2FC2] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
 Анализ для процессора 2
>>> Опасно - подозрение на подмену адреса ЦП[2].IDT[06] = [B21C316D] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
>>> Опасно - подозрение на подмену адреса ЦП[2].IDT[0E] = [B21C2FC2] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
 Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 8A6521F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8A6521F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8A6521F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8A6521F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8A6521F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8A6521F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8A6521F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A6521F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8A6521F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8A6521F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A6521F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8A6521F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8A6521F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8A6521F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8A6521F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8A6521F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 89A4B1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 89A4B1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 89A4B1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 89A4B1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 89A4B1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 89A4B1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 89A4B1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 89A4B1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 89A4B1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 89A4B1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 89A4B1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 89A4B1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 89A4B1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 89A4B1F8 -> перехватчик не определен
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 44
 Количество загруженных модулей: 439
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files\TranslateIt!\GetWordNT.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\TranslateIt!\GetWordNT.dll>>> Поведенческий анализ 
  1. Реагирует на события: клавиатура
C:\Program Files\TranslateIt!\GetWordNT.dll>>> Нейросеть: файл с вероятностью 99.92% похож на типовой перехватчик событий клавиатуры/мыши
Файл успешно помещен в карантин (C:\Program Files\TranslateIt!\GetWordNT.dll)
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Опасно - отладчик процесса "notepad.exe" = "C:\Program Files\Notepad2\Notepad2.exe"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: разрешен автоматический вход в систему
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Нарушение ассоциации SCR файлов
 >>  Нарушение ассоциации REG файлов
 >>  Обнаружен отладчик системного процесса
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 56388, извлечено из архивов: 40355, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 09.12.2009 22:17:41
!!! Внимание !!! Восстановлено 14 функций KiST в ходе работы антируткита
Это может нарушить нормальную работу ряда программ, поэтому настоятельно рекомендуется перезагрузить компьютер
Сканирование длилось 00:06:30
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info
Создание архива с файлами из карантина
Создание архива с файлами из карантина завершено
Выполняется исследование системы


Команды скрипта
 
Добавить в скрипт команды:
Нейтрализация перехватов функций при помощи антируткита
Включить AVZGuard
BootCleaner - импорт списка удаленных файлов
Чистка реестра после удаления файлов
BootCleaner - активация
Перезагрузка
Вставить заготовку для QuarantineFile() - помещение файла в карантин
Вставить заготовку для BC_QrFile() - помещение файла в карантин через BC
Вставить заготовку для DeleteFile() - удаление файла
Вставить заготовку для DelCLSID() - удаление CLSID класса из реестра
Дополнительные операции:
Оптимизация - отключить службу RemoteRegistry (Remote Registry)
Оптимизация - отключить службу TermService (Terminal Services)
Оптимизация - отключить службу SSDPSRV (SSDP Discovery Service)
Оптимизация - отключить службу Schedule (Task Scheduler)
Оптимизация - отключить службу RDSessMgr (Remote Desktop Help Session Manager)
Оптимизация - безопасность - отключить автозапуск программ с CD
Оптимизация - безопасность - блокировать возможность подключения анонимных пользователей
Оптимизация - безопасность - отключить автоматический вход в систему

Список файлов