Код:
Протокол антивирусной утилиты AVZ версии 4.32
Сканирование запущено в 25.02.2010 18:31:26
Загружена база: сигнатуры - 264539, нейропрофили - 2, микропрограммы лечения - 56, база от 24.02.2010 23:45
Загружены микропрограммы эвристики: 380
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 180364
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: Отключено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:LdrGetProcedureAddress (65) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C917E88->035C1F
Функция ntdll.dll:LdrLoadDll (70) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C9163A3->035C84
Функция ntdll.dll:NtCreateFile (123) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D090->035F35
Функция ntdll.dll:NtCreateThread (140) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D190->035BED
Функция ntdll.dll:NtQueryDirectoryFile (234) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D750->036266
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:DestroyWindow (154) перехвачена, метод ProcAddressHijack.GetProcAddress ->7E37B19C->036157
Функция user32.dll:EndDialog (199) перехвачена, метод ProcAddressHijack.GetProcAddress ->7E374A4E->035718
Функция user32.dll:GetClipboardData (258) перехвачена, метод ProcAddressHijack.GetProcAddress ->7E380DBA->03652B
Функция user32.dll:TranslateMessage (683) перехвачена, метод ProcAddressHijack.GetProcAddress ->7E368BF6->0367D5
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:WSAConnect (33) перехвачена, метод ProcAddressHijack.GetProcAddress ->71AA0C81->035652
Функция ws2_32.dll:closesocket (3) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A93E2B->03F0B7
Функция ws2_32.dll:connect (4) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A94A07->0356DA
Функция ws2_32.dll:send (19) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A94C27->03F0DE
Анализ wininet.dll, таблица экспорта найдена в секции .text
Функция wininet.dll:HttpQueryInfoA (206) перехвачена, метод ProcAddressHijack.GetProcAddress ->43320C89->03E22B
Функция wininet.dll:HttpQueryInfoW (207) перехвачена, метод ProcAddressHijack.GetProcAddress ->43327E56->03E27A
Функция wininet.dll:HttpSendRequestA (208) перехвачена, метод ProcAddressHijack.GetProcAddress ->4332CD48->03EAE7
Функция wininet.dll:HttpSendRequestExA (209) перехвачена, метод ProcAddressHijack.GetProcAddress ->4338CDEA->03EBC6
Функция wininet.dll:HttpSendRequestExW (210) перехвачена, метод ProcAddressHijack.GetProcAddress ->43333552->03EBA9
Функция wininet.dll:HttpSendRequestW (211) перехвачена, метод ProcAddressHijack.GetProcAddress ->43341028->03EACA
Функция wininet.dll:InternetCloseHandle (224) перехвачена, метод ProcAddressHijack.GetProcAddress ->4331DA89->03E6A4
Функция wininet.dll:InternetQueryDataAvailable (272) перехвачена, метод ProcAddressHijack.GetProcAddress ->4332ADFD->03E869
Функция wininet.dll:InternetReadFile (276) перехвачена, метод ProcAddressHijack.GetProcAddress ->4332ABBC->03E810
Функция wininet.dll:InternetReadFileExA (277) перехвачена, метод ProcAddressHijack.GetProcAddress ->433432EA->03E84B
Функция wininet.dll:InternetReadFileExW (278) перехвачена, метод ProcAddressHijack.GetProcAddress ->433432B2->03E82D
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=085700)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 8055C700
KiST = 80504450 (284)
Проверено функций: 284, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 89E521F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 89E521F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 89E521F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 89E521F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 89E521F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 89E521F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 89E521F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 89E521F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 89E521F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 89E521F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 89E521F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 89E521F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 89E521F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 89E521F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 89E521F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 89E521F8 -> перехватчик не определен
Проверка завершена
Пробывал Касперским,но он ничего ненашел.