Внимание !!! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.35
Сканирование запущено в 30.10.2011 11:18:33
Загружена база: сигнатуры - 278154, нейропрофили - 2, микропрограммы лечения - 56, база от 25.08.2010 16:40
Загружены микропрограммы эвристики: 383
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 220217
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 6.1.7601, Service Pack 1 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:AddMandatoryAce (1029) перехвачена, метод ProcAddressHijack.GetProcAddress ->75F6AC79->75D2DE2B
Функция advapi32.dll:I_QueryTagInformation (1361) перехвачена, метод ProcAddressHijack.GetProcAddress ->75F6AE19->75E572D8
Функция advapi32.dll:I_ScIsSecurityProcess (1362) перехвачена, метод ProcAddressHijack.GetProcAddress ->75F6AE50->75E5733F
Функция advapi32.dll:I_ScPnPGetServiceName (1363) перехвачена, метод ProcAddressHijack.GetProcAddress ->75F6AE87->75E57C40
Функция advapi32.dll:I_ScQueryServiceConfig (1364) перехвачена, метод ProcAddressHijack.GetProcAddress ->75F6AEBE->75E55F8A
Функция advapi32.dll:I_ScSendPnPMessage (1365) перехвачена, метод ProcAddressHijack.GetProcAddress ->75F6AEF6->75E55E7D
Функция advapi32.dll:I_ScSendTSMessage (1366) перехвачена, метод ProcAddressHijack.GetProcAddress ->75F6AF2A->75E571C5
Функция advapi32.dll:I_ScValidatePnPService (1369) перехвачена, метод ProcAddressHijack.GetProcAddress ->75F6AF5D->75E56B9D
Функция advapi32.dll:IsValidRelativeSecurityDescriptor (1389) перехвачена, метод ProcAddressHijack.GetProcAddress ->75F6AF95->75D3FBBD
Функция advapi32.dll
erfCreateInstance (1515) перехвачена, метод ProcAddressHijack.GetProcAddress ->75F6B01C->75162187
Функция advapi32.dll
erfDecrementULongCounterValue (1516) перехвачена, метод ProcAddressHijack.GetProcAddress ->75F6B035->75162A1D
Функция advapi32.dll
erfDecrementULongLongCounterValue (1517) перехвачена, метод ProcAddressHijack.GetProcAddress ->75F6B05A->75162B3C
Функция advapi32.dll
erfDeleteInstance (1519) перехвачена, метод ProcAddressHijack.GetProcAddress ->75F6B083->75162259
Функция advapi32.dll
erfIncrementULongCounterValue (1522) перехвачена, метод ProcAddressHijack.GetProcAddress ->75F6B09C->751627B9
Функция advapi32.dll
erfIncrementULongLongCounterValue (1523) перехвачена, метод ProcAddressHijack.GetProcAddress ->75F6B0C1->751628D6
Функция advapi32.dll
erfQueryInstance (152
перехвачена, метод ProcAddressHijack.GetProcAddress ->75F6B0EA->75162373
Функция advapi32.dll
erfSetCounterRefValue (1529) перехвачена, метод ProcAddressHijack.GetProcAddress ->75F6B102->75162447
Функция advapi32.dll
erfSetCounterSetInfo (1530) перехвачена, метод ProcAddressHijack.GetProcAddress ->75F6B11F->751620B0
Функция advapi32.dll
erfSetULongCounterValue (1531) перехвачена, метод ProcAddressHijack.GetProcAddress ->75F6B13B->75162565
Функция advapi32.dll
erfSetULongLongCounterValue (1532) перехвачена, метод ProcAddressHijack.GetProcAddress ->75F6B15A->75162680
Функция advapi32.dll
erfStartProvider (1533) перехвачена, метод ProcAddressHijack.GetProcAddress ->75F6B17D->75161FED
Функция advapi32.dll
erfStartProviderEx (1534) перехвачена, метод ProcAddressHijack.GetProcAddress ->75F6B195->75161F34
Функция advapi32.dll
erfStopProvider (1535) перехвачена, метод ProcAddressHijack.GetProcAddress ->75F6B1AF->75162026
Функция advapi32.dll:SystemFunction035 (1753) перехвачена, метод ProcAddressHijack.GetProcAddress ->75F6B200->755F3EA8
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll
avAddConnection (1) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F3B10->741229DD
Функция netapi32.dll
avDeleteConnection (2) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F3B29->7412181B
Функция netapi32.dll
avFlushFile (3) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F3B45->74121713
Функция netapi32.dll
avGetExtendedError (4) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F3B5A->74122347
Функция netapi32.dll
avGetHTTPFromUNCPath (5) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F3B76->7412275B
Функция netapi32.dll
avGetUNCFromHTTPPath (6) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F3B94->7412257D
Функция netapi32.dll
sAddressToSiteNamesA (7) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F3BB2->75434B85
Функция netapi32.dll
sAddressToSiteNamesExA (
перехвачена, метод ProcAddressHijack.GetProcAddress ->742F3BD1->75434EB1
Функция netapi32.dll
sAddressToSiteNamesExW (9) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F3BF2->75435181
Функция netapi32.dll
sAddressToSiteNamesW (10) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F3C13->75434D61
Функция netapi32.dll
sDeregisterDnsHostRecordsA (11) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F3C32->75436DD1
Функция netapi32.dll
sDeregisterDnsHostRecordsW (12) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F3C57->75436D51
Функция netapi32.dll
sEnumerateDomainTrustsA (13) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F3C7C->75436769
Функция netapi32.dll
sEnumerateDomainTrustsW (14) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F3C9E->7542B1FA
Функция netapi32.dll
sGetDcCloseW (15) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F3CC0->75434A95
Функция netapi32.dll
sGetDcNameA (16) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F3CD7->75435B04
Функция netapi32.dll
sGetDcNameW (17) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F3CED->7542509E
Функция netapi32.dll
sGetDcNameWithAccountA (1
перехвачена, метод ProcAddressHijack.GetProcAddress ->742F3D03->75435721
Функция netapi32.dll
sGetDcNameWithAccountW (19) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F3D24->75424CB1
Функция netapi32.dll
sGetDcNextA (20) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F3D45->754349CE
Функция netapi32.dll
sGetDcNextW (21) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F3D5B->75434925
Функция netapi32.dll
sGetDcOpenA (22) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F3D71->75434875
Функция netapi32.dll
sGetDcOpenW (23) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F3D87->754347E3
Функция netapi32.dll
sGetDcSiteCoverageA (24) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F3D9D->75435371
Функция netapi32.dll
sGetDcSiteCoverageW (25) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F3DBB->75435541
Функция netapi32.dll
sGetForestTrustInformationW (26) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F3DD9->75436E67
Функция netapi32.dll
sGetSiteNameA (27) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F3DFF->75435A8B
Функция netapi32.dll
sGetSiteNameW (2
перехвачена, метод ProcAddressHijack.GetProcAddress ->742F3E17->75425FDD
Функция netapi32.dll
sMergeForestTrustInformationW (29) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F3E2F->75436F69
Функция netapi32.dll
sRoleAbortDownlevelServerUpgrade (30) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F3E57->73F64339
Функция netapi32.dll
sRoleCancel (31) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F3E80->73F634A9
Функция netapi32.dll
sRoleDcAsDc (32) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F3E94->73F63EAD
Функция netapi32.dll
sRoleDcAsReplica (33) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F3EA8->73F63F99
Функция netapi32.dll
sRoleDemoteDc (34) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F3EC1->73F64189
Функция netapi32.dll
sRoleDnsNameToFlatName (35) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F3ED7->73F632B5
Функция netapi32.dll
sRoleFreeMemory (36) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F3EF6->73F619A9
Функция netapi32.dll
sRoleGetDatabaseFacts (37) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F3F0E->73F63651
Функция netapi32.dll
sRoleGetDcOperationProgress (3
перехвачена, метод ProcAddressHijack.GetProcAddress ->742F3F2C->73F63351
Функция netapi32.dll
sRoleGetDcOperationResults (39) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F3F50->73F63401
Функция netapi32.dll
sRoleGetPrimaryDomainInformation (40) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F3F73->73F61F3D
Функция netapi32.dll
sRoleIfmHandleFree (41) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F3F9C->73F63539
Функция netapi32.dll
sRoleServerSaveStateForUpgrade (42) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F3FB7->73F635C9
Функция netapi32.dll
sRoleUpgradeDownlevelServer (43) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F3FDE->73F64261
Функция netapi32.dll
sValidateSubnetNameA (44) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4002->75435A4B
Функция netapi32.dll
sValidateSubnetNameW (45) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4021->75434B19
Функция netapi32.dll:I_BrowserDebugCall (46) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4040->743B24A9
Функция netapi32.dll:I_BrowserDebugTrace (47) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F405B->743B2581
Функция netapi32.dll:I_BrowserQueryEmulatedDomains (4
перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4077->743B29F9
Функция netapi32.dll:I_BrowserQueryOtherDomains (49) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F409D->743B22C1
Функция netapi32.dll:I_BrowserQueryStatistics (50) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F40C0->743B2651
Функция netapi32.dll:I_BrowserResetNetlogonState (51) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F40E1->743B23D1
Функция netapi32.dll:I_BrowserResetStatistics (52) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4105->743B2729
Функция netapi32.dll:I_BrowserServerEnum (53) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4126->743B20BF
Функция netapi32.dll:I_BrowserSetNetlogonState (54) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4142->743B2919
Функция netapi32.dll:I_DsUpdateReadOnlyServerDnsRecords (55) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4164->754356A1
Функция netapi32.dll:I_NetAccountDeltas (56) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4190->754363A3
Функция netapi32.dll:I_NetAccountSync (57) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F41AC->754363A3
Функция netapi32.dll:I_NetChainSetClientAttributes (59) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F41C6->75436F9E
Функция netapi32.dll:I_NetChainSetClientAttributes2 (5
перехвачена, метод ProcAddressHijack.GetProcAddress ->742F41ED->75437021
Функция netapi32.dll:I_NetDatabaseDeltas (60) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4215->75436389
Функция netapi32.dll:I_NetDatabaseRedo (61) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4232->75436519
Функция netapi32.dll:I_NetDatabaseSync (63) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F424D->75436389
Функция netapi32.dll:I_NetDatabaseSync2 (62) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4268->75436396
Функция netapi32.dll:I_NetDfsGetVersion (64) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4284->758A7C91
Функция netapi32.dll:I_NetDfsIsThisADomainName (65) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F429E->741A4E39
Функция netapi32.dll:I_NetGetDCList (66) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F42BF->75435CEE
Функция netapi32.dll:I_NetGetForestTrustInformation (67) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F42D7->75436EE9
Функция netapi32.dll:I_NetLogonControl (69) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F42FF->754363B0
Функция netapi32.dll:I_NetLogonControl2 (6
перехвачена, метод ProcAddressHijack.GetProcAddress ->742F431A->75436431
Функция netapi32.dll:I_NetLogonGetDomainInfo (70) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4336->75426414
Функция netapi32.dll:I_NetLogonSamLogoff (71) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4357->75436089
Функция netapi32.dll:I_NetLogonSamLogon (72) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4374->75435E89
Функция netapi32.dll:I_NetLogonSamLogonEx (73) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4390->75435FD9
Функция netapi32.dll:I_NetLogonSamLogonWithFlags (74) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F43AE->75435F31
Функция netapi32.dll:I_NetLogonSendToSam (75) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F43D3->75436109
Функция netapi32.dll:I_NetLogonUasLogoff (76) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F43F0->75435E19
Функция netapi32.dll:I_NetLogonUasLogon (77) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F440D->75435DA5
Функция netapi32.dll:I_NetServerAuthenticate (80) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4429->75436189
Функция netapi32.dll:I_NetServerAuthenticate2 (7
перехвачена, метод ProcAddressHijack.GetProcAddress ->742F444A->75436209
Функция netapi32.dll:I_NetServerAuthenticate3 (79) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F446C->75426384
Функция netapi32.dll:I_NetServerGetTrustInfo (81) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F448E->75436C59
Функция netapi32.dll:I_NetServerPasswordGet (82) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F44AF->75436B59
Функция netapi32.dll:I_NetServerPasswordSet (84) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F44CF->75436289
Функция netapi32.dll:I_NetServerPasswordSet2 (83) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F44EF->75436309
Функция netapi32.dll:I_NetServerReqChallenge (85) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4510->7542621B
Функция netapi32.dll:I_NetServerSetServiceBits (86) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4531->758A4171
Функция netapi32.dll:I_NetServerSetServiceBitsEx (87) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4552->758A6D01
Функция netapi32.dll:I_NetServerTrustPasswordsGet (8
перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4575->75436BD9
Функция netapi32.dll:I_NetlogonComputeClientDigest (89) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F459B->75426074
Функция netapi32.dll:I_NetlogonComputeServerDigest (90) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F45C2->75436AE4
Функция netapi32.dll:NetAddAlternateComputerName (97) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F45E9->742D5B19
Функция netapi32.dll:NetAddServiceAccount (9
перехвачена, метод ProcAddressHijack.GetProcAddress ->742F460C->754370A9
Функция netapi32.dll:NetApiBufferAllocate (101) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F462A->742E1415
Функция netapi32.dll:NetApiBufferFree (102) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4648->742E13D2
Функция netapi32.dll:NetApiBufferReallocate (103) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4662->742E3741
Функция netapi32.dll:NetApiBufferSize (104) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4682->742E3789
Функция netapi32.dll:NetBrowserStatisticsGet (10
перехвачена, метод ProcAddressHijack.GetProcAddress ->742F469C->743B2801
Функция netapi32.dll:NetConnectionEnum (112) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F46BC->758A5511
Функция netapi32.dll:NetDfsAdd (113) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F46D5->741A78FD
Функция netapi32.dll:NetDfsAddFtRoot (114) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F46E6->741A6859
Функция netapi32.dll:NetDfsAddRootTarget (115) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F46FD->741A7401
Функция netapi32.dll:NetDfsAddStdRoot (116) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4718->741A2B1E
Функция netapi32.dll:NetDfsAddStdRootForced (117) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4730->741A2BB1
Функция netapi32.dll:NetDfsEnum (11
перехвачена, метод ProcAddressHijack.GetProcAddress ->742F474E->741A70F9
Функция netapi32.dll:NetDfsGetClientInfo (119) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4760->741A3F25
Функция netapi32.dll:NetDfsGetDcAddress (120) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F477B->741A2C51
Функция netapi32.dll:NetDfsGetFtContainerSecurity (121) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4795->741A5363
Функция netapi32.dll:NetDfsGetInfo (122) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F47B9->741A2D69
Функция netapi32.dll:NetDfsGetSecurity (123) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F47CE->741A7741
Функция netapi32.dll:NetDfsGetStdContainerSecurity (124) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F47E7->741A3AD5
Функция netapi32.dll:NetDfsGetSupportedNamespaceVersion (125) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F480C->741A5C19
Функция netapi32.dll:NetDfsManagerGetConfigInfo (126) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4836->741A2E9C
Функция netapi32.dll:NetDfsManagerInitialize (127) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4858->741A2F91
Функция netapi32.dll:NetDfsManagerSendSiteInfo (12
перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4877->741A72C5
Функция netapi32.dll:NetDfsMove (129) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4898->741A5651
Функция netapi32.dll:NetDfsRemove (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F48AA->741A7A19
Функция netapi32.dll:NetDfsRemoveFtRoot (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F48BE->741A6A99
Функция netapi32.dll:NetDfsRemoveFtRootForced (132) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F48D8->741A6BE5
Функция netapi32.dll:NetDfsRemoveRootTarget (133) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F48F8->741A5879
Функция netapi32.dll:NetDfsRemoveStdRoot (134) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4916->741A2CE1
Функция netapi32.dll:NetDfsRename (135) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4931->741A2E91
Функция netapi32.dll:NetDfsSetClientInfo (136) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4945->741A4301
Функция netapi32.dll:NetDfsSetFtContainerSecurity (137) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4960->741A53AF
Функция netapi32.dll:NetDfsSetInfo (13
перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4984->741A6D8B
Функция netapi32.dll:NetDfsSetSecurity (139) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4999->741A7822
Функция netapi32.dll:NetDfsSetStdContainerSecurity (140) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F49B2->741A3B24
Функция netapi32.dll:NetEnumerateComputerNames (141) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F49D7->742D5E31
Функция netapi32.dll:NetEnumerateServiceAccounts (142) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F49F8->75437191
Функция netapi32.dll:NetEnumerateTrustedDomains (143) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4A1D->75436526
Функция netapi32.dll:NetFileClose (147) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4A41->758A5649
Функция netapi32.dll:NetFileEnum (14
перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4A55->758A5719
Функция netapi32.dll:NetFileGetInfo (149) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4A68->758A5849
Функция netapi32.dll:NetGetAnyDCName (150) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4A7E->75434AA5
Функция netapi32.dll:NetGetDCName (151) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4A97->75425EB2
Функция netapi32.dll:NetGetDisplayInformationIndex (152) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4AAD->742C52FF
Функция netapi32.dll:NetGetJoinInformation (153) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4AD2->742D2C3F
Функция netapi32.dll:NetGetJoinableOUs (154) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4AEF->742D59C9
Функция netapi32.dll:NetGroupAdd (155) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4B08->742C77C9
Функция netapi32.dll:NetGroupAddUser (156) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4B1B->742C79B5
Функция netapi32.dll:NetGroupDel (157) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4B32->742C79D3
Функция netapi32.dll:NetGroupDelUser (15
перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4B45->742C79F3
Функция netapi32.dll:NetGroupEnum (159) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4B5C->742C7A11
Функция netapi32.dll:NetGroupGetInfo (160) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4B70->742C2C04
Функция netapi32.dll:NetGroupGetUsers (161) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4B87->742C7ED0
Функция netapi32.dll:NetGroupSetInfo (162) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4B9F->742C8180
Функция netapi32.dll:NetGroupSetUsers (163) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4BB6->742C832C
Функция netapi32.dll:NetIsServiceAccount (164) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4BCE->754372D1
Функция netapi32.dll:NetJoinDomain (165) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4BEB->742D54B1
Функция netapi32.dll:NetLocalGroupAdd (166) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4C00->742C8C32
Функция netapi32.dll:NetLocalGroupAddMember (167) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4C18->742C8D5E
Функция netapi32.dll:NetLocalGroupAddMembers (16
перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4C36->742C92FE
Функция netapi32.dll:NetLocalGroupDel (169) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4C55->742C8D7C
Функция netapi32.dll:NetLocalGroupDelMember (170) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4C6D->742C8E00
Функция netapi32.dll:NetLocalGroupDelMembers (171) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4C8B->742C9322
Функция netapi32.dll:NetLocalGroupEnum (172) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4CAA->742C8E1E
Функция netapi32.dll:NetLocalGroupGetInfo (173) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4CC3->742C2BA1
Функция netapi32.dll:NetLocalGroupGetMembers (174) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4CDF->742C21BE
Функция netapi32.dll:NetLocalGroupSetInfo (175) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4CFE->742C91BC
Функция netapi32.dll:NetLocalGroupSetMembers (176) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4D1A->742C92DA
Функция netapi32.dll:NetLogonGetTimeServiceParentDomain (177) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4D39->75436CE1
Функция netapi32.dll:NetLogonSetServiceBits (17
перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4D65->7542617C
Функция netapi32.dll:NetProvisionComputerAccount (184) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4D85->756DF423
Функция netapi32.dll:NetQueryDisplayInformation (185) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4DA9->742C4F6F
Функция netapi32.dll:NetQueryServiceAccount (186) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4DCB->75437241
Функция netapi32.dll:NetRemoteComputerSupports (18
перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4DEB->742E2A9C
Функция netapi32.dll:NetRemoteTOD (189) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4E0E->758A6C01
Функция netapi32.dll:NetRemoveAlternateComputerName (190) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4E22->742D5C21
Функция netapi32.dll:NetRemoveServiceAccount (191) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4E48->75437121
Функция netapi32.dll:NetRenameMachineInDomain (192) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4E69->742D5749
Функция netapi32.dll:NetRequestOfflineDomainJoin (20
перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4E89->756DB537
Функция netapi32.dll:NetScheduleJobAdd (209) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4EAD->741119D1
Функция netapi32.dll:NetScheduleJobDel (210) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4EC8->74111AC9
Функция netapi32.dll:NetScheduleJobEnum (211) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4EE3->74111BC1
Функция netapi32.dll:NetScheduleJobGetInfo (212) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4EFF->74111CE1
Функция netapi32.dll:NetServerAliasAdd (213) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4F1E->758A7833
Функция netapi32.dll:NetServerAliasDel (214) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4F37->758A7A69
Функция netapi32.dll:NetServerAliasEnum (215) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4F50->758A7921
Функция netapi32.dll:NetServerComputerNameAdd (216) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4F6A->758A7401
Функция netapi32.dll:NetServerComputerNameDel (217) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4F8A->758A76EB
Функция netapi32.dll:NetServerDiskEnum (21
перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4FAA->758A6549
Функция netapi32.dll:NetServerEnum (219) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4FC3->743B2F61
Функция netapi32.dll:NetServerEnumEx (220) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4FD9->743B2C5F
Функция netapi32.dll:NetServerGetInfo (221) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F4FF1->758A3CFA
Функция netapi32.dll:NetServerSetInfo (222) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F5009->758A6671
Функция netapi32.dll:NetServerTransportAdd (223) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F5021->758A6841
Функция netapi32.dll:NetServerTransportAddEx (224) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F503E->758A7319
Функция netapi32.dll:NetServerTransportDel (225) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F505D->758A69F1
Функция netapi32.dll:NetServerTransportEnum (226) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F507A->758A6AC9
Функция netapi32.dll:NetSessionDel (231) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F5098->758A5931
Функция netapi32.dll:NetSessionEnum (232) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F50AD->758A5A01
Функция netapi32.dll:NetSessionGetInfo (233) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F50C3->758A5B31
Функция netapi32.dll:NetSetPrimaryComputerName (234) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F50DC->742D5D29
Функция netapi32.dll:NetShareAdd (235) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F50FD->758A5C71
Функция netapi32.dll:NetShareCheck (236) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F5110->758A5E81
Функция netapi32.dll:NetShareDel (237) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F5125->758A5F71
Функция netapi32.dll:NetShareDelEx (23
перехвачена, метод ProcAddressHijack.GetProcAddress ->742F5138->758A7B51
Функция netapi32.dll:NetShareDelSticky (239) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F514D->758A60C1
Функция netapi32.dll:NetShareEnum (240) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F5166->758A3F33
Функция netapi32.dll:NetShareEnumSticky (241) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F517A->758A61B9
Функция netapi32.dll:NetShareGetInfo (242) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F5194->758A4335
Функция netapi32.dll:NetShareSetInfo (243) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F51AB->758A6331
Функция netapi32.dll:NetUnjoinDomain (245) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F51C2->742D5639
Функция netapi32.dll:NetUseAdd (247) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F51D9->742D35DB
Функция netapi32.dll:NetUseDel (24
перехвачена, метод ProcAddressHijack.GetProcAddress ->742F51EA->742D5FA1
Функция netapi32.dll:NetUseEnum (249) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F51FB->742D317F
Функция netapi32.dll:NetUseGetInfo (250) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F520D->742D6031
Функция netapi32.dll:NetUserAdd (251) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F5222->742C5648
Функция netapi32.dll:NetUserChangePassword (252) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F5234->742C6D0F
Функция netapi32.dll:NetUserDel (253) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F5251->742C581F
Функция netapi32.dll:NetUserEnum (254) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F5263->742C59CF
Функция netapi32.dll:NetUserGetGroups (255) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F5276->742C5DFA
Функция netapi32.dll:NetUserGetInfo (256) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F528E->742C1BE2
Функция netapi32.dll:NetUserGetLocalGroups (257) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F52A4->742C28AA
Функция netapi32.dll:NetUserModalsGet (25
перехвачена, метод ProcAddressHijack.GetProcAddress ->742F52C1->742C64A3
Функция netapi32.dll:NetUserModalsSet (259) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F52D9->742C67B3
Функция netapi32.dll:NetUserSetGroups (260) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F52F1->742C608E
Функция netapi32.dll:NetUserSetInfo (261) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F5309->742C5D16
Функция netapi32.dll:NetValidateName (262) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F531F->742D5851
Функция netapi32.dll:NetValidatePasswordPolicy (263) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F5336->742C9CBF
Функция netapi32.dll:NetValidatePasswordPolicyFree (264) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F5357->742C9EC3
Функция netapi32.dll:NetWkstaTransportAdd (267) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F537C->742D4E3D
Функция netapi32.dll:NetWkstaTransportDel (26
перехвачена, метод ProcAddressHijack.GetProcAddress ->742F5398->742D4F19
Функция netapi32.dll:NetWkstaTransportEnum (269) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F53B4->742D4CF1
Функция netapi32.dll:NetWkstaUserEnum (270) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F53D1->742D4AC9
Функция netapi32.dll:NetWkstaUserGetInfo (271) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F53E9->742D372F
Функция netapi32.dll:NetWkstaUserSetInfo (272) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F5404->742D4C0D
Функция netapi32.dll:NetapipBufferAllocate (273) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F541F->742E29A4
Функция netapi32.dll:NetpIsRemote (289) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F543E->742E3835
Функция netapi32.dll:NetpwNameCanonicalize (296) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F5454->742E1C30
Функция netapi32.dll:NetpwNameCompare (297) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F5473->742E1F31
Функция netapi32.dll:NetpwNameValidate (29
перехвачена, метод ProcAddressHijack.GetProcAddress ->742F548D->742E1989
Функция netapi32.dll:NetpwPathCanonicalize (299) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F54A8->742E263D
Функция netapi32.dll:NetpwPathCompare (300) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F54C7->742E408E
Функция netapi32.dll:NetpwPathType (301) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F54E1->742E2413
Функция netapi32.dll:NlBindingAddServerToCache (302) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F54F8->754264BC
Функция netapi32.dll:NlBindingRemoveServerFromCache (303) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F551B->75425E80
Функция netapi32.dll:NlBindingSetAuthInfo (304) перехвачена, метод ProcAddressHijack.GetProcAddress ->742F5543->75426324
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=169B00)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 83039000
SDT = 831A2B00
KiST = 830B7D5C (401)
Проверено функций: 401, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Анализ для процессора 3
Анализ для процессора 4
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
\FileSystem\ntfs[IRP_MJ_CREATE] = 8616F1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8616F1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8616F1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8616F1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8616F1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8616F1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8616F1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8616F1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8616F1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8616F1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8616F1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8616F1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8616F1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8616F1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8616F1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8616F1F8 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 53
Количество загруженных модулей: 470
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
>>> C:\windows\svohost.exe ЭПС: подозрение на Файл с подозрительным именем (высокая степень вероятности)
>>> C:\windows\svchost.exe ЭПС: подозрение на Файл с подозрительным именем (высокая степень вероятности)
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 523, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 30.10.2011 11:19:01
Сканирование длилось 00:00:28
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию -
http://virusinfo.infoСкрыть