Сканирование запущено в 14.10.2013 12:51:36
Загружена база: сигнатуры - 297614, нейропрофили - 2, микропрограммы лечения - 56, база от 13.10.2013 04:00
Загружены микропрограммы эвристики: 405
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 596036
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 6.1.7601, Service Pack 1 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=169B00)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 82E50000
SDT = 82FB9B00
KiST = 82ECE43C (401)
Функция NtAdjustPrivilegesToken (0C) перехвачена (830D5ED3->9E97720
, перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtAlpcConnectPort (16) перехвачена (830C659E->9E92AFB
, перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtAlpcCreatePort (17) перехвачена (83045DB2->9E92B300), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtAlpcSendWaitReceivePort (27) перехвачена (830A3225->9E92B746), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtClose (32) перехвачена (830955C8->9E91391E), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtConnectPort (3B) перехвачена (830C90A0->9E92AC92), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateEvent (40) перехвачена (830918BE->9E913E96), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateMutant (4A) перехвачена (8306135A->9E913D7C), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreatePort (4D) перехвачена (830428A6->9E92B164), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateSection (54) перехвачена (8307413D->9E97A072), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateSemaphore (55) перехвачена (83056B6C->9E913FB6), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateSymbolicLinkObject (56) перехвачена (830529D4->9E93B130), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateThread (57) перехвачена (8312CFDA->9E97950A), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateThreadEx (5
перехвачена (830C14AB->9E97974A), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateUserProcess (5D) перехвачена (830BF3DD->9E9791AE), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateWaitablePort (5E) перехвачена (82FF51E4->9E92B232), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDebugActiveProcess (60) перехвачена (830FEEDA->9E979054), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDeviceIoControlFile (6B) перехвачена (830C474F->9E913962), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDuplicateObject (6F) перехвачена (83082761->9E97734A), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtLoadDriver (9B) перехвачена (83016C40->9E976FB2), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtMapViewOfSection (A
перехвачена (830975F1->9E93B150), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtNotifyChangeKey (AC) перехвачена (8304AFBD->9E929422), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenEvent (B1) перехвачена (83060D56->9E913F2C), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenMutant (BB) перехвачена (830B245D->9E913E0C), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenProcess (BE) перехвачена (83062BA1->9E978BFC), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenSection (C2) перехвачена (830BA9FB->9E97A31E), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenSemaphore (C3) перехвачена (83036204->9E91404C), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenThread (C6) перехвачена (830AF102->9E979266), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtPlugPlayControl (CC) перехвачена (8303463E->9E93B140), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueryDirectoryObject (E0) перехвачена (830A9DCB->9E9140D6), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueryObject (F
перехвачена (830520B5->9E929630), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueueApcThread (10D) перехвачена (8304CE50->9E979D20), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtReplyPort (126) перехвачена (83041B84->9E92B52A), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtReplyWaitReceivePort (127) перехвачена (83089854->9E92B3B
, перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtReplyWaitReceivePortEx (12
перехвачена (830893D7->9E92B46E), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtRequestWaitReplyPort (12B) перехвачена (8308EB22->9E92B59A), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtResumeThread (130) перехвачена (830C16D2->9E979A4C), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSecureConnectPort (13
перехвачена (830AF137->9E92AE20), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetContextThread (13C) перехвачена (8312E84F->9E979BA
, перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetInformationToken (150) перехвачена (8305495F->9E91417
, перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetSystemInformation (15E) перехвачена (8309F37A->9E9770BC), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSuspendProcess (16E) перехвачена (8312ECDF->9E978D9C), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSuspendThread (16F) перехвачена (830E61CB->9E9798F4), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSystemDebugControl (170) перехвачена (830D6802->9E91418A), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtTerminateProcess (172) перехвачена (830ABD9A->9E978EFC), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtTerminateThread (173) перехвачена (830C96CB->9E979406), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtUnmapViewOfSection (181) перехвачена (830B59BA->9E97A486), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtWriteVirtualMemory (18F) перехвачена (830B0A97->9E97A1B0), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция MmGetPhysicalAddress (82EBF777) - модификация машинного кода. Метод не определен.
Функция MmMapIoSpace (82EBFCA3) - модификация машинного кода. Метод не определен.
Проверено функций: 401, перехвачено: 48, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Анализ для процессора 3
Анализ для процессора 4
Анализ для процессора 5
Анализ для процессора 6
Анализ для процессора 7
Анализ для процессора 8
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
\FileSystem\ntfs[IRP_MJ_CREATE] = 85AF81F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 85AF81F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 85AF81F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 85AF81F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 85AF81F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 85AF81F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 85AF81F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 85AF81F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 85AF81F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 85AF81F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 85AF81F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 85AF81F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 85AF81F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 85AF81F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 85AF81F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 85AF81F8 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 69
Анализатор - изучается процесс 520 C:\Program Files\Google\Update\1.3.21.165\GoogleCrashHandler.exe
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 3800 C:\Program Files\Common Files\Steam\SteamService.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Количество загруженных модулей: 739
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
Проверка отключена пользователем
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Обнаружен вызов интерпретатора командной строки в автозапуске [DR=1] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Adobe Flash Player SU = [C:\Windows\System32\cmd.exe /k start
http://lyll.net/ && exit]
>>> C:\Program Files\Java\Adobe Acrobat Update Service.exe ЭПС: подозрение на Файл с подозрительным именем (CH - Autorun)
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 814, извлечено из архивов: 3, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 14.10.2013 12:52:21
Сканирование длилось 00:00:47
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум
http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ
можно использовать сервис
http://virusdetector.ru/
Выполняется исследование системы
Исследование системы завершено
Скрыть
Ответить с цитированием
