AVZ 3.40 - предлагаю потестировать и обсудить

[Зайцев Олег]

Итак, новая версия AVZ готова. Ввиду большого количества доработок я решил постепенно их вводить в тестируемую версию. Версия доступна для загрузки тут: http://z-oleg.com/secur/avz-dwn.htm (внимание ! Архив переименован - теперь он называется http://z-oleg.com/avz-betta3.zip)
Радикальные новшества:
1. Анти-RootKit для режима ядра. Он работоспособен по NT, W2K, W2K Server, XP, XP SP1, XP SP2, W3K Server, W3K Server SP1. Антируткит не только регистрирует факт перехвата, но и в большинстве случаев может указать на драйвер-перехватчик. В настройке есть отдельная "птичка", позволяющая раздельно управлять противодействием руткитам для режима пользователя и режима ядра. Антируткит KernelMode влияет на всю систему, блокирование некоторых перехватчиков может привести к BSOD. Кроме того, антируткит успешно нейтрализует многие антивирусные мониторы, Firewall и подобные им программы, модифицирующие KiST (SDT). Поэтому после проверки с противодействием KernelMode руткитам настоятельно рекомендуется перезагрузиться (естественно, диагностический режим не требует никаких перезагрузок и на работу системы не влияет). Антируткит корректно отрабатывает перемещение KiST и добавление в нее функций (что, в частности, делает монитор AVP);
2. В диспетчере сервисов и драйверов появились кнопки, позволяющие запустить/остановить/удалить сервис и загрузить/выгрузить/удалить драйвер;
3. Изменена методика сканирования диска - теперь файлы проверяются только в выбранных каталогах (ранее проверялись файлы, лежащие в каталогах по пути к указанному);
4. Уже работает проверка документов Office. В базе пока нет описаний для макровирусов, поэтому собственно ничего не ловится - это естественно временно.
----
Кроме того, расширена база - добавлено около 450 новых "зверей", усовершенствован эвристик. У версии 3.40 в базе 13420 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения, 234 микропрограммы эвристики, 29674 подписей безопасных файлов

[HATTIFNATTOR]

1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
KeServiceDescriptorTable найдена (RVA=082480)
ntoskrnl.exe обнаружен в памяти по адресу 804D7000
KESystemDescriptorTable = 80559480
KiST = 86E5BB58,804E26A8( 297)
>>> Внимание, таблица KiST перемещена !
Функция ZwClose (19) перехвачена (80566B49<>F5BD87E0), перехватчик предположительно C:\WINDOWS\System32\Drivers\klif.sys
Функция ZwConnectPort (1F) перехвачена (805894AD<>F5D243BD), перехватчик предположительно C:\WINDOWS\System32\vsdatant.sys
Функция ZwCreateProcess (2F) перехвачена (805AD314<>F5BD8500), перехватчик предположительно C:\WINDOWS\System32\Drivers\klif.sys
Функция ZwCreateProcessEx (30) перехвачена (8058041A<>F5BD8670), перехватчик предположительно C:\WINDOWS\System32\Drivers\klif.sys
Функция ZwCreateSection (32) перехвачена (8056441B<>F5BD8970), перехватчик предположительно C:\WINDOWS\System32\Drivers\klif.sys
Функция ZwCreateThread (35) перехвачена (8057B1C5<>F5BD90CE), перехватчик предположительно C:\WINDOWS\System32\Drivers\klif.sys
Функция ZwDeleteKey (3F) перехвачена (80590F78<>F5D37F30), перехватчик предположительно C:\WINDOWS\System32\vsdatant.sys
Функция ZwDeleteValueKey (41) перехвачена (8058E9FA<>F5D37E60), перехватчик предположительно C:\WINDOWS\System32\vsdatant.sys
Функция ZwLoadKey (62) перехвачена (805AACF0<>F5D37FB0), перехватчик предположительно C:\WINDOWS\System32\vsdatant.sys
Функция ZwOpenProcess (7A) перехвачена (80573C96<>F5D37850), перехватчик предположительно C:\WINDOWS\System32\vsdatant.sys
Функция ZwQueryInformationFile (97) перехвачена (8057240A<>F5BD8E2E), перехватчик предположительно C:\WINDOWS\System32\Drivers\klif.sys
Функция ZwQuerySystemInformation (AD) перехвачена (8057C4AA<>F5BD8F6E), перехватчик предположительно C:\WINDOWS\System32\Drivers\klif.sys
Функция ZwReplaceKey (C1) перехвачена (8064D232<>F5D38120), перехватчик предположительно C:\WINDOWS\System32\vsdatant.sys
Функция ZwRestoreKey (CC) перехвачена (8064BD56<>F5D38260), перехватчик предположительно C:\WINDOWS\System32\vsdatant.sys
Функция ZwSetInformationProcess (E4) перехвачена (8056BD05<>F5BDAE60), перехватчик предположительно C:\WINDOWS\System32\Drivers\klif.sys
Функция ZwSetValueKey (F7) перехвачена (80574C1D<>F5D37D80), перехватчик предположительно C:\WINDOWS\System32\vsdatant.sys
Функция ZwTerminateProcess (101) перехвачена (80582C2B<>F5BD8CF0), перехватчик предположительно C:\WINDOWS\System32\Drivers\klif.sys
Функция ZwTerminateThread (102) перехвачена (8057A8DE<>F5BD8800), перехватчик предположительно C:\WINDOWS\System32\Drivers\klif.sys
Проверено функций: 284, перехвачено: 18, восстановлено: 0

[Зайцев Олег]

1.2 Поиск перехватчиков API, работающих в >>> Внимание, таблица KiST перемещена !
Функция ZwClose (19) перехвачена (80566B49<>F5BD87E0), перехватчик предположительно C:\WINDOWS\System32\Drivers\klif.sys
....
Проверено функций: 284, перехвачено: 18, восстановлено: 0

Интересно, что такое C:\WINDOWS\System32\Drivers\klif.sys - уж очень он на монитор AVP похож. Интересно, что будет, если разрешить AVZ блокировать Kernel RootKit

[Geser]

Протокол антивирусной утилиты AVZ версии 3.40
Сканирование запущено в 5/16/2005 8:50:34 PM
Загружена база: 13420 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Средний уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dlloadLibraryA (57 перехвачена, метод APICodeHijack.JmpTo
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:accept (1) перехвачена, метод APICodeHijack.JmpTo
Функция ws2_32.dll:bind (2) перехвачена, метод APICodeHijack.JmpTo
Функция ws2_32.dll:closesocket (3) перехвачена, метод APICodeHijack.JmpTo
Функция ws2_32.dll:connect (4) перехвачена, метод APICodeHijack.JmpTo
Функция ws2_32.dll:gethostbyname (52) перехвачена, метод APICodeHijack.JmpTo
Функция ws2_32.dll:listen (13) перехвачена, метод APICodeHijack.JmpTo
Функция ws2_32.dll:recvfrom (17) перехвачена, метод APICodeHijack.JmpTo
Функция ws2_32.dll:send (19) перехвачена, метод APICodeHijack.JmpTo
Функция ws2_32.dll:sendto (20) перехвачена, метод APICodeHijack.JmpTo
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Функция rasapi32.dll:RasDialA (21) перехвачена, метод APICodeHijack.JmpTo
Функция rasapi32.dll:RasDialW (22) перехвачена, метод APICodeHijack.JmpTo
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
KeServiceDescriptorTable найдена (RVA=082480)
ntoskrnl.exe обнаружен в памяти по адресу 804D7000
KESystemDescriptorTable = 80559480
KiST = 804E26A8,804E26A8( 284)
Функция ZwClose (19) перехвачена (80566B49<>EB224966), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция ZwCreateKey (29) перехвачена (8056E761<>EB22491, перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция ZwDeleteKey (3F) перехвачена (80590F78<>EB2249D2), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция ZwDeleteValueKey (41) перехвачена (8058E9FA<>EB224A00), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция ZwEnumerateKey (47) перехвачена (8056EE68<>EB224D7, перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция ZwEnumerateValueKey (49) перехвачена (8057EB28<>EB224DEE), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция ZwFlushKey (4F) перехвачена (805DA2D0<>EB2249A4), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция ZwLoadKey (62) перехвачена (805AACF0<>EB224E66), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция ZwOpenFile (74) перехвачена (80570CE3<>EBC8DDAD), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\filespy.sys
Функция ZwOpenKey (77) перехвачена (80567AFB<>EB2248D6), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция ZwQueryKey (A0) перехвачена (8056EB71<>EB224DB4), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция ZwQueryValueKey (B1) перехвачена (8056B0BB<>EB224E2A), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция ZwSetValueKey (F7) перехвачена (80574C1D<>EB224AAF), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция ZwUnloadKey (107) перехвачена (8064C02B<>EB224E96), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция ZwWriteVirtualMemory (115) перехвачена (8057E5E0<>F44DEBE0), перехватчик предположительно C:\PROGRA~1\Agnitum\OUTPOS~1\kernel\FILTNT.SYS
Проверено функций: 284, перехвачено: 15, восстановлено: 0
2. Проверка памяти
Количество найденных процессов: 33
Количество загруженных модулей: 383
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\system32\sockspy.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\sockspy.dll>>> Нейросеть: файл с вероятностью 0.57% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINDOWS\system32\nview.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\nview.dll>>> Нейросеть: файл с вероятностью 0.22% похож на типовой перехватчик событий клавиатуры/мыши
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 23 TCP портов и 23 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 416, найдено вирусов 0
Сканирование завершено в 5/16/2005 8:50:45 PM
Сканирование длилось 00:00:11

[Geser]

Включил противодействие. Система выжила
И монитор реестра Bitdefender отрубился

Протокол антивирусной утилиты AVZ версии 3.40
Сканирование запущено в 5/16/2005 8:53:07 PM
Загружена база: 13420 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Средний уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dlloadLibraryA (57 перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции LoadLibraryA нейтрализован
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:accept (1) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции accept нейтрализован
Функция ws2_32.dll:bind (2) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции bind нейтрализован
Функция ws2_32.dll:closesocket (3) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции closesocket нейтрализован
Функция ws2_32.dll:connect (4) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции connect нейтрализован
Функция ws2_32.dll:gethostbyname (52) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции gethostbyname нейтрализован
Функция ws2_32.dll:listen (13) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции listen нейтрализован
Функция ws2_32.dll:recvfrom (17) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции recvfrom нейтрализован
Функция ws2_32.dll:send (19) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции send нейтрализован
Функция ws2_32.dll:sendto (20) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции sendto нейтрализован
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Функция rasapi32.dll:RasDialA (21) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции RasDialA нейтрализован
Функция rasapi32.dll:RasDialW (22) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции RasDialW нейтрализован
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
KeServiceDescriptorTable найдена (RVA=082480)
ntoskrnl.exe обнаружен в памяти по адресу 804D7000
KESystemDescriptorTable = 80559480
KiST = 804E26A8,804E26A8( 284)
Функция ZwClose (19) перехвачена (80566B49<>EB224966), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция воcстановлена успешно !
Функция ZwCreateKey (29) перехвачена (8056E761<>EB22491, перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция воcстановлена успешно !
Функция ZwDeleteKey (3F) перехвачена (80590F78<>EB2249D2), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция воcстановлена успешно !
Функция ZwDeleteValueKey (41) перехвачена (8058E9FA<>EB224A00), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция воcстановлена успешно !
Функция ZwEnumerateKey (47) перехвачена (8056EE68<>EB224D7, перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция воcстановлена успешно !
Функция ZwEnumerateValueKey (49) перехвачена (8057EB28<>EB224DEE), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция воcстановлена успешно !
Функция ZwFlushKey (4F) перехвачена (805DA2D0<>EB2249A4), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция воcстановлена успешно !
Функция ZwLoadKey (62) перехвачена (805AACF0<>EB224E66), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция воcстановлена успешно !
Функция ZwOpenFile (74) перехвачена (80570CE3<>EBC8DDAD), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\filespy.sys
Функция воcстановлена успешно !
Функция ZwOpenKey (77) перехвачена (80567AFB<>EB2248D6), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция воcстановлена успешно !
Функция ZwQueryKey (A0) перехвачена (8056EB71<>EB224DB4), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция воcстановлена успешно !
Функция ZwQueryValueKey (B1) перехвачена (8056B0BB<>EB224E2A), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция воcстановлена успешно !
Функция ZwSetValueKey (F7) перехвачена (80574C1D<>EB224AAF), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция воcстановлена успешно !
Функция ZwUnloadKey (107) перехвачена (8064C02B<>EB224E96), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция воcстановлена успешно !
Функция ZwWriteVirtualMemory (115) перехвачена (8057E5E0<>F44DEBE0), перехватчик предположительно C:\PROGRA~1\Agnitum\OUTPOS~1\kernel\FILTNT.SYS
Функция воcстановлена успешно !
Проверено функций: 284, перехвачено: 15, восстановлено: 15
2. Проверка памяти
Количество найденных процессов: 32
Количество загруженных модулей: 368
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\system32\sockspy.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\sockspy.dll>>> Нейросеть: файл с вероятностью 0.57% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINDOWS\system32\nview.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\nview.dll>>> Нейросеть: файл с вероятностью 0.22% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINDOWS\system32\Audiodev.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\Audiodev.dll>>> Нейросеть: файл с вероятностью 0.59% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINDOWS\system32\WMVCore.DLL --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\WMVCore.DLL>>> Нейросеть: файл с вероятностью 0.57% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINDOWS\system32\nvwddi.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\nvwddi.dll>>> Нейросеть: файл с вероятностью 0.70% похож на типовой перехватчик событий клавиатуры/мыши
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 17 TCP портов и 23 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 400, найдено вирусов 0
Сканирование завершено в 5/16/2005 8:53:14 PM
Сканирование длилось 00:00:06

[Andrey]

Интересно, что такое C:\WINDOWS\System32\Drivers\klif.sys - уж очень он на монитор AVP похож. Интересно, что будет, если разрешить AVZ блокировать Kernel RootKit

Так и есть Каспер.
Разрешил AVZ блокировать Kernel RootKit, нечего Каспер жив.

Ну и логи ради интереса, разумеется.

Протокол антивирусной утилиты AVZ версии 3.40
Сканирование запущено в 16.05.2005 22:01:48
Загружена база: 13420 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Максимальный уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dlloadLibraryA (57 перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FC4<>7C801D77
Перехватчик kernel32.dlloadLibraryA (57 нейтрализован
>>> Функции LoadLibraryA - прививка процесса AVZ от перехвата подменой адреса !!)
Функция kernel32.dlloadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FD3<>7C801D4F
Перехватчик kernel32.dlloadLibraryExA (579) нейтрализован
>>> Функции LoadLibraryExA - прививка процесса AVZ от перехвата подменой адреса !!)
Функция kernel32.dlloadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FF1<>7C801AF1
Перехватчик kernel32.dlloadLibraryExW (580) нейтрализован
Функция kernel32.dlloadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FE2<>7C80ACD3
Перехватчик kernel32.dlloadLibraryW (581) нейтрализован
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
KeServiceDescriptorTable найдена (RVA=082480)
ntoskrnl.exe обнаружен в памяти по адресу 804D7000
KESystemDescriptorTable = 80559480
KiST = 81D77510,804E26A8( 297)
>>> Внимание, таблица KiST перемещена !
Функция ZwClose (19) перехвачена (80566B49<>EBCCB2E0), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция воcстановлена успешно !
Функция ZwCreateProcess (2F) перехвачена (805AD314<>EBCCB000), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция воcстановлена успешно !
Функция ZwCreateProcessEx (30) перехвачена (8058041A<>EBCCB170), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция воcстановлена успешно !
Функция ZwCreateSection (32) перехвачена (8056441B<>EBCCB420), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция воcстановлена успешно !
Функция ZwCreateThread (35) перехвачена (8057B1C5<>EBCCBBAE), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция воcстановлена успешно !
Функция ZwOpenProcess (7A) перехвачена (80573C96<>EBCCAE00), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция воcстановлена успешно !
Функция ZwQueryInformationFile (97) перехвачена (8057240A<>EBCCB8EE), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция воcстановлена успешно !
Функция ZwQuerySystemInformation (AD) перехвачена (8057C4AA<>EBCCBA2E), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция воcстановлена успешно !
Функция ZwResumeThread (CE) перехвачена (8057B838<>EBCCBB8E), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция воcстановлена успешно !
Функция ZwSetInformationProcess (E4) перехвачена (8056BD05<>EBCCD950), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция воcстановлена успешно !
Функция ZwTerminateProcess (101) перехвачена (80582C2B<>EBCCB7A0), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция воcстановлена успешно !
Проверено функций: 284, перехвачено: 11, восстановлено: 11
>> Опасно ! Обнаружена маскировка сервисов и драйверов на уровне реестра
2. Проверка памяти
Количество найденных процессов: 22
Процесс c:\program files\kaspersky lab\kaspersky anti-virus personal\kavsvc.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,wininet.dll,u rlmon.dll,rasapi32.dll,tapi32.dll)
Процесс c:\program files\microsoft antispyware\gcasserv.exe может работать с сетью (wininet.dll,urlmon.dll,rasapi32.dll,ws2_32.dll,ws 2help.dll,netapi32.dll,tapi32.dll)
Процесс c:\program files\kaspersky lab\kaspersky anti-virus personal\kav.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс c:\windows\system32\nvsvc32.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll)
Процесс c:\program files\avz v3.40\avz v3.40.exe может работать с сетью (ws2_32.dll,ws2help.dll,rasapi32.dll,netapi32.dll, tapi32.dll)
Количество загруженных модулей: 353
Проверка памяти завершена
3. Сканирование дисков
C:\Program Files\Paragon Software\Drive Backup\DBW\BM\command.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 3 TCP портов и 7 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 8860, найдено вирусов 0
Сканирование завершено в 16.05.2005 22:12:40
Сканирование длилось 00:10:52

Пункты 1.1 и 1.2 шалости Каспера.

[azza]

Попадёт теперь AVZ в Riskware.

[Andrey]

Пусть попробуют, шапками закидаем.

[Andrey]

Олег, а когда появится запуск из контекстного меню, порой так не хватает для проверки отдельных (подозрительных) файлов.
Неплохо ввести "инкрементальную загрузку" обновлений (как у avast'а), хотя бы в недалекой перспективе, пока программа еще компактная, а то быстро вырастит как на дрожжах.

[kps]

Потестил на 98-ом - полет нормальный

[Shu_b]

Тоже добавлю свой лог:

Код:

Протокол антивирусной утилиты AVZ версии 3.40
Сканирование запущено в 16.05.2005 23:05:22
Загружена база: 13420 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Максимальный уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
 KeServiceDescriptorTable найдена (RVA=08A500)
 ntoskrnl.exe обнаружен в памяти по адресу 804D7000
   KESystemDescriptorTable = 80561500
   KiST = 804E48B0,804E48B0( 284)
Функция ZwCreateSection (32) перехвачена (8056CE25<>F347DF8C), перехватчик предположительно C:\WINDOWS\system32\drivers\RapDrv.sys
Функция ZwOpenSection (7D) перехвачена (8057EB3A<>F347D8F8), перехватчик предположительно C:\WINDOWS\system32\drivers\RapDrv.sys
Проверено функций: 284, перехвачено: 2, восстановлено: 0
2. Проверка памяти
 Количество найденных процессов: 28
Процесс c:\program files\iss\blackice\rapapp.exe может работать с сетью (ws2_32.dll,ws2help.dll)
Процесс c:\program files\war-ftpd\war-ftpd.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс c:\program files\drweb\drwebscd.exe может работать с сетью (wininet.dll,urlmon.dll,rasapi32.dll,ws2_32.dll,ws2help.dll,netapi32.dll,tapi32.dll)
Процесс c:\program files\iss\blackice\blackd.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс c:\program files\opera75\opera.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,wininet.dll)
Процесс c:\******\desktop\avz\avz-betta2\avz.exe может работать с сетью (ws2_32.dll,ws2help.dll,rasapi32.dll,netapi32.dll,tapi32.dll,wininet.dll)
 Количество загруженных модулей: 307
Проверка памяти завершена
3. Сканирование дисков
C:\WINDOWS\Installer\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}\IconE9F814232.chm - PE файл с нестандартным расширением(степень опасности 5%)
C:\WINDOWS\system\WINASPI.BAK - PE файл с нестандартным расширением(степень опасности 5%)
C:\WINDOWS\system\WOWPOST.BAK - PE файл с нестандартным расширением(степень опасности 5%)
C:\WINDOWS\system32\drivers\ASPI2K.BAK - PE файл с нестандартным расширением(степень опасности 5%)
C:\WINDOWS\system32\WNASPI2K.BAK - PE файл с нестандартным расширением(степень опасности 5%)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 В базе 320 описаний портов
 На данном ПК открыто 28 TCP портов и 11 UDP портов
 Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 23699, найдено вирусов 0
Сканирование завершено в 16.05.2005 23:10:23
Сканирование длилось 00:05:01

[Михаил]

...
Режим эвристического анализатора: Максимальный уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dlloadLibraryA (57 перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FC4<>7C801D77
Функция kernel32.dlloadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FD3<>7C801D4F
Функция kernel32.dlloadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FF1<>7C801AF1
Функция kernel32.dlloadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FE2<>7C80ACD3
...
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
KeServiceDescriptorTable найдена (RVA=082480)
ntoskrnl.exe обнаружен в памяти по адресу 804D7000
KESystemDescriptorTable = 80559480
KiST = 821FE570,804E26A8( 297)
>>> Внимание, таблица KiST перемещена !
Функция ZwClose (19) перехвачена (80566B49<>EFB64070), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateKey (29) перехвачена (8056E761<>F84FAAB0), перехватчик предположительно a347bus.sys
Функция ZwCreatePagingFile (2D) перехвачена (805B77B8<>F84EEB00), перехватчик предположительно a347bus.sys
Функция ZwCreateProcess (2F) перехвачена (805AD314<>EFB63D90), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateProcessEx (30) перехвачена (8058041A<>EFB63F00), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateSection (32) перехвачена (8056441B<>EFB641B0), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateThread (35) перехвачена (8057B1C5<>EFB647FE), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwEnumerateKey (47) перехвачена (8056EE68<>F84EF38, перехватчик предположительно a347bus.sys
Функция ZwEnumerateValueKey (49) перехвачена (8057EB28<>F84FABF0), перехватчик предположительно a347bus.sys
Функция ZwOpenKey (77) перехвачена (80567AFB<>F84FAA74), перехватчик предположительно a347bus.sys
Функция ZwOpenProcess (7A) перехвачена (80573C96<>EFB63B90), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwQueryInformationFile (97) перехвачена (8057240A<>EFB6469E), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwQueryKey (A0) перехвачена (8056EB71<>F84EF3A, перехватчик предположительно a347bus.sys
Функция ZwQueryValueKey (B1) перехвачена (8056B0BB<>F84FAB46), перехватчик предположительно a347bus.sys
Функция ZwSetInformationProcess (E4) перехвачена (8056BD05<>EFB66530), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwSetSystemPowerState (F1) перехвачена (80665527<>F84FA390), перехватчик предположительно a347bus.sys
Функция ZwTerminateProcess (101) перехвачена (80582C2B<>EFB64550), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwWriteVirtualMemory (115) перехвачена (8057E5E0<>EFCB15B0), перехватчик предположительно C:\PROGRA~1\Agnitum\OUTPOS~1\kernel\FILTNT.SYS
...
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files\Logitech\MouseWare\System\LgWndHk.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Logitech\MouseWare\System\LgWndHk.dll>>> Нейросеть: файл с вероятностью 99.91% похож на типовой перехватчик событий клавиатуры/мыши
C:\Program Files\Common Files\Logitech\Scrolling\LgMsgHk.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Common Files\Logitech\Scrolling\LgMsgHk.dll>>> Нейросеть: файл с вероятностью 99.48% похож на типовой перехватчик событий клавиатуры/мыши
...

[Dandy]

Интересный момент:

Вот лог...
Протокол антивирусной утилиты AVZ версии 3.40
Сканирование запущено в 17.05.2005 0:16:46
Загружена база: 13420 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Максимальный уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
KeServiceDescriptorTable найдена (RVA=082B80)
ntoskrnl.exe обнаружен в памяти по адресу 804D7000
KESystemDescriptorTable = 80559B80
KiST = 804E2D20,804E2D20( 284)
Функция ZwConnectPort (1F) перехвачена (80598C34<>F7A564F2), перехватчик предположительно C:\WINDOWS\System32\Drivers\bcftdi.SYS
Функция воcстановлена успешно !
Функция ZwCreatePort (2E) перехвачена (80592699<>F7A56442), перехватчик предположительно C:\WINDOWS\System32\Drivers\bcftdi.SYS
Функция воcстановлена успешно !
Функция ZwCreateThread (35) перехвачена (8057F262<>F7A5632C), перехватчик предположительно C:\WINDOWS\System32\Drivers\bcftdi.SYS
Функция воcстановлена успешно !
Функция ZwWriteVirtualMemory (115) перехвачена (8057C123<>F7A565BE), перехватчик предположительно C:\WINDOWS\System32\Drivers\bcftdi.SYS
Функция воcстановлена успешно !
Проверено функций: 284, перехвачено: 4, восстановлено: 4
2. Проверка памяти
Количество найденных процессов: 34
[skiped]
Количество загруженных модулей: 368
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
[skiped]

Пока вроде бы все хорошо... Перехватчики от Jetico FW успешно нейтрализованы (Jetico продолжает жить) Но дальше выскакивает предупреждение данного FW о том, что приложение (AVZ) очень хочет обратиться к сети:
17.05.2005 0:17:01.642 Спросить доступ к сети D:\Distrib\AV\avz\avz.exe PID: 1660; Hash: 81782A0E 5932102E ADA6A262 4AC016A0 82167827
При выборе "блокировать автивность" получаю:

[avz log continue]
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 0 TCP портов и 0 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 402, найдено вирусов 0
Сканирование завершено в 17.05.2005 0:17:15
Сканирование длилось 00:00:30

Возникает вопрос, значит "Поиск открытых портов TCP/UDP" не защищены анти-руткитом?

[новый]

Здраствуйте. Протокол антивирусной утилиты AVZ версии 3.40
Сканирование запущено в 17.05.2005 4:40:10
Загружена база: 13420 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Максимальный уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dlloadLibraryA (57 перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FC4<>7C801D77
Функция kernel32.dlloadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FD3<>7C801D4F
Функция kernel32.dlloadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FF1<>7C801AF1
Функция kernel32.dlloadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FE2<>7C80ACD3
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
KeServiceDescriptorTable найдена (RVA=08C500)
ntoskrnl.exe обнаружен в памяти по адресу 804D7000
KESystemDescriptorTable = 80563500
KiST = 81E49A50,804E4F40( 297)
>>> Внимание, таблица KiST перемещена !
Функция ZwClose (19) перехвачена (80570D29<>A2DFB070), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateProcess (2F) перехвачена (805B4A28<>A2DFAD90), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateProcessEx (30) перехвачена (8058B5EC<>A2DFAF00), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateSection (32) перехвачена (8056EE25<>A2DFB1B0), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateThread (35) перехвачена (80586CE6<>A2DFB7FE), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwOpenProcess (7A) перехвачена (80581C68<>A2DFAB90), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwQueryInformationFile (97) перехвачена (80580C35<>A2DFB69E), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwSetInformationProcess (E4) перехвачена (8057BDC9<>A2DFD530), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwTerminateProcess (101) перехвачена (8058CE75<>A2DFB550), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwWriteVirtualMemory (115) перехвачена (805880B7<>A2F00BE0), перехватчик предположительно C:\PROGRA~1\Agnitum\OUTPOS~1\kernel\2000\FILTNT.SY S
Проверено функций: 284, перехвачено: 10, восстановлено: 0
2. Проверка памяти
Количество найденных процессов: 14
Процесс c:\program files\positive technologies\startup monitor\ptstartmon.exe может работать с сетью (netapi32.dll)
Процесс e:\программы\Новая папка\avz3.40\avz-betta2\avz.exe может работать с сетью (ws2_32.dll,ws2help.dll,rasapi32.dll,netapi32.dll, tapi32.dll)
Количество загруженных модулей: 203
Проверка памяти завершена
3. Сканирование дисков
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\Office\1049\
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\Office\Library\
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\Office\Samples\
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\Office\Startup\
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\Office\
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\Templates\1049\
C:\Program Files\ReGetDx\regetdx.exe.bak - PE файл с нестандартным расширением(степень опасности 5%)
C:\Program Files\WinRAR\WinRAR.exe.bak - PE файл с нестандартным расширением(степень опасности 5%)
E:\программы\Новая папка\clrav\CLRAV.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 2 TCP портов и 3 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 15780, найдено вирусов 0
Сканирование завершено в 17.05.2005 4:43:01
Сканирование длилось 00:02:51
Не могли бы подсказать,что это такое ">>> Внимание, таблица KiST перемещена !"

[Михаил]

Возникает вопрос, значит "Поиск открытых портов TCP/UDP" не защищены анти-руткитом?

говорит о том, что фаер работает правильно - когда его отрубают, с сетью нельзя работать вообще. эх, Аутпост бы так работал

[Зайцев Олег]

to новый

Не могли бы подсказать,что это такое ">>> Внимание, таблица KiST перемещена !"

Это означает, что некое приложение X переместило KiST (это таблица, в которой хранятся адреса ситемных функций) в памяти. Это уже само по себе является сигналом о том, что некое приложение вмешалось в работу ядра. Данное сообщение является нормой для монитор AVP и некоторых RootKit режима ядра.
to Dandy
Как совершенно правильно подметил Михаил, нарушение работы перехватчиков Firewall приводит к его противодействию разным сетевым операциям.
to Geser
Я вот думаю, нужно поместить в лог предпуреждение, что после блокирования перехватчиков KernelMode нужна перезагрузка, чтобы приложения-перехватчики могли нормально восстановить свою работу.

[Geser]

to новый

to Geser
Я вот думаю, нужно поместить в лог предпуреждение, что после блокирования перехватчиков KernelMode нужна перезагрузка, чтобы приложения-перехватчики могли нормально восстановить свою работу.

Угу, а то человек с нейтрализованным антивирусом нахватаетя всякого Правда предупреждения читают 10% пользователей
Кстати, автозапуск так и не работает Мож как-то выловим баг?

[Dandy]

говорит о том, что фаер работает правильно - когда его отрубают, с сетью нельзя работать вообще. эх, Аутпост бы так работал

Вы не меня не правильно поняли.
1) После того, как перехваты востановлены AVZ (в KernelMode) - работа с сетью возможна без проблем.
2) После востановления, некоторая активность (вирусоподобная) становится для FW незаметной (создание скрытого процесса, запись в память и т.п) - как и должно быть, но!

При всем при этом, при попытк AVZ получить список открытых портов, FW данную активность пресекает! Отсюда:
На данном ПК открыто 0 TCP портов и 0 UDP портов
Хотя данный ПК - мой тестовый сервер под Eserv/3

Поэтому у меня и возникло подозрение, что 6-ой пункт работы AVZ не защищен антируткитом. Или почему тогда FW определяет (не блокирует) - спрашивает, что делать с данной активностью? (после востановления в Kernel и User mode)

[Зайцев Олег]

Угу, а то человек с нейтрализованным антивирусом нахватаетя всякого Правда предупреждения читают 10% пользователей
Кстати, автозапуск так и не работает Мож как-то выловим баг?

Ну, пункт "противодействие" по умолчанию естественно отключен ... но для убедительности я покрасил его в красный цвет, при наведении мыша - грозное предупреждение во всплывающей подсказке, при запуске сканирования с противодействием - грозное предупреждение с подтверждением + сообщение в логе о надобности скорейшей перезагрузки (оно выдается, если восстановлена хотя-бы одна функция)

[Зайцев Олег]

Поэтому у меня и возникло подозрение, что 6-ой пункт работы AVZ не защищен антируткитом. Или почему тогда FW определяет (не блокирует) - спрашивает, что делать с данной активностью? (после востановления в Kernel и User mode)

От то защищен ... но неизвестно, на каком уровне и как Firewall блокирует эти операции - скорее всего, у него есть еще какая-то методика защиты, которую не нейтрализуцет AVZ. Большинство руткитов маскируют открываемые ими порты за счет перехвата системных функций.