<AVZ_CollectSysInfo> : завершен
-------------------------------
Время Событие
----- -------
29.07.2008 22:16:12 1.1 Поиск перехватчиков API, работающих в пользовательском режиме
29.07.2008 22:16:12 Анализ kernel32.dll, таблица экспорта найдена в секции .text
29.07.2008 22:16:12 Функция kernel32.dll:CreateProcessA (99) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C802367->61F03F42
29.07.2008 22:16:12 Перехватчик kernel32.dll:CreateProcessA (99) нейтрализован
29.07.2008 22:16:12 Функция kernel32.dll:CreateProcessW (103) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C802332->61F04040
29.07.2008 22:16:12 Перехватчик kernel32.dll:CreateProcessW (103) нейтрализован
29.07.2008 22:16:12 Функция kernel32.dll:FreeLibrary (241) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AA66->61F041FC
29.07.2008 22:16:12 Перехватчик kernel32.dll:FreeLibrary (241) нейтрализован
29.07.2008 22:16:12 Функция kernel32.dll:GetModuleFileNameA (372) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80B357->61F040FB
29.07.2008 22:16:12 Перехватчик kernel32.dll:GetModuleFileNameA (372) нейтрализован
29.07.2008 22:16:12 Функция kernel32.dll:GetModuleFileNameW (373) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80B25D->61F041A0
29.07.2008 22:16:12 Перехватчик kernel32.dll:GetModuleFileNameW (373) нейтрализован
29.07.2008 22:16:12 Функция kernel32.dll:GetProcAddress (40 перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AC28->61F04648
29.07.2008 22:16:12 Перехватчик kernel32.dll:GetProcAddress (40 нейтрализован
29.07.2008 22:16:12 Функция kernel32.dlloadLibraryA (57 перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D77->61F03C6F
29.07.2008 22:16:12 Перехватчик kernel32.dlloadLibraryA (57 нейтрализован
29.07.2008 22:16:12 >>> Функции LoadLibraryA - прививка процесса AVZ от перехвата подменой адреса !!)
29.07.2008 22:16:12 Функция kernel32.dlloadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D4F->61F03DAF
29.07.2008 22:16:12 Перехватчик kernel32.dlloadLibraryExA (579) нейтрализован
29.07.2008 22:16:12 >>> Функции LoadLibraryExA - прививка процесса AVZ от перехвата подменой адреса !!)
29.07.2008 22:16:12 Функция kernel32.dlloadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF1->61F03E5A
29.07.2008 22:16:12 Перехватчик kernel32.dlloadLibraryExW (580) нейтрализован
29.07.2008 22:16:12 Функция kernel32.dlloadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80ACD3->61F03D0C
29.07.2008 22:16:12 Перехватчик kernel32.dlloadLibraryW (581) нейтрализован
29.07.2008 22:16:12 Обнаружена модификация IAT: GetModuleFileNameW - 009A0010<>7C80B25D
29.07.2008 22:16:12 Анализ ntdll.dll, таблица экспорта найдена в секции .text
29.07.2008 22:16:12 Анализ user32.dll, таблица экспорта найдена в секции .text
29.07.2008 22:16:12 Анализ advapi32.dll, таблица экспорта найдена в секции .text
29.07.2008 22:16:12 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
29.07.2008 22:16:12 Анализ wininet.dll, таблица экспорта найдена в секции .text
29.07.2008 22:16:12 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
29.07.2008 22:16:12 Анализ urlmon.dll, таблица экспорта найдена в секции .text
29.07.2008 22:16:12 Анализ netapi32.dll, таблица экспорта найдена в секции .text
29.07.2008 22:16:15 1.2 Поиск перехватчиков API, работающих в привилегированном режиме
29.07.2008 22:16:15 Драйвер успешно загружен
29.07.2008 22:16:15 SDT найдена (RVA=082B80)
29.07.2008 22:16:15 Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
29.07.2008 22:16:15 SDT = 80559B80
29.07.2008 22:16:15 KiST = 804E2D20 (284)
29.07.2008 22:16:20 Проверено функций: 284, перехвачено: 0, восстановлено: 0
29.07.2008 22:16:20 1.3 Проверка IDT и SYSENTER
29.07.2008 22:16:20 Анализ для процессора 1
29.07.2008 22:16:20 Проверка IDT и SYSENTER завершена
29.07.2008 22:16:23 1.4 Поиск маскировки процессов и драйверов
29.07.2008 22:16:23 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
29.07.2008 22:16:23 Драйвер успешно загружен
29.07.2008 22:16:23 1.5 Проверка обработчиков IRP
29.07.2008 22:16:24 Проверка завершена
29.07.2008 22:16:26 C:\Program Files\Kaspersky Lab Tool\is-KOEA5\avzkrnl.dll --> Подозрение на перехватчик клавиатуры или троянскую программу, маскирующуюся под системный файл
29.07.2008 22:16:26 C:\Program Files\Kaspersky Lab Tool\is-KOEA5\avzkrnl.dll>>> Поведенческий анализ
29.07.2008 22:16:26 1. Реагирует на события: клавиатура, все события
29.07.2008 22:16:26 C:\Program Files\Kaspersky Lab Tool\is-KOEA5\avzkrnl.dll>>> Нейросеть: файл с вероятностью 0.00% похож на типовой перехватчик клавиатуры/мыши
29.07.2008 22:16:26 Совет: заподозренные файлы НЕ следует удалять, их следует отправить на исследование (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
29.07.2008 22:16:47 >>> C:\WINDOWS\system32\amvo.exe Эвристический анализ системы: подозрение на Файл с подозрительным именем(Trojan-PSW.Win32.OnLineGames) (высокая степень вероятности)
29.07.2008 22:16:47 >>> C:\WINDOWS\system32\amvo0.dll Эвристический анализ системы: подозрение на Файл с подозрительным именем(Trojan-PSW.Win32.OnLineGames) (высокая степень вероятности)
29.07.2008 22:16:47 Внимание! Обнаружен отладчик процесса "cmd.exe" = "setuprs1.PIF"
29.07.2008 22:16:47 Внимание! Обнаружен отладчик процесса "msconfig.exe" = "4635.PIF"
29.07.2008 22:16:47 Внимание! Обнаружен отладчик процесса "regedit.exe" = "setuprs1.PIF"
29.07.2008 22:16:47 Внимание! Обнаружен отладчик процесса "regedt32.exe" = "setuprs1.PIF"
29.07.2008 22:16:48 >>> C:\autorun.inf Эвристический анализ системы: подозрение на скрытый автозапуск (высокая степень вероятности)
29.07.2008 22:16:48 >>> C:\h.cmd Эвристический анализ системы: подозрение на скрытый автозапуск C:\autorun.inf [Autorun\Open]
29.07.2008 22:16:48 >>> C:\h.cmd Эвристический анализ системы: подозрение на скрытый автозапуск C:\autorun.inf [Autorun\shell\open\command]
29.07.2008 22:16:48 >>> D:\autorun.inf Эвристический анализ системы: подозрение на скрытый автозапуск (высокая степень вероятности)
29.07.2008 22:16:48 >>> D:\h.cmd Эвристический анализ системы: подозрение на скрытый автозапуск D:\autorun.inf [Autorun\Open]
29.07.2008 22:16:48 >>> D:\h.cmd Эвристический анализ системы: подозрение на скрытый автозапуск D:\autorun.inf [Autorun\shell\open\command]
29.07.2008 22:16:48 >>> F:\autorun.inf Эвристический анализ системы: подозрение на скрытый автозапуск (высокая степень вероятности)
29.07.2008 22:16:48 >>> F:\h.cmd Эвристический анализ системы: подозрение на скрытый автозапуск F:\autorun.inf [Autorun\Open]
29.07.2008 22:16:48 >>> F:\h.cmd Эвристический анализ системы: подозрение на скрытый автозапуск F:\autorun.inf [Autorun\shell\open\command]
29.07.2008 22:16:48 >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
29.07.2008 22:16:48 >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
29.07.2008 22:16:48 >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
29.07.2008 22:16:48 >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
29.07.2008 22:16:48 >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
29.07.2008 22:16:48 >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
29.07.2008 22:16:48 > Службы: набор применяемых на компьютере служб зависит от области его применения (домашний, компьютер в сети предприятия и т.д.)!
29.07.2008 22:16:48 >> Безопасность: разрешен автозапуск программ с CDROM
29.07.2008 22:16:48 >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
29.07.2008 22:16:48 >> Безопасность: к компьютеру разрешен доступ анонимного пользователя
29.07.2008 22:16:48 >>> Безопасность: в Microsoft Internet Explorer разрешено использование ActiveX-элементов, не помеченных как безопасные
29.07.2008 22:16:50 >> Нарушение ассоциации REG-файлов
29.07.2008 22:16:51 >> Microsoft Internet Explorer: разрешено использование элементов ActiveX, не помеченных как безопасные
29.07.2008 22:16:52 >> Обнаружен отладчик системного процесса
29.07.2008 22:16:56 >> Отключить автозапуск с жестких дисков
29.07.2008 22:16:56 >> Отключить автозапуск с сетевых дисков
29.07.2008 22:16:56 >> Отключить автозапуск с CD-ROM
29.07.2008 22:16:56 >> Отключить автозапуск с съемных носителей
29.07.2008 22:16:56 >> Отключено автоматическое обновление системы (Windows Update)
29.07.2008 22:16:57 Выполняется исследование системы...
29.07.2008 22:18:39 Исследование системы завершено
29.07.2008 22:18:39 Удаление файла:C:\Program Files\Kaspersky Lab Tool\is-KOEA5\LOG\avptool_syscheck.htm
29.07.2008 22:18:39 Удаление файла:C:\Program Files\Kaspersky Lab Tool\is-KOEA5\LOG\avptool_syscheck.xml
29.07.2008 22:18:39 Скрипт выполнен без ошибок
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AC28->61F04648
oadLibraryA (57
