-
Junior Member
- Вес репутации
- 57
ПОМОГИТЕ ВИРУС ПОРАЗИЛ КОМП :(
<AVZ_CollectSysInfo> : завершен
-------------------------------
Запуск: 17.11.2008 20:38:08
Длительность: 00:00:57
Завершение: 17.11.2008 20:39:05
<AVZ_CollectSysInfo> : завершен
-------------------------------
Время Событие
----- -------
17.11.2008 20:38:09 1.1 Поиск перехватчиков API, работающих в пользовательском режиме
17.11.2008 20:38:09 Анализ kernel32.dll, таблица экспорта найдена в секции .text
17.11.2008 20:38:09 Функция kernel32.dll:CreateProcessA (99) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C802367->61F03F42
17.11.2008 20:38:09 Перехватчик kernel32.dll:CreateProcessA (99) нейтрализован
17.11.2008 20:38:09 Функция kernel32.dll:CreateProcessW (103) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C802332->61F04040
17.11.2008 20:38:09 Перехватчик kernel32.dll:CreateProcessW (103) нейтрализован
17.11.2008 20:38:09 Функция kernel32.dll:FreeLibrary (241) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80ABDE->61F041FC
17.11.2008 20:38:09 Перехватчик kernel32.dll:FreeLibrary (241) нейтрализован
17.11.2008 20:38:09 Функция kernel32.dll:GetModuleFileNameA (372) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80B4CF->61F040FB
17.11.2008 20:38:09 Перехватчик kernel32.dll:GetModuleFileNameA (372) нейтрализован
17.11.2008 20:38:09 Функция kernel32.dll:GetModuleFileNameW (373) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80B3D5->61F041A0
17.11.2008 20:38:09 Перехватчик kernel32.dll:GetModuleFileNameW (373) нейтрализован
17.11.2008 20:38:09 Функция kernel32.dll:GetProcAddress (40 перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80ADA0->61F04648
17.11.2008 20:38:09 Перехватчик kernel32.dll:GetProcAddress (40 нейтрализован
17.11.2008 20:38:09 Функция kernel32.dlloadLibraryA (57 перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D77->61F03C6F
17.11.2008 20:38:09 Перехватчик kernel32.dlloadLibraryA (57 нейтрализован
17.11.2008 20:38:09 >>> Функции LoadLibraryA - прививка процесса AVZ от перехвата подменой адреса !!)
17.11.2008 20:38:09 Функция kernel32.dlloadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D4F->61F03DAF
17.11.2008 20:38:09 Перехватчик kernel32.dlloadLibraryExA (579) нейтрализован
17.11.2008 20:38:09 >>> Функции LoadLibraryExA - прививка процесса AVZ от перехвата подменой адреса !!)
17.11.2008 20:38:09 Функция kernel32.dlloadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF1->61F03E5A
17.11.2008 20:38:09 Перехватчик kernel32.dlloadLibraryExW (580) нейтрализован
17.11.2008 20:38:09 Функция kernel32.dlloadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AE4B->61F03D0C
17.11.2008 20:38:09 Перехватчик kernel32.dlloadLibraryW (581) нейтрализован
17.11.2008 20:38:09 Обнаружена модификация IAT: GetModuleFileNameW - 009B0010<>7C80B3D5
17.11.2008 20:38:09 Анализ ntdll.dll, таблица экспорта найдена в секции .text
17.11.2008 20:38:09 Анализ user32.dll, таблица экспорта найдена в секции .text
17.11.2008 20:38:09 Анализ advapi32.dll, таблица экспорта найдена в секции .text
17.11.2008 20:38:09 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
17.11.2008 20:38:09 Анализ wininet.dll, таблица экспорта найдена в секции .text
17.11.2008 20:38:09 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
17.11.2008 20:38:09 Анализ urlmon.dll, таблица экспорта найдена в секции .text
17.11.2008 20:38:09 Анализ netapi32.dll, таблица экспорта найдена в секции .text
17.11.2008 20:38:10 1.2 Поиск перехватчиков API, работающих в привилегированном режиме
17.11.2008 20:38:10 Драйвер успешно загружен
17.11.2008 20:38:10 SDT найдена (RVA=0846E0)
17.11.2008 20:38:10 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
17.11.2008 20:38:10 SDT = 8055B6E0
17.11.2008 20:38:10 KiST = 80503748 (284)
17.11.2008 20:38:11 Проверено функций: 284, перехвачено: 0, восстановлено: 0
17.11.2008 20:38:11 1.3 Проверка IDT и SYSENTER
17.11.2008 20:38:11 Анализ для процессора 1
17.11.2008 20:38:11 Анализ для процессора 2
17.11.2008 20:38:11 Проверка IDT и SYSENTER завершена
17.11.2008 20:38:12 >>>> Подозрение на руткит utgymji2 C:\WINDOWS\system32\Drivers\utgymji2.sys
17.11.2008 20:38:12 1.4 Поиск маскировки процессов и драйверов
17.11.2008 20:38:12 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
17.11.2008 20:38:12 Драйвер успешно загружен
17.11.2008 20:38:12 1.5 Проверка обработчиков IRP
17.11.2008 20:38:12 Проверка завершена
17.11.2008 20:38:13 C:\Documents and Settings\All Users\Рабочий стол\Kaspersky Lab Tool\is-69KH7\avzkrnl.dll --> Подозрение на перехватчик клавиатуры или троянскую программу, маскирующуюся под системный файл
17.11.2008 20:38:13 C:\Documents and Settings\All Users\Рабочий стол\Kaspersky Lab Tool\is-69KH7\avzkrnl.dll>>> Поведенческий анализ
17.11.2008 20:38:13 1. Реагирует на события: клавиатура, все события
17.11.2008 20:38:13 C:\Documents and Settings\All Users\Рабочий стол\Kaspersky Lab Tool\is-69KH7\avzkrnl.dll>>> Нейросеть: файл с вероятностью 0.00% похож на типовой перехватчик клавиатуры/мыши
17.11.2008 20:38:13 Совет: заподозренные файлы НЕ следует удалять, их следует отправить на исследование (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
17.11.2008 20:38:21 >>> C:\autorun.inf Эвристический анализ системы: подозрение на скрытый автозапуск (высокая степень вероятности)
17.11.2008 20:38:21 >>> C:\0w.com Эвристический анализ системы: подозрение на скрытый автозапуск C:\autorun.inf [Autorun\Open]
17.11.2008 20:38:21 >>> C:\0w.com Эвристический анализ системы: подозрение на скрытый автозапуск C:\autorun.inf [Autorun\shell\open\command]
17.11.2008 20:38:21 >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
17.11.2008 20:38:21 >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
17.11.2008 20:38:21 >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
17.11.2008 20:38:21 >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
17.11.2008 20:38:21 > Службы: набор применяемых на компьютере служб зависит от области его применения (домашний, компьютер в сети предприятия и т.д.)!
17.11.2008 20:38:21 >> Безопасность: разрешен автозапуск программ с CDROM
17.11.2008 20:38:21 >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
17.11.2008 20:38:21 >> Безопасность: к компьютеру разрешен доступ анонимного пользователя
17.11.2008 20:38:21 >> Безопасность: разрешена отправка приглашений удаленному помошнику
17.11.2008 20:38:24 >> Тайм-аут завершения служб находится за пределами допустимых значений
17.11.2008 20:38:24 >> Отключить автозапуск с жестких дисков
17.11.2008 20:38:24 >> Отключить автозапуск с сетевых дисков
17.11.2008 20:38:24 >> Отключить автозапуск с CD-ROM
17.11.2008 20:38:24 >> Отключить автозапуск с съемных носителей
17.11.2008 20:38:24 >> Отключено автоматическое обновление системы (Windows Update)
17.11.2008 20:38:24 Выполняется исследование системы...
17.11.2008 20:39:05 Исследование системы завершено
17.11.2008 20:39:05 Удаление файла:C:\Documents and Settings\All Users\Рабочий стол\Kaspersky Lab Tool\is-69KH7\LOG\avptool_syscheck.htm
17.11.2008 20:39:05 Удаление файла:C:\Documents and Settings\All Users\Рабочий стол\Kaspersky Lab Tool\is-69KH7\LOG\avptool_syscheck.xml
17.11.2008 20:39:05 Скрипт выполнен без ошибок
Добавлено через 1 минуту
есть кто живой!?
Последний раз редактировалось koskoskos; 17.11.2008 в 14:47.
Причина: Добавлено
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-