-
Junior Member
- Вес репутации
- 56
Пожалуйста. Посмотрите awz_log.
Ребята поглядите, если не трудно. Пора панику бить или ложная тревога? В принципе, сейчас проблем пока нет. Так что, дело не очень срочное.
Добавлено через 1 минуту
Протокол антивирусной утилиты AVZ версии 4.30
Сканирование запущено в 27.01.2009 23:12:52
Загружена база: сигнатуры - 207334, нейропрофили - 2, микропрограммы лечения - 56, база от 26.01.2009 17:59
Загружены микропрограммы эвристики: 372
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 85945
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=0846E0)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 80800000
SDT = 808846E0
KiST = 8082C734 (284)
Функция NtCreateKey (29) перехвачена (8094B048->BA6D10B0), перехватчик D:\WINDOWS\system32\Drivers\sptd.sys
Функция NtEnumerateKey (47) перехвачена (8094B888->BA6D684C), перехватчик D:\WINDOWS\system32\Drivers\sptd.sys
Функция NtEnumerateValueKey (49) перехвачена (8094BAF2->BA6D6BEC), перехватчик D:\WINDOWS\system32\Drivers\sptd.sys
Функция NtOpenKey (77) перехвачена (8094C3DE->BA6D1090), перехватчик D:\WINDOWS\system32\Drivers\sptd.sys
Функция NtQueryKey (A0) перехвачена (8094C702->BA6D6CC4), перехватчик D:\WINDOWS\system32\Drivers\sptd.sys
Функция NtQueryValueKey (B1) перехвачена (80949102->BA6D6B44), перехватчик D:\WINDOWS\system32\Drivers\sptd.sys
Функция NtSetValueKey (F7) перехвачена (80949708->BA6D6D56), перехватчик D:\WINDOWS\system32\Drivers\sptd.sys
Проверено функций: 284, перехвачено: 7, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 8A8BE1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8A8BE1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8A8BE1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8A8BE1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8A8BE1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8A8BE1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8A8BE1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A8BE1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8A8BE1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8A8BE1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A8BE1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8A8BE1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8A8BE1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8A8BE1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8A8BE1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8A8BE1D8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 893335C0 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 893335C0 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 893335C0 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 893335C0 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 893335C0 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 893335C0 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 893335C0 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 893335C0 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 893335C0 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 893335C0 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 893335C0 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 893335C0 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 893335C0 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 893335C0 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 27
Анализатор - изучается процесс 1760 D:\WINDOWS\system32\csrcs.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:EXE упаковщик ?
[ES]:Размещается в системной папке
[ES]:Записан в автозапуск !!
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 244 D:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
[ES]:Может работать с сетью
[ES]:Может отправлять почту ?!
[ES]:Прослушивает порты TCP !
[ES]:Приложение не имеет видимых окон
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 284 D:\WINDOWS\system32\nvsvc32.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
Количество загруженных модулей: 294
Проверка памяти завершена
3. Сканирование дисков
D:\1C\Patrician II\SchnellTransfer.dll >>> подозрение на HackTool.Win32.Likun ( 0082B61F 00000000 0020A9F9 00234723 118784)
Прямое чтение D:\WINDOWS\system32\drivers\sptd.sys
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 6 TCP портов и 7 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Нестандартный ключ Winlogon\Shell, подозрение на скрытый запуск "explorer.exe csrcs.exe"
>>> D:\WINDOWS\system32\csrcs.exe ЭПС: подозрение на Файл с подозрительным именем (высокая степень вероятности)
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Модифицирован ключ запуска проводника
>>> Модифицирован ключ запуска проводника - исправлено
Проверка завершена
Просканировано файлов: 194543, извлечено из архивов: 168936, найдено вредоносных программ 0, подозрений - 1
Сканирование завершено в 27.01.2009 23:18:17
Сканирование длилось 00:05:25
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info
Последний раз редактировалось Ferrom; 28.01.2009 в 11:50.
Причина: Добавлено
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сделайте пожалуйста логи в соответствии с правилами.
I am not young enough to know everything...
-