-
Junior Member
- Вес репутации
- 56
Сведения
Что это всё значит и как это исправить?
<AVZ_CollectSysInfo> : завершен
-------------------------------
Запуск: 18.02.2009 19:07:43
Длительность: 00:01:08
Завершение: 18.02.2009 19:08:51
<AVZ_CollectSysInfo> : завершен
-------------------------------
Время Событие
----- -------
18.02.2009 19:07:43 Версия Microsoft Windows: Microsoft Windows XP, Build=2600, SP="Service Pack 3"
18.02.2009 19:07:43 Восстановление системы: включено
18.02.2009 19:07:44 1.1 Поиск перехватчиков API, работающих в пользовательском режиме
18.02.2009 19:07:44 Анализ kernel32.dll, таблица экспорта найдена в секции .text
18.02.2009 19:07:44 Функция kernel32.dll:CreateProcessA (99) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80236B->61F03F42
18.02.2009 19:07:44 Перехватчик kernel32.dll:CreateProcessA (99) нейтрализован
18.02.2009 19:07:44 Функция kernel32.dll:CreateProcessW (103) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C802336->61F04040
18.02.2009 19:07:44 Перехватчик kernel32.dll:CreateProcessW (103) нейтрализован
18.02.2009 19:07:44 Функция kernel32.dll:FreeLibrary (241) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AC6E->61F041FC
18.02.2009 19:07:44 Перехватчик kernel32.dll:FreeLibrary (241) нейтрализован
18.02.2009 19:07:44 Функция kernel32.dll:GetModuleFileNameA (373) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80B55F->61F040FB
18.02.2009 19:07:44 Перехватчик kernel32.dll:GetModuleFileNameA (373) нейтрализован
18.02.2009 19:07:44 Функция kernel32.dll:GetModuleFileNameW (374) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80B465->61F041A0
18.02.2009 19:07:44 Перехватчик kernel32.dll:GetModuleFileNameW (374) нейтрализован
18.02.2009 19:07:44 Функция kernel32.dll:GetProcAddress (409) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AE30->61F04648
18.02.2009 19:07:44 Перехватчик kernel32.dll:GetProcAddress (409) нейтрализован
18.02.2009 19:07:44 Функция kernel32.dlloadLibraryA (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D7B->61F03C6F
18.02.2009 19:07:44 Перехватчик kernel32.dlloadLibraryA (581) нейтрализован
18.02.2009 19:07:44 >>> Функции LoadLibraryA - прививка процесса AVZ от перехвата подменой адреса !!)
18.02.2009 19:07:44 Функция kernel32.dlloadLibraryExA (582) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D53->61F03DAF
18.02.2009 19:07:44 Перехватчик kernel32.dlloadLibraryExA (582) нейтрализован
18.02.2009 19:07:44 >>> Функции LoadLibraryExA - прививка процесса AVZ от перехвата подменой адреса !!)
18.02.2009 19:07:44 Функция kernel32.dlloadLibraryExW (583) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF5->61F03E5A
18.02.2009 19:07:44 Перехватчик kernel32.dlloadLibraryExW (583) нейтрализован
18.02.2009 19:07:44 Функция kernel32.dlloadLibraryW (584) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AEDB->61F03D0C
18.02.2009 19:07:44 Перехватчик kernel32.dlloadLibraryW (584) нейтрализован
18.02.2009 19:07:44 Обнаружена модификация IAT: LoadLibraryW - 00BE0010<>7C80AEDB
18.02.2009 19:07:44 Анализ ntdll.dll, таблица экспорта найдена в секции .text
18.02.2009 19:07:44 Функция ntdll.dll:NtCreateFile (123) перехвачена, метод CodeHijack (метод не определен)
18.02.2009 19:07:44 >>> Код руткита в функции NtCreateFile нейтрализован
18.02.2009 19:07:44 Функция ntdll.dll:NtCreateProcess (134) перехвачена, метод CodeHijack (метод не определен)
18.02.2009 19:07:44 >>> Код руткита в функции NtCreateProcess нейтрализован
18.02.2009 19:07:44 Функция ntdll.dll:NtOpenFile (204) перехвачена, метод CodeHijack (метод не определен)
18.02.2009 19:07:44 >>> Код руткита в функции NtOpenFile нейтрализован
18.02.2009 19:07:44 Функция ntdll.dll:NtQueryInformationProcess (243) перехвачена, метод CodeHijack (метод не определен)
18.02.2009 19:07:44 >>> Код руткита в функции NtQueryInformationProcess нейтрализован
18.02.2009 19:07:44 Анализ user32.dll, таблица экспорта найдена в секции .text
18.02.2009 19:07:44 Анализ advapi32.dll, таблица экспорта найдена в секции .text
18.02.2009 19:07:44 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
18.02.2009 19:07:44 Анализ wininet.dll, таблица экспорта найдена в секции .text
18.02.2009 19:07:44 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
18.02.2009 19:07:44 Анализ urlmon.dll, таблица экспорта найдена в секции .text
18.02.2009 19:07:44 Анализ netapi32.dll, таблица экспорта найдена в секции .text
18.02.2009 19:07:45 1.2 Поиск перехватчиков API, работающих в привилегированном режиме
18.02.2009 19:07:45 Драйвер успешно загружен
18.02.2009 19:07:45 SDT найдена (RVA=08B520)
18.02.2009 19:07:45 Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
18.02.2009 19:07:45 SDT = 80562520
18.02.2009 19:07:45 KiST = 804E48A0 (284)
18.02.2009 19:07:46 Проверено функций: 284, перехвачено: 0, восстановлено: 0
18.02.2009 19:07:46 1.3 Проверка IDT и SYSENTER
18.02.2009 19:07:46 Анализ для процессора 1
18.02.2009 19:07:46 Анализ для процессора 2
18.02.2009 19:07:46 Проверка IDT и SYSENTER завершена
18.02.2009 19:07:47 1.4 Поиск маскировки процессов и драйверов
18.02.2009 19:07:47 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
18.02.2009 19:07:47 Драйвер успешно загружен
18.02.2009 19:07:47 1.5 Проверка обработчиков IRP
18.02.2009 19:07:47 \FileSystem\ntfs[IRP_MJ_CREATE] = 82F851F8 -> перехватчик не определен
18.02.2009 19:07:47 \FileSystem\ntfs[IRP_MJ_CLOSE] = 82F851F8 -> перехватчик не определен
18.02.2009 19:07:47 \FileSystem\ntfs[IRP_MJ_WRITE] = 82F851F8 -> перехватчик не определен
18.02.2009 19:07:47 \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 82F851F8 -> перехватчик не определен
18.02.2009 19:07:47 \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 82F851F8 -> перехватчик не определен
18.02.2009 19:07:47 \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 82F851F8 -> перехватчик не определен
18.02.2009 19:07:47 \FileSystem\ntfs[IRP_MJ_SET_EA] = 82F851F8 -> перехватчик не определен
18.02.2009 19:07:47 \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 82F851F8 -> перехватчик не определен
18.02.2009 19:07:47 \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 82F851F8 -> перехватчик не определен
18.02.2009 19:07:47 \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 82F851F8 -> перехватчик не определен
18.02.2009 19:07:47 \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 82F851F8 -> перехватчик не определен
18.02.2009 19:07:47 \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 82F851F8 -> перехватчик не определен
18.02.2009 19:07:47 \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 82F851F8 -> перехватчик не определен
18.02.2009 19:07:47 \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 82F851F8 -> перехватчик не определен
18.02.2009 19:07:47 \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 82F851F8 -> перехватчик не определен
18.02.2009 19:07:47 \FileSystem\ntfs[IRP_MJ_PNP] = 82F851F8 -> перехватчик не определен
18.02.2009 19:07:47 Проверка завершена
18.02.2009 19:08:00 >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
18.02.2009 19:08:00 >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
18.02.2009 19:08:00 >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
18.02.2009 19:08:00 > Службы: набор применяемых на компьютере служб зависит от области его применения (домашний, компьютер в сети предприятия и т.д.)!
18.02.2009 19:08:00 >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
18.02.2009 19:08:01 >> Безопасность: к компьютеру разрешен доступ анонимного пользователя
18.02.2009 19:08:05 >> Отключить автозапуск с CD-ROM
18.02.2009 19:08:05 >> Отключено автоматическое обновление системы (Windows Update)
18.02.2009 19:08:05 Выполняется исследование системы...
18.02.2009 19:08:51 Исследование системы завершено
18.02.2009 19:08:51 Удаление файла:C:\Documents and Settings\Администратор\Рабочий стол\Virus Removal Tool\is-IJ7U0\LOG\avptool_syscheck.htm
18.02.2009 19:08:51 Удаление файла:C:\Documents and Settings\Администратор\Рабочий стол\Virus Removal Tool\is-IJ7U0\LOG\avptool_syscheck.xml
18.02.2009 19:08:51 Удаление службы/драйвера: utqzndi4
18.02.2009 19:08:51 Удаление файла:C:\WINDOWS\system32\Drivers\utqzndi4.sys
18.02.2009 19:08:51 Удаление службы/драйвера: ujqzndi4
18.02.2009 19:08:51 Скрипт выполнен без ошибок
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
А это значит, что нужно внимательно читать и аккуратно выполнять правила оформления запроса
http://virusinfo.info/showthread.php?t=1235
-