ttt (заявка № 57508)

**Armen** · 17.10.2009, 23:54

<AVZ_CollectSysInfo> : завершен
-------------------------------
Запуск: 18.10.2009 0:34:56
Длительность: 00:02:48
Завершение: 18.10.2009 0:37:44
　
<AVZ_CollectSysInfo> : завершен
-------------------------------
Время Событие
----- -------
18.10.2009 0:34:58 Версия Microsoft Windows: Microsoft Windows XP, Build=2600, SP="Service Pack 2"
18.10.2009 0:34:58 Восстановление системы: Отключено
18.10.2009 0:35:00 1.1 Поиск перехватчиков API, работающих в пользовательском режиме
18.10.2009 0:35:00 Анализ kernel32.dll, таблица экспорта найдена в секции .text
18.10.2009 0:35:00 Функция kernel32.dll:CreateProcessA (99) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C802367->61F03F42
18.10.2009 0:35:00 Перехватчик kernel32.dll:CreateProcessA (99) нейтрализован
18.10.2009 0:35:00 Функция kernel32.dll:CreateProcessW (103) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C802332->61F04040
18.10.2009 0:35:00 Перехватчик kernel32.dll:CreateProcessW (103) нейтрализован
18.10.2009 0:35:00 Функция kernel32.dll:FreeLibrary (241) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AA66->61F041FC
18.10.2009 0:35:00 Перехватчик kernel32.dll:FreeLibrary (241) нейтрализован
18.10.2009 0:35:00 Функция kernel32.dll:GetModuleFileNameA (372) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80B357->61F040FB
18.10.2009 0:35:00 Перехватчик kernel32.dll:GetModuleFileNameA (372) нейтрализован
18.10.2009 0:35:00 Функция kernel32.dll:GetModuleFileNameW (373) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80B25D->61F041A0
18.10.2009 0:35:00 Перехватчик kernel32.dll:GetModuleFileNameW (373) нейтрализован
18.10.2009 0:35:00 Функция kernel32.dll:GetProcAddress (40

перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AC28->61F04648
18.10.2009 0:35:00 Перехватчик kernel32.dll:GetProcAddress (40

нейтрализован
18.10.2009 0:35:00 Функция kernel32.dll

oadLibraryA (57

перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D77->61F03C6F
18.10.2009 0:35:00 Перехватчик kernel32.dll

oadLibraryA (57

нейтрализован
18.10.2009 0:35:00 >>> Функции LoadLibraryA - прививка процесса AVZ от перехвата подменой адреса !!)
18.10.2009 0:35:00 Функция kernel32.dll

oadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D4F->61F03DAF
18.10.2009 0:35:00 Перехватчик kernel32.dll

oadLibraryExA (579) нейтрализован
18.10.2009 0:35:00 >>> Функции LoadLibraryExA - прививка процесса AVZ от перехвата подменой адреса !!)
18.10.2009 0:35:00 Функция kernel32.dll

oadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF1->61F03E5A
18.10.2009 0:35:00 Перехватчик kernel32.dll

oadLibraryExW (580) нейтрализован
18.10.2009 0:35:00 Функция kernel32.dll

oadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80ACD3->61F03D0C
18.10.2009 0:35:00 Перехватчик kernel32.dll

oadLibraryW (581) нейтрализован
18.10.2009 0:35:00 Обнаружена модификация IAT: LoadLibraryW - 00CF0010<>7C80ACD3
18.10.2009 0:35:00 Анализ ntdll.dll, таблица экспорта найдена в секции .text
18.10.2009 0:35:00 Анализ user32.dll, таблица экспорта найдена в секции .text
18.10.2009 0:35:00 Анализ advapi32.dll, таблица экспорта найдена в секции .text
18.10.2009 0:35:00 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
18.10.2009 0:35:00 Анализ wininet.dll, таблица экспорта найдена в секции .text
18.10.2009 0:35:01 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
18.10.2009 0:35:01 Анализ urlmon.dll, таблица экспорта найдена в секции .text
18.10.2009 0:35:01 Анализ netapi32.dll, таблица экспорта найдена в секции .text
18.10.2009 0:35:02 1.2 Поиск перехватчиков API, работающих в привилегированном режиме
18.10.2009 0:35:03 Драйвер успешно загружен
18.10.2009 0:35:03 SDT найдена (RVA=082B80)
18.10.2009 0:35:03 Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
18.10.2009 0:35:03 SDT = 80559B80
18.10.2009 0:35:03 KiST = 804E2D20 (284)
18.10.2009 0:35:06 Проверено функций: 284, перехвачено: 0, восстановлено: 0
18.10.2009 0:35:06 1.3 Проверка IDT и SYSENTER
18.10.2009 0:35:06 Анализ для процессора 1
18.10.2009 0:35:06 Проверка IDT и SYSENTER завершена
18.10.2009 0:35:07 1.4 Поиск маскировки процессов и драйверов
18.10.2009 0:35:07 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
18.10.2009 0:35:07 Драйвер успешно загружен
18.10.2009 0:35:07 1.5 Проверка обработчиков IRP
18.10.2009 0:35:07 Проверка завершена
18.10.2009 0:35:34 >>> C:\PROGRA~1\DAP\dapie.dll Эвристический анализ системы: подозрение на Adware.SpeedBit
18.10.2009 0:35:34 >>> C:\PROGRA~1\DAP\dapie.dll Эвристический анализ системы: подозрение на Adware.SpeedBit
18.10.2009 0:35:36 >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
18.10.2009 0:35:36 >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
18.10.2009 0:35:36 >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
18.10.2009 0:35:36 >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
18.10.2009 0:35:36 >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
18.10.2009 0:35:36 >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
18.10.2009 0:35:36 > Службы: набор применяемых на компьютере служб зависит от области его применения (домашний, компьютер в сети предприятия и т.д.)!
18.10.2009 0:35:36 >> Безопасность: разрешен автозапуск программ с CDROM
18.10.2009 0:35:36 >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
18.10.2009 0:35:36 >> Безопасность: к компьютеру разрешен доступ анонимного пользователя
18.10.2009 0:35:37 >> Безопасность: разрешена отправка приглашений удаленному помошнику
18.10.2009 0:35:45 >> Отключить автозапуск с CD-ROM
18.10.2009 0:35:45 >> Отключено автоматическое обновление системы (Windows Update)
18.10.2009 0:35:45 Выполняется исследование системы...
18.10.2009 0:37:43 Исследование системы завершено
18.10.2009 0:37:44 Удаление файла:C:\Documents and Settings\User\Рабочий стол\Virus Removal Tool\is-84T4H\LOG\avptool_syscheck.htm
18.10.2009 0:37:44 Удаление файла:C:\Documents and Settings\User\Рабочий стол\Virus Removal Tool\is-84T4H\LOG\avptool_syscheck.xml
18.10.2009 0:37:44 Удаление службы/драйвера: utezotuw
18.10.2009 0:37:44 Удаление файла:C:\WINDOWS\system32\Drivers\utezotuw.sys
18.10.2009 0:37:44 Удаление службы/драйвера: ujezotuw
18.10.2009 0:37:44 Скрипт выполнен без ошибок

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**rubin** · 17.10.2009, 23:56

непраааавильные логи
http://avptool.virusinfo.info/ru/AVP...sk_sysinfo.htm

ttt (заявка № 57508)

Опции темы

ttt

Ваши права в разделе