-
Junior Member
- Вес репутации
- 53
помогите разобраться
Расскажите, пожалуйста, что это такое и как с этим бороться
Протокол антивирусной утилиты AVZ версии 4.32
Сканирование запущено в 01.11.2009 22:50:00
Загружена база: сигнатуры - 247554, нейропрофили - 2, микропрограммы лечения - 56, база от 31.10.2009 09:42
Загружены микропрограммы эвристики: 374
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 151774
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=08B520)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80562520
KiST = 804E48A0 (284)
Функция NtAlertResumeThread (0C) перехвачена (8063778A->861993C
, перехватчик не определен
Функция NtAlertThread (0D) перехвачена (80585FA1->861994A, перехватчик не определен
Функция NtAllocateVirtualMemory (11) перехвачена (80570D45->86199DA, перехватчик не определен
Функция NtConnectPort (1F) перехвачена (80585563->86505D90), перехватчик не определен
Функция NtCreateKey (29) перехвачена (80577925->F770E0E0), перехватчик spjh.sys
Функция NtCreateMutant (2B) перехвачена (8057F3C0->86198F70), перехватчик не определен
Функция NtCreateThread (35) перехвачена (80586C43->86199F3, перехватчик не определен
Функция NtDeleteValueKey (41) перехвачена (80591F8B->F48B1350), перехватчик C:\WINDOWS\system32\Drivers\SYMEVENT.SYS, драйвер опознан как безопасный
Функция NtEnumerateKey (47) перехвачена (80578E1C->F772CCA4), перехватчик spjh.sys
Функция NtEnumerateValueKey (49) перехвачена (80587691->F772D032), перехватчик spjh.sys
Функция NtFreeVirtualMemory (53) перехвачена (805713DF->86199C1, перехватчик не определен
Функция NtImpersonateAnonymousToken (59) перехвачена (80598BDE->8619920, перехватчик не определен
Функция NtImpersonateThread (5B) перехвачена (8058868D->861992E, перехватчик не определен
Функция NtMapViewOfSection (6C) перехвачена (8057E371->86209E9, перехватчик не определен
Функция NtOpenEvent (72) перехвачена (80589A51->86198E90), перехватчик не определен
Функция NtOpenKey (77) перехвачена (80572BFC->F770E0C0), перехватчик spjh.sys
Функция NtOpenProcessToken (7B) перехвачена (80577308->86199E7, перехватчик не определен
Функция NtOpenThreadToken (81) перехвачена (80573DCB->86199950), перехватчик не определен
Функция NtQueryKey (A0) перехвачена (80578A1C->F772D10A), перехватчик spjh.sys
Функция NtQueryValueKey (B1) перехвачена (8057303F->86198DA0), перехватчик не определен
Функция NtResumeThread (CE) перехвачена (805872BA->861CE6B0), перехватчик не определен
Функция NtSetContextThread (D5) перехвачена (80635937->86199890), перехватчик не определен
Функция NtSetInformationProcess (E4) перехвачена (8057CFC8->86199A10), перехватчик не определен
Функция NtSetInformationThread (E5) перехвачена (80578FA7->861997B0), перехватчик не определен
Функция NtSetValueKey (F7) перехвачена (80582294->F48B1580), перехватчик C:\WINDOWS\system32\Drivers\SYMEVENT.SYS, драйвер опознан как безопасный
Функция NtSuspendProcess (FD) перехвачена (806376CF->86198CC0), перехватчик не определен
Функция NtSuspendThread (FE) перехвачена (806375EB->861995F0), перехватчик не определен
Функция NtTerminateProcess (101) перехвачена (8058E695->861A321, перехватчик не определен
Функция NtTerminateThread (102) перехвачена (805838EF->861996D0), перехватчик не определен
Функция NtUnmapViewOfSection (10B) перехвачена (8057DEF9->86199AD0), перехватчик не определен
Функция NtWriteVirtualMemory (115) перехвачена (805885C2->86199CD, перехватчик не определен
Проверено функций: 284, перехвачено: 31, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 867D71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 867D71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 867D71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 867D71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 867D71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 867D71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 867D71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 867D71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 867D71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 867D71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 867D71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 867D71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 867D71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 867D71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 867D71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 867D71F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 8616C1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 8616C1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 8616C1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 8616C1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 8616C1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 8616C1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 8616C1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8616C1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 8616C1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 8616C1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 8616C1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 8616C1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 8616C1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 8616C1F8 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 40
Количество загруженных модулей: 426
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Documents and Settings\Admin\Local Settings\Temp\~DF17FD.tmp
Прямое чтение C:\Documents and Settings\Admin\Local Settings\Temp\~DF1A3.tmp
Прямое чтение C:\Documents and Settings\Admin\Local Settings\Temp\~DF1D30.tmp
Прямое чтение C:\Documents and Settings\Admin\Local Settings\Temp\~DF9646.tmp
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Писать нужно в одной ветке.
-
-
Junior Member
- Вес репутации
- 53
-
Эту тему закрываем и переходим во вторую. Я там Вам написал, что нужно сделать.
-
