Код:
Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.32
Сканирование запущено в 18.03.2010 21:11:23
Загружена база: сигнатуры - 237871, нейропрофили - 2, микропрограммы лечения - 56, база от 21.08.2009 14:23
Загружены микропрограммы эвристики: 374
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 135524
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:ChangeDisplaySettingsExA (34) перехвачена, метод APICodeHijack.JmpTo[100AB842]
Функция user32.dll:ChangeDisplaySettingsExW (35) перехвачена, метод APICodeHijack.JmpTo[100AB86E]
Функция user32.dll:EndTask (202) перехвачена, метод APICodeHijack.JmpTo[100AB52A]
Функция user32.dll:SetForegroundWindow (600) перехвачена, метод APICodeHijack.JmpTo[100AB4D2]
Функция user32.dll:SetWindowPos (644) перехвачена, метод APICodeHijack.JmpTo[100AB4FE]
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=083220)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 8055A220
KiST = 804E26B8 (284)
Функция NtAssignProcessToJobObject (13) перехвачена (805A24BA->F5394B4A), перехватчик D:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtClose (19) перехвачена (80567A6D->F5374C16), перехватчик D:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtConnectPort (1F) перехвачена (80588DBB->F539714E), перехватчик D:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtCreateFile (25) перехвачена (8056F600->F536CDA2), перехватчик D:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtCreateKey (29) перехвачена (80572E9D->F778E514), перехватчик D:\WINDOWS\system32\Drivers\PCTCore.sys, драйвер опознан как безопасный
Функция NtCreateProcess (2F) перехвачена (805B135A->F777D282), перехватчик D:\WINDOWS\system32\Drivers\PCTCore.sys, драйвер опознан как безопасный
Функция NtCreateProcessEx (30) перехвачена (80581030->F777D474), перехватчик D:\WINDOWS\system32\Drivers\PCTCore.sys, драйвер опознан как безопасный
Функция NtCreateSection (32) перехвачена (805652B3->F536B2FE), перехватчик D:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtCreateSymbolicLinkObject (34) перехвачена (8059F509->F537D682), перехватчик D:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtCreateThread (35) перехвачена (8057BD7A->F538ACC6), перехватчик D:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtDeleteFile (3E) перехвачена (805D800B->F537BF26), перехватчик D:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtDeleteKey (3F) перехвачена (805952BE->F778ED00), перехватчик D:\WINDOWS\system32\Drivers\PCTCore.sys, драйвер опознан как безопасный
Функция NtDeleteValueKey (41) перехвачена (80592D50->F778EFB8), перехватчик D:\WINDOWS\system32\Drivers\PCTCore.sys, драйвер опознан как безопасный
Функция NtLoadDriver (61) перехвачена (805A3AF1->F5389666), перехватчик D:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtMakeTemporaryObject (69) перехвачена (8059F8C2->F537CD86), перехватчик D:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtOpenFile (74) перехвачена (8056F59B->F53730CF), перехватчик D:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtOpenKey (77) перехвачена (80568EE9->F778D3FA), перехватчик D:\WINDOWS\system32\Drivers\PCTCore.sys, драйвер опознан как безопасный
Функция NtOpenProcess (7A) перехвачена (805741D0->F538F8B6), перехватчик D:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtOpenSection (7D) перехвачена (8056E203->F536BD5E), перехватчик D:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtOpenThread (80) перехвачена (8058B58D->F538EB36), перехватчик D:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtProtectVirtualMemory (89) перехвачена (8057457F->F5396342), перехватчик D:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtQueryDirectoryFile (91) перехвачена (805792CB->F5375C8D), перехватчик D:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtQueryKey (A0) перехвачена (805732AD->F5380B82), перехватчик D:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtQueryValueKey (B1) перехвачена (8056A382->F538165E), перехватчик D:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtQueueApcThread (B4) перехвачена (80591089->F5393D92), перехватчик D:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtRenameKey (C0) перехвачена (8064E80E->F778F422), перехватчик D:\WINDOWS\system32\Drivers\PCTCore.sys, драйвер опознан как безопасный
Функция NtReplaceKey (C1) перехвачена (8064F16A->F5383216), перехватчик D:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtRequestPort (C7) перехвачена (805DD5F4->F5399636), перехватчик D:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtRequestWaitReplyPort (C8) перехвачена (8056DA20->F5399C1A), перехватчик D:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtRestoreKey (CC) перехвачена (8064ED01->F5385B6A), перехватчик D:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtSaveKey (CF) перехвачена (8064EE02->F53846CA), перехватчик D:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtSaveKeyEx (D0) перехвачена (8064EEED->F5385112), перехватчик D:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtSecureConnectPort (D2) перехвачена (8058F4DC->F5397E36), перехватчик D:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtSetContextThread (D5) перехвачена (8062DD47->F53931B6), перехватчик D:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtSetInformationFile (E0) перехвачена (80576CA4->F5377BDE), перехватчик D:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtSetSystemInformation (F0) перехвачена (805A7BDD->F53889C2), перехватчик D:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtSetValueKey (F7) перехвачена (80579A43->F778E7D8), перехватчик D:\WINDOWS\system32\Drivers\PCTCore.sys, драйвер опознан как безопасный
Функция NtSuspendProcess (FD) перехвачена (8062F92D->F5391EE6), перехватчик D:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtSuspendThread (FE) перехвачена (805E045E->F539280E), перехватчик D:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtSystemDebugControl (FF) перехвачена (80649D53->F539A81A), перехватчик D:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtTerminateProcess (101) перехвачена (805836B0->F777CF32), перехватчик D:\WINDOWS\system32\Drivers\PCTCore.sys, драйвер опознан как безопасный
Функция NtTerminateThread (102) перехвачена (8057B496->F5391386), перехватчик D:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtUnloadDriver (106) перехвачена (80619C32->F538A23E), перехватчик D:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Функция NtWriteVirtualMemory (115) перехвачена (8057F198->F53955E6), перехватчик D:\WINDOWS\system32\DRIVERS\SandBox.sys, драйвер опознан как безопасный
Проверено функций: 284, перехвачено: 44, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\driver\tcpip[IRP_MJ_CREATE] = F68DF15A -> D:\WINDOWS\system32\drivers\afwcore.sys, драйвер опознан как безопасный
\driver\tcpip[IRP_MJ_DEVICE_CONTROL] = F68DF664 -> D:\WINDOWS\system32\drivers\afwcore.sys, драйвер опознан как безопасный
\driver\tcpip[IRP_MJ_INTERNAL_DEVICE_CONTROL] = F68DF4DC -> D:\WINDOWS\system32\drivers\afwcore.sys, драйвер опознан как безопасный
\driver\tcpip[IRP_MJ_CLEANUP] = F68DF24A -> D:\WINDOWS\system32\drivers\afwcore.sys, драйвер опознан как безопасный
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 44
Количество загруженных модулей: 406
Проверка памяти завершена
3. Сканирование дисков
C:\Свалка\Домой\Разное\Project1.exe >>> подозрение на Trojan-Downloader.Win32.Delf.cdy ( 0885D0C2 048BF53B 001D8EFC 002439B0 413696)
Файл успешно помещен в карантин (C:\Свалка\Домой\Разное\Project1.exe)
apscsce80rus\Photoshop\data2.cab MailBomb detected !
apscsce80rus\Photoshop\data2.cab MailBomb detected !
apscsce80rus\Photoshop\data2.cab MailBomb detected !
apscsce80rus\Photoshop\data2.cab MailBomb detected !
apscsce80rus\Photoshop\data2.cab MailBomb detected !
apscsce80rus\Photoshop\data2.cab MailBomb detected !
apscsce80rus\Photoshop\data2.cab MailBomb detected !
apscsce80rus\Photoshop\data2.cab MailBomb detected !
CBR110~1.MPG MailBomb detected !
CBR110~1.MPG MailBomb detected !
CBR110~1.MPG MailBomb detected !
CBR110~1.MPG MailBomb detected !
CBR110~1.MPG MailBomb detected !
CBR110~1.MPG MailBomb detected !
CBR110~1.MPG MailBomb detected !
CBR110~1.MPG MailBomb detected !
Прямое чтение D:\Documents and Settings\LocalService\Cookies\index.dat
Прямое чтение D:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
Прямое чтение D:\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat
Прямое чтение D:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat
Прямое чтение D:\Documents and Settings\LocalService\NTUSER.DAT
Прямое чтение D:\Documents and Settings\NetworkService\Cookies\index.dat
Прямое чтение D:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
Прямое чтение D:\Documents and Settings\NetworkService\Local Settings\History\History.IE5\index.dat
Прямое чтение D:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat
Прямое чтение D:\Documents and Settings\NetworkService\NTUSER.DAT
Прямое чтение D:\Documents and Settings\user\Application Data\Mra\Base\mra.dbs
Прямое чтение D:\Documents and Settings\user\Application Data\Sony Ericsson\Teleca\Telecalib\Logging\Application logs\DM_log.txt
Прямое чтение D:\Documents and Settings\user\Application Data\Sony Ericsson\Teleca\Telecalib\Logging\Application logs\HookStarter_log.txt
Прямое чтение D:\Documents and Settings\user\Cookies\index.dat
Прямое чтение D:\Documents and Settings\user\IETldCache\index.dat
Прямое чтение D:\Documents and Settings\user\Local Settings\Application Data\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~\WebSlices~\Коллекция веб-фрагментов~.feed-ms
Прямое чтение D:\Documents and Settings\user\Local Settings\Application Data\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~\WebSlices~\Рекомендуемые сайты~.feed-ms
Прямое чтение D:\Documents and Settings\user\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat
Прямое чтение D:\Documents and Settings\user\Local Settings\Application Data\Microsoft\Internet Explorer\Recovery\Active\RecoveryStore.{84390CD7-32C1-11DF-AB48-00196676027E}.dat
Прямое чтение D:\Documents and Settings\user\Local Settings\Application Data\Microsoft\Internet Explorer\Recovery\Active\{84390CD8-32C1-11DF-AB48-00196676027E}.dat
Прямое чтение D:\Documents and Settings\user\Local Settings\Application Data\Microsoft\Internet Explorer\Recovery\Active\{ACF0B5DC-32C1-11DF-AB48-00196676027E}.dat
Прямое чтение D:\Documents and Settings\user\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
Прямое чтение D:\Documents and Settings\user\Local Settings\History\History.IE5\index.dat
Прямое чтение D:\Documents and Settings\user\Local Settings\History\History.IE5\MSHist012010031820100319\index.dat
Прямое чтение D:\Documents and Settings\user\Local Settings\Temp\AVGDownloadManager\dmlog.txt
Прямое чтение D:\Documents and Settings\user\Local Settings\Temp\~DF530C.tmp
Прямое чтение D:\Documents and Settings\user\Local Settings\Temp\~DF65F0.tmp
Прямое чтение D:\Documents and Settings\user\Local Settings\Temp\~DFA9F4.tmp
Прямое чтение D:\Documents and Settings\user\Local Settings\Temp\~DFCD7.tmp
Прямое чтение D:\Documents and Settings\user\Local Settings\Temp\~DFE2BA.tmp
Прямое чтение D:\Documents and Settings\user\Local Settings\Temp\~DFE562.tmp
Прямое чтение D:\Documents and Settings\user\Local Settings\Temp\~DFE86B.tmp
Прямое чтение D:\Documents and Settings\user\Local Settings\Temp\~DFF57F.tmp
Прямое чтение D:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\index.dat
Прямое чтение D:\Documents and Settings\user\ntuser.dat
Прямое чтение D:\Documents and Settings\user\PrivacIE\index.dat
Прямое чтение D:\Program Files\ESET\cache\CACHE.NDB
Прямое чтение D:\Program Files\ESET\logs\warnlog.dat
D:\Program Files\Graphisoft\ArchiCAD 12\Справка\Files\images\02_Interaction.4.52.1.png >>> подозрение на Trojan-Spy.Win32.KeyLogger.si ( 0EE06417 0F393F9D 0025BEB5 0023AC18 23505)
Файл успешно помещен в карантин (D:\Program Files\Graphisoft\ArchiCAD 12\Справка\Files\images\02_Interaction.4.52.1.png)
>>>Для удаления файла D:\Program Files\Graphisoft\ArchiCAD 12\Справка\Files\images\02_Interaction.4.52.1.png необходима перезагрузка
Автоматическая чистка следов удаленных в ходе лечения программ
[микропрограмма лечения]> Удален элемент автозапуска HKEY_LOCAL_MACHINE,SYSTEM\CurrentControlSet\Services\Eventlog\System\PCTCore,EventMessageFile,%SystemRoot%\System32\IoLogMsg.dll;%SystemRoot%\System32\Drivers\PCTCore.sys
[микропрограмма лечения]> Удален элемент автозапуска HKEY_LOCAL_MACHINE,SYSTEM\CurrentControlSet\Services\Eventlog\System\PCTCore,EventMessageFile,%SystemRoot%\System32\IoLogMsg.dll;%SystemRoot%\System32\Drivers\PCTCore.sys
>>>Для удаления файла D:\Program Files\Graphisoft\ArchiCAD 12\Справка\Files\images\02_Interaction.4.52.1.png необходима перезагрузка
Автоматическая чистка следов удаленных в ходе лечения программ
Прямое чтение D:\System Volume Information\_restore{EA8F04FE-A912-49D7-9AF9-A040A8CB83BC}\RP145\change.log
Прямое чтение D:\WINDOWS\SchedLgU.Txt
Прямое чтение D:\WINDOWS\SoftwareDistribution\ReportingEvents.log
Прямое чтение D:\WINDOWS\system32\CatRoot2\edb.log
Прямое чтение D:\WINDOWS\system32\CatRoot2\tmp.edb
Прямое чтение D:\WINDOWS\system32\config\AppEvent.Evt
Прямое чтение D:\WINDOWS\system32\config\default
Прямое чтение D:\WINDOWS\system32\config\fsdb.sdb
Прямое чтение D:\WINDOWS\system32\config\Internet.evt
Прямое чтение D:\WINDOWS\system32\config\SAM
Прямое чтение D:\WINDOWS\system32\config\SecEvent.Evt
Прямое чтение D:\WINDOWS\system32\config\SECURITY
Прямое чтение D:\WINDOWS\system32\config\SysEvent.Evt
Прямое чтение D:\WINDOWS\system32\config\system
Прямое чтение D:\WINDOWS\system32\LogFiles\HTTPERR\httperr1.log
особо волнуют перехватчики и детектед... помогите, кто разбирается. плз! что делать?