# Форум на русском языке  > Решения по информационной безопасности  > Другие программы по безопасности  > Публичное бета-тестирование  >  AVZ 3.40 - предлагаю потестировать и обсудить

## Зайцев Олег

Итак, новая версия AVZ готова. Ввиду большого количества доработок я решил постепенно их вводить в тестируемую версию. Версия доступна для загрузки тут: http://z-oleg.com/secur/avz-dwn.htm (внимание ! Архив переименован - теперь он называется http://z-oleg.com/avz-betta3.zip)
Радикальные новшества:
1. Анти-RootKit для режима ядра. Он работоспособен по NT, W2K, W2K Server, XP, XP SP1, XP SP2, W3K Server, W3K Server SP1. Антируткит не только регистрирует факт перехвата, но и в большинстве случаев может указать на драйвер-перехватчик. В настройке есть отдельная "птичка", позволяющая раздельно управлять противодействием руткитам для режима пользователя и режима ядра. Антируткит KernelMode влияет на всю систему, блокирование некоторых перехватчиков может привести к BSOD. Кроме того, антируткит успешно нейтрализует многие антивирусные мониторы, Firewall и подобные им программы, модифицирующие KiST (SDT). Поэтому после проверки с противодействием KernelMode руткитам настоятельно рекомендуется перезагрузиться (естественно,  диагностический режим не требует никаких перезагрузок и на работу системы не влияет). Антируткит корректно отрабатывает перемещение KiST и добавление в нее функций (что, в частности, делает монитор AVP);
2. В диспетчере сервисов и драйверов появились кнопки, позволяющие запустить/остановить/удалить сервис и загрузить/выгрузить/удалить драйвер;
3. Изменена методика сканирования диска - теперь файлы проверяются только в выбранных каталогах (ранее проверялись файлы, лежащие в каталогах по пути к указанному);
4. Уже работает проверка документов Office. В базе пока нет описаний для макровирусов, поэтому собственно ничего не ловится - это естественно временно. 
----
Кроме того, расширена база - добавлено около 450 новых "зверей", усовершенствован эвристик. У версии 3.40 в базе 13420 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения, 234 микропрограммы эвристики, 29674 подписей безопасных файлов

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## HATTIFNATTOR

1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
 KeServiceDescriptorTable найдена (RVA=082480)
 ntoskrnl.exe обнаружен в памяти по адресу 804D7000
   KESystemDescriptorTable = 80559480
   KiST = 86E5BB58,804E26A8( 297)
 >>> Внимание, таблица KiST перемещена !
Функция ZwClose (19) перехвачена (80566B49<>F5BD87E0), перехватчик предположительно C:\WINDOWS\System32\Drivers\klif.sys
Функция ZwConnectPort (1F) перехвачена (805894AD<>F5D243BD), перехватчик предположительно C:\WINDOWS\System32\vsdatant.sys
Функция ZwCreateProcess (2F) перехвачена (805AD314<>F5BD8500), перехватчик предположительно C:\WINDOWS\System32\Drivers\klif.sys
Функция ZwCreateProcessEx (30) перехвачена (8058041A<>F5BD8670), перехватчик предположительно C:\WINDOWS\System32\Drivers\klif.sys
Функция ZwCreateSection (32) перехвачена (8056441B<>F5BD8970), перехватчик предположительно C:\WINDOWS\System32\Drivers\klif.sys
Функция ZwCreateThread (35) перехвачена (8057B1C5<>F5BD90CE), перехватчик предположительно C:\WINDOWS\System32\Drivers\klif.sys
Функция ZwDeleteKey (3F) перехвачена (80590F78<>F5D37F30), перехватчик предположительно C:\WINDOWS\System32\vsdatant.sys
Функция ZwDeleteValueKey (41) перехвачена (8058E9FA<>F5D37E60), перехватчик предположительно C:\WINDOWS\System32\vsdatant.sys
Функция ZwLoadKey (62) перехвачена (805AACF0<>F5D37FB0), перехватчик предположительно C:\WINDOWS\System32\vsdatant.sys
Функция ZwOpenProcess (7A) перехвачена (80573C96<>F5D37850), перехватчик предположительно C:\WINDOWS\System32\vsdatant.sys
Функция ZwQueryInformationFile (97) перехвачена (8057240A<>F5BD8E2E), перехватчик предположительно C:\WINDOWS\System32\Drivers\klif.sys
Функция ZwQuerySystemInformation (AD) перехвачена (8057C4AA<>F5BD8F6E), перехватчик предположительно C:\WINDOWS\System32\Drivers\klif.sys
Функция ZwReplaceKey (C1) перехвачена (8064D232<>F5D38120), перехватчик предположительно C:\WINDOWS\System32\vsdatant.sys
Функция ZwRestoreKey (CC) перехвачена (8064BD56<>F5D38260), перехватчик предположительно C:\WINDOWS\System32\vsdatant.sys
Функция ZwSetInformationProcess (E4) перехвачена (8056BD05<>F5BDAE60), перехватчик предположительно C:\WINDOWS\System32\Drivers\klif.sys
Функция ZwSetValueKey (F7) перехвачена (80574C1D<>F5D37D80), перехватчик предположительно C:\WINDOWS\System32\vsdatant.sys
Функция ZwTerminateProcess (101) перехвачена (80582C2B<>F5BD8CF0), перехватчик предположительно C:\WINDOWS\System32\Drivers\klif.sys
Функция ZwTerminateThread (102) перехвачена (8057A8DE<>F5BD8800), перехватчик предположительно C:\WINDOWS\System32\Drivers\klif.sys
Проверено функций: 284, перехвачено: 18, восстановлено: 0

----------


## Зайцев Олег

> 1.2 Поиск перехватчиков API, работающих в >>> Внимание, таблица KiST перемещена !
> Функция ZwClose (19) перехвачена (80566B49<>F5BD87E0), перехватчик предположительно C:\WINDOWS\System32\Drivers\klif.sys
> ....
> Проверено функций: 284, перехвачено: 18, восстановлено: 0


Интересно, что такое C:\WINDOWS\System32\Drivers\klif.sys - уж очень он на монитор AVP похож.  Интересно, что будет, если разрешить AVZ блокировать Kernel RootKit  :Smiley:

----------


## Geser

Протокол антивирусной утилиты AVZ версии 3.40
Сканирование запущено в 5/16/2005 8:50:34 PM
Загружена база: 13420 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Средний уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll :lol: oadLibraryA (57 :Cool:  перехвачена, метод APICodeHijack.JmpTo
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:accept (1) перехвачена, метод APICodeHijack.JmpTo
Функция ws2_32.dll:bind (2) перехвачена, метод APICodeHijack.JmpTo
Функция ws2_32.dll:closesocket (3) перехвачена, метод APICodeHijack.JmpTo
Функция ws2_32.dll:connect (4) перехвачена, метод APICodeHijack.JmpTo
Функция ws2_32.dll:gethostbyname (52) перехвачена, метод APICodeHijack.JmpTo
Функция ws2_32.dll:listen (13) перехвачена, метод APICodeHijack.JmpTo
Функция ws2_32.dll:recvfrom (17) перехвачена, метод APICodeHijack.JmpTo
Функция ws2_32.dll:send (19) перехвачена, метод APICodeHijack.JmpTo
Функция ws2_32.dll:sendto (20) перехвачена, метод APICodeHijack.JmpTo
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Функция rasapi32.dll:RasDialA (21) перехвачена, метод APICodeHijack.JmpTo
Функция rasapi32.dll:RasDialW (22) перехвачена, метод APICodeHijack.JmpTo
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
 KeServiceDescriptorTable найдена (RVA=082480)
 ntoskrnl.exe обнаружен в памяти по адресу 804D7000
   KESystemDescriptorTable = 80559480
   KiST = 804E26A8,804E26A8( 284)
Функция ZwClose (19) перехвачена (80566B49<>EB224966), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция ZwCreateKey (29) перехвачена (8056E761<>EB22491 :Cool: , перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция ZwDeleteKey (3F) перехвачена (80590F78<>EB2249D2), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция ZwDeleteValueKey (41) перехвачена (8058E9FA<>EB224A00), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция ZwEnumerateKey (47) перехвачена (8056EE68<>EB224D7 :Cool: , перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция ZwEnumerateValueKey (49) перехвачена (8057EB28<>EB224DEE), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция ZwFlushKey (4F) перехвачена (805DA2D0<>EB2249A4), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция ZwLoadKey (62) перехвачена (805AACF0<>EB224E66), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция ZwOpenFile (74) перехвачена (80570CE3<>EBC8DDAD), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\filespy.sys
Функция ZwOpenKey (77) перехвачена (80567AFB<>EB2248D6), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция ZwQueryKey (A0) перехвачена (8056EB71<>EB224DB4), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция ZwQueryValueKey (B1) перехвачена (8056B0BB<>EB224E2A), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция ZwSetValueKey (F7) перехвачена (80574C1D<>EB224AAF), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция ZwUnloadKey (107) перехвачена (8064C02B<>EB224E96), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция ZwWriteVirtualMemory (115) перехвачена (8057E5E0<>F44DEBE0), перехватчик предположительно C:\PROGRA~1\Agnitum\OUTPOS~1\kernel\FILTNT.SYS
Проверено функций: 284, перехвачено: 15, восстановлено: 0
2. Проверка памяти
 Количество найденных процессов: 33
 Количество загруженных модулей: 383
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\system32\sockspy.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\sockspy.dll>>> Нейросеть: файл с вероятностью 0.57% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINDOWS\system32\nview.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\nview.dll>>> Нейросеть: файл с вероятностью 0.22% похож на типовой перехватчик событий клавиатуры/мыши
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 В базе 320 описаний портов
 На данном ПК открыто 23 TCP портов и 23 UDP портов
 Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 416, найдено вирусов 0
Сканирование завершено в 5/16/2005 8:50:45 PM
Сканирование длилось 00:00:11

----------


## Geser

Включил противодействие. Система выжила  :Smiley: 
И монитор реестра Bitdefender отрубился  :Smiley: 

Протокол антивирусной утилиты AVZ версии 3.40
Сканирование запущено в 5/16/2005 8:53:07 PM
Загружена база: 13420 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Средний уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll :lol: oadLibraryA (57 :Cool:  перехвачена, метод APICodeHijack.JmpTo
 >>> Код руткита в функции LoadLibraryA нейтрализован
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:accept (1) перехвачена, метод APICodeHijack.JmpTo
 >>> Код руткита в функции accept нейтрализован
Функция ws2_32.dll:bind (2) перехвачена, метод APICodeHijack.JmpTo
 >>> Код руткита в функции bind нейтрализован
Функция ws2_32.dll:closesocket (3) перехвачена, метод APICodeHijack.JmpTo
 >>> Код руткита в функции closesocket нейтрализован
Функция ws2_32.dll:connect (4) перехвачена, метод APICodeHijack.JmpTo
 >>> Код руткита в функции connect нейтрализован
Функция ws2_32.dll:gethostbyname (52) перехвачена, метод APICodeHijack.JmpTo
 >>> Код руткита в функции gethostbyname нейтрализован
Функция ws2_32.dll:listen (13) перехвачена, метод APICodeHijack.JmpTo
 >>> Код руткита в функции listen нейтрализован
Функция ws2_32.dll:recvfrom (17) перехвачена, метод APICodeHijack.JmpTo
 >>> Код руткита в функции recvfrom нейтрализован
Функция ws2_32.dll:send (19) перехвачена, метод APICodeHijack.JmpTo
 >>> Код руткита в функции send нейтрализован
Функция ws2_32.dll:sendto (20) перехвачена, метод APICodeHijack.JmpTo
 >>> Код руткита в функции sendto нейтрализован
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Функция rasapi32.dll:RasDialA (21) перехвачена, метод APICodeHijack.JmpTo
 >>> Код руткита в функции RasDialA нейтрализован
Функция rasapi32.dll:RasDialW (22) перехвачена, метод APICodeHijack.JmpTo
 >>> Код руткита в функции RasDialW нейтрализован
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
 KeServiceDescriptorTable найдена (RVA=082480)
 ntoskrnl.exe обнаружен в памяти по адресу 804D7000
   KESystemDescriptorTable = 80559480
   KiST = 804E26A8,804E26A8( 284)
Функция ZwClose (19) перехвачена (80566B49<>EB224966), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция воcстановлена успешно !
Функция ZwCreateKey (29) перехвачена (8056E761<>EB22491 :Cool: , перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция воcстановлена успешно !
Функция ZwDeleteKey (3F) перехвачена (80590F78<>EB2249D2), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция воcстановлена успешно !
Функция ZwDeleteValueKey (41) перехвачена (8058E9FA<>EB224A00), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция воcстановлена успешно !
Функция ZwEnumerateKey (47) перехвачена (8056EE68<>EB224D7 :Cool: , перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция воcстановлена успешно !
Функция ZwEnumerateValueKey (49) перехвачена (8057EB28<>EB224DEE), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция воcстановлена успешно !
Функция ZwFlushKey (4F) перехвачена (805DA2D0<>EB2249A4), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция воcстановлена успешно !
Функция ZwLoadKey (62) перехвачена (805AACF0<>EB224E66), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция воcстановлена успешно !
Функция ZwOpenFile (74) перехвачена (80570CE3<>EBC8DDAD), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\filespy.sys
Функция воcстановлена успешно !
Функция ZwOpenKey (77) перехвачена (80567AFB<>EB2248D6), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция воcстановлена успешно !
Функция ZwQueryKey (A0) перехвачена (8056EB71<>EB224DB4), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция воcстановлена успешно !
Функция ZwQueryValueKey (B1) перехвачена (8056B0BB<>EB224E2A), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция воcстановлена успешно !
Функция ZwSetValueKey (F7) перехвачена (80574C1D<>EB224AAF), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция воcстановлена успешно !
Функция ZwUnloadKey (107) перехвачена (8064C02B<>EB224E96), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция воcстановлена успешно !
Функция ZwWriteVirtualMemory (115) перехвачена (8057E5E0<>F44DEBE0), перехватчик предположительно C:\PROGRA~1\Agnitum\OUTPOS~1\kernel\FILTNT.SYS
Функция воcстановлена успешно !
Проверено функций: 284, перехвачено: 15, восстановлено: 15
2. Проверка памяти
 Количество найденных процессов: 32
 Количество загруженных модулей: 368
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\system32\sockspy.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\sockspy.dll>>> Нейросеть: файл с вероятностью 0.57% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINDOWS\system32\nview.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\nview.dll>>> Нейросеть: файл с вероятностью 0.22% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINDOWS\system32\Audiodev.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\Audiodev.dll>>> Нейросеть: файл с вероятностью 0.59% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINDOWS\system32\WMVCore.DLL --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\WMVCore.DLL>>> Нейросеть: файл с вероятностью 0.57% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINDOWS\system32\nvwddi.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\nvwddi.dll>>> Нейросеть: файл с вероятностью 0.70% похож на типовой перехватчик событий клавиатуры/мыши
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 В базе 320 описаний портов
 На данном ПК открыто 17 TCP портов и 23 UDP портов
 Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 400, найдено вирусов 0
Сканирование завершено в 5/16/2005 8:53:14 PM
Сканирование длилось 00:00:06

----------


## Andrey

> Интересно, что такое C:\WINDOWS\System32\Drivers\klif.sys - уж очень он на монитор AVP похож.  Интересно, что будет, если разрешить AVZ блокировать Kernel RootKit


Так и есть Каспер.   :Smiley:  
Разрешил AVZ блокировать Kernel RootKit, нечего Каспер жив.   :Smiley:  

Ну и логи ради интереса, разумеется.   

Протокол антивирусной утилиты AVZ версии 3.40
Сканирование запущено в 16.05.2005 22:01:48
Загружена база: 13420 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Максимальный уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll :lol: oadLibraryA (57 :Cool:  перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FC4<>7C801D77
Перехватчик kernel32.dll :lol: oadLibraryA (57 :Cool:  нейтрализован
 >>> Функции LoadLibraryA - прививка процесса AVZ от перехвата подменой адреса  !!)
Функция kernel32.dll :lol: oadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FD3<>7C801D4F
Перехватчик kernel32.dll :lol: oadLibraryExA (579) нейтрализован
 >>> Функции LoadLibraryExA - прививка процесса AVZ от перехвата подменой адреса !!)
Функция kernel32.dll :lol: oadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FF1<>7C801AF1
Перехватчик kernel32.dll :lol: oadLibraryExW (580) нейтрализован
Функция kernel32.dll :lol: oadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FE2<>7C80ACD3
Перехватчик kernel32.dll :lol: oadLibraryW (581) нейтрализован
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
 KeServiceDescriptorTable найдена (RVA=082480)
 ntoskrnl.exe обнаружен в памяти по адресу 804D7000
   KESystemDescriptorTable = 80559480
   KiST = 81D77510,804E26A8( 297)
 >>> Внимание, таблица KiST перемещена !
Функция ZwClose (19) перехвачена (80566B49<>EBCCB2E0), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция воcстановлена успешно !
Функция ZwCreateProcess (2F) перехвачена (805AD314<>EBCCB000), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция воcстановлена успешно !
Функция ZwCreateProcessEx (30) перехвачена (8058041A<>EBCCB170), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция воcстановлена успешно !
Функция ZwCreateSection (32) перехвачена (8056441B<>EBCCB420), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция воcстановлена успешно !
Функция ZwCreateThread (35) перехвачена (8057B1C5<>EBCCBBAE), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция воcстановлена успешно !
Функция ZwOpenProcess (7A) перехвачена (80573C96<>EBCCAE00), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция воcстановлена успешно !
Функция ZwQueryInformationFile (97) перехвачена (8057240A<>EBCCB8EE), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция воcстановлена успешно !
Функция ZwQuerySystemInformation (AD) перехвачена (8057C4AA<>EBCCBA2E), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция воcстановлена успешно !
Функция ZwResumeThread (CE) перехвачена (8057B838<>EBCCBB8E), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция воcстановлена успешно !
Функция ZwSetInformationProcess (E4) перехвачена (8056BD05<>EBCCD950), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция воcстановлена успешно !
Функция ZwTerminateProcess (101) перехвачена (80582C2B<>EBCCB7A0), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция воcстановлена успешно !
Проверено функций: 284, перехвачено: 11, восстановлено: 11
 >> Опасно ! Обнаружена маскировка сервисов и драйверов на уровне реестра
2. Проверка памяти
 Количество найденных процессов: 22
Процесс c:\program files\kaspersky lab\kaspersky anti-virus personal\kavsvc.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,wininet.dll,u  rlmon.dll,rasapi32.dll,tapi32.dll)
Процесс c:\program files\microsoft antispyware\gcasserv.exe может работать с сетью (wininet.dll,urlmon.dll,rasapi32.dll,ws2_32.dll,ws  2help.dll,netapi32.dll,tapi32.dll)
Процесс c:\program files\kaspersky lab\kaspersky anti-virus personal\kav.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс c:\windows\system32\nvsvc32.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll)
Процесс c:\program files\avz v3.40\avz v3.40.exe может работать с сетью (ws2_32.dll,ws2help.dll,rasapi32.dll,netapi32.dll,  tapi32.dll)
 Количество загруженных модулей: 353
Проверка памяти завершена
3. Сканирование дисков
C:\Program Files\Paragon Software\Drive Backup\DBW\BM\command.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 В базе 320 описаний портов
 На данном ПК открыто 3 TCP портов и 7 UDP портов
 Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 8860, найдено вирусов 0
Сканирование завершено в 16.05.2005 22:12:40
Сканирование длилось 00:10:52

Пункты 1.1 и 1.2 шалости Каспера.  :Smiley:

----------


## azza

Попадёт теперь AVZ в Riskware.

----------


## Andrey

Пусть попробуют, шапками закидаем.  :Smiley:

----------


## Andrey

Олег, а когда появится запуск из контекстного меню, порой так не хватает для проверки отдельных (подозрительных) файлов.
Неплохо ввести "инкрементальную загрузку" обновлений (как у avast'а), хотя бы в недалекой перспективе, пока программа еще компактная, а то быстро вырастит как на дрожжах.  :Smiley:

----------


## kps

Потестил на 98-ом - полет нормальный  :Smiley:

----------


## Shu_b

Тоже добавлю свой лог:

```
Протокол антивирусной утилиты AVZ версии 3.40
Сканирование запущено в 16.05.2005 23:05:22
Загружена база: 13420 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Максимальный уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
 KeServiceDescriptorTable найдена (RVA=08A500)
 ntoskrnl.exe обнаружен в памяти по адресу 804D7000
   KESystemDescriptorTable = 80561500
   KiST = 804E48B0,804E48B0( 284)
Функция ZwCreateSection (32) перехвачена (8056CE25<>F347DF8C), перехватчик предположительно C:\WINDOWS\system32\drivers\RapDrv.sys
Функция ZwOpenSection (7D) перехвачена (8057EB3A<>F347D8F8), перехватчик предположительно C:\WINDOWS\system32\drivers\RapDrv.sys
Проверено функций: 284, перехвачено: 2, восстановлено: 0
2. Проверка памяти
 Количество найденных процессов: 28
Процесс c:\program files\iss\blackice\rapapp.exe может работать с сетью (ws2_32.dll,ws2help.dll)
Процесс c:\program files\war-ftpd\war-ftpd.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс c:\program files\drweb\drwebscd.exe может работать с сетью (wininet.dll,urlmon.dll,rasapi32.dll,ws2_32.dll,ws2help.dll,netapi32.dll,tapi32.dll)
Процесс c:\program files\iss\blackice\blackd.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс c:\program files\opera75\opera.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,wininet.dll)
Процесс c:\******\desktop\avz\avz-betta2\avz.exe может работать с сетью (ws2_32.dll,ws2help.dll,rasapi32.dll,netapi32.dll,tapi32.dll,wininet.dll)
 Количество загруженных модулей: 307
Проверка памяти завершена
3. Сканирование дисков
C:\WINDOWS\Installer\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}\IconE9F814232.chm - PE файл с нестандартным расширением(степень опасности 5%)
C:\WINDOWS\system\WINASPI.BAK - PE файл с нестандартным расширением(степень опасности 5%)
C:\WINDOWS\system\WOWPOST.BAK - PE файл с нестандартным расширением(степень опасности 5%)
C:\WINDOWS\system32\drivers\ASPI2K.BAK - PE файл с нестандартным расширением(степень опасности 5%)
C:\WINDOWS\system32\WNASPI2K.BAK - PE файл с нестандартным расширением(степень опасности 5%)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 В базе 320 описаний портов
 На данном ПК открыто 28 TCP портов и 11 UDP портов
 Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 23699, найдено вирусов 0
Сканирование завершено в 16.05.2005 23:10:23
Сканирование длилось 00:05:01

```

----------


## Михаил

...
Режим эвристического анализатора: Максимальный уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll :lol: oadLibraryA (57 :Cool:  перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FC4<>7C801D77
Функция kernel32.dll :lol: oadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FD3<>7C801D4F
Функция kernel32.dll :lol: oadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FF1<>7C801AF1
Функция kernel32.dll :lol: oadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FE2<>7C80ACD3
...
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
 KeServiceDescriptorTable найдена (RVA=082480)
 ntoskrnl.exe обнаружен в памяти по адресу 804D7000
   KESystemDescriptorTable = 80559480
   KiST = 821FE570,804E26A8( 297)
 >>> Внимание, таблица KiST перемещена !
Функция ZwClose (19) перехвачена (80566B49<>EFB64070), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateKey (29) перехвачена (8056E761<>F84FAAB0), перехватчик предположительно a347bus.sys
Функция ZwCreatePagingFile (2D) перехвачена (805B77B8<>F84EEB00), перехватчик предположительно a347bus.sys
Функция ZwCreateProcess (2F) перехвачена (805AD314<>EFB63D90), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateProcessEx (30) перехвачена (8058041A<>EFB63F00), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateSection (32) перехвачена (8056441B<>EFB641B0), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateThread (35) перехвачена (8057B1C5<>EFB647FE), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwEnumerateKey (47) перехвачена (8056EE68<>F84EF38 :Cool: , перехватчик предположительно a347bus.sys
Функция ZwEnumerateValueKey (49) перехвачена (8057EB28<>F84FABF0), перехватчик предположительно a347bus.sys
Функция ZwOpenKey (77) перехвачена (80567AFB<>F84FAA74), перехватчик предположительно a347bus.sys
Функция ZwOpenProcess (7A) перехвачена (80573C96<>EFB63B90), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwQueryInformationFile (97) перехвачена (8057240A<>EFB6469E), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwQueryKey (A0) перехвачена (8056EB71<>F84EF3A :Cool: , перехватчик предположительно a347bus.sys
Функция ZwQueryValueKey (B1) перехвачена (8056B0BB<>F84FAB46), перехватчик предположительно a347bus.sys
Функция ZwSetInformationProcess (E4) перехвачена (8056BD05<>EFB66530), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwSetSystemPowerState (F1) перехвачена (80665527<>F84FA390), перехватчик предположительно a347bus.sys
Функция ZwTerminateProcess (101) перехвачена (80582C2B<>EFB64550), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwWriteVirtualMemory (115) перехвачена (8057E5E0<>EFCB15B0), перехватчик предположительно C:\PROGRA~1\Agnitum\OUTPOS~1\kernel\FILTNT.SYS
...
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files\Logitech\MouseWare\System\LgWndHk.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Logitech\MouseWare\System\LgWndHk.dll>>> Нейросеть: файл с вероятностью 99.91% похож на типовой перехватчик событий клавиатуры/мыши
C:\Program Files\Common Files\Logitech\Scrolling\LgMsgHk.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Common Files\Logitech\Scrolling\LgMsgHk.dll>>> Нейросеть: файл с вероятностью 99.48% похож на типовой перехватчик событий клавиатуры/мыши
...

----------


## Dandy

Интересный момент:

Вот лог...
Протокол антивирусной утилиты AVZ версии 3.40
Сканирование запущено в 17.05.2005 0:16:46
Загружена база: 13420 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Максимальный уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
 KeServiceDescriptorTable найдена (RVA=082B80)
 ntoskrnl.exe обнаружен в памяти по адресу 804D7000
   KESystemDescriptorTable = 80559B80
   KiST = 804E2D20,804E2D20( 284)
Функция ZwConnectPort (1F) перехвачена (80598C34<>F7A564F2), перехватчик предположительно C:\WINDOWS\System32\Drivers\bcftdi.SYS
Функция воcстановлена успешно !
Функция ZwCreatePort (2E) перехвачена (80592699<>F7A56442), перехватчик предположительно C:\WINDOWS\System32\Drivers\bcftdi.SYS
Функция воcстановлена успешно !
Функция ZwCreateThread (35) перехвачена (8057F262<>F7A5632C), перехватчик предположительно C:\WINDOWS\System32\Drivers\bcftdi.SYS
Функция воcстановлена успешно !
Функция ZwWriteVirtualMemory (115) перехвачена (8057C123<>F7A565BE), перехватчик предположительно C:\WINDOWS\System32\Drivers\bcftdi.SYS
Функция воcстановлена успешно !
Проверено функций: 284, перехвачено: 4, восстановлено: 4
2. Проверка памяти
 Количество найденных процессов: 34
[skiped]
 Количество загруженных модулей: 368
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
[skiped]

Пока вроде бы все хорошо... Перехватчики от Jetico FW успешно нейтрализованы (Jetico продолжает жить) Но дальше выскакивает предупреждение данного FW о том, что приложение (AVZ) очень хочет обратиться к сети:
17.05.2005 0:17:01.642	Спросить 	доступ к сети 	D:\Distrib\AV\avz\avz.exe	PID: 1660; Hash: 81782A0E 5932102E ADA6A262 4AC016A0 82167827	
При выборе "блокировать автивность" получаю:

[avz log continue]
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 В базе 320 описаний портов
 На данном ПК открыто 0 TCP портов и 0 UDP портов
 Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 402, найдено вирусов 0
Сканирование завершено в 17.05.2005 0:17:15
Сканирование длилось 00:00:30

Возникает  вопрос, значит "Поиск открытых портов TCP/UDP" не защищены  анти-руткитом?

----------


## новый

Здраствуйте. Протокол антивирусной утилиты AVZ версии 3.40
Сканирование запущено в 17.05.2005 4:40:10
Загружена база: 13420 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Максимальный уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll :lol: oadLibraryA (57 :Cool:  перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FC4<>7C801D77
Функция kernel32.dll :lol: oadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FD3<>7C801D4F
Функция kernel32.dll :lol: oadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FF1<>7C801AF1
Функция kernel32.dll :lol: oadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FE2<>7C80ACD3
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
 KeServiceDescriptorTable найдена (RVA=08C500)
 ntoskrnl.exe обнаружен в памяти по адресу 804D7000
   KESystemDescriptorTable = 80563500
   KiST = 81E49A50,804E4F40( 297)
 >>> Внимание, таблица KiST перемещена !
Функция ZwClose (19) перехвачена (80570D29<>A2DFB070), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateProcess (2F) перехвачена (805B4A28<>A2DFAD90), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateProcessEx (30) перехвачена (8058B5EC<>A2DFAF00), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateSection (32) перехвачена (8056EE25<>A2DFB1B0), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateThread (35) перехвачена (80586CE6<>A2DFB7FE), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwOpenProcess (7A) перехвачена (80581C68<>A2DFAB90), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwQueryInformationFile (97) перехвачена (80580C35<>A2DFB69E), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwSetInformationProcess (E4) перехвачена (8057BDC9<>A2DFD530), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwTerminateProcess (101) перехвачена (8058CE75<>A2DFB550), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwWriteVirtualMemory (115) перехвачена (805880B7<>A2F00BE0), перехватчик предположительно C:\PROGRA~1\Agnitum\OUTPOS~1\kernel\2000\FILTNT.SY  S
Проверено функций: 284, перехвачено: 10, восстановлено: 0
2. Проверка памяти
 Количество найденных процессов: 14
Процесс c:\program files\positive technologies\startup monitor\ptstartmon.exe может работать с сетью (netapi32.dll)
Процесс e:\программы\Новая папка\avz3.40\avz-betta2\avz.exe может работать с сетью (ws2_32.dll,ws2help.dll,rasapi32.dll,netapi32.dll,  tapi32.dll)
 Количество загруженных модулей: 203
Проверка памяти завершена
3. Сканирование дисков
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\Office\1049\
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\Office\Library\
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\Office\Samples\
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\Office\Startup\
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\Office\
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\Templates\1049\
C:\Program Files\ReGetDx\regetdx.exe.bak - PE файл с нестандартным расширением(степень опасности 5%)
C:\Program Files\WinRAR\WinRAR.exe.bak - PE файл с нестандартным расширением(степень опасности 5%)
E:\программы\Новая папка\clrav\CLRAV.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 В базе 320 описаний портов
 На данном ПК открыто 2 TCP портов и 3 UDP портов
 Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 15780, найдено вирусов 0
Сканирование завершено в 17.05.2005 4:43:01
Сканирование длилось 00:02:51                                                                           
 Не могли бы подсказать,что это такое ">>> Внимание, таблица KiST перемещена !"

----------


## Михаил

> Возникает  вопрос, значит "Поиск открытых портов TCP/UDP" не защищены  анти-руткитом?


говорит о том, что фаер работает правильно - когда его отрубают, с сетью нельзя работать вообще. эх, Аутпост бы так работал

----------


## Зайцев Олег

*to новый*



> Не могли бы подсказать,что это такое ">>> Внимание, таблица KiST перемещена !"


Это означает, что некое приложение X переместило KiST (это таблица, в которой хранятся адреса ситемных функций) в памяти. Это уже само по себе является сигналом о том, что некое приложение вмешалось в работу ядра. Данное сообщение является нормой для монитор AVP и некоторых RootKit режима ядра.
*to Dandy*
Как совершенно правильно подметил *Михаил*, нарушение работы перехватчиков Firewall приводит к его противодействию разным сетевым операциям. 
*to Geser*
Я вот думаю, нужно поместить в лог предпуреждение, что после блокирования перехватчиков KernelMode нужна перезагрузка, чтобы приложения-перехватчики могли нормально восстановить свою работу.

----------


## Geser

> *to новый*
> 
> *to Geser*
> Я вот думаю, нужно поместить в лог предпуреждение, что после блокирования перехватчиков KernelMode нужна перезагрузка, чтобы приложения-перехватчики могли нормально восстановить свою работу.


Угу, а то человек с нейтрализованным антивирусом нахватаетя всякого  :Smiley:  Правда предупреждения читают 10% пользователей  :Smiley: 
Кстати, автозапуск так и не работает  :Sad:  Мож как-то выловим баг?

----------


## Dandy

> говорит о том, что фаер работает правильно - когда его отрубают, с сетью нельзя работать вообще. эх, Аутпост бы так работал


Вы не меня не правильно поняли. 
1) После того, как перехваты востановлены AVZ (в KernelMode) - работа с сетью возможна без проблем.
2) После востановления, некоторая активность (вирусоподобная) становится для FW незаметной (создание скрытого процесса, запись в память и т.п) - как и должно быть, но!

При всем при этом, при попытк AVZ получить список открытых портов, FW данную активность пресекает! Отсюда:
 На данном ПК открыто 0 TCP портов и 0 UDP портов
Хотя данный ПК - мой тестовый сервер под Eserv/3

Поэтому у меня и возникло подозрение, что 6-ой пункт работы AVZ не защищен антируткитом. Или почему тогда FW определяет (не блокирует) - спрашивает, что делать с данной активностью? (после востановления в Kernel и User mode)

----------


## Зайцев Олег

> Угу, а то человек с нейтрализованным антивирусом нахватаетя всякого  Правда предупреждения читают 10% пользователей 
> Кстати, автозапуск так и не работает  Мож как-то выловим баг?


Ну, пункт "противодействие" по умолчанию естественно отключен ... но для убедительности я покрасил его в красный цвет, при наведении мыша - грозное предупреждение во всплывающей подсказке, при запуске сканирования с противодействием - грозное предупреждение с подтверждением + сообщение в логе о надобности скорейшей перезагрузки (оно выдается, если восстановлена хотя-бы одна функция)  :Smiley:

----------


## Зайцев Олег

> Поэтому у меня и возникло подозрение, что 6-ой пункт работы AVZ не защищен антируткитом. Или почему тогда FW определяет (не блокирует) - спрашивает, что делать с данной активностью? (после востановления в Kernel и User mode)


От то защищен ... но неизвестно, на каком уровне и как Firewall блокирует эти операции - скорее всего, у него есть еще какая-то методика защиты, которую не нейтрализуцет AVZ. Большинство руткитов маскируют открываемые ими порты за счет перехвата системных функций.

----------


## Михаил

> Вы не меня не правильно поняли. 
> 1) После того, как перехваты востановлены AVZ (в KernelMode) - работа с сетью возможна без проблем.
> 2) После востановления, некоторая активность (вирусоподобная) становится для FW незаметной (создание скрытого процесса, запись в память и т.п) - как и должно быть, но!
> 
> При всем при этом, при попытк AVZ получить список открытых портов, FW данную активность пресекает! Отсюда:
>  На данном ПК открыто 0 TCP портов и 0 UDP портов


вашу идею я-то понял правильно, но подумал, что хотя активность AVZ фаер может отследить, то из-за блокировки руткита функция сканирования портов не сработала
выдаёт ли AVZ список портов, если разрешить обращение фаером?
если не выдаёт, то ближе к истине моё предположение, если выдаёт, то ваше

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Dandy

> вашу идею я-то понял правильно, но подумал, что хотя активность AVZ фаер может отследить, то из-за блокировки руткита функция сканирования портов не сработала
> выдаёт ли AVZ список портов, если разрешить обращение фаером?
> если не выдаёт, то ближе к истине моё предположение, если выдаёт, то ваше


да, выдает без вопросов

----------


## Михаил

> да, выдает без вопросов


что можно сказать, против атак изнутри ваш файрвол ещё лучше, чем я думал. об этом не стоит сильно переживать  :Smiley:

----------


## Geser

> что можно сказать, против атак изнутри ваш файрвол ещё лучше, чем я думал. об этом не стоит сильно переживать


Офтоп  :Sad:  Мож поменять файр, только продлил лицензию на Аутпост  :Sad:

----------


## Iceman

Добрый день Олег. Планируется ли в АВЗ возможность ведения лога работы? Дело в том, что начиная с некоторого времени у меня на компе (рабочем), при включении "параноидальных" настроек, все галочки выставлены - прога вылетает с кучей ошибок......

----------


## Зайцев Олег

> Добрый день Олег. Планируется ли в АВЗ возможность ведения лога работы? Дело в том, что начиная с некоторого времени у меня на компе (рабочем), при включении "параноидальных" настроек, все галочки выставлены - прога вылетает с кучей ошибок......


 Да, для я планирую ввести ключик Debug для регистрации ошибок - ввиду большого числа проверок иногда вылетают непредвиденные ошибки - они будут писаться в лог с указанием местоположения и сообщения об ошибке

----------


## HEKTO

Сначала просто сканирование:

Протокол антивирусной утилиты AVZ версии 3.40
Сканирование запущено в 5/17/2005 11:07:24 AM
Загружена база: 13420 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Максимальный уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
 KeServiceDescriptorTable найдена (RVA=080820)
 ntoskrnl.exe обнаружен в памяти по адресу 80400000
   KESystemDescriptorTable = 80480820
   KiST = 80472128,80472128( 24 :Cool: 
Функция ZwConnectPort (1B) перехвачена (804C5930<>BE7B55CD), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция ZwDeleteKey (35) перехвачена (8051206E<>BE7C9110), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция ZwDeleteValueKey (37) перехвачена (8051228A<>BE7C9070), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция ZwLoadKey (56) перехвачена (805140B0<>BE7C9190), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция ZwOpenProcess (6A) перехвачена (804DE984<>BE7C8AB0), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция ZwReplaceKey (A9) перехвачена (80514564<>BE7C9240), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция ZwRestoreKey (B4) перехвачена (80513A56<>BE7C92C0), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция ZwSecureConnectPort (B :Cool:  перехвачена (80433698<>BE7B56F5), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция ZwSetValueKey (D7) перехвачена (80513DF4<>BE7C8FC0), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Проверено функций: 248, перехвачено: 9, восстановлено: 0
2. Проверка памяти
 Количество найденных процессов: 39
Процесс d:\winnt\system32\winlogon.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll,rasapi32.dll,  tapi32.dll)
Процесс d:\winnt\system32\lsass.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll,  tapi32.dll)
Процесс d:\winnt\system32\mstask.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll,rasapi32.dll,  tapi32.dll)
Процесс d:\winnt\system32\zonelabs\vsmon.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll,  tapi32.dll,wininet.dll)
Процесс d:\program files\d-tools\daemon.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс d:\program files\zone labs\zonealarm\zlclient.exe может работать с сетью (ws2_32.dll,ws2help.dll)
Процесс c:\programs\thebat\thebat.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll,  tapi32.dll)
Процесс d:\program files\borland\starteam 6.0\starteam.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll,  tapi32.dll)
Процесс d:\program files\borland\delphi5\bin\delphi32.exe может работать с сетью (ws2_32.dll,ws2help.dll,wininet.dll)
Процесс c:\program files\opera\opera.exe может работать с сетью (ws2_32.dll,ws2help.dll,wininet.dll)
Процесс e:\downlaods\dust\avz-betta2\avz.exe может работать с сетью (ws2_32.dll,ws2help.dll,rasapi32.dll,tapi32.dll)
 Количество загруженных модулей: 529
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 В базе 320 описаний портов
 На данном ПК открыто 24 TCP портов и 11 UDP портов
 Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 568, найдено вирусов 0
Сканирование завершено в 5/17/2005 11:07:35 AM
Сканирование длилось 00:00:11


А теперь с нетрализацией:

Протокол антивирусной утилиты AVZ версии 3.40
Сканирование запущено в 5/17/2005 11:07:54 AM
Загружена база: 13420 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Максимальный уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
 KeServiceDescriptorTable найдена (RVA=080820)
 ntoskrnl.exe обнаружен в памяти по адресу 80400000
   KESystemDescriptorTable = 80480820
   KiST = 80472128,80472128( 24 :Cool: 
Функция ZwConnectPort (1B) перехвачена (804C5930<>BE7B55CD), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция воcстановлена успешно !
Функция ZwDeleteKey (35) перехвачена (8051206E<>BE7C9110), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция воcстановлена успешно !
Функция ZwDeleteValueKey (37) перехвачена (8051228A<>BE7C9070), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция воcстановлена успешно !
Функция ZwLoadKey (56) перехвачена (805140B0<>BE7C9190), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция воcстановлена успешно !
Функция ZwOpenProcess (6A) перехвачена (804DE984<>BE7C8AB0), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция воcстановлена успешно !
Функция ZwReplaceKey (A9) перехвачена (80514564<>BE7C9240), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция воcстановлена успешно !
Функция ZwRestoreKey (B4) перехвачена (80513A56<>BE7C92C0), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция воcстановлена успешно !
Функция ZwSecureConnectPort (B :Cool:  перехвачена (80433698<>BE7B56F5), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция воcстановлена успешно !
Функция ZwSetValueKey (D7) перехвачена (80513DF4<>BE7C8FC0), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция воcстановлена успешно !
Проверено функций: 248, перехвачено: 9, восстановлено: 9
 >> Опасно ! Обнаружена маскировка сервисов и драйверов на уровне реестра
 >>>> Подозрение на RootKit ACPI D:\WINNT\system32\DRIVERS\ACPI.sys
 >>>> Подозрение на RootKit ALCXWDM D:\WINNT\system32\drivers\ALCXWDM.SYS
 >>>> Подозрение на RootKit BITS D:\WINNT\System32\svchost.exe -k BITSgroup
 >>>> Подозрение на RootKit DbgProxy D:\Program Files\Microsoft Visual Studio .NET\Common7\Packages\Debugger\dbgproxy.exe
 >>>> Подозрение на RootKit dmadmin D:\WINNT\System32\dmadmin.exe /com
 >>>> Подозрение на RootKit dmboot D:\WINNT\system32\drivers\dmboot.sys
 >>>> Подозрение на RootKit dmio D:\WINNT\system32\DRIVERS\dmio.sys
 >>>> Подозрение на RootKit DNSFILT c:\programs\atguard\DNSFILT.SYS
 >>>> Подозрение на RootKit drwebnet D:\WINNT\system32\drivers\drwebnet.sys
 >>>> Подозрение на RootKit EventSystem D:\WINNT\System32\svchost.exe -k netsvcs
 >>>> Подозрение на RootKit FirebirdServerDefaultInstance D:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe -s
 >>>> Подозрение на RootKit Ftdisk D:\WINNT\system32\DRIVERS\ftdisk.sys
 >>>> Подозрение на RootKit FWFILT c:\programs\atguard\FWFILT.SYS
 >>>> Подозрение на RootKit HTTPFILT c:\programs\atguard\HTTPFILT.SYS
 >>>> Подозрение на RootKit i8042prt D:\WINNT\system32\DRIVERS\i8042prt.sys
 >>>> Подозрение на RootKit Iamdrv c:\programs\atguard\iamdrv.sys
 >>>> Подозрение на RootKit IAS D:\WINNT\System32\svchost.exe -k netsvcs
 >>>> Подозрение на RootKit isapnp D:\WINNT\system32\DRIVERS\isapnp.sys
 >>>> Подозрение на RootKit Kbdclass D:\WINNT\system32\DRIVERS\kbdclass.sys
 >>>> Подозрение на RootKit kdc D:\WINNT\System32\lsass.exe
 >>>> Подозрение на RootKit MDM "D:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe"
 >>>> Подозрение на RootKit Mouclass D:\WINNT\system32\DRIVERS\mouclass.sys
 >>>> Подозрение на RootKit mouhid D:\WINNT\system32\DRIVERS\mouhid.sys
 >>>> Подозрение на RootKit MSIServer D:\WINNT\system32\msiexec.exe /V
 >>>> Подозрение на RootKit MSSEARCH "D:\Program Files\Common Files\System\MSSearch\Bin\mssearch.exe"
 >>>> Подозрение на RootKit NDISFILT c:\programs\atguard\NDISFILT.SYS
 >>>> Подозрение на RootKit NetDDE D:\WINNT\system32\netdde.exe
 >>>> Подозрение на RootKit NetDDEdsdm D:\WINNT\system32\netdde.exe
 >>>> Подозрение на RootKit Netlogon D:\WINNT\System32\lsass.exe
 >>>> Подозрение на RootKit Netman D:\WINNT\System32\svchost.exe -k netsvcs
 >>>> Подозрение на RootKit NPF D:\WINNT\system32\drivers\npf.sys
 >>>> Подозрение на RootKit NtLmSsp D:\WINNT\System32\lsass.exe
 >>>> Подозрение на RootKit NtmsSvc D:\WINNT\System32\svchost.exe -k netsvcs
 >>>> Подозрение на RootKit nvatabus D:\WINNT\system32\DRIVERS\nvatabus.sys
 >>>> Подозрение на RootKit nvax D:\WINNT\system32\drivers\nvax.sys
 >>>> Подозрение на RootKit NVENETFD D:\WINNT\system32\DRIVERS\NVENETFD.sys
 >>>> Подозрение на RootKit nvnetbus D:\WINNT\system32\DRIVERS\nvnetbus.sys
 >>>> Подозрение на RootKit oad D:\PROGRA~1\Borland\vbroker\bin\oad.exe
 >>>> Подозрение на RootKit osagent D:\PROGRA~1\Borland\vbroker\bin\osagent.exe
 >>>> Подозрение на RootKit ousb2hub D:\WINNT\system32\DRIVERS\ousb2hub.sys
 >>>> Подозрение на RootKit ousbehci D:\WINNT\system32\Drivers\ousbehci.sys
 >>>> Подозрение на RootKit Parallel D:\WINNT\system32\DRIVERS\parallel.sys
 >>>> Подозрение на RootKit Parport D:\WINNT\system32\DRIVERS\parport.sys
 >>>> Подозрение на RootKit PCI D:\WINNT\system32\DRIVERS\pci.sys
 >>>> Подозрение на RootKit PCIIde D:\WINNT\system32\DRIVERS\pciide.sys
 >>>> Подозрение на RootKit PolicyAgent D:\WINNT\System32\lsass.exe
 >>>> Подозрение на RootKit RasAuto D:\WINNT\System32\svchost.exe -k netsvcs
 >>>> Подозрение на RootKit RasMan D:\WINNT\System32\svchost.exe -k netsvcs
 >>>> Подозрение на RootKit redbook D:\WINNT\system32\DRIVERS\redbook.sys
 >>>> Подозрение на RootKit RemoteAccess D:\WINNT\System32\svchost.exe -k netsvcs
 >>>> Подозрение на RootKit rpcapd "%ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini"
 >>>> Подозрение на RootKit RpcSs D:\WINNT\system32\svchost -k rpcss
 >>>> Подозрение на RootKit RSVP D:\WINNT\System32\rsvp.exe -s
 >>>> Подозрение на RootKit rtl8139 D:\WINNT\system32\DRIVERS\RTL8139.SYS
 >>>> Подозрение на RootKit SamSs D:\WINNT\system32\lsass.exe
 >>>> Подозрение на RootKit Schedule D:\WINNT\system32\MSTask.exe
 >>>> Подозрение на RootKit SENS D:\WINNT\system32\svchost.exe -k netsvcs
 >>>> Подозрение на RootKit Serial D:\WINNT\system32\DRIVERS\serial.sys
 >>>> Подозрение на RootKit SharedAccess D:\WINNT\System32\svchost.exe -k netsvcs
 >>>> Подозрение на RootKit SPIDER C:\Programs\DrWebSrv\spider.sys
 >>>> Подозрение на RootKit st3tgbus D:\WINNT\system32\DRIVERS\st3tgbus.sys
 >>>> Подозрение на RootKit st3tiger D:\WINNT\system32\DRIVERS\st3tiger.sys
 >>>> Подозрение на RootKit TapiSrv D:\WINNT\System32\svchost.exe -k tapisrv
 >>>> Подозрение на RootKit Tcpip D:\WINNT\system32\DRIVERS\tcpip.sys
 >>>> Подозрение на RootKit Visual Studio Analyzer RPC bridge D:\Program Files\Microsoft Visual Studio .NET\Common7\Tools\Analyzer\varpc.exe
 >>>> Подозрение на RootKit VMAuthdService D:\Program Files\VMware\VMware Workstation\vmware-authd.exe
 >>>> Подозрение на RootKit VMnetBridge D:\WINNT\system32\DRIVERS\vmnetbridge.sys
 >>>> Подозрение на RootKit VMnetuserif D:\WINNT\System32\drivers\vmnetuserif.sys
 >>>> Подозрение на RootKit vsdatant D:\WINNT\system32\vsdatant.sys
 >>>> Подозрение на RootKit vsmon D:\WINNT\system32\ZoneLabs\vsmon.exe -service
 >>>> Подозрение на RootKit WINIO G:\DRIVER\Audio\winio.sys
 >>>> Подозрение на RootKit WinProxy C:\Programs\WinProxy\WinProxy.exe
 >>>> Подозрение на RootKit wuauserv D:\WINNT\system32\svchost.exe -k wugroup
 >>>> Подозрение на RootKit WZCSVC D:\WINNT\System32\svchost.exe -k netsvcs
2. Проверка памяти
 Количество найденных процессов: 39
Процесс d:\winnt\system32\winlogon.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll,rasapi32.dll,  tapi32.dll)
Процесс d:\winnt\system32\lsass.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll,  tapi32.dll)
Процесс d:\winnt\system32\mstask.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll,rasapi32.dll,  tapi32.dll)
Процесс d:\winnt\system32\zonelabs\vsmon.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll,  tapi32.dll,wininet.dll)
Процесс d:\program files\d-tools\daemon.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс d:\program files\zone labs\zonealarm\zlclient.exe может работать с сетью (ws2_32.dll,ws2help.dll)
Процесс c:\programs\thebat\thebat.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll,  tapi32.dll)
Процесс d:\program files\borland\starteam 6.0\starteam.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll,  tapi32.dll)
Процесс d:\program files\borland\delphi5\bin\delphi32.exe может работать с сетью (ws2_32.dll,ws2help.dll,wininet.dll)
Процесс c:\program files\opera\opera.exe может работать с сетью (ws2_32.dll,ws2help.dll,wininet.dll)
Процесс e:\downlaods\dust\avz-betta2\avz.exe может работать с сетью (ws2_32.dll,ws2help.dll,rasapi32.dll,tapi32.dll,ne  tapi32.dll)
 Количество загруженных модулей: 529
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
D:\WINNT\system32\NTDSAPI.dll --> Подозрение на Keylogger или троянскую DLL
D:\WINNT\system32\NTDSAPI.dll>>> Нейросеть: файл с вероятностью 0.55% похож на типовой перехватчик событий клавиатуры/мыши
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 В базе 320 описаний портов
 На данном ПК открыто 26 TCP портов и 11 UDP портов
 Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 568, найдено вирусов 0
Сканирование завершено в 5/17/2005 11:08:02 AM
Сканирование длилось 00:00:08


Система W2kSP4 + все хотфиксы. Антивирус - DrWeb 4.32b, firewall - ZoneAlarm Pro version:5.5.062.004

Похоже все сервисы в подозрительные попали  :Sad:

----------


## Iceman

Спасибо! ждём'с  :Smiley:

----------


## RobinFood

1. Огромное спасибо за новую версию!
2. Несколько вопросов:
2.1. Почему так:
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\Office\
?
2.2. В данном случае 
Функция ZwUnloadKey (E4) перехвачена (805140C2->EB55263C), перехватчик D:\WINNT\system32\Drivers\uphcleanhlp.sys
в отличие от большинства (или даже всех) присланных логов отсутствует слово "предположительно". Почему так? (Зачем нужен uphcleanhlp, я в курсе).
2.3. В одном из выложенных логов присутствует такая строка:
>> Опасно ! Обнаружена маскировка сервисов и драйверов на уровне реестра
Что она означает?

----------


## Зайцев Олег

> Сначала просто сканирование:
> 
> .....
> >>> Подозрение на RootKit WZCSVC D:\WINNT\System32\svchost.exe - ......
> 
> Похоже все сервисы в подозрительные попали


Это глюк анализатора - сейчас у меня на сайте лежит обновленный архив, там этот баг вроде как поправлен. Тем не менее стоит включать продиводействие сразу на обоих уровнях (Kernel и User), иначе анализатор шалит

*RobinFood*
Слово "предположительно" удалено в апдейте от сегодняшнего утра (AVZ знает перехватчик наверняка, или не знает - тогда сообщение "не удалось обнаружить").


> >> Опасно ! Обнаружена маскировка сервисов и драйверов на уровне реестра


Нужно включать продиводействие сразу на обоих уровнях (Kernel и User), тогда это пропадет - анализатор немного шалит ...



> C:\Program Files\Microsoft Office\Office\


Возможно, что-то с правами доступа ...

----------


## RobinFood

мини-баг:
Если в диспетчере сервисов открыть закладку "Сервисы (по анализу реестра)", выбрать сервис и нажать на кнопку "Удалить сервис", то вместо него будет удален сервис, который был выбран на закладке "Сервисы (по данным API)".

----------


## HEKTO

> Это глюк анализатора - сейчас у меня на сайте лежит обновленный архив, там этот баг вроде как поправлен. Тем не менее стоит включать продиводействие сразу на обоих уровнях (Kernel и User), иначе анализатор шалит


Так на User-Mode ничего подозрительного не было - вот и не включал. OK, будем знать.




> Возможно, что-то с правами доступа ...


Нет, с доступом все в порядке. У меня тоже несколько таких ошибок было вчера. Поставил диск С: на проверку и в 3-х - 4-х каталогах такое вылезло. Сам диск не системный (система на D:\WinNT, см. лог выше), и FAT32. Так что неувязки с правами точно исключаются.

Вот пример лога нового лога (после нейтрализации Kernel-Mode Rootkit не перезагружался):

Протокол антивирусной утилиты AVZ версии 3.40
Сканирование запущено в 5/17/2005 11:53:14 AM
Загружена база: 13420 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Максимальный уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
 KeServiceDescriptorTable найдена (RVA=080820)
 ntoskrnl.exe обнаружен в памяти по адресу 80400000
   SDT = 80480820
   KiST = 80472128 (24 :Cool: 
Проверено функций: 248, перехвачено: 0, восстановлено: 0
2. Проверка памяти
 Количество найденных процессов: 38
Процесс d:\winnt\system32\winlogon.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll,rasapi32.dll,  tapi32.dll)
Процесс d:\winnt\system32\lsass.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll,  tapi32.dll)
Процесс d:\winnt\system32\mstask.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll,rasapi32.dll,  tapi32.dll)
Процесс d:\winnt\system32\zonelabs\vsmon.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll,  tapi32.dll,wininet.dll)
Процесс d:\program files\d-tools\daemon.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс d:\program files\zone labs\zonealarm\zlclient.exe может работать с сетью (ws2_32.dll,ws2help.dll)
Процесс c:\programs\thebat\thebat.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll,  tapi32.dll)
Процесс d:\program files\borland\starteam 6.0\starteam.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll,  tapi32.dll)
Процесс d:\program files\borland\delphi5\bin\delphi32.exe может работать с сетью (ws2_32.dll,ws2help.dll,wininet.dll)
Процесс c:\program files\opera\opera.exe может работать с сетью (ws2_32.dll,ws2help.dll,wininet.dll)
Процесс e:\downlaods\dust\avz-betta3\avz.exe может работать с сетью (ws2_32.dll,ws2help.dll,rasapi32.dll,tapi32.dll)
 Количество загруженных модулей: 528
Проверка памяти завершена
3. Сканирование дисков
C:\Programs\DRWEB\Infected.!!!\main1.chm>>>>> Вирус !! TrojanDownloader.JS.Psyme.v
<много вирусов из Infected.!!! пропущено>
Ошибка при сканировании каталога C:\Programs\TheBat\MAIL\Bas\Attach\
C:\Programs\TheBat\MAIL\Gorokhov\Attach\MSO-Patch-0071.exe>>>>> Вирус !! I-Worm.Avron.b
C:\Programs\DrWebSrv\infected.!!!\A0361946.dll>>>>  > Вирус !! TrojanDownloader.Win32.IstBar.dh
<много вирусов из Infected.!!! пропущено>
Ошибка при сканировании каталога C:\Programs\DrWebSrv\infected.!!!\
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 В базе 320 описаний портов
 На данном ПК открыто 27 TCP портов и 11 UDP портов
 Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 4484, найдено вирусов 113
Сканирование завершено в 5/17/2005 11:54:02 AM
Сканирование длилось 00:00:48

----------


## anton_dr

У меня тоже вылазит

3. Сканирование дисков
Ошибка при сканировании каталога G:\Program Files\Microsoft Office\Office\1049\

и т.п.
с версией 3.20 никаких ошибок не было

----------


## парень

Протокол антивирусной утилиты AVZ версии 3.40
Сканирование запущено в 17.05.2005 12:54:08
Загружена база: 13420 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Средний уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
 KeServiceDescriptorTable найдена (RVA=080820)
 ntoskrnl.exe обнаружен в памяти по адресу 80400000
   KESystemDescriptorTable = 80480820
   KiST = 80472128,80472128( 24 :Cool: 
Функция ZwAllocateVirtualMemory (10) перехвачена (804C9B2C<>EB5A2B30), перехватчик предположительно C:\WINNT\system32\drivers\wpsdrvnt.sys
Функция ZwConnectPort (1B) перехвачена (804C5930<>E155348 :Cool: , перехватчик обнаружить не удалось
Функция ZwCreateThread (2E) перехвачена (804E1488<>EB5A26F0), перехватчик предположительно C:\WINNT\system32\drivers\wpsdrvnt.sys
Функция ZwMapViewOfSection (5D) перехвачена (804CFF06<>EB5A2470), перехватчик предположительно C:\WINNT\system32\drivers\wpsdrvnt.sys
Функция ZwProtectVirtualMemory (77) перехвачена (804D2940<>EB5A2C50), перехватчик предположительно C:\WINNT\system32\drivers\wpsdrvnt.sys
Функция ZwShutdownSystem (D9) перехвачена (80490348<>EB5A2990), перехватчик предположительно C:\WINNT\system32\drivers\wpsdrvnt.sys
Функция ZwTerminateProcess (E0) перехвачена (804E312C<>EB5A28D0), перехватчик предположительно C:\WINNT\system32\drivers\wpsdrvnt.sys
Функция ZwWriteVirtualMemory (F0) перехвачена (804D4484<>EB5A2D60), перехватчик предположительно C:\WINNT\system32\drivers\wpsdrvnt.sys
Проверено функций: 248, перехвачено: 8, восстановлено: 0
2. Проверка памяти
 Количество найденных процессов: 25
 Количество загруженных модулей: 330
Проверка памяти завершена
3. Сканирование дисков
Ошибка при сканировании каталога C:\Documents and Settings\админс\Рабочий стол\ломать не строить\
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINNT\system32\SSSensor.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINNT\system32\SSSensor.dll>>> Нейросеть: файл с вероятностью 99.86% похож на типовой перехватчик событий клавиатуры/мыши
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 В базе 320 описаний портов
 На данном ПК открыто 10 TCP портов и 13 UDP портов
 Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 20452, найдено вирусов 0
Сканирование завершено в 17.05.2005 13:05:26
Сканирование длилось 00:11:18

тоже ошибка на папке...
И фаирвольный SSSensor.dll не добавили в список безопасных )))

----------


## ALEX(XX)

Протокол антивирусной утилиты AVZ версии 3.40
Сканирование запущено в 17.05.2005 11:05:21
Загружена база: 13420 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Максимальный уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
 KeServiceDescriptorTable найдена (RVA=080820)
 ntoskrnl.exe обнаружен в памяти по адресу 80400000
   SDT = 80480820
   KiST = 80472128 (24 :Cool: 
Функция ZwConnectPort (1B) перехвачена (804C5930->8163240 :Cool: , перехватчик не определен
Функция ZwOpenProcess (6A) перехвачена (804DE984->815BC14 :Cool: , перехватчик не определен
Функция ZwOpenThread (6F) перехвачена (804DEC44->8181192 :Cool: , перехватчик не определен
Проверено функций: 248, перехвачено: 3, восстановлено: 0
2. Проверка памяти
 Количество найденных процессов: 25
Процесс c:\program files\common files\symantec shared\sndsrvc.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll,  tapi32.dll)
Процесс c:\program files\common files\symantec shared\spbbc\spbbcsvc.exe может работать с сетью (ws2_32.dll,ws2help.dll)
Процесс c:\program files\common files\symantec shared\ccsetmgr.exe может работать с сетью (ws2_32.dll,ws2help.dll,tapi32.dll,netapi32.dll)
Процесс c:\program files\common files\symantec shared\ccevtmgr.exe может работать с сетью (ws2_32.dll,ws2help.dll,tapi32.dll,netapi32.dll)
Процесс c:\program files\common files\symantec shared\ccproxy.exe может работать с сетью (ws2_32.dll,ws2help.dll)
Процесс c:\program files\norton systemworks\norton antivirus\navapsvc.exe может работать с сетью (ws2_32.dll,ws2help.dll)
Процесс c:\program files\wingate\wingate.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll,  tapi32.dll)
Процесс c:\program files\common files\symantec shared\ccapp.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,wininet.dll,r  asapi32.dll,tapi32.dll)
Процесс d:\programm\avz-betta3\avz.exe может работать с сетью (ws2_32.dll,ws2help.dll,rasapi32.dll,tapi32.dll)
 Количество загруженных модулей: 286
Проверка памяти завершена
3. Сканирование дисков
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\Office\Startup\
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\Office\
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\Templates\1049\
C:\Program Files\Mozilla Firefox\.autoreg - Файл не имеет видимого имени(степень опасности 15%)
C:\WINNT\$NtServicePackUninstall$\diskcomp.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
C:\WINNT\$NtServicePackUninstall$\diskcopy.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
C:\WINNT\$NtServicePackUninstall$\format.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
Ошибка при сканировании каталога D:\ALEX(XX)\work\Docs\Programming\VB Algorithms\
Ошибка при сканировании каталога D:\ALEX(XX)\work\Radio\Sprav\
D:\INSTALL\Graph\Corel\Corel 11\Documentation\.DS_Store - Файл не имеет видимого имени(степень опасности 15%)
D:\INSTALL\Graph\Corel\Corel 11\Program Files\.DS_Store - Файл не имеет видимого имени(степень опасности 15%)
D:\INSTALL\Graph\Corel\Corel 11\Program Files\Corel\.DS_Store - Файл не имеет видимого имени(степень опасности 15%)
D:\INSTALL\Graph\Corel\Corel 11\Program Files\Corel\Corel Graphics 11\.DS_Store - Файл не имеет видимого имени(степень опасности 15%)
D:\INSTALL\Graph\Corel\Corel 11\Program Files\Corel\Corel Graphics 11\Custom Data\.DS_Store - Файл не имеет видимого имени(степень опасности 15%)
D:\INSTALL\Graph\Corel\Corel 11\Program Files\Corel\Corel Graphics 11\Custom Data\Layouts\.DS_Store - Файл не имеет видимого имени(степень опасности 15%)
D:\INSTALL\Graph\Corel\Corel 11\Program Files\Corel\Corel Graphics 11\Programs\.DS_Store - Файл не имеет видимого имени(степень опасности 15%)
D:\INSTALL\Graph\Corel\Corel 11\Program Files\Corel\Corel Graphics 11\Workspace\.DS_Store - Файл не имеет видимого имени(степень опасности 15%)
D:\INSTALL\Graph\Corel\Corel 11\Program Files\Corel\Corel Graphics 11\Workspace\Corel R.A.V.E.2\.DS_Store - Файл не имеет видимого имени(степень опасности 15%)
D:\INSTALL\Graph\Corel\Corel 11\Program Files\Corel\Corel Graphics 11\Workspace\Corel R.A.V.E.2\Macromedia(R)Flash(TM)\.DS_Store - Файл не имеет видимого имени(степень опасности 15%)
Ошибка при сканировании каталога D:\INSTALL\Prog\MathCad\MATHCAD V11.A ENTERPRISE\Mathcad\program files\Mathsoft\Mathcad 11 Enterprise Edition\QSHEET\SAMPLES\EXCEL\
Ошибка при сканировании каталога D:\INSTALL\Prog\MathCad\MathCAD_2001\program files\MathSoft\Mathcad 2001 Professional\SAMPLES\EXCEL\
D:\INSTALL\Prog\Net\ICQ\.jpg - Файл не имеет видимого имени(степень опасности 15%)
Ошибка при сканировании каталога D:\INSTALL\Prog\OfficePrograms\ACCOUNT\exel\
Ошибка при сканировании каталога D:\INSTALL\Prog\OfficePrograms\FineReader\FineRead  er60CorporateEdition\program files\ABBYY FineReader 6.0\
Ошибка при сканировании каталога D:\INSTALL\Prog\OfficePrograms\OFF_2000.RUS\Office  2000\PFILES\MSOFFICE\OFFICE\1049\
Ошибка при сканировании каталога D:\INSTALL\Prog\OfficePrograms\OFF_2000.RUS\Office  2000\PFILES\MSOFFICE\OFFICE\LIBRARY\
Ошибка при сканировании каталога D:\INSTALL\Prog\OfficePrograms\OFF_2000.RUS\Office  2000\PFILES\MSOFFICE\OFFICE\MACROS\
Ошибка при сканировании каталога D:\INSTALL\Prog\OfficePrograms\OFF_2000.RUS\Office  2000\PFILES\MSOFFICE\OFFICE\SAMPLES\
Ошибка при сканировании каталога D:\INSTALL\Prog\OfficePrograms\OFF_2000.RUS\Office  2000\PFILES\MSOFFICE\OFFICE\STARTUP\
Ошибка при сканировании каталога D:\INSTALL\Prog\OfficePrograms\OFF_2000.RUS\Office  2000\PFILES\MSOFFICE\OFFICE\
Ошибка при сканировании каталога D:\INSTALL\Prog\OfficePrograms\OFF_2000.RUS\Office  2000\PFILES\MSOFFICE\TEMPLATE\1049\
D:\INSTALL\Prog\Translate\SocratPersonal\.jpg - Файл не имеет видимого имени(степень опасности 15%)
D:\INSTALL\Security\antivir\Other\AVG ANTIVIRUS SUITE V6.367\SUPPORT\FILES\rmnavida.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\Security\antivir\Other\AVG ANTIVIRUS SUITE V6.367\SUPPORT\FILES\rmsircam.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\Security\antivir\Other\AVG ANTIVIRUS SUITE V6.367\SUPPORT\FILES\rmveronb.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\Security\FireWall\Norton\2002\Norton Internet Security 2002 v4.0 WiN32\Support\NAVTools\Repair\fixnavid.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\Security\FireWall\Norton\2002\Norton Internet Security 2002 v4.0 WiN32\Support\NAVTools\Repair\FixSirc.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\Security\FireWall\Norton\2004\INTERNET SECURITY PRO 2004\SUPPORT\NAVTOOLS\REPAIR\KLEZ\FIXKLEZ.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\Security\Norton\NortonSystemWorks2003\S  upport\NAVTools\Repair\FixKlez.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\Security\Norton\NortonSystemWorks2003\S  upport\NAVTools\Repair\Fixmagi.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\Security\Norton\NortonSystemWorks2003\S  upport\NAVTools\Repair\FIXNAVID.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\Security\Norton\NortonSystemWorks2003\S  upport\NAVTools\Repair\FIXNIMDA.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\Security\Norton\NortonSystemWorks2003\S  upport\NAVTools\Repair\FixSirc.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\Security\Norton\NortonSystemWorks2003\S  upport\NAVTools\Repair\FixYaha.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\Security\Norton\NortonSystemWorks2003\S  upport\NAVTools\Repair\FXNIMDAE.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\System\HDD\PartitionMagic6\BTMAGIC\OS2D  OS\FORMAT.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\System\HDD\PartitionMagic6\WINDOWS\RESC  UEME\OS2DOS\COMMAND.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\System\HDD\PartitionMagic6\WINDOWS\RESC  UEME\OS2DOS\FDISK.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\System\HDD\PartitionMagic6\WINDOWS\RESC  UEME\OS2DOS\KEYB.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\System\HDD\PartitionMagic6\WINDOWS\RESC  UEME\OS2DOS\MODE.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
E:\Для слива\russia.INF>>>>> Вирус !! TrojanClicker.Win32.Adpower.g 
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 В базе 320 описаний портов
 На данном ПК открыто 94 TCP портов и 16 UDP портов
 Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 81670, найдено вирусов 1
Сканирование завершено в 17.05.2005 11:38:56
Сканирование длилось 00:33:35

Тоже ошибки при сканировании разных каталогов  :Sad:

----------


## Зайцев Олег

да, ошибка при сканировании судя по всему какой-то баг или свежеподключенной диагностики ошибок. Я сейчас поставлю опыты ... 
SSSensor.dll - мое упущение, действительно не добавлен

----------


## HEKTO

Сканирование с сетевых ресурсов по прежнему не работает - в начале пути одиночный слеш: 'Cannot open file \\localhost\distr\avz-betta3\bases\main.avz'

----------


## HEKTO

Протокол антивирусной утилиты AVZ версии 3.40
Сканирование запущено в 5/17/2005 1:45:27 PM
Загружена база: 13420 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Максимальный уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:ControlTraceA (69) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87DBB2<>77F6D53A
Функция advapi32.dll:ControlTraceW (70) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C805265<>77F6D551
Функция advapi32.dll:CreateTraceInstanceId (104) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87E88C<>77F6D568
Функция advapi32.dll:EnableTrace (204) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D7D<>77F6D587
Функция advapi32.dll:EnumerateTraceGuids (216) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C83D859<>77F6D59C
Функция advapi32.dll:FlushTraceA (223) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87EA3A<>77F6D5B9
Функция advapi32.dll:FlushTraceW (224) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87F8FC<>77F6D5CE
Функция advapi32.dll:GetTraceEnableFlags (285) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801F23<>77F6D5E3
Функция advapi32.dll:GetTraceEnableLevel (286) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801EE9<>77F6D600
Функция advapi32.dll:GetTraceLoggerHandle (287) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801E71<>77F6D61D
Функция advapi32.dll:QueryAllTracesA (442) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87F89C<>77F6D63B
Функция advapi32.dll:QueryAllTracesW (443) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C83D83B<>77F6D654
Функция advapi32.dll:QueryTraceA (454) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87E9D7<>77F6D66D
Функция advapi32.dll:QueryTraceW (455) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801F5D<>77F6D682
Функция advapi32.dll:RegisterTraceGuidsA (529) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C83F961<>77F6D697
Функция advapi32.dll:RegisterTraceGuidsW (530) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80D82F<>77F6D6B4
Функция advapi32.dll:StartTraceA (590) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87EDE0<>77F6D6D1
Функция advapi32.dll:StartTraceW (591) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C8024C7<>77F6D6E6
Функция advapi32.dll:StopTraceA (592) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87E9F8<>77F6D6FB
Функция advapi32.dll:StopTraceW (593) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87F8BA<>77F6D70F
Функция advapi32.dll:TraceEvent (632) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C804FF1<>77F6D723
Функция advapi32.dll:TraceEventInstance (633) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87E36B<>77F6D737
Функция advapi32.dll:TraceMessage (634) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87EC69<>77F6D753
Функция advapi32.dll:TraceMessageVa (635) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87ECF8<>77F6D769
Функция advapi32.dll:UnregisterTraceGuids (643) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C83F0D2<>77F6D781
Функция advapi32.dll:UpdateTraceA (644) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87EA19<>77F6D79F
Функция advapi32.dll:UpdateTraceW (645) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87F8DB<>77F6D7B5
Функция advapi32.dll:WmiNotificationRegistrationA (663) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87F91D<>77F6D7CB
Функция advapi32.dll:WmiNotificationRegistrationW (664) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C804DC9<>77F6D7EE
Функция advapi32.dll:WmiReceiveNotificationsA (677) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87F945<>77F6D811
Функция advapi32.dll:WmiReceiveNotificationsW (67 :Cool:  перехвачена, метод ProcAddressHijack.GetProcAddress ->7C803D4F<>77F6D830
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
 KeServiceDescriptorTable найдена (RVA=0A83A0)
 ntoskrnl.exe обнаружен в памяти по адресу 000000
   SDT = 8089F460
   KiST = 80830BB4 (296)
 >>> Внимание, таблица KiST перемещена ! (0278FC(296)->80830BB4(296))
Функция ZwAcceptConnectPort (00) перехвачена (11659A->80917510), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAccessCheck (01) перехвачена (1278B5->80962516), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAccessCheckAndAuditAlarm (02) перехвачена (0FF485->809667CE), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAccessCheckByType (03) перехвачена (1008A2->8096254 :Cool: , перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAccessCheckByTypeAndAuditAlarm (04) перехвачена (127FB4->8096680 :Cool: , перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAccessCheckByTypeResultList (05) перехвачена (1A267E->8096257E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAccessCheckByTypeResultListAndAuditAlarm (06) перехвачена (1A4CF1->8096684C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAccessCheckByTypeResultListAndAuditAlarmByHandle (07) перехвачена (1A4D3A->80966890), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAddAtom (0 :Cool:  перехвачена (1278E6->8098924 :Cool: , перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAddBootEntry (09) перехвачена (1B3381->8098A200), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAddDriverEntry (0A) перехвачена (1B3381->8098A200), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAdjustGroupsToken (0B) перехвачена (1A1E6C->8095DA44), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAdjustPrivilegesToken (0C) перехвачена (124F83->8095D69 :Cool: , перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAlertResumeThread (0D) перехвачена (198BC4->80945E8E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAlertThread (0E) перехвачена (1022F9->80945E3E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAllocateLocallyUniqueId (0F) перехвачена (0F9E9A->80989616), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAllocateUserPhysicalPages (10) перехвачена (18F91A->80927E5E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAllocateUuids (11) перехвачена (1B2607->80988DA6), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAllocateVirtualMemory (12) перехвачена (02FE8F->80840014), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwApphelpCacheControl (13) перехвачена (118884->8098CBB1), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAreMappedFilesTheSame (14) перехвачена (18E300->8092357 :Cool: , перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAssignProcessToJobObject (15) перехвачена (0E2962->8094838 :Cool: , перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCallbackReturn (16) перехвачена (027F20->8082DDE4), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCancelDeviceWakeupRequest (17) перехвачена (194EDB->80938550), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCancelIoFile (1 :Cool:  перехвачена (0E827D->808E35C2), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCancelTimer (19) перехвачена (0367C4->8087A850), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwClearEvent (1A) перехвачена (12D22E->80981CB2), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwClose (1B) перехвачена (105558->8092B790), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCloseObjectAuditAlarm (1C) перехвачена (127F7A->80966CF :Cool: , перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCompactKeys (1D) перехвачена (16CC50->808B1172), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCompareTokens (1E) перехвачена (1289F1->8096AF1E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCompleteConnectPort (1F) перехвачена (116446->80917E0C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCompressKey (20) перехвачена (16CEC0->808B13C :Cool: , перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwConnectPort (21) перехвачена (112925->809174B0), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwContinue (22) перехвачена (026BCC->808867E :Cool: , перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateDebugObject (23) перехвачена (1B97A8->809967B0), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateDirectoryObject (24) перехвачена (0D202C->8092D39C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateEvent (25) перехвачена (10BCC4->80981D02), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateEventPair (26) перехвачена (1B346A->8098A52 :Cool: , перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateFile (27) перехвачена (12CA1C->808E5ED4), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateIoCompletion (2 :Cool:  перехвачена (126D4B->808E4492), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateJobObject (29) перехвачена (0D18D5->8094634E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateJobSet (2A) перехвачена (199F51->809478EA), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateKey (2B) перехвачена (12AD62->808B15A4), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateMailslotFile (2C) перехвачена (0E35DD->808E5FDE), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateMutant (2D) перехвачена (114B7E->8098A8FE), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateNamedPipeFile (2E) перехвачена (126848->808E5F0E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreatePagingFile (2F) перехвачена (0C5701->8091F17 :Cool: , перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreatePort (30) перехвачена (0FBC6A->8091831 :Cool: , перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateProcess (31) перехвачена (0CA98C->80941D12), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateProcessEx (32) перехвачена (11DFDB->80941C5C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateProfile (33) перехвачена (1B3A69->8098AD12), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateSection (34) перехвачена (1087E4->8091EB70), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateSemaphore (35) перехвачена (1173B0->809884DE), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateSymbolicLinkObject (36) перехвачена (0E2E8E->809343BC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateThread (37) перехвачена (111306->80941B1A), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateTimer (3 :Cool:  перехвачена (0F652B->8098A20E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateToken (39) перехвачена (0DDEFF->8096B152), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateWaitablePort (3A) перехвачена (0D1740->8091833C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwDebugActiveProcess (3B) перехвачена (1BA989->809978F0), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwDebugContinue (3C) перехвачена (1BAB19->80997A76), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwDelayExecution (3D) перехвачена (1146E4->8098B2FE), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwDeleteAtom (3E) перехвачена (1004E2->8098921 :Cool: , перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwDeleteBootEntry (3F) перехвачена (194EDB->80938550), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwDeleteDriverEntry (40) перехвачена (194EDB->80938550), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwDeleteFile (41) перехвачена (0D2BA6->808E373E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwDeleteKey (42) перехвачена (0FC511->808B19B4), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwDeleteObjectAuditAlarm (43) перехвачена (1A4D91->80966E04), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwDeleteValueKey (44) перехвачена (0FF724->808B1B2C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwDeviceIoControlFile (45) перехвачена (12E7F3->808E6094), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwDisplayString (46) перехвачена (0C2E69->80986450), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwDuplicateObject (47) перехвачена (113E6F->8092D176), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwDuplicateToken (4 :Cool:  перехвачена (1270CB->8095E934), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwEnumerateBootEntries (49) перехвачена (1B3381->8098A200), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwEnumerateDriverEntries (4A) перехвачена (1B3381->8098A200), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwEnumerateKey (4B) перехвачена (124207->808B1D1 :Cool: , перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwEnumerateSystemEnvironmentValuesEx (4C) перехвачена (1B2DDB->80989C90), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwEnumerateValueKey (4D) перехвачена (12457B->808B1F54), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwExtendSection (4E) перехвачена (18E738->80925BA2), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwFilterToken (4F) перехвачена (0E90B3->8095EAE4), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwFindAtom (50) перехвачена (0FF595->8098938C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwFlushBuffersFile (51) перехвачена (11D4AB->808E383A), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwFlushInstructionCache (52) перехвачена (1118BB->80928C4 :Cool: , перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwFlushKey (53) перехвачена (0E9F0B->808B2190), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwFlushVirtualMemory (54) перехвачена (129517->8091A6F0), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwFlushWriteBuffer (55) перехвачена (1906C1->80928BEA), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwFreeUserPhysicalPages (56) перехвачена (19008B->809285B6), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwFreeVirtualMemory (57) перехвачена (030C61->80852FE0), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwFsControlFile (5 :Cool:  перехвачена (12CDA1->808E60C :Cool: , перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwGetContextThread (59) перехвачена (196A87->8094200 :Cool: , перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwGetDevicePowerState (5A) перехвачена (194F09->80938572), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwGetPlugPlayEvent (5B) перехвачена (0F0B4C->809073A0), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwGetWriteWatch (5C) перехвачена (080ADA->8085B166), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwImpersonateAnonymousToken (5D) перехвачена (0FBD62->8096AE26), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwImpersonateClientOfPort (5E) перехвачена (12E3B0->809183A6), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwImpersonateThread (5F) перехвачена (117E04->8094924A), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwInitializeRegistry (60) перехвачена (0D246B->808B2320), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwInitiatePowerAction (61) перехвачена (194D2C->809383B0), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwIsProcessInJob (62) перехвачена (1187E9->8094620C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwIsSystemResumeAutomatic (63) перехвачена (194EEF->8093855E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwListenPort (64) перехвачена (0D0D00->809186FA), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwLoadDriver (65) перехвачена (0E1A27->808F1244), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwLoadKey (66) перехвачена (0D737A->808B4046), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwLoadKey2 (67) перехвачена (16D3C5->808B4064), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwLoadKeyEx (6 :Cool:  перехвачена (0D6EDE->808B3C3E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwLockFile (69) перехвачена (12616E->808E60FC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwLockProductActivationKeys (6A) перехвачена (0D80AE->809869AA), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwLockRegistryKey (6B) перехвачена (0BB16B->808B1474), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwLockVirtualMemory (6C) перехвачена (00A476->8085BB80), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwMakePermanentObject (6D) перехвачена (0E36EC->8092DB10), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwMakeTemporaryObject (6E) перехвачена (0DD024->8092B832), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwMapUserPhysicalPages (6F) перехвачена (18EFDF->8092747C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwMapUserPhysicalPagesScatter (70) перехвачена (18F401->809278F :Cool: , перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwMapViewOfSection (71) перехвачена (108B6A->8092458E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwModifyBootEntry (72) перехвачена (194EDB->80938550), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwModifyDriverEntry (73) перехвачена (194EDB->80938550), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwNotifyChangeDirectoryFile (74) перехвачена (1303A2->808E6D1C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwNotifyChangeKey (75) перехвачена (12CB6F->808B4010), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwNotifyChangeMultipleKeys (76) перехвачена (12A61E->808B2402), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenDirectoryObject (77) перехвачена (11BFA2->8092D46E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenEvent (7 :Cool:  перехвачена (11D772->80981DFC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenEventPair (79) перехвачена (1B3557->8098A5FC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenFile (7A) перехвачена (11BD09->808E6FD :Cool: , перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenIoCompletion (7B) перехвачена (17EF37->808E4566), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenJobObject (7C) перехвачена (198EE5->80946512), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenKey (7D) перехвачена (12D424->808B2E40), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenMutant (7E) перехвачена (119EC8->8098A9D2), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenObjectAuditAlarm (7F) перехвачена (0F6A22->809668D6), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenProcess (80) перехвачена (11414B->8093B756), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenProcessToken (81) перехвачена (110AED->8095F320), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenProcessTokenEx (82) перехвачена (10F7A2->8095EF2A), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenSection (83) перехвачена (10CD77->8091D95A), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenSemaphore (84) перехвачена (0E2506->809885D0), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenSymbolicLinkObject (85) перехвачена (10BE4C->8093459C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenThread (86) перехвачена (11950A->8093B9E4), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenThreadToken (87) перехвачена (1187C8->8095F33E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenThreadTokenEx (8 :Cool:  перехвачена (115204->8095F09 :Cool: , перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenTimer (89) перехвачена (1B339B->8098A326), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwPlugPlayControl (8A) перехвачена (0FB5BA->80911654), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwPowerInformation (8B) перехвачена (1009D4->80939580), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwPrivilegeCheck (8C) перехвачена (0F5A7B->80969AB2), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwPrivilegeObjectAuditAlarm (8D) перехвачена (0CCE70->80965C3E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwPrivilegedServiceAuditAlarm (8E) перехвачена (0F4785->80965E1C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwProtectVirtualMemory (8F) перехвачена (1111DC->80928E1E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwPulseEvent (90) перехвачена (0D73F8->80981EAC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryAttributesFile (91) перехвачена (110975->808E3A14), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryBootEntryOrder (92) перехвачена (1B3381->8098A200), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryBootOptions (93) перехвачена (1B3381->8098A200), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryDebugFilterState (94) перехвачена (039D0D->80881850), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryDefaultLocale (95) перехвачена (10F8CE->809832E6), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryDefaultUILanguage (96) перехвачена (12CDD4->80984AE2), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryDirectoryFile (97) перехвачена (11C136->808E6CB6), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryDirectoryObject (9 :Cool:  перехвачена (11347F->8092D50E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryDriverEntryOrder (99) перехвачена (1B3381->8098A200), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryEaFile (9A) перехвачена (17F674->808E700 :Cool: , перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryEvent (9B) перехвачена (1283A8->80981F70), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryFullAttributesFile (9C) перехвачена (1264A3->808E3B8E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryInformationAtom (9D) перехвачена (0FD435->809894D0), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryInformationFile (9E) перехвачена (107F94->808E7860), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryInformationJobObject (9F) перехвачена (19915E->80946854), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryInformationPort (A0) перехвачена (18BF33->8091875 :Cool: , перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryInformationProcess (A1) перехвачена (10CBD5->8093C8D :Cool: , перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryInformationThread (A2) перехвачена (11486B->8093BC66), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryInformationToken (A3) перехвачена (10F31B->8095F3DE), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryInstallUILanguage (A4) перехвачена (1253BD->809836EC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryIntervalProfile (A5) перехвачена (1B3F13->8098B18C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryIoCompletion (A6) перехвачена (17EFF7->808E460C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryKey (A7) перехвачена (12E22D->808B3110), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryMultipleValueKey (A :Cool:  перехвачена (16C363->808B048A), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryMutant (A9) перехвачена (1B38A3->8098AA7 :Cool: , перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryObject (AA) перехвачена (101244->80933AFC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryOpenSubKeys (AB) перехвачена (16C56B->808B0AE6), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryOpenSubKeysEx (AC) перехвачена (16C7D8->808B0D04), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryPerformanceCounter (AD) перехвачена (114D6D->8098B21A), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryQuotaInformationFile (AE) перехвачена (17FF13->808E86CC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQuerySection (AF) перехвачена (111710->80928F9E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQuerySecurityObject (B0) перехвачена (0FE824->8092F5E :Cool: , перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQuerySemaphore (B1) перехвачена (1B249F->80988680), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQuerySymbolicLinkObject (B2) перехвачена (10BEC9->8093463C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQuerySystemEnvironmentValue (B3) перехвачена (1B2E03->80989CAC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQuerySystemEnvironmentValueEx (B4) перехвачена (1B2DC5->80989C82), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQuerySystemInformation (B5) перехвачена (10B05E->80984B5E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQuerySystemTime (B6) перехвачена (126F7F->80986D5E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryTimer (B7) перехвачена (130A8C->8098A3D6), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryTimerResolution (B :Cool:  перехвачена (0F66B6->80986614), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryValueKey (B9) перехвачена (12C2BB->808B339E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryVirtualMemory (BA) перехвачена (046613->8085F32E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryVolumeInformationFile (BB) перехвачена (10CE38->808E8BEC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueueApcThread (BC) перехвачена (11C744->80941D5 :Cool: , перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwRaiseException (BD) перехвачена (026C14->80886830), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwRaiseHardError (BE) перехвачена (1B21E4->8098830E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwReadFile (BF) перехвачена (11D28E->808E9376), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwReadFileScatter (C0) перехвачена (0EDC6F->808E9952), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwReadRequestData (C1) перехвачена (119A49->80919422), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwReadVirtualMemory (C2) перехвачена (118559->809261AC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwRegisterThreadTerminatePort (C3) перехвачена (11E1A9->80942C1E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwReleaseMutant (C4) перехвачена (114653->8098ABAC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwReleaseSemaphore (C5) перехвачена (119446->809887AC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwRemoveIoCompletion (C6) перехвачена (126E0B->808E48FE), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwRemoveProcessDebug (C7) перехвачена (1BAA94->809979F6), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwRenameKey (C :Cool:  перехвачена (16CA77->808B0F8 :Cool: , перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwReplaceKey (C9) перехвачена (16D2B4->808B3F12), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwReplyPort (CA) перехвачена (118D2A->80918860), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwReplyWaitReceivePort (CB) перехвачена (110DE8->80919C62), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwReplyWaitReceivePortEx (CC) перехвачена (1100A1->80919472), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwReplyWaitReplyPort (CD) перехвачена (18C012->80918BC0), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwRequestDeviceWakeup (CE) перехвачена (194EDB->80938550), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwRequestPort (CF) перехвачена (120050->809153DC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwRequestWaitReplyPort (D0) перехвачена (1152DE->8091577 :Cool: , перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwRequestWakeupLatency (D1) перехвачена (194CCD->80938356), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwResetEvent (D2) перехвачена (11A1CA->8098207E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwResetWriteWatch (D3) перехвачена (0810AA->8085B77C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwRestoreKey (D4) перехвачена (16CFB1->808B36B4), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwResumeProcess (D5) перехвачена (198B64->80945DE :Cool: , перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwResumeThread (D6) перехвачена (111805->80945CCC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSaveKey (D7) перехвачена (16D05B->808B3756), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSaveKeyEx (D :Cool:  перехвачена (16D0F3->808B37E6), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSaveMergedKeys (D9) перехвачена (16D1C7->808B38B2), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSecureConnectPort (DA) перехвачена (11245D->80916B5C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetBootEntryOrder (DB) перехвачена (1B3381->8098A200), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetBootOptions (DC) перехвачена (1B3381->8098A200), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetContextThread (DD) перехвачена (196CBF->8094222 :Cool: , перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetDebugFilterState (DE) перехвачена (0B4A83->80998540), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetDefaultHardErrorPort (DF) перехвачена (0CAC32->809881AE), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetDefaultLocale (E0) перехвачена (0D6B79->80983434), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetDefaultUILanguage (E1) перехвачена (0D6B1F->80983CAA), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetDriverEntryOrder (E2) перехвачена (1B3381->8098A200), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetEaFile (E3) перехвачена (17FBAD->808E7510), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetEvent (E4) перехвачена (115FE5->8098213A), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetEventBoostPriority (E5) перехвачена (125F68->809821F :Cool: , перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetHighEventPair (E6) перехвачена (1B3833->8098A8A0), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetHighWaitLowEventPair (E7) перехвачена (1B3763->8098A7DC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetInformationDebugObject (E :Cool:  перехвачена (1BA3D6->80997362), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetInformationFile (E9) перехвачена (10F92B->808E7E62), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetInformationJobObject (EA) перехвачена (0D1ADE->80948636), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetInformationKey (EB) перехвачена (16BFE7->808B012A), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetInformationObject (EC) перехвачена (113C0A->80932FCC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetInformationProcess (ED) перехвачена (110B0B->8093E61 :Cool: , перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetInformationThread (EE) перехвачена (11586A->8093DCBA), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetInformationToken (EF) перехвачена (0E9246->8096BFBE), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetIntervalProfile (F0) перехвачена (1B3A47->8098ACF6), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetIoCompletion (F1) перехвачена (11FE5B->808E489C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetLdtEntries (F2) перехвачена (1983D6->8094533A), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetLowEventPair (F3) перехвачена (1B37CF->8098A842), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetLowWaitHighEventPair (F4) перехвачена (1B36F7->8098A776), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetQuotaInformationFile (F5) перехвачена (17FEEB->808E86AA), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetSecurityObject (F6) перехвачена (0F9ABC->8092F51C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetSystemEnvironmentValue (F7) перехвачена (1B30C5->80989F54), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetSystemEnvironmentValueEx (F :Cool:  перехвачена (1B2DC5->80989C82), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetSystemInformation (F9) перехвачена (0EC54B->80983CEA), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetSystemPowerState (FA) перехвачена (1C6C74->809A593E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetSystemTime (FB) перехвачена (1B1E5F->8098790 :Cool: , перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetThreadExecutionState (FC) перехвачена (13304F->8093826C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetTimer (FD) перехвачена (032B4D->8087A982), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetTimerResolution (FE) перехвачена (130E43->80986DF0), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetUuidSeed (FF) перехвачена (0CD5B5->80988C5E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetValueKey (100) перехвачена (12C6EB->808B396C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetVolumeInformationFile (101) перехвачена (180468->808E8FEC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwShutdownSystem (102) перехвачена (1B15BF->80986414), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSignalAndWaitForSingleObject (103) перехвачена (010738->80867490), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwStartProfile (104) перехвачена (1B3CA2->8098AF32), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwStopProfile (105) перехвачена (1B3E53->8098B0D4), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSuspendProcess (106) перехвачена (198B09->80945D92), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSuspendThread (107) перехвачена (132629->80945C0 :Cool: , перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSystemDebugControl (10 :Cool:  перехвачена (1B3FC7->8098B390), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwTerminateJobObject (109) перехвачена (19A335->80947F9A), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwTerminateProcess (10A) перехвачена (112F97->809434F4), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwTerminateThread (10B) перехвачена (117227->80943700), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwTestAlert (10C) перехвачена (1115C9->80945F4E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwTraceEvent (10D) перехвачена (01007D->80875AE4), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwTranslateFilePath (10E) перехвачена (1B2DEF->80989C9E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwUnloadDriver (10F) перехвачена (181D63->808F166 :Cool: , перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwUnloadKey (110) перехвачена (16D297->808B3EFA), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwUnloadKey2 (111) перехвачена (16BA7D->808AFBE2), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwUnloadKeyEx (112) перехвачена (16BDD5->808AFF2A), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwUnlockFile (113) перехвачена (126037->808E649E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwUnlockVirtualMemory (114) перехвачена (013B5A->8085C2AC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwUnmapViewOfSection (115) перехвачена (11E3FB->8091A686), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwVdmControl (116) перехвачена (0C998A->8096D2B0), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwWaitForDebugEvent (117) перехвачена (1BA123->809970CC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwWaitForMultipleObjects (11 :Cool:  перехвачена (115CBE->8092FF3E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwWaitForSingleObject (119) перехвачена (10E772->8092FBAE), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwWaitHighEventPair (11A) перехвачена (1B368D->8098A712), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwWaitLowEventPair (11B) перехвачена (1B3623->8098A6AE), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwWriteFile (11C) перехвачена (110E09->808E9E4E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwWriteFileGather (11D) перехвачена (0F162C->808EA4B6), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwWriteRequestData (11E) перехвачена (119A04->8091944A), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwWriteVirtualMemory (11F) перехвачена (12AA26->809262B4), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwYieldExecution (120) перехвачена (017FA3->8082FFB :Cool: , перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateKeyedEvent (121) перехвачена (0B4658->8098B5F0), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenKeyedEvent (122) перехвачена (1122C9->8098B6DA), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwReleaseKeyedEvent (123) перехвачена (1B4242->8098B78C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwWaitForKeyedEvent (124) перехвачена (1B44DF->8098BA1 :Cool: , перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryPortInformationProcess (125) перехвачена (19625B->8093BC5C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwGetCurrentProcessorNumber (126) перехвачена (196271->8093C25E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwWaitForMultipleObjects32 (127) перехвачена (191B15->80930034), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Проверено функций: 296, перехвачено: 296, восстановлено: 0
2. Проверка памяти
 Количество найденных процессов: 27
Процесс c:\windows\system32\winlogon.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll)
Процесс c:\windows\system32\services.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll)
Процесс c:\windows\system32\svchost.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс c:\windows\system32\svchost.exe может работать с сетью (ws2_32.dll,ws2help.dll)
Процесс c:\windows\system32\svchost.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll,es.dll,rasapi  32.dll,tapi32.dll,wininet.dll)
Процесс c:\windows\system32\spoolsv.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс c:\windows\system32\inetsrv\inetinfo.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll,  tapi32.dll,wininet.dll)
Процесс c:\progra~1\micros~1\mssql\binn\sqlservr.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll)
Процесс c:\program files\common files\system\mssearch\bin\mssearch.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll)
Процесс c:\progra~1\micros~1\mssql$~1\binn\sqlagent.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс c:\progra~1\micros~1\mssql\binn\sqlagent.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс c:\windows\system32\svchost.exe может работать с сетью (ws2_32.dll,ws2help.dll)
Процесс c:\windows\system32\svchost.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс c:\program files\borland\starteam server 6.0\starteamserver.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс c:\windows\system32\inetsrv\w3wp.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс c:\windows\system32\winlogon.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll)
Процесс c:\windows\system32\rdpclip.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll,urlmon.dll)
Процесс c:\windows\explorer.exe может работать с сетью (netapi32.dll,urlmon.dll,ws2_32.dll,ws2help.dll,wi  ninet.dll)
Процесс c:\windows\system32\inetsrv\w3wp.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс c:\program files\microsoft sql server\80\tools\binn\sqlmangr.exe может работать с сетью (ws2_32.dll,ws2help.dll)
Процесс c:\documents and settings\administrator\desktop\avz-betta3\avz.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
 Количество загруженных модулей: 497
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\system32\WINSTA.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\WINSTA.dll>>> Нейросеть: файл с вероятностью 0.67% похож на типовой перехватчик событий клавиатуры/мыши
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 В базе 320 описаний портов
 На данном ПК открыто 79 TCP портов и 10 UDP портов
 Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 524, найдено вирусов 0
Сканирование завершено в 5/17/2005 1:45:33 PM
Сканирование длилось 00:00:06

----------


## Зайцев Олег

Вот это уже интересно - неправильно определился адрес таблицы. Это какая операционка ? Очень желательно прислать мне для изучения ntoskrnl.exe с этого ПК.
Т.е. в сообщении 



> Функция ZwStartProfile (104) перехвачена (1B3CA2->8098AF32), перехватчик \WINDOWS\system32\ntkrnlpa.exe


"1B3CA2" - это неправильно определенный адрес ... принадрежащий к ntkrnlpa.exe. Причина тоже понятна - 



> ntoskrnl.exe обнаружен в памяти по адресу 000000


Т.е. AVZ не смог найти ntoskrnl.exe в памяти

----------


## Disketa

Протокол антивирусной утилиты AVZ версии 3.40
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
 KeServiceDescriptorTable найдена (RVA=082480)
 ntoskrnl.exe обнаружен в памяти по адресу 804D7000
   KESystemDescriptorTable = 80559480
   KiST = 804E26A8,804E26A8( 284)
Функция ZwCreateThread (35) перехвачена (8057B1C5<>F7BB9B40), перехватчик предположительно C:\WINDOWS\system32\drivers\wpsdrvnt.sys
Функция ZwMapViewOfSection (6C) перехвачена (805732FC<>F7BB9860), перехватчик предположительно C:\WINDOWS\system32\drivers\wpsdrvnt.sys
Функция ZwTerminateProcess (101) перехвачена (80582C2B<>F7BB9CF0), перехватчик предположительно C:\WINDOWS\system32\drivers\wpsdrvnt.sys
Проверено функций: 284, перехвачено: 3, восстановлено: 0

3. Сканирование дисков
Ошибка при сканировании каталога C:\Documents and Settings\user\Application Data\Microsoft\Excel\XLSTART\
C:\Documents and Settings\user\Application Data\Microsoft\Installer\{54971851-57C7-496F-BDE6-B8335A84A245}\Icon54971851.chm - PE файл с нестандартным расширением(степень опасности 5%)
Ошибка при сканировании каталога C:\Documents and Settings\user\Application Data\Microsoft\Word\STARTUP\
Ошибка при сканировании каталога C:\Documents and Settings\user\My Documents\HOT!!!\Magistr\
Ошибка при сканировании каталога C:\Documents and Settings\user\My Documents\Institut\
Ошибка при сканировании каталога C:\Documents and Settings\user\My Documents\Magistra darba\
Ошибка при сканировании каталога C:\Documents and Settings\user\My Documents\My Live\Mobilka\
Ошибка при сканировании каталога C:\Program Files\Adobe\Acrobat 6.0\PDFMaker\Office\
Ошибка при сканировании каталога C:\Program Files\Adobe\Acrobat 6.0\PDFMaker\
C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroPDF.dll.700.bak - PE файл с нестандартным расширением(степень опасности 5%)
C:\Program Files\Adobe\Acrobat 7.0\Reader\Acrord32.dll.700.bak - PE файл с нестандартным расширением(степень опасности 5%)
C:\Program Files\Adobe\Acrobat 7.0\Reader\Acrord32.exe.700.bak - PE файл с нестандартным расширением(степень опасности 5%)
C:\Program Files\Adobe\Acrobat 7.0\Reader\esdupdate.dll.700.bak - PE файл с нестандартным расширением(степень опасности 5%)
C:\Program Files\Adobe\Acrobat 7.0\Reader\plug_ins\AcroForm.api.700.bak - PE файл с нестандартным расширением(степень опасности 5%)
C:\Program Files\Adobe\Acrobat 7.0\Reader\plug_ins\Escript.api.700.bak - PE файл с нестандартным расширением(степень опасности 5%)
C:\Program Files\Adobe\Acrobat 7.0\Reader\rt3d.dll.700.bak - PE файл с нестандартным расширением(степень опасности 5%)
C:\Program Files\Adobe\Acrobat 7.0\Reader\Updater\acroaum.exe.700.bak - PE файл с нестандартным расширением(степень опасности 5%)
C:\Program Files\Adobe\ActiveShare\TBrowser.bak - PE файл с нестандартным расширением(степень опасности 5%)
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\OFFICE11\1033\
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\OFFICE11\Library\Analysis\
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\OFFICE11\Library\
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\OFFICE11\MACROS\
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\OFFICE11\SAMPLES\
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\OFFICE11\STARTUP\
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\OFFICE11\XLSTART\
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\Templates\1033\
C:\Program Files\Mozilla Firefox\.autoreg - Файл не имеет видимого имени(степень опасности 15%)
Ошибка при сканировании каталога C:\Program Files\Tildes Birojs 2002\FR6T&B\
C:\Program Files\WinRAR\WinRAR.BAK - PE файл с нестандартным расширением(степень опасности 5%)
C:\WINDOWS\Installer\{E32B4F2B-5CED-45F1-8B94-55394553F1F0}\dbibl.chm - PE файл с нестандартным расширением(степень опасности 5%)


Проверка завершена
Просканировано файлов: 56521, найдено вирусов 0
Сканирование завершено в 17.05.2005 0:32:32
Сканирование длилось 00:27:46

----------


## Shu_b

> мини-баг:
> Если в диспетчере сервисов открыть закладку "Сервисы (по анализу реестра)", выбрать сервис и нажать на кнопку "Удалить сервис", то вместо него будет удален сервис, который был выбран на закладке "Сервисы (по данным API)".


? 
на домашней машинке не хочется проверять...

По поводу ошибок сканирования, у меня они появились по тем папкам, где есть вордовские документы с длинными русскими именами.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## HEKTO

> Вот это уже интересно - неправильно определился адрес таблицы. Это какая операционка ? Очень желательно прислать мне для изучения ntoskrnl.exe с этого ПК.


OS: W3kSP1 - там в заголовке написано  :Smiley: 

Архив с файлом уже в пути.

----------


## Geser

Кстати, старые темы по АВЗ я потёр. Там куча логов коорые не актуальны, а база данных и так уже 40М  :Smiley:

----------


## RobinFood

> Сообщение от RobinFood
> 
> мини-баг:
> Если в диспетчере сервисов открыть закладку "Сервисы (по анализу реестра)", выбрать сервис и нажать на кнопку "Удалить сервис", то вместо него будет удален сервис, который был выбран на закладке "Сервисы (по данным API)".
> 
> 
> ? 
> на домашней машинке не хочется проверять...


Можешь на закладке "Сервисы (по данным API)" выделить один "зеленый" сервис, а на закладке "Сервисы (по анализу реестра)" - другой "зеленый" сервис, после чего при активной второй закладке нажми на "Удалить сервис". AVZ ругнется, что системные сервисы удалять не будет, при этом напишет имя сервиса с первой закладки.




> Кстати, старые темы по АВЗ я потёр. Там куча логов коорые не актуальны, а база данных и так уже 40М


Может, стоило хотя бы заархивировать? Мне хорошо, я успел их перечитать  :Smiley:

----------


## Shu_b

> Можешь на закладке "Сервисы (по данным API)" выделить один "зеленый" сервис, а на закладке "Сервисы (по анализу реестра)" - другой "зеленый" сервис, после чего при активной второй закладке нажми на "Удалить сервис". AVZ ругнется, что системные сервисы удалять не будет, при этом напишет имя сервиса с первой закладки.


Да, даже не тот который выбрал, а соседний строчкой выше...  :eek:

----------


## Зайцев Олег

Ну вот, первый анализ багов проведен - спасибо всем, что принял участие в тестировании. 
На штатном месте обновленная версия 3.41, исправлено:
1. Ошибка поиска ядра в памяти, которая вылезла на W3K - логи и присланные файлы помогли пофиксить этот баг, был переделан алгоритм поиска. Плюс накручены новые уровни контроля в антирутките. 
2. Устранено срабатывание антируткита на "перехваты" advapi32.dll под W3K
3. Устранен баг с кнопками стоп-старт-удаление в диспетчере сервисов - там кнопки должны работать только на первой закладке, на второй они должны быть неактивны
4. Вроде как пойман баг, возникающий при сканировании каталогов - *ALEX(XX)* по моей просьбе провел сканирование спец-версией AVZ, которая зафиксировала местоположение глюка;
5. Поправлен глюк, мешающий старту AVZ из сетевой папки (\\ в начале пути)

----------


## RobinFood

> Ну вот, первый анализ багов проведен - спасибо всем, что принял участие в тестировании. 
> На штатном месте обновленная версия 3.41


1.2 Поиск перехватчиков API, работающих в KernelMode
 Ошибка поиска ядра - проверка прервана

----------


## HEKTO

> Ну вот, первый анализ багов проведен - спасибо всем, что принял участие в тестировании. 
> На штатном месте обновленная версия 3.41, исправлено:
> 1. Ошибка поиска ядра в памяти, которая вылезла на W3K - логи и присланные файлы помогли пофиксить этот баг, был переделан алгоритм поиска. Плюс накручены новые уровни контроля в антирутките.


Теперь совсем KernelMode RootKit искать не хочет  :Sad: 

Протокол антивирусной утилиты AVZ версии 3.41
Сканирование запущено в 5/17/2005 4:36:00 PM
Загружена база: 13449 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Средний уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Ошибка поиска ядра - проверка прервана
2. Проверка памяти
 Количество найденных процессов: 42
 Количество загруженных модулей: 536
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 В базе 320 описаний портов
 На данном ПК открыто 24 TCP портов и 14 UDP портов
 Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 578, найдено вирусов 0
Сканирование завершено в 5/17/2005 4:36:07 PM
Сканирование длилось 00:00:07

----------


## парень

Протокол антивирусной утилиты AVZ версии 3.41
Сканирование запущено в 17.05.2005 17:32:19
Загружена база: 13449 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Средний уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
*Ошибка поиска ядра - проверка прервана*
2. Проверка памяти
 Количество найденных процессов: 25
 Количество загруженных модулей: 322
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
*C:\WINNT\system32\SSSensor.dll --> Подозрение на Keylogger или троянскую DLL*
C:\WINNT\system32\SSSensor.dll>>> Нейросеть: файл с вероятностью 99.86% похож на типовой перехватчик событий клавиатуры/мыши
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 В базе 320 описаний портов
 На данном ПК открыто 9 TCP портов и 13 UDP портов
 Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 20305, найдено вирусов 0
Сканирование завершено в 17.05.2005 17:44:03
Сканирование длилось 00:11:43

----------


## Зайцев Олег

*HEKTO* 
По крайней мере обнаружилась ошибка и ее местоположение (сообщение в логе говорит о том, чтот при поиске ядра возникли проблемы - дальнейший анализ при этом естетсвенно не проводится). Я еще раз обновил AVZ - я внес очередные правки в этой области. Короче говоря, проблемы возникают на W3K, причем я не могу пока понять почему - на тестовом W3K Server SP1 у меня все работает.
Если не трудно - пришлите мне еще файлик \WINDOWS\system32\ntkrnlpa.exe - для изучения ...

----------


## anton_dr

Протокол антивирусной утилиты AVZ версии 3.41
Сканирование запущено в 17.05.2005 19:41:30
Загружена база: 13449 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Максимальный уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll :lol: oadLibraryA (57 :Cool:  перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FC4<>7C801D77
Перехватчик kernel32.dll :lol: oadLibraryA (57 :Cool:  нейтрализован
 >>> Функции LoadLibraryA - прививка процесса AVZ от перехвата подменой адреса  !!)
Функция kernel32.dll :lol: oadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FD3<>7C801D4F
Перехватчик kernel32.dll :lol: oadLibraryExA (579) нейтрализован
 >>> Функции LoadLibraryExA - прививка процесса AVZ от перехвата подменой адреса !!)
Функция kernel32.dll :lol: oadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FF1<>7C801AF1
Перехватчик kernel32.dll :lol: oadLibraryExW (580) нейтрализован
Функция kernel32.dll :lol: oadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FE2<>7C80ACD3
Перехватчик kernel32.dll :lol: oadLibraryW (581) нейтрализован
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=082480)
 Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
   SDT = 80559480
   KiST = 81F9BB58 (297)
 >>> Внимание, таблица KiST перемещена ! (804E26A8(284)->81F9BB58(297))
Проверено функций: 284, перехвачено: 0, восстановлено: 0
 >> Опасно ! Обнаружена маскировка сервисов и драйверов на уровне реестра
2. Проверка памяти
 Количество найденных процессов: 22
Процесс c:\dnet\perproxy\proxyper.exe может работать с сетью (ws2_32.dll,ws2help.dll)
Процесс c:\windows\system32\winhsvc.exe может работать с сетью (ws2_32.dll,ws2help.dll)
Процесс c:\program files\vba32\vba32ldr.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll,  tapi32.dll)
Процесс c:\avz-betta3\avz.exe может работать с сетью (ws2_32.dll,ws2help.dll,rasapi32.dll,netapi32.dll,  tapi32.dll)
 Количество загруженных модулей: 380
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 В базе 320 описаний портов
 На данном ПК открыто 14 TCP портов и 18 UDP портов
 Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 402, найдено вирусов 0
Сканирование завершено в 17.05.2005 19:41:57
Сканирование длилось 00:00:26

----------


## HEKTO

Это был лог с машины под W*2*K SP4 Server, так что проблема не только на 2003 Server

Файл сейчас вышлю.

----------


## RobinFood

Теперь так:
1.2 Поиск перехватчиков API, работающих в KernelMode
 Ошибка поиска KeServiceDescriptorTable в ntoskrnl.exe

Win2000 SP4 Rus. Высылать ntoskrnl.exe?

----------


## HEKTO

> Теперь так:
> 1.2 Поиск перехватчиков API, работающих в KernelMode
> Ошибка поиска KeServiceDescriptorTable в ntoskrnl.exe
> 
> Win2000 SP4 Rus. Высылать ntoskrnl.exe?


Скачал обновленную версию - аналогично

----------


## HEKTO

> Теперь так:
> 1.2 Поиск перехватчиков API, работающих в KernelMode
> Ошибка поиска KeServiceDescriptorTable в ntoskrnl.exe


Скачал обновленную версию - аналогично. Только W2K SP4 eng

----------


## парень

Протокол антивирусной утилиты AVZ версии 3.41
Сканирование запущено в 17.05.2005 18:18:22
Загружена база: 13449 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Средний уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Ошибка поиска KeServiceDescriptorTable в ntoskrnl.exe
2. Проверка памяти
 Количество найденных процессов: 28
 Количество загруженных модулей: 355
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINNT\system32\SSSensor.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINNT\system32\SSSensor.dll>>> Нейросеть: файл с вероятностью 99.86% похож на типовой перехватчик событий клавиатуры/мыши
>>> C:\Program Files\&RQ\hook.dll --> С высокой степенью вероятности обнаружен Keylogger или троянская DLL
C:\Program Files\&RQ\hook.dll>>> Нейросеть: файл с вероятностью 99.77% похож на типовой перехватчик событий клавиатуры/мыши
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 В базе 320 описаний портов
 На данном ПК открыто 18 TCP портов и 13 UDP портов
 Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 383, найдено вирусов 0
Сканирование завершено в 17.05.2005 18:18:46
Сканирование длилось 00:00:23


hook.dll выслать чтоб добавили в безопасные? Просто это вроде как частичка альтернативного клиента icq.
ЗЫ у меня винда 2000, без СП4 но с кучей заплаток )

----------


## Зайцев Олег

да, hook.dll стоит прислать - это явно мониторилка горячих клавиш. 
Причину того, почему антируткит вырубился я понял ... завтра будет новая рабочая версия (т.е. заложенная в 3.41 методика себя не оправдала, придется сделать что-то среднее между 3.40 и 3.41)

----------


## aintrust

> Это был лог с машины под W*2*K SP4 Server, так что проблема не только на 2003 Server
> 
> Файл сейчас вышлю.


"Проблема" связана с объемом оперативной памяти компьютера. Если он (объем) не более 4 Гбайт, то ядро использует имя файла *ntoskrnl.exe*, в противном случае (для объема, большего 4 Гбайт) - *ntkrnlpa.exe*. Аббревиатура "pa" в конце имени файла похоже означает *p*hysical *a*ddress extension (ключик /pae в boot.ini). Также с помощью ключика /kernel=<имя_файла_ядра> в ОС можно подгрузить альтернативный вариант ядра, например Checked Build.

----------


## парень

> да, hook.dll стоит прислать - это явно мониторилка горячих клавиш.


Отправил на [email protected]. пасс virus

----------


## Зайцев Олег

> Отправил на [email protected]. пасс virus


Спасибо, файл пришел, он попадет в базы безопасных.

А между тем вышла версия 3.42, у нее очередной вариант антритукита, свежие база зверья и безопасных объектов - 13515 сигнатур,  29994 безопасных файлов. В версии 3.42 подправлены остальные мелкие баги, которые я нашел по логам

----------


## userr

> Кстати, старые темы по АВЗ я потёр. Там куча логов коорые не актуальны, а база данных и так уже 40М


Вроде тема "AVZ 3.10 - предлагаю потестировать и обсудить" еще существует, и это хорошо - кроме логов там были ценные дискуссии. Вот если бы ее выборочно почистить...
 Господа, извините, но хорошо бы приводить сокращенные логи - большая часть логов не представляет интереса для широкой общественности  :Smiley: , а тема распухает неимоверно.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## RobinFood

То же самое:
1.2 Поиск перехватчиков API, работающих в KernelMode
 Ошибка поиска KeServiceDescriptorTable в ntoskrnl.exe

----------


## Geser

> Вроде тема "AVZ 3.10 - предлагаю потестировать и обсудить" еще существует, и это хорошо - кроме логов там были ценные дискуссии. Вот если бы ее выборочно почистить...
>  Господа, извините, но хорошо бы приводить сокращенные логи - большая часть логов не представляет интереса для широкой общественности , а тема распухает неимоверно.


Угу, последнюю тему оставил пока. А чистить... у кого есть время?  :Smiley:  Хош дам тебе модератора?  :Cheesy:

----------


## Geser

Ок, изменим правила. Все логи постить только атачментами. Так будет меньше мусора в базе данных.

----------


## парень

в краце:
"1.2 Поиск перехватчиков API, работающих в KernelMode
 Ошибка поиска KeServiceDescriptorTable в ntoskrnl.exe"

----------


## Зайцев Олег

> То же самое:
> 1.2 Поиск перехватчиков API, работающих в KernelMode
> Ошибка поиска KeServiceDescriptorTable в ntoskrnl.exe


Тогда, если не трудно,  нужно сделать так:
1. Запустить avz.exe с параметром DEBUG=Y (это включит режим отладки)
2. Поместить сюда полный лог в виде аттачмента

----------


## HEKTO

W2k SP4 Server Eng



```
1.2 Поиск перехватчиков API, работающих в KernelMode
[DEBUG]>GetKernelFileName="\WINNT\System32\ntoskrnl.exe"
[DEBUG]>KernelFileName="\WINNT\System32\ntoskrnl.exe"
 Ошибка поиска KeServiceDescriptorTable в ntoskrnl.exe
2. Проверка памяти
```

Файл прикрепить не могу - нет прав

----------


## Iceman

Добрый день, Олег!
На обычном месте - старая версия (3,20) лежит.

----------


## HEKTO

http://z-oleg.com/avz-betta3.zip

ссылка есть на сайте Олега

----------


## Iceman

Спасибо.

----------


## Зайцев Олег

> http://z-oleg.com/avz-betta3.zip
> 
> ссылка есть на сайте Олега


Да, я архив переименовал. Но там уже версия 3.43  :Smiley: 

При помощи кусочка лога, который сбросил *HEKTO*, проблема решилась - все оказалось просто - AVZ не отрабатывал префикс "\WINNT\"  в пути (хотя должен был). Поэтому у меня на тестах все работало ... в версии 3.43 я это устранил.

----------


## Geser

> W2k SP4 Server Eng
> 
> 
> 
> ```
> 1.2 Поиск перехватчиков API, работающих в KernelMode
> [DEBUG]>GetKernelFileName="\WINNT\System32\ntoskrnl.exe"
> [DEBUG]>KernelFileName="\WINNT\System32\ntoskrnl.exe"
>  Ошибка поиска KeServiceDescriptorTable в ntoskrnl.exe
> ...


А потратить 10 секунд на регистрацию?

----------


## Iceman

В ручном режиме не получается сделать лог файл, когда включена опция Блокировать Rootkit....... Вываливается с множественными ошибками 

Без включения опции "Блокировать Rootkit......." - лог прикреплён.

----------


## Зайцев Олег

> В ручном режиме не получается сделать лог файл, когда включена опция Блокировать Rootkit....... Вываливается с множественными ошибками 
> 
> Без включения опции "Блокировать Rootkit......." - лог прикреплён.


Судя по перехваченным функциям - это монитор от антивируса, похож на VBA. Скорее всего его блокирование что-то нарушает ... и это сказывается на работе AVZ (в User Mode перехвачены функции OpenFile, WriteFile - т.е. работа с файлами ...)

----------


## azza

А у меня на ХР часто появляется следующее:

----------


## Iceman

> Судя по перехваченным функциям - это монитор от антивируса, похож на VBA. Скорее всего его блокирование что-то нарушает ... и это сказывается на работе AVZ (в User Mode перехвачены функции OpenFile, WriteFile - т.е. работа с файлами ...)


удалил всё что мог - тоже самое......

----------


## Sanja

Олег - добавь в АВЗ XP Manifest file / component  :Wink:  авз сразу станет красивым  :Smiley: 
Gaser - похимичь в форуме чтоб окно быстрого ответа было активно всегда а не когда нажмеш на кнопку  :Smiley:

----------


## Geser

> Gaser - похимичь в форуме чтоб окно быстрого ответа было активно всегда а не когда нажмеш на кнопку


А это сделано для того что бы правильно строилось дерево при просмотре в древовидном виде   :Cheesy:

----------


## Зайцев Олег

> А у меня на ХР часто появляется следующее:


Это проявляется в определенный момент или случайным образом ? Судя по цифрам это может выскакивать в ходе поиска руткитов UserMode.

----------


## azza

> Это проявляется в определенный момент или случайным образом ? Судя по цифрам это может выскакивать в ходе поиска руткитов UserMode.


Это проявляется при первом запуске проверки АВЗ даже в обычном режиме, т.е. просто запустил программу и нажал "пуск". Потом, при повторном запуске может пропасть и более не проявляется до перезагрузки компа. При включенном противодействии руткитам ведёт себя аналогично. 
Только, что выяснил, что это связано с наличием флэшки в USB-порту. Причём, если перед пуском сканирования кликаешь на Removable Disk так, чтобы он был синего цвета, то Access Violation не происходит. Без флэшки всё хоккей. :confused:

----------


## Sanja

>А это сделано для того что бы правильно строилось дерево при просмотре в древовидном виде

ну пусть она будет активна всегда... и добавлять мессадж в конетс а если нажал на пимпу то по типу дерева... напрягает уже чесс слово

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Geser

> >А это сделано для того что бы правильно строилось дерево при просмотре в древовидном виде
> 
> ну пусть она будет активна всегда... и добавлять мессадж в конетс а если нажал на пимпу то по типу дерева... напрягает уже чесс слово


Ок, по заказам зрителей.

----------


## Geser

Посмотрел я "исследование системы".
Текстовый протокол нечитабилен. Нужно либо выровнять колонки пробелами, либо генерировать его таблицей html, потом можно сохранить и открыть в браузере.
А кроме того, я так понял это список того что в памяти. А по хорошему отчёт должен включать и список автозапуска.
А менеджер звтозапуска так и не работает  :Sad:

----------


## Sanja

>Ок, по заказам зрителей.
Ура!

----------


## Fly

Растолкуйте, пожалуйста, чайнику что это значит?

1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=082480)
 Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
   SDT = 80559480
   KiST = 817B4218 (297)
*>>>Внимание, таблица KiST перемещена ! (804E26A8(284)->817B4218(297))*
Функция ZwClose (19) перехвачена (80566B49->B6D432D0), перехватчик D:\WINDOWS\system32\Drivers\klif.sys
*D:\WINDOWS\system32\NVWRSRU.DLL>>> Нейросеть: файл с вероятностью 0.57% похож на типовой перехватчик событий клавиатуры/мыши*

----------


## userr

На двух машинах проявляется глючок в avz 3.43. Если поставить птичку у имени диска - проверять весь диск - то проверка не происходит. Если снять птичку у к-л подкаталога - все остальное проверяется. На других доступных мне компах все работает нормально.
 Железо на этих машинах идентичное, и отличается от всех других, приведу его на всякий случай:
CPU Name  AMD Athlon 700.0 MHz 
Motherboard model ABIT 8363-686A(KT7[A][-RAID],KT7E)
Chipset  VIA KT133A rev. 3 
Southbridge  VIA VT82C686 rev. 40 
 Windows XP Prof SP2 RUS

----------


## Зайцев Олег

> Растолкуйте, пожалуйста, чайнику что это значит?
> 
> 1.2 Поиск перехватчиков API, работающих в KernelMode
> Драйвер успешно загружен
> SDT найдена (RVA=082480)
> Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
> SDT = 80559480
> KiST = 817B4218 (297)
> *>>>Внимание, таблица KiST перемещена ! (804E26A8(284)->817B4218(297))*
> ...


Первый файл - от антивируса Касперского, второй - судя по всему от Nowell клиента. Оба стоит прислать на [email protected] для анализа и занесения в базы безопасных файлов ...

----------


## Зайцев Олег

> На двух машинах проявляется глючок в avz 3.43. Если поставить птичку у имени диска - проверять весь диск - то проверка не происходит. Если снять птичку у к-л подкаталога - все остальное проверяется. На других доступных мне компах все работает нормально.
> Железо на этих машинах идентичное, и отличается от всех других, приведу его на всякий случай:
> CPU Name AMD Athlon 700.0 MHz 
> Motherboard model ABIT 8363-686A(KT7[A][-RAID],KT7E)
> Chipset VIA KT133A rev. 3 
> Southbridge VIA VT82C686 rev. 40 
> Windows XP Prof SP2 RUS


Нужно попробовать вопроизвести эту ситуацию ... - а какой диск так не сканироуется (первый в списке дисков, в середине, последний) ??

----------


## Гость

> Нужно попробовать вопроизвести эту ситуацию ... - а какой диск так не сканироуется (первый в списке дисков, в середине, последний) ??


Первый, он же единственный хард
 userr

----------


## Geser

Кстати, Олег, если посмотреть на вот эту тему: http://virusinfo.info/forum/showthread.php?t=2520
В системие сидел вариант Пинча с распространённым для вируса именем. У тебя есть эвристическая проверка, но я так понимаю ты заносиш имена файлов вручную. Почему бы не сделать что бы имена всех просканированных файлов сравнивались с именами файлов всех известных зверей, и в случае совпадения выдавать предупреждение?

----------


## rav

Олег, обнови у себя на сайте номер версии AVZ. Там написано, что она- 3.40. И ещё- для того, чтобы нормально тестировать систему на внедрения и лечить её совершенно необязательно восстанавливать SDT. Можно (я бы даже сказал- нужно) работать в обход неё.

----------


## Зайцев Олег

> Олег, обнови у себя на сайте номер версии AVZ. Там написано, что она- 3.40. И ещё- для того, чтобы нормально тестировать систему на внедрения и лечить её совершенно необязательно восстанавливать SDT. Можно (я бы даже сказал- нужно) работать в обход неё.


Да, с номером прокол - в понедельник исправлю.
Работа в обход SDT в ядре AVZ предусмотрена и будет применяться ... но восстановление я в любом случае оставлю - дело в том, что нет гарантии обнаружения маскирующегося процесса самими AVZ (такое уже было при отлове HackDef и Haxdoor - блокировка идет нормально, а сигнатур "зверя" у AVZ нету .... 
Другое дело, что сейчас делается избирательное восстановление SDT - т.е. не все функций, а по разным критериям (например, не восстанавливать перехваты антивирей/Firewall)

----------


## aintrust

Мелкий глюк:
Сервис/Проверить файл по базе безопасных файлов. Если в окне "Открыть..." сразу нажать "Отмена", выдается пустой MessageBox и, как следствие, в лог записывается "паразитное" сообщение. Похоже, кнопка "Отмена" вообще не анализируется?

----------


## aintrust

> Олег - добавь в АВЗ XP Manifest file / component  авз сразу станет красивым


AVZ при этом становится смесью "французского с нижегородским" (плюс еще и некоторые глюки проявляются).  :Smiley:  Вот если бы AVZ был полностью написан на стандартных контролах, то простое добавление манифеста действительно бы "помогло".  :Smiley:

----------


## Зайцев Олег

> AVZ при этом становится смесью "французского с нижегородским".  Вот если бы AVZ был полностью написан на стандартных контролах, то простое добавление манифеста действительно бы "помогло".


В текущем варианте манифест подключить можно, но в некоторых местах интерфейса шалит  :Smiley:  Так что это будет, но потребуется небольшая доработка.



> Мелкий глюк:
> Сервис/Проверить файл по базе безопасных файлов. Если в окне "Открыть..." сразу нажать "Отмена", выдается пустой MessageBox и, как следствие, в лог записывается "паразитное" сообщение. Похоже, кнопка "Отмена" вообще не анализируется?


Я вывод окна и запись в лог поместил за пределами блока проверки результатов вызова диалога. В итоге проверка шла только при выборе файла, а запись в лог и Message - в любом случае. Пофиксено ...

----------


## aintrust

> ...
> И ещё- для того, чтобы нормально тестировать систему на внедрения и лечить её совершенно необязательно восстанавливать SDT. Можно (я бы даже сказал- нужно) работать в обход неё.


С этим трудно не согласиться, и даже более того: чтобы "нормально тестировать систему на внедрения", у AVZ пока еще довольно мало методов, но процесс, как говорится, потихоньку идет. Возможность восстановления SDT - это только первый шаг на пути борьбы с km руткитами, пусть не самый удачный (пока что, как мы видим в этой ветке, все начали "бороться" с файерволлами и антивирусами), но уже это - "хоть что-то"  :Smiley: . А отображение перехватов системных функций в SDT, наряду с другими, более "изощренными" методами, можно использовать для анализа системы, если возникло подозрение. Понятно, что манипуляция SDT - это далеко не единственный метод маскировки руткитов, а в силу его хорошей документированности и повсеместного применения разными файерволлами и антивирусами - так еще и "избегаемый" хорошими руткитами! Но тут надо смотреть с практической точки зрения: если такой метод применяется простейшими руткитами, то почему бы не включить возможность его анализа и попытку восстановления, в том числе и через восстановление оригинальной SDT? А позднее и другие методы появятся, я надеюсь!  :Smiley: 

Теперь непосредственно о "восстановлении" SDT. Потестировал AVZ на возможность "восстановления" от работающего DefencePlus (ваш продукт, если не ошибаюсь?) - ведь последний использует множество перехватов функций как в um, так и в km. Результат: пока что "побеждает" DefencePlus.  :Smiley:  Попытка борьбы с перехваченными в SDT функциями приводит к ошибке AVZ "Access violation at address xxxxxxxx in module 'avz.exe'. Read of address yyyyyyyy" сразу после:
---
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=078540)
 Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D4000
---
Полагаю, что Олегу будет над чем задуматься... Но! Если попытку восстановления повторить несколько раз, не выходя из AVZ, то SDT восстанавливается, хотя после этого система ведет себя абсолютно некорректно.

И 3-е: пока сталкивал лбами AVZ и DefencePlus, обнаружил, что по какой-то причине AVZ не видит перехвата DefencePlus в kernel32.dll. Я поначалу подумал даже (был такой прокол), что AVZ вообще не ищет там перехватов, но после проверки (правки 1-го байта ф-ции Beep) выяснилось, что видит:
---
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:Beep (2 :Cool:  перехвачена, метод CodeHijack (метод не определен)...
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
---
Я зашел дебаггером в AVZ, посмотрел на kernel32!SetUnhandledExceptionFilter - да, действительно, перехват есть (acshield - это acshield.dll - компонента DefencePlus, подключаемая через SetWindowsHookEx):
---
> u kernel32!SetUnhandledExceptionFilter
kernel32!SetUnhandledExceptionFilter:
4ebfe4f4 e9274940c1       jmp     acshield+0x2e20 (10002e20)
---
Но AVZ его почему-то не видит! Чудеса!  :Smiley:

----------


## Зайцев Олег

п.п. 3: с SetUnhandledExceptionFilter все оказывается достаточно просто - у AVZ в настройках антируткита описываются правила анализа системы (какие DLL анализировать, какие функции проверять/не проверять, что восстанавливать/не восстанавливать). Kernel32 исторически была первой и у нее в настройке описана проверка списка избранных функций, около сотни штук. SetUnhandledExceptionFilter в этот список не была включена, отсюда и отсутствие реакции... для остальных DLL прописано проверять все и заданы исключения.
п.п. 2: это явный баг и его нужно изловить 
п.п. 1: я на настоящий момент думаю так - восстановление SDT - это крайняя мера, на которую человек идет в случае поддозрения на руткит. На этот случай такая возможность обязана быть. Далее, в принципе мои следующие шаги таковы:
1. Работа в обход SDT. Сейчас это реализовано в экспериментальном виде и неплохо работает, я думаю включить это в AVZ. Эта методика не требует восстановления SDT и почти не влияет на работу системы (за исключением некоторой вероятности BSOD в случае сбоя такого обращения);
2.Анализ машинного кода ядреных функций. Логика тут аналогична UserMode и распадается на две составляющих - анализ экспортируемых функций ntoskrnl и анализ кода функций SDT с возможностью восстановления. Последнее уже реализовано и завтра будет помещено на моем сайте - это "накроет" еще одну категорию перехватчиков, которые предпочитают правку машинного кода правке адресов в таблицах SDT.

----------


## aintrust

> ...
> SetUnhandledExceptionFilter в этот список не была включена, отсюда и отсутствие реакции... для остальных DLL прописано проверять все и заданы исключения.


Да, я уже все понял - устроил 5 минут назад AVZ маленькую проверочку "на вшивость".  :Smiley:  А почему, собственно, такая "нелюбовь" к большому числу ф-ций, не попавших в список? Как-то не видится (пока) реальных причин для этого...




> п.п. 2: это явный баг и его нужно изловить


DefencePlus находится в свободной триальной загрузке на месяц, URL - в подписи у *rav*, так что это относительно легко воспроизвести (правда с ним пришлось "повозиться": сначала при установке - он явно не хотел "дружить" с драйверами от Kaspersky KIS 2006 P2, которые у меня оставались "болтаться" для тестов, а потом еще и после удаления пришлось "подтирать за ним" реестр, но это уже совсем другая история к приколами - извиняюсь за офф-топик). Понятно, однако, что дело не в DefencePlus как таковом, а в наборе тех возможных методов, применяемых, в частности, DefencePlus, которые руткит может использовать в качестве "противодействия".

----------


## Гость

> 2.Анализ машинного кода ядреных функций.


Так им гадам, туды их в качель!  :Smiley: 
 userr

----------


## Зайцев Олег

> Да, я уже все понял - устроил 5 минут назад AVZ маленькую проверочку "на вшивость".  А почему, собственно, такая "нелюбовь" к большому числу ф-ций, не попавших в список? Как-то не видится (пока) реальных причин для этого...


Это исторически сложившаяся методика. Причина - см. лог в аттаче - это список функций kernel32.dll с эталонной XP SP2, адреса которых не совпадают с заявленными у нее в таблице экспорта, их там штук 30. В принципе, сейчас легко пойти "от противного" - т.е. запретить анализировать эти 30 и разрешить все остальное - это достигается настройкой, так что в принципе перенастроить очень легко

----------


## aintrust

> Это исторически сложившаяся методика. Причина - см. лог в аттаче - это список функций kernel32.dll с эталонной XP SP2, адреса которых не совпадают с заявленными у нее в таблице экспорта, их там штук 30. В принципе, сейчас легко пойти "от противного" - т.е. запретить анализировать эти 30 и разрешить все остальное - это достигается настройкой, так что в принципе перенастроить очень легко


Ну, если это просто "дань истории", то может уже стоит все вернуть на свои места, чтобы исключить дальнейшие сомнения (и с остальными проверяемыми библиотеками тоже - т.к., полагаю, там тоже есть "исключения")?  :Smiley:  

Ну а что касается этого "списка 30-ти", то, как мне помнится, эти ф-ции - это прямая переадресация на соответствующие эквиваленты в ntdll, к примеру там kernel32.AddVectoredExceptionHandler -> *ntdll*.*Rtl*AddVectoredExceptionHandler и т.п., т.е. "разрулить" это, мне кажется, вообще не составляет труда - взгляни на их экспорты, сам все сразу поймешь!  :Smiley: 

Добавлю еще вот что: мне кажется, что уже настало время сделать отображение имени перехватчика для ф-ций user mode - естественно для случаев, когда адрес перехватчика вычисляется и принадлежит одному из модулей (благо их список уже есть) в адресном пр-ве процесса - т.е. сделать нечто подобное, что сделано для перехваченных ф-ций в SDT.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зайцев Олег

> Ну, если это просто "дань истории", то может уже стоит все вернуть на свои места, чтобы исключить дальнейшие сомнения (и с остальными проверяемыми библиотеками тоже - т.к., полагаю, там тоже есть "исключения")?  
> 
> Ну а что касается этого "списка 30-ти", то, как мне помнится, эти ф-ции - это прямая переадресация на соответствующие эквиваленты в ntdll, к примеру там kernel32.AddVectoredExceptionHandler -> *ntdll*.*Rtl*AddVectoredExceptionHandler и т.п., т.е. "разрулить" это, мне кажется, вообще не составляет труда - взгляни на их экспорты, сам все сразу поймешь! 
> 
> Добавлю еще вот что: мне кажется, что уже настало время сделать отображение имени перехватчика для ф-ций user mode - естественно для случаев, когда адрес перехватчика вычисляется и принадлежит одному из модулей (благо их список уже есть) в адресном пр-ве процесса - т.е. сделать нечто подобное, что сделано для перехваченных ф-ций в SDT.


 Да, kernel32 логично перевести на общую схему (я, честно говоря, просто забыл про нее). Аналогичная вещь есть в ntdll.dll - там проверяется все, за исключением определенных "функций".
Насчет поиска модуля-перехватчика UserMode я думал, но шансы обысно невелики (т.е. при перехвате "по Рихтеру" - с внедрением DLL - это сработает).

----------


## aintrust

> ...
> Насчет поиска модуля-перехватчика UserMode я думал, но шансы обысно невелики (т.е. при перехвате "по Рихтеру" - с внедрением DLL - это сработает).


Нет, это касается не только перехвата "по Рихтеру", естественно!  :Smiley:  А как же WriteProcessMemory/CreateRemoteThread с созданием потока, а как же WriteProcessMemeory/SetThreadContext, а как же SetWindowsHookEx, а внедрение через InitDLLs и пр. - и это только то, что сразу пришло в голову!  :Smiley: 

Полагаю, что методика поиска модуля перехвата и его отображение в AVZ должны быть похожи как для kernel mode, так и для user mode. Ты сейчас это уже сделал (почти) для km, осталось перенести методику на user mode, почему нет?

----------


## egik

Олег, вот такой вопрос, в среднем антивирусы весят от 8 до 12 мегабайт плюс базы около 2, а твоя АВЗ такая крохотная, и при этом позволяет работать не хуже них, с чем этот феномен связан.

Кстати хочу поздравить, твоя АВЗ засветилась в журнале хакер, ура товарищи!!!

----------


## Зайцев Олег

> Олег, вот такой вопрос, в среднем антивирусы весят от 8 до 12 мегабайт плюс базы около 2, а твоя АВЗ такая крохотная, и при этом позволяет работать не хуже них, с чем этот феномен связан.
> 
> Кстати хочу поздравить, твоя АВЗ засветилась в журнале хакер, ура товарищи!!!


 Ну, на самом деле размер антивиря не должен быть большим - у AVP размер раширенной базы 5.5 мб ... а там у них и движок, и базы. Размер очень сильно зависит от количества вирусов, поддерживаемых упаковщиков ... если AVZ сьанет поддерживать упаковщики (что возможно), размер возрастет на 300-500 кб - появится unpack.avz  :Smiley: 
А в каком номере хакера и что пишут  :Smiley:  ?

----------


## egik

> Ну, на самом деле размер антивиря не должен быть большим - у AVP размер раширенной базы 5.5 мб ... а там у них и движок, и базы. Размер очень сильно зависит от количества вирусов, поддерживаемых упаковщиков ... если AVZ сьанет поддерживать упаковщики (что возможно), размер возрастет на 300-500 кб - появится unpack.avz 
> А в каком номере хакера и что пишут  ?


в этом номере
http://www.xakep.ru/articles/magazin...sp?magazine=xa
в статье про руткиты я попробую сделать копию и выложить здесь

----------


## Зайцев Олег

> в этом номере
> http://www.xakep.ru/articles/magazin...sp?magazine=xa
> в статье про руткиты я попробую сделать копию и выложить здесь


 Ну, здесь наверное не стоит - а то издатели "хакера" наедут еще из-за нарушения авторских прав ... лучше почтой. Кстати, вышла моя статья на аналогичную тематику в КомпьютеПресс №5 "RootKit — принципы и механизмы работы".

----------


## egik

это не та, что была здесь напечатана?
кстати очень интересная тема эти руткиты, надо побольше почитать, а как твое мнение по этому ресурсу www.rootkit.com

----------


## Зайцев Олег

> это не та, что была здесь напечатана?
> кстати очень интересная тема эти руткиты, надо побольше почитать, а как твое мнение по этому ресурсу www.rootkit.com


 Ресурс www.rootkit.com я знаю давно, у меня скачаны все имеющиеся там программы и я постоянно отслеживаю материалы этого сайта - там много интересных и толковых вещей.

----------


## rav

> Возможность восстановления SDT - это только первый шаг на пути борьбы с km руткитами, пусть не самый удачный (пока что, как мы видим в этой ветке, все начали "бороться" с файерволлами и антивирусами), но уже это - "хоть что-то"


Это именно борьба с самыми примитивными руткитами. Вопрос в том, что примитивными они ещё будут очень недолго. Причин на то много. А то, что грядёт (rootkit.com)- даже меня пугает.




> (acshield - это acshield.dll - компонента DefencePlus, подключаемая через SetWindowsHookEx):


Неправильно. Она загружается во все процессы при их старте. Иначе консоль была бы обделена.....

----------


## aintrust

> Это именно борьба с самыми примитивными руткитами. Вопрос в том, что примитивными они ещё будут очень недолго. Причин на то много. А то, что грядёт (rootkit.com)- даже меня пугает.


Полагаю, что "технологий" будет много, как примитивных (типа различных вариантов модификации SDT), так и непримитивных. Одно другого совсем не исключает. А какова вероятность того, что AVZ сразу же будет иметь smart-технологию поиска руткитов (ну, хотя бы что-то BlackLight- или RootkitRevealer-подобное) и, в дальнейшем, борьбы с ними? Ну, Олегу, как я понимаю, надо было с чего-то начать, чтобы расширить возможности поиска user mode руткитов, дальше (я надеюсь) будет больше.  :Smiley:  Но, на сколько я знаю, он себе и не ставил задачу полноты охвата - иными словами, AVZ всегда будет иметь некие ограниченные возможности в этом смысле. И причин этому множество: начиная от большого разнообразия технологий и кончая чисто физическими - ему же просто за всем не угнаться!  :Smiley: 




> Неправильно. Она загружается во все процессы при их старте. Иначе консоль была бы обделена.....


Да, каюсь, я детально не смотрел на способ внедрения (да и писал уже после удаления с компьютера  :Smiley: ) - увидел экспорт функций hook-ов в этой dll и наличие ее во многих процессах - вот и предположил. Про консольные приложения (точнее, цель внедрения dll), естественно, не подумал - меня больше интересовали моменты, связанные с перехватом функций.  :Smiley:

----------


## rav

> кончая чисто физическими - ему же просто за всем не угнаться!


Эта проблема решается двумя путями: лобо OpenSource- проект, либо коммерциализация его. Других путей нет и не будет.

----------


## Зайцев Олег

По поводу руткитов могу заметить, что есть некая грань - RootKit как специализированная/изощренная программа, или некий троян/adware/SpyWare с руткит механизмом. AVZ нацелен именно на последнюю категорию - а на этом фронте 90% "зверей" применяют маскировку на уровне UserMode (а это достаточно корректно лечится), либо простейшие KernelMode - как тот-же Haxdoor. Вот на поиск таких зверей AVZ и заточен ... 

Но это отвлечение - вышел новый AVZ - 23.05.2005 (13564 сигнатуры, 1 нейропрофиль, 52 микропрограммы лечения, 234 микропрограммы эвристики, 2 микропрограммы восстановления настроек системы, 30065 подписей безопасных файлов
В нем:
1. Появилась опция "Восстановление системы" (меню Файл). Назначение - исправление всяких изменение в настройках IE, рабочего стола ... там пока две микропрограммы восстановления, но в ближайшее время их станет штук 20 ... (МП хранятся в базе, там для этого выделен отдельный файл repair.avz)
2. Переработан менеджер автозапуска
3. Переделан антируткит - теперь он может ловить перехваты за счет модификации кода ядра
4. Появилось окно для просмотра модулей пространства ядра - к нему естественно подключена база безопасных файлов ...

----------


## HEKTO

W3k SP1 Server Eng, W2k SP4 Server Eng

В "Диспетчер процессов" не для всех процессов отображается список DLL.

Насколько я понял не отображается для тех, что получены через Native API. Это так и должно быть?

----------


## Зайцев Олег

Нет, это не совсем правильно - для обнаруженных через Native API процессов поиск DLL тоже должен идти через Native ... а идет судя по всему штатным образом ... это неправильно, сейчас подправлю

----------


## aintrust

> 3. Переделан антируткит - теперь он может ловить перехваты за счет модификации кода ядра


Неплохо бы вывести бы адрес jmp-а, и (для начала) если этот адрес не попадает в пределы к.-л. из драйверов, то написать что-то типа "перехватчик не определен/неизвестен". То же самое неплохо бы сделать и для user mode перехватов.




> 4. Появилось окно для просмотра модулей пространства ядра - к нему естественно подключена база безопасных файлов ...


Логичнее было бы, наверное, сделать значение колонки "Размер..." в 16-ричном виде, а не в десятичном, плюс (*обязательно*!  :Smiley: )сделать сортировку по всем колонкам (и не только в этом окне), а то вывод ф-ции ZwQuerySystemInformation(SystemModuleInformation, ...), мягко говоря, не слишком презентабелен.  :Smiley: 

И еще: а как в этот список попала ntdll.dll с адресом в нижней половине адресного пр-ва?  :Smiley:

----------


## Зайцев Олег

> 1. Неплохо бы вывести бы адрес jmp-а, и (для начала) если этот адрес не попадает в пределы к.-л. из драйверов, то написать что-то типа "перехватчик не определен/неизвестен". То же самое неплохо бы сделать и для user mode перехватов.
> 
> 2. Логичнее было бы, наверное, сделать значение колонки "Размер..." в 16-ричном виде, а не в десятичном, плюс (*обязательно*! )сделать сортировку по всем колонкам (и не только в этом окне), а то вывод ф-ции ZwQuerySystemInformation(SystemModuleInformation, ...), мягко говоря, не слишком презентабелен. 
> 
> И еще: а как в этот список попала ntdll.dll с адресом в нижней половине адресного пр-ва?


1. Сделано. Если JMP найден, то идет попытка найти драйвер по адресу. Если найдется, то выводится его имя. Если нет - то выводится "Перехватчик неизвестен. Адрес xxxxx"
2. Я сделал вывод в виде (hex (dec)) - место на экране есть ... Плюс сортировка по автомату по имени модуля или по любому столбцу
3. ntdll.dll "официально" значится как "модуль пространства ядра", это единственная DLL в этом списке с адресом менее 800000h - ее возвращает ZwQuerySystemInformation ... кстати она, судя по адресу, лежит на границе ... наверное, в MS ее посчитали "полуядреной"  :Smiley:

----------


## aintrust

> 1. Сделано. Если JMP найден, то идет попытка найти драйвер по адресу. Если найдется, то выводится его имя. Если нет - то выводится "Перехватчик неизвестен. Адрес xxxxx"


Может стоит адрес jmp выводить всегда, независимо от того, найден ли для него сооветствующий драйвер или нет - это упростило бы процесс дальнейшего анализа.




> 2. Я сделал вывод в виде (hex (dec)) - место на экране есть ... Плюс сортировка по автомату по имени модуля или по любому столбцу


А что, адрес в десятичном формате может кому-то понадобиться? Народ, откликнитесь, есть такие?




> 3. ntdll.dll "официально" значится как "модуль пространства ядра", это единственная DLL в этом списке с адресом менее 800000h - ее возвращает ZwQuerySystemInformation ... кстати она, судя по адресу, лежит на границе ... наверное, в MS ее посчитали "полуядреной"


Ну, это-то известно (про ntdll.dll в этом списке - в виде исключения), также как и интуитивно понятна логика MS в данном случае, однако это никак не причисляет ее к "модулям пространства ядра", и тем более "официально".  :Smiley:  Можно еще согласился с трактовкой "системный модуль" (именно такую трактовку мы видим у Гари Неббетта). А что, разве NtQuerySystemInformation(SystemModuleInformation..  .) где-то официально документирована?

Впрочем, это я так - для уточнения позиции!  :Smiley:

----------


## Зайцев Олег

> 1. Может стоит адрес jmp выводить всегда, независимо от того, найден ли для него сооветствующий драйвер или нет - это упростило бы процесс дальнейшего анализа.
> 
> 
> 2. А что, адрес в десятичном формате может кому-то понадобиться? Народ, откликнитесь, есть такие?
> 
> 3. Ну, это-то известно (про ntdll.dll в этом списке - в виде исключения), также как и интуитивно понятна логика MS в данном случае, однако это никак не причисляет ее к "модулям пространства ядра", и тем более "официально".  Можно еще согласился с трактовкой "системный модуль" (именно такую трактовку мы видим у Гари Неббетта). А что, разве NtQuerySystemInformation(SystemModuleInformation..  .) где-то официально документирована?
> 
> Впрочем, это я так - для уточнения позиции!


1. В принципе можно и так ... в хвосте строки, в скобках ... тогда имеет смысл сделать аналогично для UserMode. 
2. Нет, адрес то я конечно в Hex оставил, адреса в dec формате - извращение. Я поле "размер" имел в виду ...
3. NtQuerySystemInformation(SystemModuleInformation ...) прописана у Неббета - это уже "официальное" документирование  :Smiley:  -  все-таки печатное издание, это уже что-то. А у MS я в свою бытность перерыл весь MSDN - куцое описание NtQuerySystemInformation там есть, но про SystemModuleInformation там нет ровным счетом ничего ...

----------


## Arkadiy

Программа выдаёт у меня ошибку с таким текстом: Access violation at Address 0051987B in module "avz.exe" Read of adress 00A53FF8.   ???
 И как понимать такую фразу в логе: ... ошибка чтения машинного кода. 
И получаеться вот такой лог:

----------


## Зайцев Олег

> Программа выдаёт у меня ошибку с таким текстом: Access violation at Address 0051987B in module "avz.exe" Read of adress 00A53FF8.   ???
>  И как понимать такую фразу в логе: ... ошибка чтения машинного кода. 
> И получаеться вот такой лог:


 "ошибка чтения машинного кода" - это сообщение, возникающее, когда драйверу кажется, что он не смог прочитать машинный код. Это результат излишней осторожности и перепроверки, я выкину эту проверку в версии 3.46 и все пойдет. 
Ошибка ..0051987B.. вылетает в момент запуска или в ходе сканирования ??

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Arkadiy

> "Ошибка ..0051987B.. вылетает в момент запуска или в ходе сканирования ??



Во время сканирования,примерно на пункте 1.2 или 2,и сканирование сразу останавливалось. Сейчас больше не выскакивает.

----------


## aintrust

> 1. В принципе можно и так ... в хвосте строки, в скобках ... тогда имеет смысл сделать аналогично для UserMode.


Согласен - я, собственно, уже говорил об этом.



> 2. Нет, адрес то я конечно в Hex оставил, адреса в dec формате - извращение. Я поле "размер" имел в виду ...


Я тоже имел ввиду "размер", не адрес - просто не то написал.  :Smiley:  Думаешь кому-то этот размер понадобится в 10-чном виде? Любой мало-мальский обученный программер оперирует 16-ричными числами намного лучше, чем 10-чными (если, это, конечно, не касается его зарплаты  :Smiley: )! Можешь привести пример, где мог бы понадобиться этот размер в 10-чном виде (где base address при этом - в 16-ном)?



> 3. NtQuerySystemInformation(SystemModuleInformation ...) прописана у Неббета - это уже "официальное" документирование  -  все-таки печатное издание, это уже что-то.


Аргументировал!  :Smiley:  Скажи еще, что "Undocumented Windows 2000 Secrets" Свена Шрайбера - тоже "официальное" документирование (точнее, "официальное" документирование недокументированных возможностей)!

----------


## azza

> Во время сканирования,примерно на пункте 1.2 или 2,и сканирование сразу останавливалось. Сейчас больше не выскакивает.


У меня подобная ошибка наблюдается при установленном USB Flash Drive.

----------


## santy

Олег, не планируешь ли выводить список обнаруживаемых вирусов? Как в stinger, например?

----------


## Зайцев Олег

> У меня подобная ошибка наблюдается при установленном USB Flash Drive.


 Да, вроде-бы я это поймал - ошибка при обходе дисков ...

----------

