phoenix1984
13.02.2008, 07:11
Протокол антивирусной утилиты AVZ версии 4.29
Сканирование запущено в 12.02.2008 21:37:51
Загружена база: сигнатуры - 149331, нейропрофили - 2, микропрограммы лечения - 55, база от 11.02.2008 19:48
Загружены микропрограммы эвристики: 370
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 68697
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.2.3790, Service Pack 1 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
>>>> Подозрение на маскировку файла процесса: C:\Documents and Settings\Администратор\WINDOWS\system32\smss.exe
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=0AEEE0)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 80800000
SDT = 808AEEE0
KiST = 8083FC4C (296)
Проверено функций: 296, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
Количество найденных процессов: 48
Количество загруженных модулей: 403
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\WINDOWS\sysvol\sysvol\Adrem.local\Policies\{6AC 1786C-016F-11D2-945F-00C04FB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.tmp
4. Проверка Winsock Layered Service Provider (SPI/LSP)
$AVZ0637: "Tcpip" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\System32\mswsock.dl l
$AVZ0637: "NTDS" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\System32\winrnr.dll
$AVZ0637: "Network Location Awareness (NLA) Namespace" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\System32\mswsock.dl l
$AVZ0640 = "MSAFD Tcpip [TCP/IP]" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD Tcpip [UDP/IP]" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD Tcpip [RAW/IP]" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "RSVP UDP Service Provider" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "RSVP TCP Service Provider" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{C953C87F-D91F-411B-A0C2-FBC64128B8EC}] SEQPACKET 5" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{C953C87F-D91F-411B-A0C2-FBC64128B8EC}] DATAGRAM 5" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{5063571F-2182-41C3-AC06-F1466CBEBC7E}] SEQPACKET 3" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{5063571F-2182-41C3-AC06-F1466CBEBC7E}] DATAGRAM 3" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{2EA245C1-04AA-43A4-927A-3C84840D959F}] SEQPACKET 0" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{2EA245C1-04AA-43A4-927A-3C84840D959F}] DATAGRAM 0" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{4DD7F0D8-1650-492B-AA62-60810C3FD805}] SEQPACKET 1" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{4DD7F0D8-1650-492B-AA62-60810C3FD805}] DATAGRAM 1" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{0E5F57D2-F896-41FF-9D69-3675D043BB69}] SEQPACKET 2" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{0E5F57D2-F896-41FF-9D69-3675D043BB69}] DATAGRAM 2" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{5EA3EF58-79F8-4D70-A654-C56F14C10784}] SEQPACKET 6" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{5EA3EF58-79F8-4D70-A654-C56F14C10784}] DATAGRAM 6" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{4B39C9C2-CE8C-439F-9452-C3CCF905F59E}] SEQPACKET 7" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{4B39C9C2-CE8C-439F-9452-C3CCF905F59E}] DATAGRAM 7" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{85BAB476-F776-4171-93B7-86A55794F5F5}] SEQPACKET 4" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{85BAB476-F776-4171-93B7-86A55794F5F5}] DATAGRAM 4" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\system32\mswsock.dl l
Внимание ! Обнаружены ошибки в SPI/LSP. Количество ошибок - 24
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба Messenger (Messenger)
>> Службы: разрешена потенциально опасная служба Alerter (Alerter)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 73655, извлечено из архивов: 58445, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 12.02.2008 21:55:58
Сканирование длилось 00:18:09
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info
лечению упомянутый smss.exe не поддается, после перезагрузки при повторном сканировании отчет о нем появляется снова. реально этой папки не существует.
Машина выполняет функции контроллера домена, из-за чего страшновато запускать восстановление SPI/LSP (вдруг вапще перестанет с сетью работать).
Интересует как это победить и чем это могло быть вызвано (что за зараза такая и как работает/передается)
Сканирование запущено в 12.02.2008 21:37:51
Загружена база: сигнатуры - 149331, нейропрофили - 2, микропрограммы лечения - 55, база от 11.02.2008 19:48
Загружены микропрограммы эвристики: 370
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 68697
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.2.3790, Service Pack 1 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
>>>> Подозрение на маскировку файла процесса: C:\Documents and Settings\Администратор\WINDOWS\system32\smss.exe
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=0AEEE0)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 80800000
SDT = 808AEEE0
KiST = 8083FC4C (296)
Проверено функций: 296, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
Количество найденных процессов: 48
Количество загруженных модулей: 403
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\WINDOWS\sysvol\sysvol\Adrem.local\Policies\{6AC 1786C-016F-11D2-945F-00C04FB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.tmp
4. Проверка Winsock Layered Service Provider (SPI/LSP)
$AVZ0637: "Tcpip" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\System32\mswsock.dl l
$AVZ0637: "NTDS" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\System32\winrnr.dll
$AVZ0637: "Network Location Awareness (NLA) Namespace" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\System32\mswsock.dl l
$AVZ0640 = "MSAFD Tcpip [TCP/IP]" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD Tcpip [UDP/IP]" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD Tcpip [RAW/IP]" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "RSVP UDP Service Provider" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "RSVP TCP Service Provider" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{C953C87F-D91F-411B-A0C2-FBC64128B8EC}] SEQPACKET 5" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{C953C87F-D91F-411B-A0C2-FBC64128B8EC}] DATAGRAM 5" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{5063571F-2182-41C3-AC06-F1466CBEBC7E}] SEQPACKET 3" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{5063571F-2182-41C3-AC06-F1466CBEBC7E}] DATAGRAM 3" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{2EA245C1-04AA-43A4-927A-3C84840D959F}] SEQPACKET 0" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{2EA245C1-04AA-43A4-927A-3C84840D959F}] DATAGRAM 0" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{4DD7F0D8-1650-492B-AA62-60810C3FD805}] SEQPACKET 1" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{4DD7F0D8-1650-492B-AA62-60810C3FD805}] DATAGRAM 1" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{0E5F57D2-F896-41FF-9D69-3675D043BB69}] SEQPACKET 2" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{0E5F57D2-F896-41FF-9D69-3675D043BB69}] DATAGRAM 2" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{5EA3EF58-79F8-4D70-A654-C56F14C10784}] SEQPACKET 6" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{5EA3EF58-79F8-4D70-A654-C56F14C10784}] DATAGRAM 6" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{4B39C9C2-CE8C-439F-9452-C3CCF905F59E}] SEQPACKET 7" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{4B39C9C2-CE8C-439F-9452-C3CCF905F59E}] DATAGRAM 7" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{85BAB476-F776-4171-93B7-86A55794F5F5}] SEQPACKET 4" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{85BAB476-F776-4171-93B7-86A55794F5F5}] DATAGRAM 4" --> $AVZ0623 C:\Documents and Settings\Администратор\WINDOWS\system32\mswsock.dl l
Внимание ! Обнаружены ошибки в SPI/LSP. Количество ошибок - 24
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба Messenger (Messenger)
>> Службы: разрешена потенциально опасная служба Alerter (Alerter)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 73655, извлечено из архивов: 58445, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 12.02.2008 21:55:58
Сканирование длилось 00:18:09
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info
лечению упомянутый smss.exe не поддается, после перезагрузки при повторном сканировании отчет о нем появляется снова. реально этой папки не существует.
Машина выполняет функции контроллера домена, из-за чего страшновато запускать восстановление SPI/LSP (вдруг вапще перестанет с сетью работать).
Интересует как это победить и чем это могло быть вызвано (что за зараза такая и как работает/передается)