Итак, новая версия AVZ готова. Ввиду большого количества доработок я решил постепенно их вводить в тестируемую версию. Версия доступна для загрузки тут: http://z-oleg.com/secur/avz-dwn.htm (внимание ! Архив переименован - теперь он называется http://z-oleg.com/avz-betta3.zip)
Радикальные новшества:
1. Анти-RootKit для режима ядра. Он работоспособен по NT, W2K, W2K Server, XP, XP SP1, XP SP2, W3K Server, W3K Server SP1. Антируткит не только регистрирует факт перехвата, но и в большинстве случаев может указать на драйвер-перехватчик. В настройке есть отдельная "птичка", позволяющая раздельно управлять противодействием руткитам для режима пользователя и режима ядра. Антируткит KernelMode влияет на всю систему, блокирование некоторых перехватчиков может привести к BSOD. Кроме того, антируткит успешно нейтрализует многие антивирусные мониторы, Firewall и подобные им программы, модифицирующие KiST (SDT). Поэтому после проверки с противодействием KernelMode руткитам настоятельно рекомендуется перезагрузиться (естественно, диагностический режим не требует никаких перезагрузок и на работу системы не влияет). Антируткит корректно отрабатывает перемещение KiST и добавление в нее функций (что, в частности, делает монитор AVP);
2. В диспетчере сервисов и драйверов появились кнопки, позволяющие запустить/остановить/удалить сервис и загрузить/выгрузить/удалить драйвер;
3. Изменена методика сканирования диска - теперь файлы проверяются только в выбранных каталогах (ранее проверялись файлы, лежащие в каталогах по пути к указанному);
4. Уже работает проверка документов Office. В базе пока нет описаний для макровирусов, поэтому собственно ничего не ловится - это естественно временно.
----
Кроме того, расширена база - добавлено около 450 новых "зверей", усовершенствован эвристик. У версии 3.40 в базе 13420 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения, 234 микропрограммы эвристики, 29674 подписей безопасных файлов

1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
KeServiceDescriptorTable найдена (RVA=082480)
ntoskrnl.exe обнаружен в памяти по адресу 804D7000
KESystemDescriptorTable = 80559480
KiST = 86E5BB58,804E26A8( 297)
>>> Внимание, таблица KiST перемещена !
Функция ZwClose (19) перехвачена (80566B49<>F5BD87E0), перехватчик предположительно C:\WINDOWS\System32\Drivers\klif.sys
Функция ZwConnectPort (1F) перехвачена (805894AD<>F5D243BD), перехватчик предположительно C:\WINDOWS\System32\vsdatant.sys
Функция ZwCreateProcess (2F) перехвачена (805AD314<>F5BD8500), перехватчик предположительно C:\WINDOWS\System32\Drivers\klif.sys
Функция ZwCreateProcessEx (30) перехвачена (8058041A<>F5BD8670), перехватчик предположительно C:\WINDOWS\System32\Drivers\klif.sys
Функция ZwCreateSection (32) перехвачена (8056441B<>F5BD8970), перехватчик предположительно C:\WINDOWS\System32\Drivers\klif.sys
Функция ZwCreateThread (35) перехвачена (8057B1C5<>F5BD90CE), перехватчик предположительно C:\WINDOWS\System32\Drivers\klif.sys
Функция ZwDeleteKey (3F) перехвачена (80590F78<>F5D37F30), перехватчик предположительно C:\WINDOWS\System32\vsdatant.sys
Функция ZwDeleteValueKey (41) перехвачена (8058E9FA<>F5D37E60), перехватчик предположительно C:\WINDOWS\System32\vsdatant.sys
Функция ZwLoadKey (62) перехвачена (805AACF0<>F5D37FB0), перехватчик предположительно C:\WINDOWS\System32\vsdatant.sys
Функция ZwOpenProcess (7A) перехвачена (80573C96<>F5D37850), перехватчик предположительно C:\WINDOWS\System32\vsdatant.sys
Функция ZwQueryInformationFile (97) перехвачена (8057240A<>F5BD8E2E), перехватчик предположительно C:\WINDOWS\System32\Drivers\klif.sys
Функция ZwQuerySystemInformation (AD) перехвачена (8057C4AA<>F5BD8F6E), перехватчик предположительно C:\WINDOWS\System32\Drivers\klif.sys
Функция ZwReplaceKey (C1) перехвачена (8064D232<>F5D38120), перехватчик предположительно C:\WINDOWS\System32\vsdatant.sys
Функция ZwRestoreKey (CC) перехвачена (8064BD56<>F5D38260), перехватчик предположительно C:\WINDOWS\System32\vsdatant.sys
Функция ZwSetInformationProcess (E4) перехвачена (8056BD05<>F5BDAE60), перехватчик предположительно C:\WINDOWS\System32\Drivers\klif.sys
Функция ZwSetValueKey (F7) перехвачена (80574C1D<>F5D37D80), перехватчик предположительно C:\WINDOWS\System32\vsdatant.sys
Функция ZwTerminateProcess (101) перехвачена (80582C2B<>F5BD8CF0), перехватчик предположительно C:\WINDOWS\System32\Drivers\klif.sys
Функция ZwTerminateThread (102) перехвачена (8057A8DE<>F5BD8800), перехватчик предположительно C:\WINDOWS\System32\Drivers\klif.sys
Проверено функций: 284, перехвачено: 18, восстановлено: 0

1.2 Поиск перехватчиков API, работающих в >>> Внимание, таблица KiST перемещена !
Функция ZwClose (19) перехвачена (80566B49<>F5BD87E0), перехватчик предположительно C:\WINDOWS\System32\Drivers\klif.sys
....
Проверено функций: 284, перехвачено: 18, восстановлено: 0
Интересно, что такое C:\WINDOWS\System32\Drivers\klif.sys - уж очень он на монитор AVP похож. Интересно, что будет, если разрешить AVZ блокировать Kernel RootKit :)

Протокол антивирусной утилиты AVZ версии 3.40
Сканирование запущено в 5/16/2005 8:50:34 PM
Загружена база: 13420 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Средний уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод APICodeHijack.JmpTo
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:accept (1) перехвачена, метод APICodeHijack.JmpTo
Функция ws2_32.dll:bind (2) перехвачена, метод APICodeHijack.JmpTo
Функция ws2_32.dll:closesocket (3) перехвачена, метод APICodeHijack.JmpTo
Функция ws2_32.dll:connect (4) перехвачена, метод APICodeHijack.JmpTo
Функция ws2_32.dll:gethostbyname (52) перехвачена, метод APICodeHijack.JmpTo
Функция ws2_32.dll:listen (13) перехвачена, метод APICodeHijack.JmpTo
Функция ws2_32.dll:recvfrom (17) перехвачена, метод APICodeHijack.JmpTo
Функция ws2_32.dll:send (19) перехвачена, метод APICodeHijack.JmpTo
Функция ws2_32.dll:sendto (20) перехвачена, метод APICodeHijack.JmpTo
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Функция rasapi32.dll:RasDialA (21) перехвачена, метод APICodeHijack.JmpTo
Функция rasapi32.dll:RasDialW (22) перехвачена, метод APICodeHijack.JmpTo
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
KeServiceDescriptorTable найдена (RVA=082480)
ntoskrnl.exe обнаружен в памяти по адресу 804D7000
KESystemDescriptorTable = 80559480
KiST = 804E26A8,804E26A8( 284)
Функция ZwClose (19) перехвачена (80566B49<>EB224966), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция ZwCreateKey (29) перехвачена (8056E761<>EB224918), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция ZwDeleteKey (3F) перехвачена (80590F78<>EB2249D2), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция ZwDeleteValueKey (41) перехвачена (8058E9FA<>EB224A00), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция ZwEnumerateKey (47) перехвачена (8056EE68<>EB224D78), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция ZwEnumerateValueKey (49) перехвачена (8057EB28<>EB224DEE), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция ZwFlushKey (4F) перехвачена (805DA2D0<>EB2249A4), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция ZwLoadKey (62) перехвачена (805AACF0<>EB224E66), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция ZwOpenFile (74) перехвачена (80570CE3<>EBC8DDAD), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\filespy.sys
Функция ZwOpenKey (77) перехвачена (80567AFB<>EB2248D6), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция ZwQueryKey (A0) перехвачена (8056EB71<>EB224DB4), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция ZwQueryValueKey (B1) перехвачена (8056B0BB<>EB224E2A), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция ZwSetValueKey (F7) перехвачена (80574C1D<>EB224AAF), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция ZwUnloadKey (107) перехвачена (8064C02B<>EB224E96), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция ZwWriteVirtualMemory (115) перехвачена (8057E5E0<>F44DEBE0), перехватчик предположительно C:\PROGRA~1\Agnitum\OUTPOS~1\kernel\FILTNT.SYS
Проверено функций: 284, перехвачено: 15, восстановлено: 0
2. Проверка памяти
Количество найденных процессов: 33
Количество загруженных модулей: 383
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\system32\sockspy.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\sockspy.dll>>> Нейросеть: файл с вероятностью 0.57% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINDOWS\system32\nview.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\nview.dll>>> Нейросеть: файл с вероятностью 0.22% похож на типовой перехватчик событий клавиатуры/мыши
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 23 TCP портов и 23 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 416, найдено вирусов 0
Сканирование завершено в 5/16/2005 8:50:45 PM
Сканирование длилось 00:00:11

Включил противодействие. Система выжила :)
И монитор реестра Bitdefender отрубился :)

Протокол антивирусной утилиты AVZ версии 3.40
Сканирование запущено в 5/16/2005 8:53:07 PM
Загружена база: 13420 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Средний уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции LoadLibraryA нейтрализован
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:accept (1) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции accept нейтрализован
Функция ws2_32.dll:bind (2) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции bind нейтрализован
Функция ws2_32.dll:closesocket (3) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции closesocket нейтрализован
Функция ws2_32.dll:connect (4) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции connect нейтрализован
Функция ws2_32.dll:gethostbyname (52) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции gethostbyname нейтрализован
Функция ws2_32.dll:listen (13) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции listen нейтрализован
Функция ws2_32.dll:recvfrom (17) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции recvfrom нейтрализован
Функция ws2_32.dll:send (19) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции send нейтрализован
Функция ws2_32.dll:sendto (20) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции sendto нейтрализован
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Функция rasapi32.dll:RasDialA (21) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции RasDialA нейтрализован
Функция rasapi32.dll:RasDialW (22) перехвачена, метод APICodeHijack.JmpTo
>>> Код руткита в функции RasDialW нейтрализован
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
KeServiceDescriptorTable найдена (RVA=082480)
ntoskrnl.exe обнаружен в памяти по адресу 804D7000
KESystemDescriptorTable = 80559480
KiST = 804E26A8,804E26A8( 284)
Функция ZwClose (19) перехвачена (80566B49<>EB224966), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция воcстановлена успешно !
Функция ZwCreateKey (29) перехвачена (8056E761<>EB224918), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция воcстановлена успешно !
Функция ZwDeleteKey (3F) перехвачена (80590F78<>EB2249D2), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция воcстановлена успешно !
Функция ZwDeleteValueKey (41) перехвачена (8058E9FA<>EB224A00), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция воcстановлена успешно !
Функция ZwEnumerateKey (47) перехвачена (8056EE68<>EB224D78), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция воcстановлена успешно !
Функция ZwEnumerateValueKey (49) перехвачена (8057EB28<>EB224DEE), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция воcстановлена успешно !
Функция ZwFlushKey (4F) перехвачена (805DA2D0<>EB2249A4), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция воcстановлена успешно !
Функция ZwLoadKey (62) перехвачена (805AACF0<>EB224E66), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция воcстановлена успешно !
Функция ZwOpenFile (74) перехвачена (80570CE3<>EBC8DDAD), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\filespy.sys
Функция воcстановлена успешно !
Функция ZwOpenKey (77) перехвачена (80567AFB<>EB2248D6), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция воcстановлена успешно !
Функция ZwQueryKey (A0) перехвачена (8056EB71<>EB224DB4), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция воcстановлена успешно !
Функция ZwQueryValueKey (B1) перехвачена (8056B0BB<>EB224E2A), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция воcстановлена успешно !
Функция ZwSetValueKey (F7) перехвачена (80574C1D<>EB224AAF), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция воcстановлена успешно !
Функция ZwUnloadKey (107) перехвачена (8064C02B<>EB224E96), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
Функция воcстановлена успешно !
Функция ZwWriteVirtualMemory (115) перехвачена (8057E5E0<>F44DEBE0), перехватчик предположительно C:\PROGRA~1\Agnitum\OUTPOS~1\kernel\FILTNT.SYS
Функция воcстановлена успешно !
Проверено функций: 284, перехвачено: 15, восстановлено: 15
2. Проверка памяти
Количество найденных процессов: 32
Количество загруженных модулей: 368
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\system32\sockspy.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\sockspy.dll>>> Нейросеть: файл с вероятностью 0.57% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINDOWS\system32\nview.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\nview.dll>>> Нейросеть: файл с вероятностью 0.22% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINDOWS\system32\Audiodev.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\Audiodev.dll>>> Нейросеть: файл с вероятностью 0.59% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINDOWS\system32\WMVCore.DLL --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\WMVCore.DLL>>> Нейросеть: файл с вероятностью 0.57% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINDOWS\system32\nvwddi.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\nvwddi.dll>>> Нейросеть: файл с вероятностью 0.70% похож на типовой перехватчик событий клавиатуры/мыши
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 17 TCP портов и 23 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 400, найдено вирусов 0
Сканирование завершено в 5/16/2005 8:53:14 PM
Сканирование длилось 00:00:06

Интересно, что такое C:\WINDOWS\System32\Drivers\klif.sys - уж очень он на монитор AVP похож. Интересно, что будет, если разрешить AVZ блокировать Kernel RootKit :)
Так и есть Каспер. :)
Разрешил AVZ блокировать Kernel RootKit, нечего Каспер жив. :)

Ну и логи ради интереса, разумеется.

Протокол антивирусной утилиты AVZ версии 3.40
Сканирование запущено в 16.05.2005 22:01:48
Загружена база: 13420 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Максимальный уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FC4<>7C801D77
Перехватчик kernel32.dll:LoadLibraryA (578) нейтрализован
>>> Функции LoadLibraryA - прививка процесса AVZ от перехвата подменой адреса !!)
Функция kernel32.dll:LoadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FD3<>7C801D4F
Перехватчик kernel32.dll:LoadLibraryExA (579) нейтрализован
>>> Функции LoadLibraryExA - прививка процесса AVZ от перехвата подменой адреса !!)
Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FF1<>7C801AF1
Перехватчик kernel32.dll:LoadLibraryExW (580) нейтрализован
Функция kernel32.dll:LoadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FE2<>7C80ACD3
Перехватчик kernel32.dll:LoadLibraryW (581) нейтрализован
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
KeServiceDescriptorTable найдена (RVA=082480)
ntoskrnl.exe обнаружен в памяти по адресу 804D7000
KESystemDescriptorTable = 80559480
KiST = 81D77510,804E26A8( 297)
>>> Внимание, таблица KiST перемещена !
Функция ZwClose (19) перехвачена (80566B49<>EBCCB2E0), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция воcстановлена успешно !
Функция ZwCreateProcess (2F) перехвачена (805AD314<>EBCCB000), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция воcстановлена успешно !
Функция ZwCreateProcessEx (30) перехвачена (8058041A<>EBCCB170), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция воcстановлена успешно !
Функция ZwCreateSection (32) перехвачена (8056441B<>EBCCB420), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция воcстановлена успешно !
Функция ZwCreateThread (35) перехвачена (8057B1C5<>EBCCBBAE), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция воcстановлена успешно !
Функция ZwOpenProcess (7A) перехвачена (80573C96<>EBCCAE00), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция воcстановлена успешно !
Функция ZwQueryInformationFile (97) перехвачена (8057240A<>EBCCB8EE), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция воcстановлена успешно !
Функция ZwQuerySystemInformation (AD) перехвачена (8057C4AA<>EBCCBA2E), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция воcстановлена успешно !
Функция ZwResumeThread (CE) перехвачена (8057B838<>EBCCBB8E), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция воcстановлена успешно !
Функция ZwSetInformationProcess (E4) перехвачена (8056BD05<>EBCCD950), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция воcстановлена успешно !
Функция ZwTerminateProcess (101) перехвачена (80582C2B<>EBCCB7A0), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция воcстановлена успешно !
Проверено функций: 284, перехвачено: 11, восстановлено: 11
>> Опасно ! Обнаружена маскировка сервисов и драйверов на уровне реестра
2. Проверка памяти
Количество найденных процессов: 22
Процесс c:\program files\kaspersky lab\kaspersky anti-virus personal\kavsvc.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,wininet.dll,u rlmon.dll,rasapi32.dll,tapi32.dll)
Процесс c:\program files\microsoft antispyware\gcasserv.exe может работать с сетью (wininet.dll,urlmon.dll,rasapi32.dll,ws2_32.dll,ws 2help.dll,netapi32.dll,tapi32.dll)
Процесс c:\program files\kaspersky lab\kaspersky anti-virus personal\kav.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс c:\windows\system32\nvsvc32.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll)
Процесс c:\program files\avz v3.40\avz v3.40.exe может работать с сетью (ws2_32.dll,ws2help.dll,rasapi32.dll,netapi32.dll, tapi32.dll)
Количество загруженных модулей: 353
Проверка памяти завершена
3. Сканирование дисков
C:\Program Files\Paragon Software\Drive Backup\DBW\BM\command.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 3 TCP портов и 7 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 8860, найдено вирусов 0
Сканирование завершено в 16.05.2005 22:12:40
Сканирование длилось 00:10:52

Пункты 1.1 и 1.2 шалости Каспера. :)

Попадёт теперь AVZ в Riskware.

Пусть попробуют, шапками закидаем. :)

Олег, а когда появится запуск из контекстного меню, порой так не хватает для проверки отдельных (подозрительных) файлов.
Неплохо ввести "инкрементальную загрузку" обновлений (как у avast'а), хотя бы в недалекой перспективе, пока программа еще компактная, а то быстро вырастит как на дрожжах. :)

Потестил на 98-ом - полет нормальный :)

Тоже добавлю свой лог:
Протокол антивирусной утилиты AVZ версии 3.40
Сканирование запущено в 16.05.2005 23:05:22
Загружена база: 13420 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Максимальный уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
KeServiceDescriptorTable найдена (RVA=08A500)
ntoskrnl.exe обнаружен в памяти по адресу 804D7000
KESystemDescriptorTable = 80561500
KiST = 804E48B0,804E48B0( 284)
Функция ZwCreateSection (32) перехвачена (8056CE25<>F347DF8C), перехватчик предположительно C:\WINDOWS\system32\drivers\RapDrv.sys
Функция ZwOpenSection (7D) перехвачена (8057EB3A<>F347D8F8), перехватчик предположительно C:\WINDOWS\system32\drivers\RapDrv.sys
Проверено функций: 284, перехвачено: 2, восстановлено: 0
2. Проверка памяти
Количество найденных процессов: 28
Процесс c:\program files\iss\blackice\rapapp.exe может работать с сетью (ws2_32.dll,ws2help.dll)
Процесс c:\program files\war-ftpd\war-ftpd.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс c:\program files\drweb\drwebscd.exe может работать с сетью (wininet.dll,urlmon.dll,rasapi32.dll,ws2_32.dll,ws 2help.dll,netapi32.dll,tapi32.dll)
Процесс c:\program files\iss\blackice\blackd.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс c:\program files\opera75\opera.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,wininet.dll)
Процесс c:\******\desktop\avz\avz-betta2\avz.exe может работать с сетью (ws2_32.dll,ws2help.dll,rasapi32.dll,netapi32.dll, tapi32.dll,wininet.dll)
Количество загруженных модулей: 307
Проверка памяти завершена
3. Сканирование дисков
C:\WINDOWS\Installer\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}\IconE9F814232.chm - PE файл с нестандартным расширением(степень опасности 5%)
C:\WINDOWS\system\WINASPI.BAK - PE файл с нестандартным расширением(степень опасности 5%)
C:\WINDOWS\system\WOWPOST.BAK - PE файл с нестандартным расширением(степень опасности 5%)
C:\WINDOWS\system32\drivers\ASPI2K.BAK - PE файл с нестандартным расширением(степень опасности 5%)
C:\WINDOWS\system32\WNASPI2K.BAK - PE файл с нестандартным расширением(степень опасности 5%)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 28 TCP портов и 11 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 23699, найдено вирусов 0
Сканирование завершено в 16.05.2005 23:10:23
Сканирование длилось 00:05:01

...
Режим эвристического анализатора: Максимальный уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FC4<>7C801D77
Функция kernel32.dll:LoadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FD3<>7C801D4F
Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FF1<>7C801AF1
Функция kernel32.dll:LoadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FE2<>7C80ACD3
...
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
KeServiceDescriptorTable найдена (RVA=082480)
ntoskrnl.exe обнаружен в памяти по адресу 804D7000
KESystemDescriptorTable = 80559480
KiST = 821FE570,804E26A8( 297)
>>> Внимание, таблица KiST перемещена !
Функция ZwClose (19) перехвачена (80566B49<>EFB64070), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateKey (29) перехвачена (8056E761<>F84FAAB0), перехватчик предположительно a347bus.sys
Функция ZwCreatePagingFile (2D) перехвачена (805B77B8<>F84EEB00), перехватчик предположительно a347bus.sys
Функция ZwCreateProcess (2F) перехвачена (805AD314<>EFB63D90), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateProcessEx (30) перехвачена (8058041A<>EFB63F00), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateSection (32) перехвачена (8056441B<>EFB641B0), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateThread (35) перехвачена (8057B1C5<>EFB647FE), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwEnumerateKey (47) перехвачена (8056EE68<>F84EF388), перехватчик предположительно a347bus.sys
Функция ZwEnumerateValueKey (49) перехвачена (8057EB28<>F84FABF0), перехватчик предположительно a347bus.sys
Функция ZwOpenKey (77) перехвачена (80567AFB<>F84FAA74), перехватчик предположительно a347bus.sys
Функция ZwOpenProcess (7A) перехвачена (80573C96<>EFB63B90), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwQueryInformationFile (97) перехвачена (8057240A<>EFB6469E), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwQueryKey (A0) перехвачена (8056EB71<>F84EF3A8), перехватчик предположительно a347bus.sys
Функция ZwQueryValueKey (B1) перехвачена (8056B0BB<>F84FAB46), перехватчик предположительно a347bus.sys
Функция ZwSetInformationProcess (E4) перехвачена (8056BD05<>EFB66530), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwSetSystemPowerState (F1) перехвачена (80665527<>F84FA390), перехватчик предположительно a347bus.sys
Функция ZwTerminateProcess (101) перехвачена (80582C2B<>EFB64550), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwWriteVirtualMemory (115) перехвачена (8057E5E0<>EFCB15B0), перехватчик предположительно C:\PROGRA~1\Agnitum\OUTPOS~1\kernel\FILTNT.SYS
...
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files\Logitech\MouseWare\System\LgWndHk.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Logitech\MouseWare\System\LgWndHk.dll>>> Нейросеть: файл с вероятностью 99.91% похож на типовой перехватчик событий клавиатуры/мыши
C:\Program Files\Common Files\Logitech\Scrolling\LgMsgHk.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Common Files\Logitech\Scrolling\LgMsgHk.dll>>> Нейросеть: файл с вероятностью 99.48% похож на типовой перехватчик событий клавиатуры/мыши
...

Интересный момент:

Вот лог...
Протокол антивирусной утилиты AVZ версии 3.40
Сканирование запущено в 17.05.2005 0:16:46
Загружена база: 13420 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Максимальный уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
KeServiceDescriptorTable найдена (RVA=082B80)
ntoskrnl.exe обнаружен в памяти по адресу 804D7000
KESystemDescriptorTable = 80559B80
KiST = 804E2D20,804E2D20( 284)
Функция ZwConnectPort (1F) перехвачена (80598C34<>F7A564F2), перехватчик предположительно C:\WINDOWS\System32\Drivers\bcftdi.SYS
Функция воcстановлена успешно !
Функция ZwCreatePort (2E) перехвачена (80592699<>F7A56442), перехватчик предположительно C:\WINDOWS\System32\Drivers\bcftdi.SYS
Функция воcстановлена успешно !
Функция ZwCreateThread (35) перехвачена (8057F262<>F7A5632C), перехватчик предположительно C:\WINDOWS\System32\Drivers\bcftdi.SYS
Функция воcстановлена успешно !
Функция ZwWriteVirtualMemory (115) перехвачена (8057C123<>F7A565BE), перехватчик предположительно C:\WINDOWS\System32\Drivers\bcftdi.SYS
Функция воcстановлена успешно !
Проверено функций: 284, перехвачено: 4, восстановлено: 4
2. Проверка памяти
Количество найденных процессов: 34
[skiped]
Количество загруженных модулей: 368
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
[skiped]

Пока вроде бы все хорошо... Перехватчики от Jetico FW успешно нейтрализованы (Jetico продолжает жить) Но дальше выскакивает предупреждение данного FW о том, что приложение (AVZ) очень хочет обратиться к сети:
17.05.2005 0:17:01.642 Спросить доступ к сети D:\Distrib\AV\avz\avz.exe PID: 1660; Hash: 81782A0E 5932102E ADA6A262 4AC016A0 82167827
При выборе "блокировать автивность" получаю:

[avz log continue]
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 0 TCP портов и 0 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 402, найдено вирусов 0
Сканирование завершено в 17.05.2005 0:17:15
Сканирование длилось 00:00:30

Возникает вопрос, значит "Поиск открытых портов TCP/UDP" не защищены анти-руткитом?

Здраствуйте. Протокол антивирусной утилиты AVZ версии 3.40
Сканирование запущено в 17.05.2005 4:40:10
Загружена база: 13420 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Максимальный уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FC4<>7C801D77
Функция kernel32.dll:LoadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FD3<>7C801D4F
Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FF1<>7C801AF1
Функция kernel32.dll:LoadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FE2<>7C80ACD3
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
KeServiceDescriptorTable найдена (RVA=08C500)
ntoskrnl.exe обнаружен в памяти по адресу 804D7000
KESystemDescriptorTable = 80563500
KiST = 81E49A50,804E4F40( 297)
>>> Внимание, таблица KiST перемещена !
Функция ZwClose (19) перехвачена (80570D29<>A2DFB070), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateProcess (2F) перехвачена (805B4A28<>A2DFAD90), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateProcessEx (30) перехвачена (8058B5EC<>A2DFAF00), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateSection (32) перехвачена (8056EE25<>A2DFB1B0), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateThread (35) перехвачена (80586CE6<>A2DFB7FE), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwOpenProcess (7A) перехвачена (80581C68<>A2DFAB90), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwQueryInformationFile (97) перехвачена (80580C35<>A2DFB69E), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwSetInformationProcess (E4) перехвачена (8057BDC9<>A2DFD530), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwTerminateProcess (101) перехвачена (8058CE75<>A2DFB550), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
Функция ZwWriteVirtualMemory (115) перехвачена (805880B7<>A2F00BE0), перехватчик предположительно C:\PROGRA~1\Agnitum\OUTPOS~1\kernel\2000\FILTNT.SY S
Проверено функций: 284, перехвачено: 10, восстановлено: 0
2. Проверка памяти
Количество найденных процессов: 14
Процесс c:\program files\positive technologies\startup monitor\ptstartmon.exe может работать с сетью (netapi32.dll)
Процесс e:\программы\Новая папка\avz3.40\avz-betta2\avz.exe может работать с сетью (ws2_32.dll,ws2help.dll,rasapi32.dll,netapi32.dll, tapi32.dll)
Количество загруженных модулей: 203
Проверка памяти завершена
3. Сканирование дисков
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\Office\1049\
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\Office\Library\
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\Office\Samples\
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\Office\Startup\
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\Office\
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\Templates\1049\
C:\Program Files\ReGetDx\regetdx.exe.bak - PE файл с нестандартным расширением(степень опасности 5%)
C:\Program Files\WinRAR\WinRAR.exe.bak - PE файл с нестандартным расширением(степень опасности 5%)
E:\программы\Новая папка\clrav\CLRAV.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 2 TCP портов и 3 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 15780, найдено вирусов 0
Сканирование завершено в 17.05.2005 4:43:01
Сканирование длилось 00:02:51
Не могли бы подсказать,что это такое ">>> Внимание, таблица KiST перемещена !"

Возникает вопрос, значит "Поиск открытых портов TCP/UDP" не защищены анти-руткитом?

говорит о том, что фаер работает правильно - когда его отрубают, с сетью нельзя работать вообще. эх, Аутпост бы так работал

to новый


Не могли бы подсказать,что это такое ">>> Внимание, таблица KiST перемещена !"

Это означает, что некое приложение X переместило KiST (это таблица, в которой хранятся адреса ситемных функций) в памяти. Это уже само по себе является сигналом о том, что некое приложение вмешалось в работу ядра. Данное сообщение является нормой для монитор AVP и некоторых RootKit режима ядра.
to Dandy
Как совершенно правильно подметил Михаил, нарушение работы перехватчиков Firewall приводит к его противодействию разным сетевым операциям.
to Geser
Я вот думаю, нужно поместить в лог предпуреждение, что после блокирования перехватчиков KernelMode нужна перезагрузка, чтобы приложения-перехватчики могли нормально восстановить свою работу.

to новый

to Geser
Я вот думаю, нужно поместить в лог предпуреждение, что после блокирования перехватчиков KernelMode нужна перезагрузка, чтобы приложения-перехватчики могли нормально восстановить свою работу.
Угу, а то человек с нейтрализованным антивирусом нахватаетя всякого :) Правда предупреждения читают 10% пользователей :)
Кстати, автозапуск так и не работает :( Мож как-то выловим баг?

говорит о том, что фаер работает правильно - когда его отрубают, с сетью нельзя работать вообще. эх, Аутпост бы так работал

Вы не меня не правильно поняли.
1) После того, как перехваты востановлены AVZ (в KernelMode) - работа с сетью возможна без проблем.
2) После востановления, некоторая активность (вирусоподобная) становится для FW незаметной (создание скрытого процесса, запись в память и т.п) - как и должно быть, но!

При всем при этом, при попытк AVZ получить список открытых портов, FW данную активность пресекает! Отсюда:
На данном ПК открыто 0 TCP портов и 0 UDP портов
Хотя данный ПК - мой тестовый сервер под Eserv/3

Поэтому у меня и возникло подозрение, что 6-ой пункт работы AVZ не защищен антируткитом. Или почему тогда FW определяет (не блокирует) - спрашивает, что делать с данной активностью? (после востановления в Kernel и User mode)

Угу, а то человек с нейтрализованным антивирусом нахватаетя всякого :) Правда предупреждения читают 10% пользователей :)
Кстати, автозапуск так и не работает :( Мож как-то выловим баг?

Ну, пункт "противодействие" по умолчанию естественно отключен ... но для убедительности я покрасил его в красный цвет, при наведении мыша - грозное предупреждение во всплывающей подсказке, при запуске сканирования с противодействием - грозное предупреждение с подтверждением + сообщение в логе о надобности скорейшей перезагрузки (оно выдается, если восстановлена хотя-бы одна функция) :)

Поэтому у меня и возникло подозрение, что 6-ой пункт работы AVZ не защищен антируткитом. Или почему тогда FW определяет (не блокирует) - спрашивает, что делать с данной активностью? (после востановления в Kernel и User mode)
От то защищен ... но неизвестно, на каком уровне и как Firewall блокирует эти операции - скорее всего, у него есть еще какая-то методика защиты, которую не нейтрализуцет AVZ. Большинство руткитов маскируют открываемые ими порты за счет перехвата системных функций.

Вы не меня не правильно поняли.
1) После того, как перехваты востановлены AVZ (в KernelMode) - работа с сетью возможна без проблем.
2) После востановления, некоторая активность (вирусоподобная) становится для FW незаметной (создание скрытого процесса, запись в память и т.п) - как и должно быть, но!

При всем при этом, при попытк AVZ получить список открытых портов, FW данную активность пресекает! Отсюда:
На данном ПК открыто 0 TCP портов и 0 UDP портов

вашу идею я-то понял правильно, но подумал, что хотя активность AVZ фаер может отследить, то из-за блокировки руткита функция сканирования портов не сработала
выдаёт ли AVZ список портов, если разрешить обращение фаером?
если не выдаёт, то ближе к истине моё предположение, если выдаёт, то ваше

вашу идею я-то понял правильно, но подумал, что хотя активность AVZ фаер может отследить, то из-за блокировки руткита функция сканирования портов не сработала
выдаёт ли AVZ список портов, если разрешить обращение фаером?
если не выдаёт, то ближе к истине моё предположение, если выдаёт, то ваше

да, выдает без вопросов

да, выдает без вопросов
что можно сказать, против атак изнутри ваш файрвол ещё лучше, чем я думал. об этом не стоит сильно переживать :)

что можно сказать, против атак изнутри ваш файрвол ещё лучше, чем я думал. об этом не стоит сильно переживать :)
Офтоп :( Мож поменять файр, только продлил лицензию на Аутпост :(

Добрый день Олег. Планируется ли в АВЗ возможность ведения лога работы? Дело в том, что начиная с некоторого времени у меня на компе (рабочем), при включении "параноидальных" настроек, все галочки выставлены - прога вылетает с кучей ошибок......

Добрый день Олег. Планируется ли в АВЗ возможность ведения лога работы? Дело в том, что начиная с некоторого времени у меня на компе (рабочем), при включении "параноидальных" настроек, все галочки выставлены - прога вылетает с кучей ошибок......
Да, для я планирую ввести ключик Debug для регистрации ошибок - ввиду большого числа проверок иногда вылетают непредвиденные ошибки - они будут писаться в лог с указанием местоположения и сообщения об ошибке

Сначала просто сканирование:

Протокол антивирусной утилиты AVZ версии 3.40
Сканирование запущено в 5/17/2005 11:07:24 AM
Загружена база: 13420 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Максимальный уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
KeServiceDescriptorTable найдена (RVA=080820)
ntoskrnl.exe обнаружен в памяти по адресу 80400000
KESystemDescriptorTable = 80480820
KiST = 80472128,80472128( 248)
Функция ZwConnectPort (1B) перехвачена (804C5930<>BE7B55CD), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция ZwDeleteKey (35) перехвачена (8051206E<>BE7C9110), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция ZwDeleteValueKey (37) перехвачена (8051228A<>BE7C9070), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция ZwLoadKey (56) перехвачена (805140B0<>BE7C9190), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция ZwOpenProcess (6A) перехвачена (804DE984<>BE7C8AB0), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция ZwReplaceKey (A9) перехвачена (80514564<>BE7C9240), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция ZwRestoreKey (B4) перехвачена (80513A56<>BE7C92C0), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция ZwSecureConnectPort (B8) перехвачена (80433698<>BE7B56F5), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция ZwSetValueKey (D7) перехвачена (80513DF4<>BE7C8FC0), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Проверено функций: 248, перехвачено: 9, восстановлено: 0
2. Проверка памяти
Количество найденных процессов: 39
Процесс d:\winnt\system32\winlogon.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll,rasapi32.dll, tapi32.dll)
Процесс d:\winnt\system32\lsass.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll)
Процесс d:\winnt\system32\mstask.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll,rasapi32.dll, tapi32.dll)
Процесс d:\winnt\system32\zonelabs\vsmon.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll,wininet.dll)
Процесс d:\program files\d-tools\daemon.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс d:\program files\zone labs\zonealarm\zlclient.exe может работать с сетью (ws2_32.dll,ws2help.dll)
Процесс c:\programs\thebat\thebat.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll)
Процесс d:\program files\borland\starteam 6.0\starteam.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll)
Процесс d:\program files\borland\delphi5\bin\delphi32.exe может работать с сетью (ws2_32.dll,ws2help.dll,wininet.dll)
Процесс c:\program files\opera\opera.exe может работать с сетью (ws2_32.dll,ws2help.dll,wininet.dll)
Процесс e:\downlaods\dust\avz-betta2\avz.exe может работать с сетью (ws2_32.dll,ws2help.dll,rasapi32.dll,tapi32.dll)
Количество загруженных модулей: 529
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 24 TCP портов и 11 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 568, найдено вирусов 0
Сканирование завершено в 5/17/2005 11:07:35 AM
Сканирование длилось 00:00:11


А теперь с нетрализацией:

Протокол антивирусной утилиты AVZ версии 3.40
Сканирование запущено в 5/17/2005 11:07:54 AM
Загружена база: 13420 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Максимальный уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
KeServiceDescriptorTable найдена (RVA=080820)
ntoskrnl.exe обнаружен в памяти по адресу 80400000
KESystemDescriptorTable = 80480820
KiST = 80472128,80472128( 248)
Функция ZwConnectPort (1B) перехвачена (804C5930<>BE7B55CD), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция воcстановлена успешно !
Функция ZwDeleteKey (35) перехвачена (8051206E<>BE7C9110), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция воcстановлена успешно !
Функция ZwDeleteValueKey (37) перехвачена (8051228A<>BE7C9070), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция воcстановлена успешно !
Функция ZwLoadKey (56) перехвачена (805140B0<>BE7C9190), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция воcстановлена успешно !
Функция ZwOpenProcess (6A) перехвачена (804DE984<>BE7C8AB0), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция воcстановлена успешно !
Функция ZwReplaceKey (A9) перехвачена (80514564<>BE7C9240), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция воcстановлена успешно !
Функция ZwRestoreKey (B4) перехвачена (80513A56<>BE7C92C0), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция воcстановлена успешно !
Функция ZwSecureConnectPort (B8) перехвачена (80433698<>BE7B56F5), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция воcстановлена успешно !
Функция ZwSetValueKey (D7) перехвачена (80513DF4<>BE7C8FC0), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция воcстановлена успешно !
Проверено функций: 248, перехвачено: 9, восстановлено: 9
>> Опасно ! Обнаружена маскировка сервисов и драйверов на уровне реестра
>>>> Подозрение на RootKit ACPI D:\WINNT\system32\DRIVERS\ACPI.sys
>>>> Подозрение на RootKit ALCXWDM D:\WINNT\system32\drivers\ALCXWDM.SYS
>>>> Подозрение на RootKit BITS D:\WINNT\System32\svchost.exe -k BITSgroup
>>>> Подозрение на RootKit DbgProxy D:\Program Files\Microsoft Visual Studio .NET\Common7\Packages\Debugger\dbgproxy.exe
>>>> Подозрение на RootKit dmadmin D:\WINNT\System32\dmadmin.exe /com
>>>> Подозрение на RootKit dmboot D:\WINNT\system32\drivers\dmboot.sys
>>>> Подозрение на RootKit dmio D:\WINNT\system32\DRIVERS\dmio.sys
>>>> Подозрение на RootKit DNSFILT c:\programs\atguard\DNSFILT.SYS
>>>> Подозрение на RootKit drwebnet D:\WINNT\system32\drivers\drwebnet.sys
>>>> Подозрение на RootKit EventSystem D:\WINNT\System32\svchost.exe -k netsvcs
>>>> Подозрение на RootKit FirebirdServerDefaultInstance D:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe -s
>>>> Подозрение на RootKit Ftdisk D:\WINNT\system32\DRIVERS\ftdisk.sys
>>>> Подозрение на RootKit FWFILT c:\programs\atguard\FWFILT.SYS
>>>> Подозрение на RootKit HTTPFILT c:\programs\atguard\HTTPFILT.SYS
>>>> Подозрение на RootKit i8042prt D:\WINNT\system32\DRIVERS\i8042prt.sys
>>>> Подозрение на RootKit Iamdrv c:\programs\atguard\iamdrv.sys
>>>> Подозрение на RootKit IAS D:\WINNT\System32\svchost.exe -k netsvcs
>>>> Подозрение на RootKit isapnp D:\WINNT\system32\DRIVERS\isapnp.sys
>>>> Подозрение на RootKit Kbdclass D:\WINNT\system32\DRIVERS\kbdclass.sys
>>>> Подозрение на RootKit kdc D:\WINNT\System32\lsass.exe
>>>> Подозрение на RootKit MDM "D:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe"
>>>> Подозрение на RootKit Mouclass D:\WINNT\system32\DRIVERS\mouclass.sys
>>>> Подозрение на RootKit mouhid D:\WINNT\system32\DRIVERS\mouhid.sys
>>>> Подозрение на RootKit MSIServer D:\WINNT\system32\msiexec.exe /V
>>>> Подозрение на RootKit MSSEARCH "D:\Program Files\Common Files\System\MSSearch\Bin\mssearch.exe"
>>>> Подозрение на RootKit NDISFILT c:\programs\atguard\NDISFILT.SYS
>>>> Подозрение на RootKit NetDDE D:\WINNT\system32\netdde.exe
>>>> Подозрение на RootKit NetDDEdsdm D:\WINNT\system32\netdde.exe
>>>> Подозрение на RootKit Netlogon D:\WINNT\System32\lsass.exe
>>>> Подозрение на RootKit Netman D:\WINNT\System32\svchost.exe -k netsvcs
>>>> Подозрение на RootKit NPF D:\WINNT\system32\drivers\npf.sys
>>>> Подозрение на RootKit NtLmSsp D:\WINNT\System32\lsass.exe
>>>> Подозрение на RootKit NtmsSvc D:\WINNT\System32\svchost.exe -k netsvcs
>>>> Подозрение на RootKit nvatabus D:\WINNT\system32\DRIVERS\nvatabus.sys
>>>> Подозрение на RootKit nvax D:\WINNT\system32\drivers\nvax.sys
>>>> Подозрение на RootKit NVENETFD D:\WINNT\system32\DRIVERS\NVENETFD.sys
>>>> Подозрение на RootKit nvnetbus D:\WINNT\system32\DRIVERS\nvnetbus.sys
>>>> Подозрение на RootKit oad D:\PROGRA~1\Borland\vbroker\bin\oad.exe
>>>> Подозрение на RootKit osagent D:\PROGRA~1\Borland\vbroker\bin\osagent.exe
>>>> Подозрение на RootKit ousb2hub D:\WINNT\system32\DRIVERS\ousb2hub.sys
>>>> Подозрение на RootKit ousbehci D:\WINNT\system32\Drivers\ousbehci.sys
>>>> Подозрение на RootKit Parallel D:\WINNT\system32\DRIVERS\parallel.sys
>>>> Подозрение на RootKit Parport D:\WINNT\system32\DRIVERS\parport.sys
>>>> Подозрение на RootKit PCI D:\WINNT\system32\DRIVERS\pci.sys
>>>> Подозрение на RootKit PCIIde D:\WINNT\system32\DRIVERS\pciide.sys
>>>> Подозрение на RootKit PolicyAgent D:\WINNT\System32\lsass.exe
>>>> Подозрение на RootKit RasAuto D:\WINNT\System32\svchost.exe -k netsvcs
>>>> Подозрение на RootKit RasMan D:\WINNT\System32\svchost.exe -k netsvcs
>>>> Подозрение на RootKit redbook D:\WINNT\system32\DRIVERS\redbook.sys
>>>> Подозрение на RootKit RemoteAccess D:\WINNT\System32\svchost.exe -k netsvcs
>>>> Подозрение на RootKit rpcapd "%ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini"
>>>> Подозрение на RootKit RpcSs D:\WINNT\system32\svchost -k rpcss
>>>> Подозрение на RootKit RSVP D:\WINNT\System32\rsvp.exe -s
>>>> Подозрение на RootKit rtl8139 D:\WINNT\system32\DRIVERS\RTL8139.SYS
>>>> Подозрение на RootKit SamSs D:\WINNT\system32\lsass.exe
>>>> Подозрение на RootKit Schedule D:\WINNT\system32\MSTask.exe
>>>> Подозрение на RootKit SENS D:\WINNT\system32\svchost.exe -k netsvcs
>>>> Подозрение на RootKit Serial D:\WINNT\system32\DRIVERS\serial.sys
>>>> Подозрение на RootKit SharedAccess D:\WINNT\System32\svchost.exe -k netsvcs
>>>> Подозрение на RootKit SPIDER C:\Programs\DrWebSrv\spider.sys
>>>> Подозрение на RootKit st3tgbus D:\WINNT\system32\DRIVERS\st3tgbus.sys
>>>> Подозрение на RootKit st3tiger D:\WINNT\system32\DRIVERS\st3tiger.sys
>>>> Подозрение на RootKit TapiSrv D:\WINNT\System32\svchost.exe -k tapisrv
>>>> Подозрение на RootKit Tcpip D:\WINNT\system32\DRIVERS\tcpip.sys
>>>> Подозрение на RootKit Visual Studio Analyzer RPC bridge D:\Program Files\Microsoft Visual Studio .NET\Common7\Tools\Analyzer\varpc.exe
>>>> Подозрение на RootKit VMAuthdService D:\Program Files\VMware\VMware Workstation\vmware-authd.exe
>>>> Подозрение на RootKit VMnetBridge D:\WINNT\system32\DRIVERS\vmnetbridge.sys
>>>> Подозрение на RootKit VMnetuserif D:\WINNT\System32\drivers\vmnetuserif.sys
>>>> Подозрение на RootKit vsdatant D:\WINNT\system32\vsdatant.sys
>>>> Подозрение на RootKit vsmon D:\WINNT\system32\ZoneLabs\vsmon.exe -service
>>>> Подозрение на RootKit WINIO G:\DRIVER\Audio\winio.sys
>>>> Подозрение на RootKit WinProxy C:\Programs\WinProxy\WinProxy.exe
>>>> Подозрение на RootKit wuauserv D:\WINNT\system32\svchost.exe -k wugroup
>>>> Подозрение на RootKit WZCSVC D:\WINNT\System32\svchost.exe -k netsvcs
2. Проверка памяти
Количество найденных процессов: 39
Процесс d:\winnt\system32\winlogon.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll,rasapi32.dll, tapi32.dll)
Процесс d:\winnt\system32\lsass.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll)
Процесс d:\winnt\system32\mstask.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll,rasapi32.dll, tapi32.dll)
Процесс d:\winnt\system32\zonelabs\vsmon.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll,wininet.dll)
Процесс d:\program files\d-tools\daemon.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс d:\program files\zone labs\zonealarm\zlclient.exe может работать с сетью (ws2_32.dll,ws2help.dll)
Процесс c:\programs\thebat\thebat.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll)
Процесс d:\program files\borland\starteam 6.0\starteam.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll)
Процесс d:\program files\borland\delphi5\bin\delphi32.exe может работать с сетью (ws2_32.dll,ws2help.dll,wininet.dll)
Процесс c:\program files\opera\opera.exe может работать с сетью (ws2_32.dll,ws2help.dll,wininet.dll)
Процесс e:\downlaods\dust\avz-betta2\avz.exe может работать с сетью (ws2_32.dll,ws2help.dll,rasapi32.dll,tapi32.dll,ne tapi32.dll)
Количество загруженных модулей: 529
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
D:\WINNT\system32\NTDSAPI.dll --> Подозрение на Keylogger или троянскую DLL
D:\WINNT\system32\NTDSAPI.dll>>> Нейросеть: файл с вероятностью 0.55% похож на типовой перехватчик событий клавиатуры/мыши
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 26 TCP портов и 11 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 568, найдено вирусов 0
Сканирование завершено в 5/17/2005 11:08:02 AM
Сканирование длилось 00:00:08


Система W2kSP4 + все хотфиксы. Антивирус - DrWeb 4.32b, firewall - ZoneAlarm Pro version:5.5.062.004

Похоже все сервисы в подозрительные попали :(

Спасибо! ждём'с :)

1. Огромное спасибо за новую версию!
2. Несколько вопросов:
2.1. Почему так:
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\Office\
?
2.2. В данном случае
Функция ZwUnloadKey (E4) перехвачена (805140C2->EB55263C), перехватчик D:\WINNT\system32\Drivers\uphcleanhlp.sys
в отличие от большинства (или даже всех) присланных логов отсутствует слово "предположительно". Почему так? (Зачем нужен uphcleanhlp, я в курсе).
2.3. В одном из выложенных логов присутствует такая строка:
>> Опасно ! Обнаружена маскировка сервисов и драйверов на уровне реестра
Что она означает?

Сначала просто сканирование:

.....
>>> Подозрение на RootKit WZCSVC D:\WINNT\System32\svchost.exe - ......

Похоже все сервисы в подозрительные попали :(

Это глюк анализатора - сейчас у меня на сайте лежит обновленный архив, там этот баг вроде как поправлен. Тем не менее стоит включать продиводействие сразу на обоих уровнях (Kernel и User), иначе анализатор шалит

RobinFood
Слово "предположительно" удалено в апдейте от сегодняшнего утра (AVZ знает перехватчик наверняка, или не знает - тогда сообщение "не удалось обнаружить").

>> Опасно ! Обнаружена маскировка сервисов и драйверов на уровне реестра


Нужно включать продиводействие сразу на обоих уровнях (Kernel и User), тогда это пропадет - анализатор немного шалит ...

C:\Program Files\Microsoft Office\Office\
Возможно, что-то с правами доступа ...

мини-баг:
Если в диспетчере сервисов открыть закладку "Сервисы (по анализу реестра)", выбрать сервис и нажать на кнопку "Удалить сервис", то вместо него будет удален сервис, который был выбран на закладке "Сервисы (по данным API)".

Это глюк анализатора - сейчас у меня на сайте лежит обновленный архив, там этот баг вроде как поправлен. Тем не менее стоит включать продиводействие сразу на обоих уровнях (Kernel и User), иначе анализатор шалит


Так на User-Mode ничего подозрительного не было - вот и не включал. OK, будем знать.


Возможно, что-то с правами доступа ...
Нет, с доступом все в порядке. У меня тоже несколько таких ошибок было вчера. Поставил диск С: на проверку и в 3-х - 4-х каталогах такое вылезло. Сам диск не системный (система на D:\WinNT, см. лог выше), и FAT32. Так что неувязки с правами точно исключаются.

Вот пример лога нового лога (после нейтрализации Kernel-Mode Rootkit не перезагружался):

Протокол антивирусной утилиты AVZ версии 3.40
Сканирование запущено в 5/17/2005 11:53:14 AM
Загружена база: 13420 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Максимальный уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
KeServiceDescriptorTable найдена (RVA=080820)
ntoskrnl.exe обнаружен в памяти по адресу 80400000
SDT = 80480820
KiST = 80472128 (248)
Проверено функций: 248, перехвачено: 0, восстановлено: 0
2. Проверка памяти
Количество найденных процессов: 38
Процесс d:\winnt\system32\winlogon.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll,rasapi32.dll, tapi32.dll)
Процесс d:\winnt\system32\lsass.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll)
Процесс d:\winnt\system32\mstask.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll,rasapi32.dll, tapi32.dll)
Процесс d:\winnt\system32\zonelabs\vsmon.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll,wininet.dll)
Процесс d:\program files\d-tools\daemon.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс d:\program files\zone labs\zonealarm\zlclient.exe может работать с сетью (ws2_32.dll,ws2help.dll)
Процесс c:\programs\thebat\thebat.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll)
Процесс d:\program files\borland\starteam 6.0\starteam.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll)
Процесс d:\program files\borland\delphi5\bin\delphi32.exe может работать с сетью (ws2_32.dll,ws2help.dll,wininet.dll)
Процесс c:\program files\opera\opera.exe может работать с сетью (ws2_32.dll,ws2help.dll,wininet.dll)
Процесс e:\downlaods\dust\avz-betta3\avz.exe может работать с сетью (ws2_32.dll,ws2help.dll,rasapi32.dll,tapi32.dll)
Количество загруженных модулей: 528
Проверка памяти завершена
3. Сканирование дисков
C:\Programs\DRWEB\Infected.!!!\main1.chm>>>>> Вирус !! TrojanDownloader.JS.Psyme.v
<много вирусов из Infected.!!! пропущено>
Ошибка при сканировании каталога C:\Programs\TheBat\MAIL\Bas\Attach\
C:\Programs\TheBat\MAIL\Gorokhov\Attach\MSO-Patch-0071.exe>>>>> Вирус !! I-Worm.Avron.b
C:\Programs\DrWebSrv\infected.!!!\A0361946.dll>>>>> Вирус !! TrojanDownloader.Win32.IstBar.dh
<много вирусов из Infected.!!! пропущено>
Ошибка при сканировании каталога C:\Programs\DrWebSrv\infected.!!!\
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 27 TCP портов и 11 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 4484, найдено вирусов 113
Сканирование завершено в 5/17/2005 11:54:02 AM
Сканирование длилось 00:00:48

У меня тоже вылазит

3. Сканирование дисков
Ошибка при сканировании каталога G:\Program Files\Microsoft Office\Office\1049\

и т.п.
с версией 3.20 никаких ошибок не было

Протокол антивирусной утилиты AVZ версии 3.40
Сканирование запущено в 17.05.2005 12:54:08
Загружена база: 13420 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Средний уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
KeServiceDescriptorTable найдена (RVA=080820)
ntoskrnl.exe обнаружен в памяти по адресу 80400000
KESystemDescriptorTable = 80480820
KiST = 80472128,80472128( 248)
Функция ZwAllocateVirtualMemory (10) перехвачена (804C9B2C<>EB5A2B30), перехватчик предположительно C:\WINNT\system32\drivers\wpsdrvnt.sys
Функция ZwConnectPort (1B) перехвачена (804C5930<>E1553488), перехватчик обнаружить не удалось
Функция ZwCreateThread (2E) перехвачена (804E1488<>EB5A26F0), перехватчик предположительно C:\WINNT\system32\drivers\wpsdrvnt.sys
Функция ZwMapViewOfSection (5D) перехвачена (804CFF06<>EB5A2470), перехватчик предположительно C:\WINNT\system32\drivers\wpsdrvnt.sys
Функция ZwProtectVirtualMemory (77) перехвачена (804D2940<>EB5A2C50), перехватчик предположительно C:\WINNT\system32\drivers\wpsdrvnt.sys
Функция ZwShutdownSystem (D9) перехвачена (80490348<>EB5A2990), перехватчик предположительно C:\WINNT\system32\drivers\wpsdrvnt.sys
Функция ZwTerminateProcess (E0) перехвачена (804E312C<>EB5A28D0), перехватчик предположительно C:\WINNT\system32\drivers\wpsdrvnt.sys
Функция ZwWriteVirtualMemory (F0) перехвачена (804D4484<>EB5A2D60), перехватчик предположительно C:\WINNT\system32\drivers\wpsdrvnt.sys
Проверено функций: 248, перехвачено: 8, восстановлено: 0
2. Проверка памяти
Количество найденных процессов: 25
Количество загруженных модулей: 330
Проверка памяти завершена
3. Сканирование дисков
Ошибка при сканировании каталога C:\Documents and Settings\админс\Рабочий стол\ломать не строить\
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINNT\system32\SSSensor.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINNT\system32\SSSensor.dll>>> Нейросеть: файл с вероятностью 99.86% похож на типовой перехватчик событий клавиатуры/мыши
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 10 TCP портов и 13 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 20452, найдено вирусов 0
Сканирование завершено в 17.05.2005 13:05:26
Сканирование длилось 00:11:18

тоже ошибка на папке...
И фаирвольный SSSensor.dll не добавили в список безопасных )))

Протокол антивирусной утилиты AVZ версии 3.40
Сканирование запущено в 17.05.2005 11:05:21
Загружена база: 13420 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Максимальный уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
KeServiceDescriptorTable найдена (RVA=080820)
ntoskrnl.exe обнаружен в памяти по адресу 80400000
SDT = 80480820
KiST = 80472128 (248)
Функция ZwConnectPort (1B) перехвачена (804C5930->81632408), перехватчик не определен
Функция ZwOpenProcess (6A) перехвачена (804DE984->815BC148), перехватчик не определен
Функция ZwOpenThread (6F) перехвачена (804DEC44->81811928), перехватчик не определен
Проверено функций: 248, перехвачено: 3, восстановлено: 0
2. Проверка памяти
Количество найденных процессов: 25
Процесс c:\program files\common files\symantec shared\sndsrvc.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll)
Процесс c:\program files\common files\symantec shared\spbbc\spbbcsvc.exe может работать с сетью (ws2_32.dll,ws2help.dll)
Процесс c:\program files\common files\symantec shared\ccsetmgr.exe может работать с сетью (ws2_32.dll,ws2help.dll,tapi32.dll,netapi32.dll)
Процесс c:\program files\common files\symantec shared\ccevtmgr.exe может работать с сетью (ws2_32.dll,ws2help.dll,tapi32.dll,netapi32.dll)
Процесс c:\program files\common files\symantec shared\ccproxy.exe может работать с сетью (ws2_32.dll,ws2help.dll)
Процесс c:\program files\norton systemworks\norton antivirus\navapsvc.exe может работать с сетью (ws2_32.dll,ws2help.dll)
Процесс c:\program files\wingate\wingate.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll)
Процесс c:\program files\common files\symantec shared\ccapp.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,wininet.dll,r asapi32.dll,tapi32.dll)
Процесс d:\programm\avz-betta3\avz.exe может работать с сетью (ws2_32.dll,ws2help.dll,rasapi32.dll,tapi32.dll)
Количество загруженных модулей: 286
Проверка памяти завершена
3. Сканирование дисков
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\Office\Startup\
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\Office\
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\Templates\1049\
C:\Program Files\Mozilla Firefox\.autoreg - Файл не имеет видимого имени(степень опасности 15%)
C:\WINNT\$NtServicePackUninstall$\diskcomp.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
C:\WINNT\$NtServicePackUninstall$\diskcopy.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
C:\WINNT\$NtServicePackUninstall$\format.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
Ошибка при сканировании каталога D:\ALEX(XX)\work\Docs\Programming\VB Algorithms\
Ошибка при сканировании каталога D:\ALEX(XX)\work\Radio\Sprav\
D:\INSTALL\Graph\Corel\Corel 11\Documentation\.DS_Store - Файл не имеет видимого имени(степень опасности 15%)
D:\INSTALL\Graph\Corel\Corel 11\Program Files\.DS_Store - Файл не имеет видимого имени(степень опасности 15%)
D:\INSTALL\Graph\Corel\Corel 11\Program Files\Corel\.DS_Store - Файл не имеет видимого имени(степень опасности 15%)
D:\INSTALL\Graph\Corel\Corel 11\Program Files\Corel\Corel Graphics 11\.DS_Store - Файл не имеет видимого имени(степень опасности 15%)
D:\INSTALL\Graph\Corel\Corel 11\Program Files\Corel\Corel Graphics 11\Custom Data\.DS_Store - Файл не имеет видимого имени(степень опасности 15%)
D:\INSTALL\Graph\Corel\Corel 11\Program Files\Corel\Corel Graphics 11\Custom Data\Layouts\.DS_Store - Файл не имеет видимого имени(степень опасности 15%)
D:\INSTALL\Graph\Corel\Corel 11\Program Files\Corel\Corel Graphics 11\Programs\.DS_Store - Файл не имеет видимого имени(степень опасности 15%)
D:\INSTALL\Graph\Corel\Corel 11\Program Files\Corel\Corel Graphics 11\Workspace\.DS_Store - Файл не имеет видимого имени(степень опасности 15%)
D:\INSTALL\Graph\Corel\Corel 11\Program Files\Corel\Corel Graphics 11\Workspace\Corel R.A.V.E.2\.DS_Store - Файл не имеет видимого имени(степень опасности 15%)
D:\INSTALL\Graph\Corel\Corel 11\Program Files\Corel\Corel Graphics 11\Workspace\Corel R.A.V.E.2\Macromedia(R)Flash(TM)\.DS_Store - Файл не имеет видимого имени(степень опасности 15%)
Ошибка при сканировании каталога D:\INSTALL\Prog\MathCad\MATHCAD V11.A ENTERPRISE\Mathcad\program files\Mathsoft\Mathcad 11 Enterprise Edition\QSHEET\SAMPLES\EXCEL\
Ошибка при сканировании каталога D:\INSTALL\Prog\MathCad\MathCAD_2001\program files\MathSoft\Mathcad 2001 Professional\SAMPLES\EXCEL\
D:\INSTALL\Prog\Net\ICQ\.jpg - Файл не имеет видимого имени(степень опасности 15%)
Ошибка при сканировании каталога D:\INSTALL\Prog\OfficePrograms\ACCOUNT\exel\
Ошибка при сканировании каталога D:\INSTALL\Prog\OfficePrograms\FineReader\FineRead er60CorporateEdition\program files\ABBYY FineReader 6.0\
Ошибка при сканировании каталога D:\INSTALL\Prog\OfficePrograms\OFF_2000.RUS\Office 2000\PFILES\MSOFFICE\OFFICE\1049\
Ошибка при сканировании каталога D:\INSTALL\Prog\OfficePrograms\OFF_2000.RUS\Office 2000\PFILES\MSOFFICE\OFFICE\LIBRARY\
Ошибка при сканировании каталога D:\INSTALL\Prog\OfficePrograms\OFF_2000.RUS\Office 2000\PFILES\MSOFFICE\OFFICE\MACROS\
Ошибка при сканировании каталога D:\INSTALL\Prog\OfficePrograms\OFF_2000.RUS\Office 2000\PFILES\MSOFFICE\OFFICE\SAMPLES\
Ошибка при сканировании каталога D:\INSTALL\Prog\OfficePrograms\OFF_2000.RUS\Office 2000\PFILES\MSOFFICE\OFFICE\STARTUP\
Ошибка при сканировании каталога D:\INSTALL\Prog\OfficePrograms\OFF_2000.RUS\Office 2000\PFILES\MSOFFICE\OFFICE\
Ошибка при сканировании каталога D:\INSTALL\Prog\OfficePrograms\OFF_2000.RUS\Office 2000\PFILES\MSOFFICE\TEMPLATE\1049\
D:\INSTALL\Prog\Translate\SocratPersonal\.jpg - Файл не имеет видимого имени(степень опасности 15%)
D:\INSTALL\Security\antivir\Other\AVG ANTIVIRUS SUITE V6.367\SUPPORT\FILES\rmnavida.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\Security\antivir\Other\AVG ANTIVIRUS SUITE V6.367\SUPPORT\FILES\rmsircam.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\Security\antivir\Other\AVG ANTIVIRUS SUITE V6.367\SUPPORT\FILES\rmveronb.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\Security\FireWall\Norton\2002\Norton Internet Security 2002 v4.0 WiN32\Support\NAVTools\Repair\fixnavid.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\Security\FireWall\Norton\2002\Norton Internet Security 2002 v4.0 WiN32\Support\NAVTools\Repair\FixSirc.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\Security\FireWall\Norton\2004\INTERNET SECURITY PRO 2004\SUPPORT\NAVTOOLS\REPAIR\KLEZ\FIXKLEZ.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\Security\Norton\NortonSystemWorks2003\S upport\NAVTools\Repair\FixKlez.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\Security\Norton\NortonSystemWorks2003\S upport\NAVTools\Repair\Fixmagi.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\Security\Norton\NortonSystemWorks2003\S upport\NAVTools\Repair\FIXNAVID.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\Security\Norton\NortonSystemWorks2003\S upport\NAVTools\Repair\FIXNIMDA.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\Security\Norton\NortonSystemWorks2003\S upport\NAVTools\Repair\FixSirc.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\Security\Norton\NortonSystemWorks2003\S upport\NAVTools\Repair\FixYaha.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\Security\Norton\NortonSystemWorks2003\S upport\NAVTools\Repair\FXNIMDAE.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\System\HDD\PartitionMagic6\BTMAGIC\OS2D OS\FORMAT.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\System\HDD\PartitionMagic6\WINDOWS\RESC UEME\OS2DOS\COMMAND.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\System\HDD\PartitionMagic6\WINDOWS\RESC UEME\OS2DOS\FDISK.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\System\HDD\PartitionMagic6\WINDOWS\RESC UEME\OS2DOS\KEYB.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\System\HDD\PartitionMagic6\WINDOWS\RESC UEME\OS2DOS\MODE.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
E:\Для слива\russia.INF>>>>> Вирус !! TrojanClicker.Win32.Adpower.g
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 94 TCP портов и 16 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 81670, найдено вирусов 1
Сканирование завершено в 17.05.2005 11:38:56
Сканирование длилось 00:33:35

Тоже ошибки при сканировании разных каталогов :(

да, ошибка при сканировании судя по всему какой-то баг или свежеподключенной диагностики ошибок. Я сейчас поставлю опыты ...
SSSensor.dll - мое упущение, действительно не добавлен

Сканирование с сетевых ресурсов по прежнему не работает - в начале пути одиночный слеш: 'Cannot open file \\localhost\distr\avz-betta3\bases\main.avz'

Протокол антивирусной утилиты AVZ версии 3.40
Сканирование запущено в 5/17/2005 1:45:27 PM
Загружена база: 13420 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Максимальный уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:ControlTraceA (69) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87DBB2<>77F6D53A
Функция advapi32.dll:ControlTraceW (70) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C805265<>77F6D551
Функция advapi32.dll:CreateTraceInstanceId (104) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87E88C<>77F6D568
Функция advapi32.dll:EnableTrace (204) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D7D<>77F6D587
Функция advapi32.dll:EnumerateTraceGuids (216) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C83D859<>77F6D59C
Функция advapi32.dll:FlushTraceA (223) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87EA3A<>77F6D5B9
Функция advapi32.dll:FlushTraceW (224) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87F8FC<>77F6D5CE
Функция advapi32.dll:GetTraceEnableFlags (285) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801F23<>77F6D5E3
Функция advapi32.dll:GetTraceEnableLevel (286) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801EE9<>77F6D600
Функция advapi32.dll:GetTraceLoggerHandle (287) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801E71<>77F6D61D
Функция advapi32.dll:QueryAllTracesA (442) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87F89C<>77F6D63B
Функция advapi32.dll:QueryAllTracesW (443) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C83D83B<>77F6D654
Функция advapi32.dll:QueryTraceA (454) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87E9D7<>77F6D66D
Функция advapi32.dll:QueryTraceW (455) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801F5D<>77F6D682
Функция advapi32.dll:RegisterTraceGuidsA (529) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C83F961<>77F6D697
Функция advapi32.dll:RegisterTraceGuidsW (530) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80D82F<>77F6D6B4
Функция advapi32.dll:StartTraceA (590) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87EDE0<>77F6D6D1
Функция advapi32.dll:StartTraceW (591) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C8024C7<>77F6D6E6
Функция advapi32.dll:StopTraceA (592) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87E9F8<>77F6D6FB
Функция advapi32.dll:StopTraceW (593) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87F8BA<>77F6D70F
Функция advapi32.dll:TraceEvent (632) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C804FF1<>77F6D723
Функция advapi32.dll:TraceEventInstance (633) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87E36B<>77F6D737
Функция advapi32.dll:TraceMessage (634) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87EC69<>77F6D753
Функция advapi32.dll:TraceMessageVa (635) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87ECF8<>77F6D769
Функция advapi32.dll:UnregisterTraceGuids (643) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C83F0D2<>77F6D781
Функция advapi32.dll:UpdateTraceA (644) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87EA19<>77F6D79F
Функция advapi32.dll:UpdateTraceW (645) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87F8DB<>77F6D7B5
Функция advapi32.dll:WmiNotificationRegistrationA (663) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87F91D<>77F6D7CB
Функция advapi32.dll:WmiNotificationRegistrationW (664) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C804DC9<>77F6D7EE
Функция advapi32.dll:WmiReceiveNotificationsA (677) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87F945<>77F6D811
Функция advapi32.dll:WmiReceiveNotificationsW (678) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C803D4F<>77F6D830
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
KeServiceDescriptorTable найдена (RVA=0A83A0)
ntoskrnl.exe обнаружен в памяти по адресу 000000
SDT = 8089F460
KiST = 80830BB4 (296)
>>> Внимание, таблица KiST перемещена ! (0278FC(296)->80830BB4(296))
Функция ZwAcceptConnectPort (00) перехвачена (11659A->80917510), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAccessCheck (01) перехвачена (1278B5->80962516), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAccessCheckAndAuditAlarm (02) перехвачена (0FF485->809667CE), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAccessCheckByType (03) перехвачена (1008A2->80962548), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAccessCheckByTypeAndAuditAlarm (04) перехвачена (127FB4->80966808), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAccessCheckByTypeResultList (05) перехвачена (1A267E->8096257E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAccessCheckByTypeResultListAndAuditAlarm (06) перехвачена (1A4CF1->8096684C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAccessCheckByTypeResultListAndAuditAlarmByHandle (07) перехвачена (1A4D3A->80966890), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAddAtom (08) перехвачена (1278E6->80989248), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAddBootEntry (09) перехвачена (1B3381->8098A200), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAddDriverEntry (0A) перехвачена (1B3381->8098A200), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAdjustGroupsToken (0B) перехвачена (1A1E6C->8095DA44), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAdjustPrivilegesToken (0C) перехвачена (124F83->8095D698), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAlertResumeThread (0D) перехвачена (198BC4->80945E8E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAlertThread (0E) перехвачена (1022F9->80945E3E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAllocateLocallyUniqueId (0F) перехвачена (0F9E9A->80989616), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAllocateUserPhysicalPages (10) перехвачена (18F91A->80927E5E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAllocateUuids (11) перехвачена (1B2607->80988DA6), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAllocateVirtualMemory (12) перехвачена (02FE8F->80840014), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwApphelpCacheControl (13) перехвачена (118884->8098CBB1), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAreMappedFilesTheSame (14) перехвачена (18E300->80923578), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAssignProcessToJobObject (15) перехвачена (0E2962->80948388), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCallbackReturn (16) перехвачена (027F20->8082DDE4), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCancelDeviceWakeupRequest (17) перехвачена (194EDB->80938550), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCancelIoFile (18) перехвачена (0E827D->808E35C2), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCancelTimer (19) перехвачена (0367C4->8087A850), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwClearEvent (1A) перехвачена (12D22E->80981CB2), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwClose (1B) перехвачена (105558->8092B790), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCloseObjectAuditAlarm (1C) перехвачена (127F7A->80966CF8), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCompactKeys (1D) перехвачена (16CC50->808B1172), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCompareTokens (1E) перехвачена (1289F1->8096AF1E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCompleteConnectPort (1F) перехвачена (116446->80917E0C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCompressKey (20) перехвачена (16CEC0->808B13C8), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwConnectPort (21) перехвачена (112925->809174B0), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwContinue (22) перехвачена (026BCC->808867E8), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateDebugObject (23) перехвачена (1B97A8->809967B0), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateDirectoryObject (24) перехвачена (0D202C->8092D39C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateEvent (25) перехвачена (10BCC4->80981D02), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateEventPair (26) перехвачена (1B346A->8098A528), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateFile (27) перехвачена (12CA1C->808E5ED4), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateIoCompletion (28) перехвачена (126D4B->808E4492), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateJobObject (29) перехвачена (0D18D5->8094634E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateJobSet (2A) перехвачена (199F51->809478EA), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateKey (2B) перехвачена (12AD62->808B15A4), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateMailslotFile (2C) перехвачена (0E35DD->808E5FDE), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateMutant (2D) перехвачена (114B7E->8098A8FE), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateNamedPipeFile (2E) перехвачена (126848->808E5F0E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreatePagingFile (2F) перехвачена (0C5701->8091F178), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreatePort (30) перехвачена (0FBC6A->80918318), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateProcess (31) перехвачена (0CA98C->80941D12), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateProcessEx (32) перехвачена (11DFDB->80941C5C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateProfile (33) перехвачена (1B3A69->8098AD12), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateSection (34) перехвачена (1087E4->8091EB70), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateSemaphore (35) перехвачена (1173B0->809884DE), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateSymbolicLinkObject (36) перехвачена (0E2E8E->809343BC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateThread (37) перехвачена (111306->80941B1A), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateTimer (38) перехвачена (0F652B->8098A20E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateToken (39) перехвачена (0DDEFF->8096B152), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateWaitablePort (3A) перехвачена (0D1740->8091833C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwDebugActiveProcess (3B) перехвачена (1BA989->809978F0), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwDebugContinue (3C) перехвачена (1BAB19->80997A76), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwDelayExecution (3D) перехвачена (1146E4->8098B2FE), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwDeleteAtom (3E) перехвачена (1004E2->80989218), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwDeleteBootEntry (3F) перехвачена (194EDB->80938550), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwDeleteDriverEntry (40) перехвачена (194EDB->80938550), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwDeleteFile (41) перехвачена (0D2BA6->808E373E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwDeleteKey (42) перехвачена (0FC511->808B19B4), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwDeleteObjectAuditAlarm (43) перехвачена (1A4D91->80966E04), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwDeleteValueKey (44) перехвачена (0FF724->808B1B2C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwDeviceIoControlFile (45) перехвачена (12E7F3->808E6094), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwDisplayString (46) перехвачена (0C2E69->80986450), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwDuplicateObject (47) перехвачена (113E6F->8092D176), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwDuplicateToken (48) перехвачена (1270CB->8095E934), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwEnumerateBootEntries (49) перехвачена (1B3381->8098A200), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwEnumerateDriverEntries (4A) перехвачена (1B3381->8098A200), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwEnumerateKey (4B) перехвачена (124207->808B1D18), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwEnumerateSystemEnvironmentValuesEx (4C) перехвачена (1B2DDB->80989C90), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwEnumerateValueKey (4D) перехвачена (12457B->808B1F54), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwExtendSection (4E) перехвачена (18E738->80925BA2), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwFilterToken (4F) перехвачена (0E90B3->8095EAE4), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwFindAtom (50) перехвачена (0FF595->8098938C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwFlushBuffersFile (51) перехвачена (11D4AB->808E383A), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwFlushInstructionCache (52) перехвачена (1118BB->80928C48), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwFlushKey (53) перехвачена (0E9F0B->808B2190), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwFlushVirtualMemory (54) перехвачена (129517->8091A6F0), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwFlushWriteBuffer (55) перехвачена (1906C1->80928BEA), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwFreeUserPhysicalPages (56) перехвачена (19008B->809285B6), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwFreeVirtualMemory (57) перехвачена (030C61->80852FE0), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwFsControlFile (58) перехвачена (12CDA1->808E60C8), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwGetContextThread (59) перехвачена (196A87->80942008), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwGetDevicePowerState (5A) перехвачена (194F09->80938572), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwGetPlugPlayEvent (5B) перехвачена (0F0B4C->809073A0), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwGetWriteWatch (5C) перехвачена (080ADA->8085B166), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwImpersonateAnonymousToken (5D) перехвачена (0FBD62->8096AE26), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwImpersonateClientOfPort (5E) перехвачена (12E3B0->809183A6), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwImpersonateThread (5F) перехвачена (117E04->8094924A), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwInitializeRegistry (60) перехвачена (0D246B->808B2320), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwInitiatePowerAction (61) перехвачена (194D2C->809383B0), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwIsProcessInJob (62) перехвачена (1187E9->8094620C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwIsSystemResumeAutomatic (63) перехвачена (194EEF->8093855E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwListenPort (64) перехвачена (0D0D00->809186FA), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwLoadDriver (65) перехвачена (0E1A27->808F1244), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwLoadKey (66) перехвачена (0D737A->808B4046), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwLoadKey2 (67) перехвачена (16D3C5->808B4064), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwLoadKeyEx (68) перехвачена (0D6EDE->808B3C3E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwLockFile (69) перехвачена (12616E->808E60FC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwLockProductActivationKeys (6A) перехвачена (0D80AE->809869AA), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwLockRegistryKey (6B) перехвачена (0BB16B->808B1474), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwLockVirtualMemory (6C) перехвачена (00A476->8085BB80), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwMakePermanentObject (6D) перехвачена (0E36EC->8092DB10), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwMakeTemporaryObject (6E) перехвачена (0DD024->8092B832), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwMapUserPhysicalPages (6F) перехвачена (18EFDF->8092747C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwMapUserPhysicalPagesScatter (70) перехвачена (18F401->809278F8), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwMapViewOfSection (71) перехвачена (108B6A->8092458E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwModifyBootEntry (72) перехвачена (194EDB->80938550), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwModifyDriverEntry (73) перехвачена (194EDB->80938550), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwNotifyChangeDirectoryFile (74) перехвачена (1303A2->808E6D1C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwNotifyChangeKey (75) перехвачена (12CB6F->808B4010), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwNotifyChangeMultipleKeys (76) перехвачена (12A61E->808B2402), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenDirectoryObject (77) перехвачена (11BFA2->8092D46E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenEvent (78) перехвачена (11D772->80981DFC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenEventPair (79) перехвачена (1B3557->8098A5FC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenFile (7A) перехвачена (11BD09->808E6FD8), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenIoCompletion (7B) перехвачена (17EF37->808E4566), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenJobObject (7C) перехвачена (198EE5->80946512), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenKey (7D) перехвачена (12D424->808B2E40), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenMutant (7E) перехвачена (119EC8->8098A9D2), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenObjectAuditAlarm (7F) перехвачена (0F6A22->809668D6), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenProcess (80) перехвачена (11414B->8093B756), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenProcessToken (81) перехвачена (110AED->8095F320), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenProcessTokenEx (82) перехвачена (10F7A2->8095EF2A), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenSection (83) перехвачена (10CD77->8091D95A), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenSemaphore (84) перехвачена (0E2506->809885D0), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenSymbolicLinkObject (85) перехвачена (10BE4C->8093459C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenThread (86) перехвачена (11950A->8093B9E4), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenThreadToken (87) перехвачена (1187C8->8095F33E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenThreadTokenEx (88) перехвачена (115204->8095F098), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenTimer (89) перехвачена (1B339B->8098A326), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwPlugPlayControl (8A) перехвачена (0FB5BA->80911654), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwPowerInformation (8B) перехвачена (1009D4->80939580), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwPrivilegeCheck (8C) перехвачена (0F5A7B->80969AB2), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwPrivilegeObjectAuditAlarm (8D) перехвачена (0CCE70->80965C3E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwPrivilegedServiceAuditAlarm (8E) перехвачена (0F4785->80965E1C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwProtectVirtualMemory (8F) перехвачена (1111DC->80928E1E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwPulseEvent (90) перехвачена (0D73F8->80981EAC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryAttributesFile (91) перехвачена (110975->808E3A14), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryBootEntryOrder (92) перехвачена (1B3381->8098A200), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryBootOptions (93) перехвачена (1B3381->8098A200), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryDebugFilterState (94) перехвачена (039D0D->80881850), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryDefaultLocale (95) перехвачена (10F8CE->809832E6), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryDefaultUILanguage (96) перехвачена (12CDD4->80984AE2), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryDirectoryFile (97) перехвачена (11C136->808E6CB6), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryDirectoryObject (98) перехвачена (11347F->8092D50E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryDriverEntryOrder (99) перехвачена (1B3381->8098A200), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryEaFile (9A) перехвачена (17F674->808E7008), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryEvent (9B) перехвачена (1283A8->80981F70), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryFullAttributesFile (9C) перехвачена (1264A3->808E3B8E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryInformationAtom (9D) перехвачена (0FD435->809894D0), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryInformationFile (9E) перехвачена (107F94->808E7860), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryInformationJobObject (9F) перехвачена (19915E->80946854), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryInformationPort (A0) перехвачена (18BF33->80918758), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryInformationProcess (A1) перехвачена (10CBD5->8093C8D8), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryInformationThread (A2) перехвачена (11486B->8093BC66), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryInformationToken (A3) перехвачена (10F31B->8095F3DE), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryInstallUILanguage (A4) перехвачена (1253BD->809836EC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryIntervalProfile (A5) перехвачена (1B3F13->8098B18C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryIoCompletion (A6) перехвачена (17EFF7->808E460C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryKey (A7) перехвачена (12E22D->808B3110), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryMultipleValueKey (A8) перехвачена (16C363->808B048A), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryMutant (A9) перехвачена (1B38A3->8098AA78), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryObject (AA) перехвачена (101244->80933AFC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryOpenSubKeys (AB) перехвачена (16C56B->808B0AE6), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryOpenSubKeysEx (AC) перехвачена (16C7D8->808B0D04), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryPerformanceCounter (AD) перехвачена (114D6D->8098B21A), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryQuotaInformationFile (AE) перехвачена (17FF13->808E86CC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQuerySection (AF) перехвачена (111710->80928F9E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQuerySecurityObject (B0) перехвачена (0FE824->8092F5E8), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQuerySemaphore (B1) перехвачена (1B249F->80988680), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQuerySymbolicLinkObject (B2) перехвачена (10BEC9->8093463C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQuerySystemEnvironmentValue (B3) перехвачена (1B2E03->80989CAC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQuerySystemEnvironmentValueEx (B4) перехвачена (1B2DC5->80989C82), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQuerySystemInformation (B5) перехвачена (10B05E->80984B5E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQuerySystemTime (B6) перехвачена (126F7F->80986D5E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryTimer (B7) перехвачена (130A8C->8098A3D6), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryTimerResolution (B8) перехвачена (0F66B6->80986614), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryValueKey (B9) перехвачена (12C2BB->808B339E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryVirtualMemory (BA) перехвачена (046613->8085F32E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryVolumeInformationFile (BB) перехвачена (10CE38->808E8BEC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueueApcThread (BC) перехвачена (11C744->80941D58), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwRaiseException (BD) перехвачена (026C14->80886830), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwRaiseHardError (BE) перехвачена (1B21E4->8098830E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwReadFile (BF) перехвачена (11D28E->808E9376), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwReadFileScatter (C0) перехвачена (0EDC6F->808E9952), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwReadRequestData (C1) перехвачена (119A49->80919422), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwReadVirtualMemory (C2) перехвачена (118559->809261AC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwRegisterThreadTerminatePort (C3) перехвачена (11E1A9->80942C1E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwReleaseMutant (C4) перехвачена (114653->8098ABAC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwReleaseSemaphore (C5) перехвачена (119446->809887AC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwRemoveIoCompletion (C6) перехвачена (126E0B->808E48FE), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwRemoveProcessDebug (C7) перехвачена (1BAA94->809979F6), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwRenameKey (C8) перехвачена (16CA77->808B0F88), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwReplaceKey (C9) перехвачена (16D2B4->808B3F12), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwReplyPort (CA) перехвачена (118D2A->80918860), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwReplyWaitReceivePort (CB) перехвачена (110DE8->80919C62), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwReplyWaitReceivePortEx (CC) перехвачена (1100A1->80919472), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwReplyWaitReplyPort (CD) перехвачена (18C012->80918BC0), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwRequestDeviceWakeup (CE) перехвачена (194EDB->80938550), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwRequestPort (CF) перехвачена (120050->809153DC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwRequestWaitReplyPort (D0) перехвачена (1152DE->80915778), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwRequestWakeupLatency (D1) перехвачена (194CCD->80938356), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwResetEvent (D2) перехвачена (11A1CA->8098207E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwResetWriteWatch (D3) перехвачена (0810AA->8085B77C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwRestoreKey (D4) перехвачена (16CFB1->808B36B4), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwResumeProcess (D5) перехвачена (198B64->80945DE8), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwResumeThread (D6) перехвачена (111805->80945CCC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSaveKey (D7) перехвачена (16D05B->808B3756), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSaveKeyEx (D8) перехвачена (16D0F3->808B37E6), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSaveMergedKeys (D9) перехвачена (16D1C7->808B38B2), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSecureConnectPort (DA) перехвачена (11245D->80916B5C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetBootEntryOrder (DB) перехвачена (1B3381->8098A200), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetBootOptions (DC) перехвачена (1B3381->8098A200), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetContextThread (DD) перехвачена (196CBF->80942228), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetDebugFilterState (DE) перехвачена (0B4A83->80998540), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetDefaultHardErrorPort (DF) перехвачена (0CAC32->809881AE), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetDefaultLocale (E0) перехвачена (0D6B79->80983434), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetDefaultUILanguage (E1) перехвачена (0D6B1F->80983CAA), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetDriverEntryOrder (E2) перехвачена (1B3381->8098A200), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetEaFile (E3) перехвачена (17FBAD->808E7510), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetEvent (E4) перехвачена (115FE5->8098213A), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetEventBoostPriority (E5) перехвачена (125F68->809821F8), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetHighEventPair (E6) перехвачена (1B3833->8098A8A0), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetHighWaitLowEventPair (E7) перехвачена (1B3763->8098A7DC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetInformationDebugObject (E8) перехвачена (1BA3D6->80997362), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetInformationFile (E9) перехвачена (10F92B->808E7E62), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetInformationJobObject (EA) перехвачена (0D1ADE->80948636), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetInformationKey (EB) перехвачена (16BFE7->808B012A), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetInformationObject (EC) перехвачена (113C0A->80932FCC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetInformationProcess (ED) перехвачена (110B0B->8093E618), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetInformationThread (EE) перехвачена (11586A->8093DCBA), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetInformationToken (EF) перехвачена (0E9246->8096BFBE), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetIntervalProfile (F0) перехвачена (1B3A47->8098ACF6), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetIoCompletion (F1) перехвачена (11FE5B->808E489C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetLdtEntries (F2) перехвачена (1983D6->8094533A), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetLowEventPair (F3) перехвачена (1B37CF->8098A842), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetLowWaitHighEventPair (F4) перехвачена (1B36F7->8098A776), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetQuotaInformationFile (F5) перехвачена (17FEEB->808E86AA), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetSecurityObject (F6) перехвачена (0F9ABC->8092F51C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetSystemEnvironmentValue (F7) перехвачена (1B30C5->80989F54), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetSystemEnvironmentValueEx (F8) перехвачена (1B2DC5->80989C82), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetSystemInformation (F9) перехвачена (0EC54B->80983CEA), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetSystemPowerState (FA) перехвачена (1C6C74->809A593E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetSystemTime (FB) перехвачена (1B1E5F->80987908), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetThreadExecutionState (FC) перехвачена (13304F->8093826C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetTimer (FD) перехвачена (032B4D->8087A982), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetTimerResolution (FE) перехвачена (130E43->80986DF0), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetUuidSeed (FF) перехвачена (0CD5B5->80988C5E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetValueKey (100) перехвачена (12C6EB->808B396C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetVolumeInformationFile (101) перехвачена (180468->808E8FEC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwShutdownSystem (102) перехвачена (1B15BF->80986414), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSignalAndWaitForSingleObject (103) перехвачена (010738->80867490), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwStartProfile (104) перехвачена (1B3CA2->8098AF32), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwStopProfile (105) перехвачена (1B3E53->8098B0D4), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSuspendProcess (106) перехвачена (198B09->80945D92), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSuspendThread (107) перехвачена (132629->80945C08), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSystemDebugControl (108) перехвачена (1B3FC7->8098B390), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwTerminateJobObject (109) перехвачена (19A335->80947F9A), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwTerminateProcess (10A) перехвачена (112F97->809434F4), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwTerminateThread (10B) перехвачена (117227->80943700), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwTestAlert (10C) перехвачена (1115C9->80945F4E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwTraceEvent (10D) перехвачена (01007D->80875AE4), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwTranslateFilePath (10E) перехвачена (1B2DEF->80989C9E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwUnloadDriver (10F) перехвачена (181D63->808F1668), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwUnloadKey (110) перехвачена (16D297->808B3EFA), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwUnloadKey2 (111) перехвачена (16BA7D->808AFBE2), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwUnloadKeyEx (112) перехвачена (16BDD5->808AFF2A), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwUnlockFile (113) перехвачена (126037->808E649E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwUnlockVirtualMemory (114) перехвачена (013B5A->8085C2AC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwUnmapViewOfSection (115) перехвачена (11E3FB->8091A686), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwVdmControl (116) перехвачена (0C998A->8096D2B0), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwWaitForDebugEvent (117) перехвачена (1BA123->809970CC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwWaitForMultipleObjects (118) перехвачена (115CBE->8092FF3E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwWaitForSingleObject (119) перехвачена (10E772->8092FBAE), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwWaitHighEventPair (11A) перехвачена (1B368D->8098A712), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwWaitLowEventPair (11B) перехвачена (1B3623->8098A6AE), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwWriteFile (11C) перехвачена (110E09->808E9E4E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwWriteFileGather (11D) перехвачена (0F162C->808EA4B6), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwWriteRequestData (11E) перехвачена (119A04->8091944A), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwWriteVirtualMemory (11F) перехвачена (12AA26->809262B4), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwYieldExecution (120) перехвачена (017FA3->8082FFB8), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateKeyedEvent (121) перехвачена (0B4658->8098B5F0), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenKeyedEvent (122) перехвачена (1122C9->8098B6DA), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwReleaseKeyedEvent (123) перехвачена (1B4242->8098B78C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwWaitForKeyedEvent (124) перехвачена (1B44DF->8098BA18), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryPortInformationProcess (125) перехвачена (19625B->8093BC5C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwGetCurrentProcessorNumber (126) перехвачена (196271->8093C25E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwWaitForMultipleObjects32 (127) перехвачена (191B15->80930034), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Проверено функций: 296, перехвачено: 296, восстановлено: 0
2. Проверка памяти
Количество найденных процессов: 27
Процесс c:\windows\system32\winlogon.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll)
Процесс c:\windows\system32\services.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll)
Процесс c:\windows\system32\svchost.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс c:\windows\system32\svchost.exe может работать с сетью (ws2_32.dll,ws2help.dll)
Процесс c:\windows\system32\svchost.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll,es.dll,rasapi 32.dll,tapi32.dll,wininet.dll)
Процесс c:\windows\system32\spoolsv.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс c:\windows\system32\inetsrv\inetinfo.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll,wininet.dll)
Процесс c:\progra~1\micros~1\mssql\binn\sqlservr.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll)
Процесс c:\program files\common files\system\mssearch\bin\mssearch.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll)
Процесс c:\progra~1\micros~1\mssql$~1\binn\sqlagent.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс c:\progra~1\micros~1\mssql\binn\sqlagent.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс c:\windows\system32\svchost.exe может работать с сетью (ws2_32.dll,ws2help.dll)
Процесс c:\windows\system32\svchost.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс c:\program files\borland\starteam server 6.0\starteamserver.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс c:\windows\system32\inetsrv\w3wp.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс c:\windows\system32\winlogon.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll)
Процесс c:\windows\system32\rdpclip.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll,urlmon.dll)
Процесс c:\windows\explorer.exe может работать с сетью (netapi32.dll,urlmon.dll,ws2_32.dll,ws2help.dll,wi ninet.dll)
Процесс c:\windows\system32\inetsrv\w3wp.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс c:\program files\microsoft sql server\80\tools\binn\sqlmangr.exe может работать с сетью (ws2_32.dll,ws2help.dll)
Процесс c:\documents and settings\administrator\desktop\avz-betta3\avz.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Количество загруженных модулей: 497
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\system32\WINSTA.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\WINSTA.dll>>> Нейросеть: файл с вероятностью 0.67% похож на типовой перехватчик событий клавиатуры/мыши
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 79 TCP портов и 10 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 524, найдено вирусов 0
Сканирование завершено в 5/17/2005 1:45:33 PM
Сканирование длилось 00:00:06

Вот это уже интересно - неправильно определился адрес таблицы. Это какая операционка ? Очень желательно прислать мне для изучения ntoskrnl.exe с этого ПК.
Т.е. в сообщении

Функция ZwStartProfile (104) перехвачена (1B3CA2->8098AF32), перехватчик \WINDOWS\system32\ntkrnlpa.exe
"1B3CA2" - это неправильно определенный адрес ... принадрежащий к ntkrnlpa.exe. Причина тоже понятна -


ntoskrnl.exe обнаружен в памяти по адресу 000000

Т.е. AVZ не смог найти ntoskrnl.exe в памяти

Протокол антивирусной утилиты AVZ версии 3.40
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
KeServiceDescriptorTable найдена (RVA=082480)
ntoskrnl.exe обнаружен в памяти по адресу 804D7000
KESystemDescriptorTable = 80559480
KiST = 804E26A8,804E26A8( 284)
Функция ZwCreateThread (35) перехвачена (8057B1C5<>F7BB9B40), перехватчик предположительно C:\WINDOWS\system32\drivers\wpsdrvnt.sys
Функция ZwMapViewOfSection (6C) перехвачена (805732FC<>F7BB9860), перехватчик предположительно C:\WINDOWS\system32\drivers\wpsdrvnt.sys
Функция ZwTerminateProcess (101) перехвачена (80582C2B<>F7BB9CF0), перехватчик предположительно C:\WINDOWS\system32\drivers\wpsdrvnt.sys
Проверено функций: 284, перехвачено: 3, восстановлено: 0

3. Сканирование дисков
Ошибка при сканировании каталога C:\Documents and Settings\user\Application Data\Microsoft\Excel\XLSTART\
C:\Documents and Settings\user\Application Data\Microsoft\Installer\{54971851-57C7-496F-BDE6-B8335A84A245}\Icon54971851.chm - PE файл с нестандартным расширением(степень опасности 5%)
Ошибка при сканировании каталога C:\Documents and Settings\user\Application Data\Microsoft\Word\STARTUP\
Ошибка при сканировании каталога C:\Documents and Settings\user\My Documents\HOT!!!\Magistr\
Ошибка при сканировании каталога C:\Documents and Settings\user\My Documents\Institut\
Ошибка при сканировании каталога C:\Documents and Settings\user\My Documents\Magistra darba\
Ошибка при сканировании каталога C:\Documents and Settings\user\My Documents\My Live\Mobilka\
Ошибка при сканировании каталога C:\Program Files\Adobe\Acrobat 6.0\PDFMaker\Office\
Ошибка при сканировании каталога C:\Program Files\Adobe\Acrobat 6.0\PDFMaker\
C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroPDF.dll.700.bak - PE файл с нестандартным расширением(степень опасности 5%)
C:\Program Files\Adobe\Acrobat 7.0\Reader\Acrord32.dll.700.bak - PE файл с нестандартным расширением(степень опасности 5%)
C:\Program Files\Adobe\Acrobat 7.0\Reader\Acrord32.exe.700.bak - PE файл с нестандартным расширением(степень опасности 5%)
C:\Program Files\Adobe\Acrobat 7.0\Reader\esdupdate.dll.700.bak - PE файл с нестандартным расширением(степень опасности 5%)
C:\Program Files\Adobe\Acrobat 7.0\Reader\plug_ins\AcroForm.api.700.bak - PE файл с нестандартным расширением(степень опасности 5%)
C:\Program Files\Adobe\Acrobat 7.0\Reader\plug_ins\Escript.api.700.bak - PE файл с нестандартным расширением(степень опасности 5%)
C:\Program Files\Adobe\Acrobat 7.0\Reader\rt3d.dll.700.bak - PE файл с нестандартным расширением(степень опасности 5%)
C:\Program Files\Adobe\Acrobat 7.0\Reader\Updater\acroaum.exe.700.bak - PE файл с нестандартным расширением(степень опасности 5%)
C:\Program Files\Adobe\ActiveShare\TBrowser.bak - PE файл с нестандартным расширением(степень опасности 5%)
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\OFFICE11\1033\
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\OFFICE11\Library\Analysis\
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\OFFICE11\Library\
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\OFFICE11\MACROS\
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\OFFICE11\SAMPLES\
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\OFFICE11\STARTUP\
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\OFFICE11\XLSTART\
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\Templates\1033\
C:\Program Files\Mozilla Firefox\.autoreg - Файл не имеет видимого имени(степень опасности 15%)
Ошибка при сканировании каталога C:\Program Files\Tildes Birojs 2002\FR6T&B\
C:\Program Files\WinRAR\WinRAR.BAK - PE файл с нестандартным расширением(степень опасности 5%)
C:\WINDOWS\Installer\{E32B4F2B-5CED-45F1-8B94-55394553F1F0}\dbibl.chm - PE файл с нестандартным расширением(степень опасности 5%)


Проверка завершена
Просканировано файлов: 56521, найдено вирусов 0
Сканирование завершено в 17.05.2005 0:32:32
Сканирование длилось 00:27:46

мини-баг:
Если в диспетчере сервисов открыть закладку "Сервисы (по анализу реестра)", выбрать сервис и нажать на кнопку "Удалить сервис", то вместо него будет удален сервис, который был выбран на закладке "Сервисы (по данным API)".?
на домашней машинке не хочется проверять...

По поводу ошибок сканирования, у меня они появились по тем папкам, где есть вордовские документы с длинными русскими именами.

Вот это уже интересно - неправильно определился адрес таблицы. Это какая операционка ? Очень желательно прислать мне для изучения ntoskrnl.exe с этого ПК.


OS: W3kSP1 - там в заголовке написано :)

Архив с файлом уже в пути.

Кстати, старые темы по АВЗ я потёр. Там куча логов коорые не актуальны, а база данных и так уже 40М :)

мини-баг:
Если в диспетчере сервисов открыть закладку "Сервисы (по анализу реестра)", выбрать сервис и нажать на кнопку "Удалить сервис", то вместо него будет удален сервис, который был выбран на закладке "Сервисы (по данным API)".
?
на домашней машинке не хочется проверять...
Можешь на закладке "Сервисы (по данным API)" выделить один "зеленый" сервис, а на закладке "Сервисы (по анализу реестра)" - другой "зеленый" сервис, после чего при активной второй закладке нажми на "Удалить сервис". AVZ ругнется, что системные сервисы удалять не будет, при этом напишет имя сервиса с первой закладки.



Кстати, старые темы по АВЗ я потёр. Там куча логов коорые не актуальны, а база данных и так уже 40ММожет, стоило хотя бы заархивировать? Мне хорошо, я успел их перечитать :)

Можешь на закладке "Сервисы (по данным API)" выделить один "зеленый" сервис, а на закладке "Сервисы (по анализу реестра)" - другой "зеленый" сервис, после чего при активной второй закладке нажми на "Удалить сервис". AVZ ругнется, что системные сервисы удалять не будет, при этом напишет имя сервиса с первой закладки.
Да, даже не тот который выбрал, а соседний строчкой выше... :eek:

Ну вот, первый анализ багов проведен - спасибо всем, что принял участие в тестировании.
На штатном месте обновленная версия 3.41, исправлено:
1. Ошибка поиска ядра в памяти, которая вылезла на W3K - логи и присланные файлы помогли пофиксить этот баг, был переделан алгоритм поиска. Плюс накручены новые уровни контроля в антирутките.
2. Устранено срабатывание антируткита на "перехваты" advapi32.dll под W3K
3. Устранен баг с кнопками стоп-старт-удаление в диспетчере сервисов - там кнопки должны работать только на первой закладке, на второй они должны быть неактивны
4. Вроде как пойман баг, возникающий при сканировании каталогов - ALEX(XX) по моей просьбе провел сканирование спец-версией AVZ, которая зафиксировала местоположение глюка;
5. Поправлен глюк, мешающий старту AVZ из сетевой папки (\\ в начале пути)

Ну вот, первый анализ багов проведен - спасибо всем, что принял участие в тестировании.
На штатном месте обновленная версия 3.41

1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка поиска ядра - проверка прервана

Ну вот, первый анализ багов проведен - спасибо всем, что принял участие в тестировании.
На штатном месте обновленная версия 3.41, исправлено:
1. Ошибка поиска ядра в памяти, которая вылезла на W3K - логи и присланные файлы помогли пофиксить этот баг, был переделан алгоритм поиска. Плюс накручены новые уровни контроля в антирутките.


Теперь совсем KernelMode RootKit искать не хочет :(

Протокол антивирусной утилиты AVZ версии 3.41
Сканирование запущено в 5/17/2005 4:36:00 PM
Загружена база: 13449 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Средний уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка поиска ядра - проверка прервана
2. Проверка памяти
Количество найденных процессов: 42
Количество загруженных модулей: 536
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 24 TCP портов и 14 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 578, найдено вирусов 0
Сканирование завершено в 5/17/2005 4:36:07 PM
Сканирование длилось 00:00:07

Протокол антивирусной утилиты AVZ версии 3.41
Сканирование запущено в 17.05.2005 17:32:19
Загружена база: 13449 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Средний уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка поиска ядра - проверка прервана
2. Проверка памяти
Количество найденных процессов: 25
Количество загруженных модулей: 322
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINNT\system32\SSSensor.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINNT\system32\SSSensor.dll>>> Нейросеть: файл с вероятностью 99.86% похож на типовой перехватчик событий клавиатуры/мыши
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 9 TCP портов и 13 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 20305, найдено вирусов 0
Сканирование завершено в 17.05.2005 17:44:03
Сканирование длилось 00:11:43

HEKTO
По крайней мере обнаружилась ошибка и ее местоположение (сообщение в логе говорит о том, чтот при поиске ядра возникли проблемы - дальнейший анализ при этом естетсвенно не проводится). Я еще раз обновил AVZ - я внес очередные правки в этой области. Короче говоря, проблемы возникают на W3K, причем я не могу пока понять почему - на тестовом W3K Server SP1 у меня все работает.
Если не трудно - пришлите мне еще файлик \WINDOWS\system32\ntkrnlpa.exe - для изучения ...

Протокол антивирусной утилиты AVZ версии 3.41
Сканирование запущено в 17.05.2005 19:41:30
Загружена база: 13449 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Максимальный уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FC4<>7C801D77
Перехватчик kernel32.dll:LoadLibraryA (578) нейтрализован
>>> Функции LoadLibraryA - прививка процесса AVZ от перехвата подменой адреса !!)
Функция kernel32.dll:LoadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FD3<>7C801D4F
Перехватчик kernel32.dll:LoadLibraryExA (579) нейтрализован
>>> Функции LoadLibraryExA - прививка процесса AVZ от перехвата подменой адреса !!)
Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FF1<>7C801AF1
Перехватчик kernel32.dll:LoadLibraryExW (580) нейтрализован
Функция kernel32.dll:LoadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FE2<>7C80ACD3
Перехватчик kernel32.dll:LoadLibraryW (581) нейтрализован
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082480)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559480
KiST = 81F9BB58 (297)
>>> Внимание, таблица KiST перемещена ! (804E26A8(284)->81F9BB58(297))
Проверено функций: 284, перехвачено: 0, восстановлено: 0
>> Опасно ! Обнаружена маскировка сервисов и драйверов на уровне реестра
2. Проверка памяти
Количество найденных процессов: 22
Процесс c:\dnet\perproxy\proxyper.exe может работать с сетью (ws2_32.dll,ws2help.dll)
Процесс c:\windows\system32\winhsvc.exe может работать с сетью (ws2_32.dll,ws2help.dll)
Процесс c:\program files\vba32\vba32ldr.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll)
Процесс c:\avz-betta3\avz.exe может работать с сетью (ws2_32.dll,ws2help.dll,rasapi32.dll,netapi32.dll, tapi32.dll)
Количество загруженных модулей: 380
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 14 TCP портов и 18 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 402, найдено вирусов 0
Сканирование завершено в 17.05.2005 19:41:57
Сканирование длилось 00:00:26

Это был лог с машины под W2K SP4 Server, так что проблема не только на 2003 Server

Файл сейчас вышлю.

Теперь так:
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка поиска KeServiceDescriptorTable в ntoskrnl.exe

Win2000 SP4 Rus. Высылать ntoskrnl.exe?

Теперь так:
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка поиска KeServiceDescriptorTable в ntoskrnl.exe

Win2000 SP4 Rus. Высылать ntoskrnl.exe?


Скачал обновленную версию - аналогично

Теперь так:
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка поиска KeServiceDescriptorTable в ntoskrnl.exe


Скачал обновленную версию - аналогично. Только W2K SP4 eng

Протокол антивирусной утилиты AVZ версии 3.41
Сканирование запущено в 17.05.2005 18:18:22
Загружена база: 13449 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Средний уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка поиска KeServiceDescriptorTable в ntoskrnl.exe
2. Проверка памяти
Количество найденных процессов: 28
Количество загруженных модулей: 355
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINNT\system32\SSSensor.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINNT\system32\SSSensor.dll>>> Нейросеть: файл с вероятностью 99.86% похож на типовой перехватчик событий клавиатуры/мыши
>>> C:\Program Files\&RQ\hook.dll --> С высокой степенью вероятности обнаружен Keylogger или троянская DLL
C:\Program Files\&RQ\hook.dll>>> Нейросеть: файл с вероятностью 99.77% похож на типовой перехватчик событий клавиатуры/мыши
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 18 TCP портов и 13 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 383, найдено вирусов 0
Сканирование завершено в 17.05.2005 18:18:46
Сканирование длилось 00:00:23


hook.dll выслать чтоб добавили в безопасные? Просто это вроде как частичка альтернативного клиента icq.
ЗЫ у меня винда 2000, без СП4 но с кучей заплаток )

да, hook.dll стоит прислать - это явно мониторилка горячих клавиш.
Причину того, почему антируткит вырубился я понял ... завтра будет новая рабочая версия (т.е. заложенная в 3.41 методика себя не оправдала, придется сделать что-то среднее между 3.40 и 3.41)

Это был лог с машины под W2K SP4 Server, так что проблема не только на 2003 Server

Файл сейчас вышлю.

"Проблема" связана с объемом оперативной памяти компьютера. Если он (объем) не более 4 Гбайт, то ядро использует имя файла ntoskrnl.exe, в противном случае (для объема, большего 4 Гбайт) - ntkrnlpa.exe. Аббревиатура "pa" в конце имени файла похоже означает physical address extension (ключик /pae в boot.ini). Также с помощью ключика /kernel=<имя_файла_ядра> в ОС можно подгрузить альтернативный вариант ядра, например Checked Build.

да, hook.dll стоит прислать - это явно мониторилка горячих клавиш.
Отправил на [email protected]. пасс virus

Отправил на [email protected]. пасс virus
Спасибо, файл пришел, он попадет в базы безопасных.

А между тем вышла версия 3.42, у нее очередной вариант антритукита, свежие база зверья и безопасных объектов - 13515 сигнатур, 29994 безопасных файлов. В версии 3.42 подправлены остальные мелкие баги, которые я нашел по логам

Кстати, старые темы по АВЗ я потёр. Там куча логов коорые не актуальны, а база данных и так уже 40М :)
Вроде тема "AVZ 3.10 - предлагаю потестировать и обсудить" еще существует, и это хорошо - кроме логов там были ценные дискуссии. Вот если бы ее выборочно почистить...
Господа, извините, но хорошо бы приводить сокращенные логи - большая часть логов не представляет интереса для широкой общественности :), а тема распухает неимоверно.

То же самое:
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка поиска KeServiceDescriptorTable в ntoskrnl.exe

Вроде тема "AVZ 3.10 - предлагаю потестировать и обсудить" еще существует, и это хорошо - кроме логов там были ценные дискуссии. Вот если бы ее выборочно почистить...
Господа, извините, но хорошо бы приводить сокращенные логи - большая часть логов не представляет интереса для широкой общественности :), а тема распухает неимоверно.
Угу, последнюю тему оставил пока. А чистить... у кого есть время? :) Хош дам тебе модератора? :D

Ок, изменим правила. Все логи постить только атачментами. Так будет меньше мусора в базе данных.

в краце:
"1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка поиска KeServiceDescriptorTable в ntoskrnl.exe"

То же самое:
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка поиска KeServiceDescriptorTable в ntoskrnl.exe
Тогда, если не трудно, нужно сделать так:
1. Запустить avz.exe с параметром DEBUG=Y (это включит режим отладки)
2. Поместить сюда полный лог в виде аттачмента

W2k SP4 Server Eng



1.2 Поиск перехватчиков API, работающих в KernelMode
[DEBUG]>GetKernelFileName="\WINNT\System32\ntoskrnl.exe"
[DEBUG]>KernelFileName="\WINNT\System32\ntoskrnl.exe"
Ошибка поиска KeServiceDescriptorTable в ntoskrnl.exe
2. Проверка памяти


Файл прикрепить не могу - нет прав

Добрый день, Олег!
На обычном месте - старая версия (3,20) лежит.

http://z-oleg.com/avz-betta3.zip

ссылка есть на сайте Олега

Спасибо.

http://z-oleg.com/avz-betta3.zip

ссылка есть на сайте Олега
Да, я архив переименовал. Но там уже версия 3.43 :)

При помощи кусочка лога, который сбросил HEKTO, проблема решилась - все оказалось просто - AVZ не отрабатывал префикс "\WINNT\" в пути (хотя должен был). Поэтому у меня на тестах все работало ... в версии 3.43 я это устранил.

W2k SP4 Server Eng



1.2 Поиск перехватчиков API, работающих в KernelMode
[DEBUG]>GetKernelFileName="\WINNT\System32\ntoskrnl.exe"
[DEBUG]>KernelFileName="\WINNT\System32\ntoskrnl.exe"
Ошибка поиска KeServiceDescriptorTable в ntoskrnl.exe
2. Проверка памяти


Файл прикрепить не могу - нет прав
А потратить 10 секунд на регистрацию?

В ручном режиме не получается сделать лог файл, когда включена опция Блокировать Rootkit....... Вываливается с множественными ошибками

Без включения опции "Блокировать Rootkit......." - лог прикреплён.

В ручном режиме не получается сделать лог файл, когда включена опция Блокировать Rootkit....... Вываливается с множественными ошибками

Без включения опции "Блокировать Rootkit......." - лог прикреплён.
Судя по перехваченным функциям - это монитор от антивируса, похож на VBA. Скорее всего его блокирование что-то нарушает ... и это сказывается на работе AVZ (в User Mode перехвачены функции OpenFile, WriteFile - т.е. работа с файлами ...)

А у меня на ХР часто появляется следующее:

Судя по перехваченным функциям - это монитор от антивируса, похож на VBA. Скорее всего его блокирование что-то нарушает ... и это сказывается на работе AVZ (в User Mode перехвачены функции OpenFile, WriteFile - т.е. работа с файлами ...)

удалил всё что мог - тоже самое......

Олег - добавь в АВЗ XP Manifest file / component ;) авз сразу станет красивым :)
Gaser - похимичь в форуме чтоб окно быстрого ответа было активно всегда а не когда нажмеш на кнопку :)

Gaser - похимичь в форуме чтоб окно быстрого ответа было активно всегда а не когда нажмеш на кнопку :)
А это сделано для того что бы правильно строилось дерево при просмотре в древовидном виде :D

А у меня на ХР часто появляется следующее:
Это проявляется в определенный момент или случайным образом ? Судя по цифрам это может выскакивать в ходе поиска руткитов UserMode.

Это проявляется в определенный момент или случайным образом ? Судя по цифрам это может выскакивать в ходе поиска руткитов UserMode.
Это проявляется при первом запуске проверки АВЗ даже в обычном режиме, т.е. просто запустил программу и нажал "пуск". Потом, при повторном запуске может пропасть и более не проявляется до перезагрузки компа. При включенном противодействии руткитам ведёт себя аналогично.
Только, что выяснил, что это связано с наличием флэшки в USB-порту. Причём, если перед пуском сканирования кликаешь на Removable Disk так, чтобы он был синего цвета, то Access Violation не происходит. Без флэшки всё хоккей. :confused:

>А это сделано для того что бы правильно строилось дерево при просмотре в древовидном виде

ну пусть она будет активна всегда... и добавлять мессадж в конетс а если нажал на пимпу то по типу дерева... напрягает уже чесс слово

>А это сделано для того что бы правильно строилось дерево при просмотре в древовидном виде

ну пусть она будет активна всегда... и добавлять мессадж в конетс а если нажал на пимпу то по типу дерева... напрягает уже чесс слово
Ок, по заказам зрителей.

Посмотрел я "исследование системы".
Текстовый протокол нечитабилен. Нужно либо выровнять колонки пробелами, либо генерировать его таблицей html, потом можно сохранить и открыть в браузере.
А кроме того, я так понял это список того что в памяти. А по хорошему отчёт должен включать и список автозапуска.
А менеджер звтозапуска так и не работает :(

>Ок, по заказам зрителей.
Ура!

Растолкуйте, пожалуйста, чайнику что это значит?

1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082480)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559480
KiST = 817B4218 (297)
>>>Внимание, таблица KiST перемещена ! (804E26A8(284)->817B4218(297))
Функция ZwClose (19) перехвачена (80566B49->B6D432D0), перехватчик D:\WINDOWS\system32\Drivers\klif.sys
D:\WINDOWS\system32\NVWRSRU.DLL>>> Нейросеть: файл с вероятностью 0.57% похож на типовой перехватчик событий клавиатуры/мыши

На двух машинах проявляется глючок в avz 3.43. Если поставить птичку у имени диска - проверять весь диск - то проверка не происходит. Если снять птичку у к-л подкаталога - все остальное проверяется. На других доступных мне компах все работает нормально.
Железо на этих машинах идентичное, и отличается от всех других, приведу его на всякий случай:
CPU Name AMD Athlon 700.0 MHz
Motherboard model ABIT 8363-686A(KT7[A][-RAID],KT7E)
Chipset VIA KT133A rev. 3
Southbridge VIA VT82C686 rev. 40
Windows XP Prof SP2 RUS

Растолкуйте, пожалуйста, чайнику что это значит?

1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082480)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559480
KiST = 817B4218 (297)
>>>Внимание, таблица KiST перемещена ! (804E26A8(284)->817B4218(297))
Функция ZwClose (19) перехвачена (80566B49->B6D432D0), перехватчик D:\WINDOWS\system32\Drivers\klif.sys
D:\WINDOWS\system32\NVWRSRU.DLL>>> Нейросеть: файл с вероятностью 0.57% похож на типовой перехватчик событий клавиатуры/мыши
Первый файл - от антивируса Касперского, второй - судя по всему от Nowell клиента. Оба стоит прислать на [email protected] для анализа и занесения в базы безопасных файлов ...

На двух машинах проявляется глючок в avz 3.43. Если поставить птичку у имени диска - проверять весь диск - то проверка не происходит. Если снять птичку у к-л подкаталога - все остальное проверяется. На других доступных мне компах все работает нормально.
Железо на этих машинах идентичное, и отличается от всех других, приведу его на всякий случай:
CPU Name AMD Athlon 700.0 MHz
Motherboard model ABIT 8363-686A(KT7[A][-RAID],KT7E)
Chipset VIA KT133A rev. 3
Southbridge VIA VT82C686 rev. 40
Windows XP Prof SP2 RUS
Нужно попробовать вопроизвести эту ситуацию ... - а какой диск так не сканироуется (первый в списке дисков, в середине, последний) ??

Нужно попробовать вопроизвести эту ситуацию ... - а какой диск так не сканироуется (первый в списке дисков, в середине, последний) ??
Первый, он же единственный хард
userr

Кстати, Олег, если посмотреть на вот эту тему: http://virusinfo.info/forum/showthread.php?t=2520
В системие сидел вариант Пинча с распространённым для вируса именем. У тебя есть эвристическая проверка, но я так понимаю ты заносиш имена файлов вручную. Почему бы не сделать что бы имена всех просканированных файлов сравнивались с именами файлов всех известных зверей, и в случае совпадения выдавать предупреждение?

Олег, обнови у себя на сайте номер версии AVZ. Там написано, что она- 3.40. И ещё- для того, чтобы нормально тестировать систему на внедрения и лечить её совершенно необязательно восстанавливать SDT. Можно (я бы даже сказал- нужно) работать в обход неё.

Олег, обнови у себя на сайте номер версии AVZ. Там написано, что она- 3.40. И ещё- для того, чтобы нормально тестировать систему на внедрения и лечить её совершенно необязательно восстанавливать SDT. Можно (я бы даже сказал- нужно) работать в обход неё.
Да, с номером прокол - в понедельник исправлю.
Работа в обход SDT в ядре AVZ предусмотрена и будет применяться ... но восстановление я в любом случае оставлю - дело в том, что нет гарантии обнаружения маскирующегося процесса самими AVZ (такое уже было при отлове HackDef и Haxdoor - блокировка идет нормально, а сигнатур "зверя" у AVZ нету ....
Другое дело, что сейчас делается избирательное восстановление SDT - т.е. не все функций, а по разным критериям (например, не восстанавливать перехваты антивирей/Firewall)

Мелкий глюк:
Сервис/Проверить файл по базе безопасных файлов. Если в окне "Открыть..." сразу нажать "Отмена", выдается пустой MessageBox и, как следствие, в лог записывается "паразитное" сообщение. Похоже, кнопка "Отмена" вообще не анализируется?

Олег - добавь в АВЗ XP Manifest file / component ;) авз сразу станет красивым :)

AVZ при этом становится смесью "французского с нижегородским" (плюс еще и некоторые глюки проявляются). :) Вот если бы AVZ был полностью написан на стандартных контролах, то простое добавление манифеста действительно бы "помогло". :)

AVZ при этом становится смесью "французского с нижегородским". :) Вот если бы AVZ был полностью написан на стандартных контролах, то простое добавление манифеста действительно бы "помогло". :)
В текущем варианте манифест подключить можно, но в некоторых местах интерфейса шалит :) Так что это будет, но потребуется небольшая доработка.


Мелкий глюк:
Сервис/Проверить файл по базе безопасных файлов. Если в окне "Открыть..." сразу нажать "Отмена", выдается пустой MessageBox и, как следствие, в лог записывается "паразитное" сообщение. Похоже, кнопка "Отмена" вообще не анализируется?

Я вывод окна и запись в лог поместил за пределами блока проверки результатов вызова диалога. В итоге проверка шла только при выборе файла, а запись в лог и Message - в любом случае. Пофиксено ...

...
И ещё- для того, чтобы нормально тестировать систему на внедрения и лечить её совершенно необязательно восстанавливать SDT. Можно (я бы даже сказал- нужно) работать в обход неё.

С этим трудно не согласиться, и даже более того: чтобы "нормально тестировать систему на внедрения", у AVZ пока еще довольно мало методов, но процесс, как говорится, потихоньку идет. Возможность восстановления SDT - это только первый шаг на пути борьбы с km руткитами, пусть не самый удачный (пока что, как мы видим в этой ветке, все начали "бороться" с файерволлами и антивирусами), но уже это - "хоть что-то" :). А отображение перехватов системных функций в SDT, наряду с другими, более "изощренными" методами, можно использовать для анализа системы, если возникло подозрение. Понятно, что манипуляция SDT - это далеко не единственный метод маскировки руткитов, а в силу его хорошей документированности и повсеместного применения разными файерволлами и антивирусами - так еще и "избегаемый" хорошими руткитами! Но тут надо смотреть с практической точки зрения: если такой метод применяется простейшими руткитами, то почему бы не включить возможность его анализа и попытку восстановления, в том числе и через восстановление оригинальной SDT? А позднее и другие методы появятся, я надеюсь! :)

Теперь непосредственно о "восстановлении" SDT. Потестировал AVZ на возможность "восстановления" от работающего DefencePlus (ваш продукт, если не ошибаюсь?) - ведь последний использует множество перехватов функций как в um, так и в km. Результат: пока что "побеждает" DefencePlus. :) Попытка борьбы с перехваченными в SDT функциями приводит к ошибке AVZ "Access violation at address xxxxxxxx in module 'avz.exe'. Read of address yyyyyyyy" сразу после:
---
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=078540)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D4000
---
Полагаю, что Олегу будет над чем задуматься... Но! Если попытку восстановления повторить несколько раз, не выходя из AVZ, то SDT восстанавливается, хотя после этого система ведет себя абсолютно некорректно.

И 3-е: пока сталкивал лбами AVZ и DefencePlus, обнаружил, что по какой-то причине AVZ не видит перехвата DefencePlus в kernel32.dll. Я поначалу подумал даже (был такой прокол), что AVZ вообще не ищет там перехватов, но после проверки (правки 1-го байта ф-ции Beep) выяснилось, что видит:
---
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:Beep (28) перехвачена, метод CodeHijack (метод не определен)...
Анализ ntdll.dll, таблица экспорта найдена в секции .text
---
Я зашел дебаггером в AVZ, посмотрел на kernel32!SetUnhandledExceptionFilter - да, действительно, перехват есть (acshield - это acshield.dll - компонента DefencePlus, подключаемая через SetWindowsHookEx):
---
> u kernel32!SetUnhandledExceptionFilter
kernel32!SetUnhandledExceptionFilter:
4ebfe4f4 e9274940c1 jmp acshield+0x2e20 (10002e20)
---
Но AVZ его почему-то не видит! Чудеса! :)

п.п. 3: с SetUnhandledExceptionFilter все оказывается достаточно просто - у AVZ в настройках антируткита описываются правила анализа системы (какие DLL анализировать, какие функции проверять/не проверять, что восстанавливать/не восстанавливать). Kernel32 исторически была первой и у нее в настройке описана проверка списка избранных функций, около сотни штук. SetUnhandledExceptionFilter в этот список не была включена, отсюда и отсутствие реакции... для остальных DLL прописано проверять все и заданы исключения.
п.п. 2: это явный баг и его нужно изловить
п.п. 1: я на настоящий момент думаю так - восстановление SDT - это крайняя мера, на которую человек идет в случае поддозрения на руткит. На этот случай такая возможность обязана быть. Далее, в принципе мои следующие шаги таковы:
1. Работа в обход SDT. Сейчас это реализовано в экспериментальном виде и неплохо работает, я думаю включить это в AVZ. Эта методика не требует восстановления SDT и почти не влияет на работу системы (за исключением некоторой вероятности BSOD в случае сбоя такого обращения);
2.Анализ машинного кода ядреных функций. Логика тут аналогична UserMode и распадается на две составляющих - анализ экспортируемых функций ntoskrnl и анализ кода функций SDT с возможностью восстановления. Последнее уже реализовано и завтра будет помещено на моем сайте - это "накроет" еще одну категорию перехватчиков, которые предпочитают правку машинного кода правке адресов в таблицах SDT.

...
SetUnhandledExceptionFilter в этот список не была включена, отсюда и отсутствие реакции... для остальных DLL прописано проверять все и заданы исключения.

Да, я уже все понял - устроил 5 минут назад AVZ маленькую проверочку "на вшивость". :) А почему, собственно, такая "нелюбовь" к большому числу ф-ций, не попавших в список? Как-то не видится (пока) реальных причин для этого...


п.п. 2: это явный баг и его нужно изловить

DefencePlus находится в свободной триальной загрузке на месяц, URL - в подписи у rav, так что это относительно легко воспроизвести (правда с ним пришлось "повозиться": сначала при установке - он явно не хотел "дружить" с драйверами от Kaspersky KIS 2006 P2, которые у меня оставались "болтаться" для тестов, а потом еще и после удаления пришлось "подтирать за ним" реестр, но это уже совсем другая история к приколами - извиняюсь за офф-топик). Понятно, однако, что дело не в DefencePlus как таковом, а в наборе тех возможных методов, применяемых, в частности, DefencePlus, которые руткит может использовать в качестве "противодействия".

2.Анализ машинного кода ядреных функций.
Так им гадам, туды их в качель! :)
userr

Да, я уже все понял - устроил 5 минут назад AVZ маленькую проверочку "на вшивость". :) А почему, собственно, такая "нелюбовь" к большому числу ф-ций, не попавших в список? Как-то не видится (пока) реальных причин для этого...

Это исторически сложившаяся методика. Причина - см. лог в аттаче - это список функций kernel32.dll с эталонной XP SP2, адреса которых не совпадают с заявленными у нее в таблице экспорта, их там штук 30. В принципе, сейчас легко пойти "от противного" - т.е. запретить анализировать эти 30 и разрешить все остальное - это достигается настройкой, так что в принципе перенастроить очень легко

Это исторически сложившаяся методика. Причина - см. лог в аттаче - это список функций kernel32.dll с эталонной XP SP2, адреса которых не совпадают с заявленными у нее в таблице экспорта, их там штук 30. В принципе, сейчас легко пойти "от противного" - т.е. запретить анализировать эти 30 и разрешить все остальное - это достигается настройкой, так что в принципе перенастроить очень легко
Ну, если это просто "дань истории", то может уже стоит все вернуть на свои места, чтобы исключить дальнейшие сомнения (и с остальными проверяемыми библиотеками тоже - т.к., полагаю, там тоже есть "исключения")? :)

Ну а что касается этого "списка 30-ти", то, как мне помнится, эти ф-ции - это прямая переадресация на соответствующие эквиваленты в ntdll, к примеру там kernel32.AddVectoredExceptionHandler -> ntdll.RtlAddVectoredExceptionHandler и т.п., т.е. "разрулить" это, мне кажется, вообще не составляет труда - взгляни на их экспорты, сам все сразу поймешь! :)

Добавлю еще вот что: мне кажется, что уже настало время сделать отображение имени перехватчика для ф-ций user mode - естественно для случаев, когда адрес перехватчика вычисляется и принадлежит одному из модулей (благо их список уже есть) в адресном пр-ве процесса - т.е. сделать нечто подобное, что сделано для перехваченных ф-ций в SDT.

Ну, если это просто "дань истории", то может уже стоит все вернуть на свои места, чтобы исключить дальнейшие сомнения (и с остальными проверяемыми библиотеками тоже - т.к., полагаю, там тоже есть "исключения")? :)

Ну а что касается этого "списка 30-ти", то, как мне помнится, эти ф-ции - это прямая переадресация на соответствующие эквиваленты в ntdll, к примеру там kernel32.AddVectoredExceptionHandler -> ntdll.RtlAddVectoredExceptionHandler и т.п., т.е. "разрулить" это, мне кажется, вообще не составляет труда - взгляни на их экспорты, сам все сразу поймешь! :)

Добавлю еще вот что: мне кажется, что уже настало время сделать отображение имени перехватчика для ф-ций user mode - естественно для случаев, когда адрес перехватчика вычисляется и принадлежит одному из модулей (благо их список уже есть) в адресном пр-ве процесса - т.е. сделать нечто подобное, что сделано для перехваченных ф-ций в SDT.
Да, kernel32 логично перевести на общую схему (я, честно говоря, просто забыл про нее). Аналогичная вещь есть в ntdll.dll - там проверяется все, за исключением определенных "функций".
Насчет поиска модуля-перехватчика UserMode я думал, но шансы обысно невелики (т.е. при перехвате "по Рихтеру" - с внедрением DLL - это сработает).

...
Насчет поиска модуля-перехватчика UserMode я думал, но шансы обысно невелики (т.е. при перехвате "по Рихтеру" - с внедрением DLL - это сработает).

Нет, это касается не только перехвата "по Рихтеру", естественно! :) А как же WriteProcessMemory/CreateRemoteThread с созданием потока, а как же WriteProcessMemeory/SetThreadContext, а как же SetWindowsHookEx, а внедрение через InitDLLs и пр. - и это только то, что сразу пришло в голову! :)

Полагаю, что методика поиска модуля перехвата и его отображение в AVZ должны быть похожи как для kernel mode, так и для user mode. Ты сейчас это уже сделал (почти) для km, осталось перенести методику на user mode, почему нет?

Олег, вот такой вопрос, в среднем антивирусы весят от 8 до 12 мегабайт плюс базы около 2, а твоя АВЗ такая крохотная, и при этом позволяет работать не хуже них, с чем этот феномен связан.

Кстати хочу поздравить, твоя АВЗ засветилась в журнале хакер, ура товарищи!!!

Олег, вот такой вопрос, в среднем антивирусы весят от 8 до 12 мегабайт плюс базы около 2, а твоя АВЗ такая крохотная, и при этом позволяет работать не хуже них, с чем этот феномен связан.

Кстати хочу поздравить, твоя АВЗ засветилась в журнале хакер, ура товарищи!!!
Ну, на самом деле размер антивиря не должен быть большим - у AVP размер раширенной базы 5.5 мб ... а там у них и движок, и базы. Размер очень сильно зависит от количества вирусов, поддерживаемых упаковщиков ... если AVZ сьанет поддерживать упаковщики (что возможно), размер возрастет на 300-500 кб - появится unpack.avz :)
А в каком номере хакера и что пишут :) ?

Ну, на самом деле размер антивиря не должен быть большим - у AVP размер раширенной базы 5.5 мб ... а там у них и движок, и базы. Размер очень сильно зависит от количества вирусов, поддерживаемых упаковщиков ... если AVZ сьанет поддерживать упаковщики (что возможно), размер возрастет на 300-500 кб - появится unpack.avz :)
А в каком номере хакера и что пишут :) ?
в этом номере
http://www.xakep.ru/articles/magazine/default.asp?magazine=xa
в статье про руткиты я попробую сделать копию и выложить здесь

в этом номере
http://www.xakep.ru/articles/magazine/default.asp?magazine=xa
в статье про руткиты я попробую сделать копию и выложить здесь
Ну, здесь наверное не стоит - а то издатели "хакера" наедут еще из-за нарушения авторских прав ... лучше почтой. Кстати, вышла моя статья на аналогичную тематику в КомпьютеПресс №5 "RootKit — принципы и механизмы работы".

это не та, что была здесь напечатана?
кстати очень интересная тема эти руткиты, надо побольше почитать, а как твое мнение по этому ресурсу www.rootkit.com

это не та, что была здесь напечатана?
кстати очень интересная тема эти руткиты, надо побольше почитать, а как твое мнение по этому ресурсу www.rootkit.com
Ресурс www.rootkit.com я знаю давно, у меня скачаны все имеющиеся там программы и я постоянно отслеживаю материалы этого сайта - там много интересных и толковых вещей.

Возможность восстановления SDT - это только первый шаг на пути борьбы с km руткитами, пусть не самый удачный (пока что, как мы видим в этой ветке, все начали "бороться" с файерволлами и антивирусами), но уже это - "хоть что-то"


Это именно борьба с самыми примитивными руткитами. Вопрос в том, что примитивными они ещё будут очень недолго. Причин на то много. А то, что грядёт (rootkit.com)- даже меня пугает.



(acshield - это acshield.dll - компонента DefencePlus, подключаемая через SetWindowsHookEx):


Неправильно. Она загружается во все процессы при их старте. Иначе консоль была бы обделена.....

Это именно борьба с самыми примитивными руткитами. Вопрос в том, что примитивными они ещё будут очень недолго. Причин на то много. А то, что грядёт (rootkit.com)- даже меня пугает.

Полагаю, что "технологий" будет много, как примитивных (типа различных вариантов модификации SDT), так и непримитивных. Одно другого совсем не исключает. А какова вероятность того, что AVZ сразу же будет иметь smart-технологию поиска руткитов (ну, хотя бы что-то BlackLight- или RootkitRevealer-подобное) и, в дальнейшем, борьбы с ними? Ну, Олегу, как я понимаю, надо было с чего-то начать, чтобы расширить возможности поиска user mode руткитов, дальше (я надеюсь) будет больше. :) Но, на сколько я знаю, он себе и не ставил задачу полноты охвата - иными словами, AVZ всегда будет иметь некие ограниченные возможности в этом смысле. И причин этому множество: начиная от большого разнообразия технологий и кончая чисто физическими - ему же просто за всем не угнаться! :)


Неправильно. Она загружается во все процессы при их старте. Иначе консоль была бы обделена.....

Да, каюсь, я детально не смотрел на способ внедрения (да и писал уже после удаления с компьютера :)) - увидел экспорт функций hook-ов в этой dll и наличие ее во многих процессах - вот и предположил. Про консольные приложения (точнее, цель внедрения dll), естественно, не подумал - меня больше интересовали моменты, связанные с перехватом функций. :)

кончая чисто физическими - ему же просто за всем не угнаться! :)

Эта проблема решается двумя путями: лобо OpenSource- проект, либо коммерциализация его. Других путей нет и не будет.

По поводу руткитов могу заметить, что есть некая грань - RootKit как специализированная/изощренная программа, или некий троян/adware/SpyWare с руткит механизмом. AVZ нацелен именно на последнюю категорию - а на этом фронте 90% "зверей" применяют маскировку на уровне UserMode (а это достаточно корректно лечится), либо простейшие KernelMode - как тот-же Haxdoor. Вот на поиск таких зверей AVZ и заточен ...

Но это отвлечение - вышел новый AVZ - 23.05.2005 (13564 сигнатуры, 1 нейропрофиль, 52 микропрограммы лечения, 234 микропрограммы эвристики, 2 микропрограммы восстановления настроек системы, 30065 подписей безопасных файлов
В нем:
1. Появилась опция "Восстановление системы" (меню Файл). Назначение - исправление всяких изменение в настройках IE, рабочего стола ... там пока две микропрограммы восстановления, но в ближайшее время их станет штук 20 ... (МП хранятся в базе, там для этого выделен отдельный файл repair.avz)
2. Переработан менеджер автозапуска
3. Переделан антируткит - теперь он может ловить перехваты за счет модификации кода ядра
4. Появилось окно для просмотра модулей пространства ядра - к нему естественно подключена база безопасных файлов ...

W3k SP1 Server Eng, W2k SP4 Server Eng

В "Диспетчер процессов" не для всех процессов отображается список DLL.

Насколько я понял не отображается для тех, что получены через Native API. Это так и должно быть?

Нет, это не совсем правильно - для обнаруженных через Native API процессов поиск DLL тоже должен идти через Native ... а идет судя по всему штатным образом ... это неправильно, сейчас подправлю

3. Переделан антируткит - теперь он может ловить перехваты за счет модификации кода ядра

Неплохо бы вывести бы адрес jmp-а, и (для начала) если этот адрес не попадает в пределы к.-л. из драйверов, то написать что-то типа "перехватчик не определен/неизвестен". То же самое неплохо бы сделать и для user mode перехватов.


4. Появилось окно для просмотра модулей пространства ядра - к нему естественно подключена база безопасных файлов ...

Логичнее было бы, наверное, сделать значение колонки "Размер..." в 16-ричном виде, а не в десятичном, плюс (обязательно! :))сделать сортировку по всем колонкам (и не только в этом окне), а то вывод ф-ции ZwQuerySystemInformation(SystemModuleInformation, ...), мягко говоря, не слишком презентабелен. :)

И еще: а как в этот список попала ntdll.dll с адресом в нижней половине адресного пр-ва? :)

1. Неплохо бы вывести бы адрес jmp-а, и (для начала) если этот адрес не попадает в пределы к.-л. из драйверов, то написать что-то типа "перехватчик не определен/неизвестен". То же самое неплохо бы сделать и для user mode перехватов.

2. Логичнее было бы, наверное, сделать значение колонки "Размер..." в 16-ричном виде, а не в десятичном, плюс (обязательно! :))сделать сортировку по всем колонкам (и не только в этом окне), а то вывод ф-ции ZwQuerySystemInformation(SystemModuleInformation, ...), мягко говоря, не слишком презентабелен. :)

И еще: а как в этот список попала ntdll.dll с адресом в нижней половине адресного пр-ва? :)
1. Сделано. Если JMP найден, то идет попытка найти драйвер по адресу. Если найдется, то выводится его имя. Если нет - то выводится "Перехватчик неизвестен. Адрес xxxxx"
2. Я сделал вывод в виде (hex (dec)) - место на экране есть ... Плюс сортировка по автомату по имени модуля или по любому столбцу
3. ntdll.dll "официально" значится как "модуль пространства ядра", это единственная DLL в этом списке с адресом менее 800000h - ее возвращает ZwQuerySystemInformation ... кстати она, судя по адресу, лежит на границе ... наверное, в MS ее посчитали "полуядреной" :)

1. Сделано. Если JMP найден, то идет попытка найти драйвер по адресу. Если найдется, то выводится его имя. Если нет - то выводится "Перехватчик неизвестен. Адрес xxxxx"

Может стоит адрес jmp выводить всегда, независимо от того, найден ли для него сооветствующий драйвер или нет - это упростило бы процесс дальнейшего анализа.


2. Я сделал вывод в виде (hex (dec)) - место на экране есть ... Плюс сортировка по автомату по имени модуля или по любому столбцу

А что, адрес в десятичном формате может кому-то понадобиться? Народ, откликнитесь, есть такие?


3. ntdll.dll "официально" значится как "модуль пространства ядра", это единственная DLL в этом списке с адресом менее 800000h - ее возвращает ZwQuerySystemInformation ... кстати она, судя по адресу, лежит на границе ... наверное, в MS ее посчитали "полуядреной" :)Ну, это-то известно (про ntdll.dll в этом списке - в виде исключения), также как и интуитивно понятна логика MS в данном случае, однако это никак не причисляет ее к "модулям пространства ядра", и тем более "официально". :) Можно еще согласился с трактовкой "системный модуль" (именно такую трактовку мы видим у Гари Неббетта). А что, разве NtQuerySystemInformation(SystemModuleInformation.. .) где-то официально документирована?

Впрочем, это я так - для уточнения позиции! :)

1. Может стоит адрес jmp выводить всегда, независимо от того, найден ли для него сооветствующий драйвер или нет - это упростило бы процесс дальнейшего анализа.


2. А что, адрес в десятичном формате может кому-то понадобиться? Народ, откликнитесь, есть такие?

3. Ну, это-то известно (про ntdll.dll в этом списке - в виде исключения), также как и интуитивно понятна логика MS в данном случае, однако это никак не причисляет ее к "модулям пространства ядра", и тем более "официально". :) Можно еще согласился с трактовкой "системный модуль" (именно такую трактовку мы видим у Гари Неббетта). А что, разве NtQuerySystemInformation(SystemModuleInformation.. .) где-то официально документирована?

Впрочем, это я так - для уточнения позиции! :)
1. В принципе можно и так ... в хвосте строки, в скобках ... тогда имеет смысл сделать аналогично для UserMode.
2. Нет, адрес то я конечно в Hex оставил, адреса в dec формате - извращение. Я поле "размер" имел в виду ...
3. NtQuerySystemInformation(SystemModuleInformation ...) прописана у Неббета - это уже "официальное" документирование :) - все-таки печатное издание, это уже что-то. А у MS я в свою бытность перерыл весь MSDN - куцое описание NtQuerySystemInformation там есть, но про SystemModuleInformation там нет ровным счетом ничего ...

Программа выдаёт у меня ошибку с таким текстом: Access violation at Address 0051987B in module "avz.exe" Read of adress 00A53FF8. ???
И как понимать такую фразу в логе: ... ошибка чтения машинного кода.
И получаеться вот такой лог:

Программа выдаёт у меня ошибку с таким текстом: Access violation at Address 0051987B in module "avz.exe" Read of adress 00A53FF8. ???
И как понимать такую фразу в логе: ... ошибка чтения машинного кода.
И получаеться вот такой лог:
"ошибка чтения машинного кода" - это сообщение, возникающее, когда драйверу кажется, что он не смог прочитать машинный код. Это результат излишней осторожности и перепроверки, я выкину эту проверку в версии 3.46 и все пойдет.
Ошибка ..0051987B.. вылетает в момент запуска или в ходе сканирования ??

"Ошибка ..0051987B.. вылетает в момент запуска или в ходе сканирования ??


Во время сканирования,примерно на пункте 1.2 или 2,и сканирование сразу останавливалось. Сейчас больше не выскакивает.

1. В принципе можно и так ... в хвосте строки, в скобках ... тогда имеет смысл сделать аналогично для UserMode.Согласен - я, собственно, уже говорил об этом.

2. Нет, адрес то я конечно в Hex оставил, адреса в dec формате - извращение. Я поле "размер" имел в виду ...Я тоже имел ввиду "размер", не адрес - просто не то написал. :) Думаешь кому-то этот размер понадобится в 10-чном виде? Любой мало-мальский обученный программер оперирует 16-ричными числами намного лучше, чем 10-чными (если, это, конечно, не касается его зарплаты :))! Можешь привести пример, где мог бы понадобиться этот размер в 10-чном виде (где base address при этом - в 16-ном)?

3. NtQuerySystemInformation(SystemModuleInformation ...) прописана у Неббета - это уже "официальное" документирование :) - все-таки печатное издание, это уже что-то.Аргументировал! :) Скажи еще, что "Undocumented Windows 2000 Secrets" Свена Шрайбера - тоже "официальное" документирование (точнее, "официальное" документирование недокументированных возможностей)!

Во время сканирования,примерно на пункте 1.2 или 2,и сканирование сразу останавливалось. Сейчас больше не выскакивает.
У меня подобная ошибка наблюдается при установленном USB Flash Drive.

Олег, не планируешь ли выводить список обнаруживаемых вирусов? Как в stinger, например?

У меня подобная ошибка наблюдается при установленном USB Flash Drive.
Да, вроде-бы я это поймал - ошибка при обходе дисков ...