ПОмогите!

[SerHoll]

Протокол антивирусной утилиты AVZ версии 4.32
Сканирование запущено в 15.03.2010 6:34:41
Загружена база: сигнатуры - 267271, нейропрофили - 2, микропрограммы лечения - 56, база от 13.03.2010 23:28
Загружены микропрограммы эвристики: 381
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 189114
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: Отключено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
>> Опасно ! Обнаружена маскировка процессов
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=08B520)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80562520
KiST = 804E48A0 (284)
Функция NtAssignProcessToJobObject (13) перехвачена (805E839E->853038A0), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateKey (29) перехвачена (80577925->F77500E0), перехватчик spjb.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateKey (47) перехвачена (80578E1C->F7768DA4), перехватчик spjb.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateValueKey (49) перехвачена (80587691->F7769132), перехватчик spjb.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenKey (77) перехвачена (80572BFC->F77500C0), перехватчик spjb.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenProcess (7A) перехвачена (8058170A->85302CB0), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenThread (80) перехвачена (805E1939->853030D0), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryKey (A0) перехвачена (80578A1C->F776920A), перехватчик spjb.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryValueKey (B1) перехвачена (8057303F->F776908A), перехватчик spjb.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetValueKey (F7) перехвачена (80582294->F776929C), перехватчик spjb.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSuspendProcess (FD) перехвачена (806376CF->853036D0), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSuspendThread (FE) перехвачена (806375EB->853034F0), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtTerminateProcess (101) перехвачена (8058E695->85302EE0), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtTerminateThread (102) перехвачена (805838EF->85303310), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Проверено функций: 284, перехвачено: 14, восстановлено: 14
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
CmpCallCallBacks = 0014509C
Disable callback OK
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=F4A93000, размер=118784, имя = "\SystemRoot\system32\DRIVERS\nvcap.sys"
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 867651F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 867651F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 867651F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 867651F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 867651F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 867651F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 867651F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 867651F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 867651F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 867651F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 867651F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 867651F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 867651F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 867651F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 867651F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 867651F8 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 39
Количество загруженных модулей: 288
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 6 TCP портов и 12 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
>>> C:\WINDOWS\system32\sfcfiles.dll ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
>>> C:\WINDOWS\system32\cmd.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
>>> C:\WINDOWS\system32\ntoskrnl.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
>>> C:\WINDOWS\system32\user32.dll ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
>>> C:\WINDOWS\system32\ntkrnlpa.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
>>> C:\WINDOWS\system32\msdtc.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
>>> C:\WINDOWS\system32\cscript.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 327, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 15.03.2010 6:36:33
!!! Внимание !!! Восстановлено 14 функций KiST в ходе работы антируткита
Это может нарушить нормальную работу ряда программ, поэтому настоятельно рекомендуется перезагрузить компьютер
Сканирование длилось 00:01:53
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info
Ошибка карантина файла, попытка прямого чтения (spjb.sys)
Карантин с использованием прямого чтения - ошибка

[pig]

Внимательно прочитать, аккуратно выполнить
Что за сборка?