Протокол антивирусной утилиты AVZ версии 4.30
Сканирование запущено в 05.08.2008 17:21:09
Загружена база: сигнатуры - 179784, нейропрофили - 2, микропрограммы лечения - 56, база от 03.08.2008 22:23
Загружены микропрограммы эвристики: 370
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 71565
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtResumeThread (297) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции NtResumeThread нейтрализован
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:WSARecv (71) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции WSARecv нейтрализован
Функция ws2_32.dll:WSASend (76) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции WSASend нейтрализован
Функция ws2_32.dll:closesocket (3) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции closesocket нейтрализован
Функция ws2_32.dll:connect (4) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции connect нейтрализован
Функция ws2_32.dll:recv (16) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции recv нейтрализован
Функция ws2_32.dll:send (19) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции send нейтрализован
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 8536B418 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 85954218 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 853781E0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 85570818 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 85432790 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 854DF0A8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 86082AF0 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 85750EF8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 8622A7E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 862828C0 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 115
Количество загруженных модулей: 333
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\2EE8.tmp
Прямое чтение C:\2EEA.tmp
Прямое чтение C:\Documents and Settings\Evgeniya\Local Settings\Temp\JET617C.tmp
Прямое чтение C:\Documents and Settings\Evgeniya\Local Settings\Temp\JETB066.tmp
Прямое чтение C:\Documents and Settings\Evgeniya\Local Settings\Temp\~DF49F8.tmp
Прямое чтение C:\Documents and Settings\Evgeniya\Local Settings\Temp\~DF61F1.tmp
Прямое чтение C:\Documents and Settings\Evgeniya\Local Settings\Temporary Internet Files\Content.IE5\9ZYM6ZE5\200[1].exe
Прямое чтение C:\Documents and Settings\Evgeniya\Local Settings\Temporary Internet Files\Content.IE5\9ZYM6ZE5\d[1].exe
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files\ESET\ESET NOD32 Antivirus\shellExt.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\ESET\ESET NOD32 Antivirus\shellExt.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
C:\WINDOWS\SYSTEM32\DWRCShell.DLL --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\SYSTEM32\DWRCShell.DLL>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 20289, извлечено из архивов: 2272, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 05.08.2008 17:37:04
Сканирование длилось 00:15:56
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию -
http://virusinfo.info
Сканирование прервано пользователем
Сообщение от GaBB3R
