вашу идею я-то понял правильно, но подумал, что хотя активность AVZ фаер может отследить, то из-за блокировки руткита функция сканирования портов не сработалаСообщение от Dandy
выдаёт ли AVZ список портов, если разрешить обращение фаером?
если не выдаёт, то ближе к истине моё предположение, если выдаёт, то ваше
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
да, выдает без вопросов
что можно сказать, против атак изнутри ваш файрвол ещё лучше, чем я думал. об этом не стоит сильно переживать
Офтопчто можно сказать, против атак изнутри ваш файрвол ещё лучше, чем я думал. об этом не стоит сильно переживатьМож поменять файр, только продлил лицензию на Аутпост
Добрый день Олег. Планируется ли в АВЗ возможность ведения лога работы? Дело в том, что начиная с некоторого времени у меня на компе (рабочем), при включении "параноидальных" настроек, все галочки выставлены - прога вылетает с кучей ошибок......
Да, для я планирую ввести ключик Debug для регистрации ошибок - ввиду большого числа проверок иногда вылетают непредвиденные ошибки - они будут писаться в лог с указанием местоположения и сообщения об ошибке
Сначала просто сканирование:
Протокол антивирусной утилиты AVZ версии 3.40
Сканирование запущено в 5/17/2005 11:07:24 AM
Загружена база: 13420 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Максимальный уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
KeServiceDescriptorTable найдена (RVA=080820)
ntoskrnl.exe обнаружен в памяти по адресу 80400000
KESystemDescriptorTable = 80480820
KiST = 80472128,80472128( 24
Функция ZwConnectPort (1B) перехвачена (804C5930<>BE7B55CD), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция ZwDeleteKey (35) перехвачена (8051206E<>BE7C9110), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция ZwDeleteValueKey (37) перехвачена (8051228A<>BE7C9070), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция ZwLoadKey (56) перехвачена (805140B0<>BE7C9190), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция ZwOpenProcess (6A) перехвачена (804DE984<>BE7C8AB0), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция ZwReplaceKey (A9) перехвачена (80514564<>BE7C9240), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция ZwRestoreKey (B4) перехвачена (80513A56<>BE7C92C0), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция ZwSecureConnectPort (Bперехвачена (80433698<>BE7B56F5), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция ZwSetValueKey (D7) перехвачена (80513DF4<>BE7C8FC0), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Проверено функций: 248, перехвачено: 9, восстановлено: 0
2. Проверка памяти
Количество найденных процессов: 39
Процесс d:\winnt\system32\winlogon.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll,rasapi32.dll, tapi32.dll)
Процесс d:\winnt\system32\lsass.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll)
Процесс d:\winnt\system32\mstask.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll,rasapi32.dll, tapi32.dll)
Процесс d:\winnt\system32\zonelabs\vsmon.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll,wininet.dll)
Процесс d:\program files\d-tools\daemon.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс d:\program files\zone labs\zonealarm\zlclient.exe может работать с сетью (ws2_32.dll,ws2help.dll)
Процесс c:\programs\thebat\thebat.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll)
Процесс d:\program files\borland\starteam 6.0\starteam.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll)
Процесс d:\program files\borland\delphi5\bin\delphi32.exe может работать с сетью (ws2_32.dll,ws2help.dll,wininet.dll)
Процесс c:\program files\opera\opera.exe может работать с сетью (ws2_32.dll,ws2help.dll,wininet.dll)
Процесс e:\downlaods\dust\avz-betta2\avz.exe может работать с сетью (ws2_32.dll,ws2help.dll,rasapi32.dll,tapi32.dll)
Количество загруженных модулей: 529
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 24 TCP портов и 11 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 568, найдено вирусов 0
Сканирование завершено в 5/17/2005 11:07:35 AM
Сканирование длилось 00:00:11
А теперь с нетрализацией:
Протокол антивирусной утилиты AVZ версии 3.40
Сканирование запущено в 5/17/2005 11:07:54 AM
Загружена база: 13420 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Максимальный уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
KeServiceDescriptorTable найдена (RVA=080820)
ntoskrnl.exe обнаружен в памяти по адресу 80400000
KESystemDescriptorTable = 80480820
KiST = 80472128,80472128( 24
Функция ZwConnectPort (1B) перехвачена (804C5930<>BE7B55CD), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция воcстановлена успешно !
Функция ZwDeleteKey (35) перехвачена (8051206E<>BE7C9110), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция воcстановлена успешно !
Функция ZwDeleteValueKey (37) перехвачена (8051228A<>BE7C9070), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция воcстановлена успешно !
Функция ZwLoadKey (56) перехвачена (805140B0<>BE7C9190), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция воcстановлена успешно !
Функция ZwOpenProcess (6A) перехвачена (804DE984<>BE7C8AB0), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция воcстановлена успешно !
Функция ZwReplaceKey (A9) перехвачена (80514564<>BE7C9240), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция воcстановлена успешно !
Функция ZwRestoreKey (B4) перехвачена (80513A56<>BE7C92C0), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция воcстановлена успешно !
Функция ZwSecureConnectPort (B
Функция воcстановлена успешно !
Функция ZwSetValueKey (D7) перехвачена (80513DF4<>BE7C8FC0), перехватчик предположительно D:\WINNT\System32\vsdatant.sys
Функция воcстановлена успешно !
Проверено функций: 248, перехвачено: 9, восстановлено: 9
>> Опасно ! Обнаружена маскировка сервисов и драйверов на уровне реестра
>>>> Подозрение на RootKit ACPI D:\WINNT\system32\DRIVERS\ACPI.sys
>>>> Подозрение на RootKit ALCXWDM D:\WINNT\system32\drivers\ALCXWDM.SYS
>>>> Подозрение на RootKit BITS D:\WINNT\System32\svchost.exe -k BITSgroup
>>>> Подозрение на RootKit DbgProxy D:\Program Files\Microsoft Visual Studio .NET\Common7\Packages\Debugger\dbgproxy.exe
>>>> Подозрение на RootKit dmadmin D:\WINNT\System32\dmadmin.exe /com
>>>> Подозрение на RootKit dmboot D:\WINNT\system32\drivers\dmboot.sys
>>>> Подозрение на RootKit dmio D:\WINNT\system32\DRIVERS\dmio.sys
>>>> Подозрение на RootKit DNSFILT c:\programs\atguard\DNSFILT.SYS
>>>> Подозрение на RootKit drwebnet D:\WINNT\system32\drivers\drwebnet.sys
>>>> Подозрение на RootKit EventSystem D:\WINNT\System32\svchost.exe -k netsvcs
>>>> Подозрение на RootKit FirebirdServerDefaultInstance D:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe -s
>>>> Подозрение на RootKit Ftdisk D:\WINNT\system32\DRIVERS\ftdisk.sys
>>>> Подозрение на RootKit FWFILT c:\programs\atguard\FWFILT.SYS
>>>> Подозрение на RootKit HTTPFILT c:\programs\atguard\HTTPFILT.SYS
>>>> Подозрение на RootKit i8042prt D:\WINNT\system32\DRIVERS\i8042prt.sys
>>>> Подозрение на RootKit Iamdrv c:\programs\atguard\iamdrv.sys
>>>> Подозрение на RootKit IAS D:\WINNT\System32\svchost.exe -k netsvcs
>>>> Подозрение на RootKit isapnp D:\WINNT\system32\DRIVERS\isapnp.sys
>>>> Подозрение на RootKit Kbdclass D:\WINNT\system32\DRIVERS\kbdclass.sys
>>>> Подозрение на RootKit kdc D:\WINNT\System32\lsass.exe
>>>> Подозрение на RootKit MDM "D:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe"
>>>> Подозрение на RootKit Mouclass D:\WINNT\system32\DRIVERS\mouclass.sys
>>>> Подозрение на RootKit mouhid D:\WINNT\system32\DRIVERS\mouhid.sys
>>>> Подозрение на RootKit MSIServer D:\WINNT\system32\msiexec.exe /V
>>>> Подозрение на RootKit MSSEARCH "D:\Program Files\Common Files\System\MSSearch\Bin\mssearch.exe"
>>>> Подозрение на RootKit NDISFILT c:\programs\atguard\NDISFILT.SYS
>>>> Подозрение на RootKit NetDDE D:\WINNT\system32\netdde.exe
>>>> Подозрение на RootKit NetDDEdsdm D:\WINNT\system32\netdde.exe
>>>> Подозрение на RootKit Netlogon D:\WINNT\System32\lsass.exe
>>>> Подозрение на RootKit Netman D:\WINNT\System32\svchost.exe -k netsvcs
>>>> Подозрение на RootKit NPF D:\WINNT\system32\drivers\npf.sys
>>>> Подозрение на RootKit NtLmSsp D:\WINNT\System32\lsass.exe
>>>> Подозрение на RootKit NtmsSvc D:\WINNT\System32\svchost.exe -k netsvcs
>>>> Подозрение на RootKit nvatabus D:\WINNT\system32\DRIVERS\nvatabus.sys
>>>> Подозрение на RootKit nvax D:\WINNT\system32\drivers\nvax.sys
>>>> Подозрение на RootKit NVENETFD D:\WINNT\system32\DRIVERS\NVENETFD.sys
>>>> Подозрение на RootKit nvnetbus D:\WINNT\system32\DRIVERS\nvnetbus.sys
>>>> Подозрение на RootKit oad D:\PROGRA~1\Borland\vbroker\bin\oad.exe
>>>> Подозрение на RootKit osagent D:\PROGRA~1\Borland\vbroker\bin\osagent.exe
>>>> Подозрение на RootKit ousb2hub D:\WINNT\system32\DRIVERS\ousb2hub.sys
>>>> Подозрение на RootKit ousbehci D:\WINNT\system32\Drivers\ousbehci.sys
>>>> Подозрение на RootKit Parallel D:\WINNT\system32\DRIVERS\parallel.sys
>>>> Подозрение на RootKit Parport D:\WINNT\system32\DRIVERS\parport.sys
>>>> Подозрение на RootKit PCI D:\WINNT\system32\DRIVERS\pci.sys
>>>> Подозрение на RootKit PCIIde D:\WINNT\system32\DRIVERS\pciide.sys
>>>> Подозрение на RootKit PolicyAgent D:\WINNT\System32\lsass.exe
>>>> Подозрение на RootKit RasAuto D:\WINNT\System32\svchost.exe -k netsvcs
>>>> Подозрение на RootKit RasMan D:\WINNT\System32\svchost.exe -k netsvcs
>>>> Подозрение на RootKit redbook D:\WINNT\system32\DRIVERS\redbook.sys
>>>> Подозрение на RootKit RemoteAccess D:\WINNT\System32\svchost.exe -k netsvcs
>>>> Подозрение на RootKit rpcapd "%ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini"
>>>> Подозрение на RootKit RpcSs D:\WINNT\system32\svchost -k rpcss
>>>> Подозрение на RootKit RSVP D:\WINNT\System32\rsvp.exe -s
>>>> Подозрение на RootKit rtl8139 D:\WINNT\system32\DRIVERS\RTL8139.SYS
>>>> Подозрение на RootKit SamSs D:\WINNT\system32\lsass.exe
>>>> Подозрение на RootKit Schedule D:\WINNT\system32\MSTask.exe
>>>> Подозрение на RootKit SENS D:\WINNT\system32\svchost.exe -k netsvcs
>>>> Подозрение на RootKit Serial D:\WINNT\system32\DRIVERS\serial.sys
>>>> Подозрение на RootKit SharedAccess D:\WINNT\System32\svchost.exe -k netsvcs
>>>> Подозрение на RootKit SPIDER C:\Programs\DrWebSrv\spider.sys
>>>> Подозрение на RootKit st3tgbus D:\WINNT\system32\DRIVERS\st3tgbus.sys
>>>> Подозрение на RootKit st3tiger D:\WINNT\system32\DRIVERS\st3tiger.sys
>>>> Подозрение на RootKit TapiSrv D:\WINNT\System32\svchost.exe -k tapisrv
>>>> Подозрение на RootKit Tcpip D:\WINNT\system32\DRIVERS\tcpip.sys
>>>> Подозрение на RootKit Visual Studio Analyzer RPC bridge D:\Program Files\Microsoft Visual Studio .NET\Common7\Tools\Analyzer\varpc.exe
>>>> Подозрение на RootKit VMAuthdService D:\Program Files\VMware\VMware Workstation\vmware-authd.exe
>>>> Подозрение на RootKit VMnetBridge D:\WINNT\system32\DRIVERS\vmnetbridge.sys
>>>> Подозрение на RootKit VMnetuserif D:\WINNT\System32\drivers\vmnetuserif.sys
>>>> Подозрение на RootKit vsdatant D:\WINNT\system32\vsdatant.sys
>>>> Подозрение на RootKit vsmon D:\WINNT\system32\ZoneLabs\vsmon.exe -service
>>>> Подозрение на RootKit WINIO G:\DRIVER\Audio\winio.sys
>>>> Подозрение на RootKit WinProxy C:\Programs\WinProxy\WinProxy.exe
>>>> Подозрение на RootKit wuauserv D:\WINNT\system32\svchost.exe -k wugroup
>>>> Подозрение на RootKit WZCSVC D:\WINNT\System32\svchost.exe -k netsvcs
2. Проверка памяти
Количество найденных процессов: 39
Процесс d:\winnt\system32\winlogon.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll,rasapi32.dll, tapi32.dll)
Процесс d:\winnt\system32\lsass.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll)
Процесс d:\winnt\system32\mstask.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll,rasapi32.dll, tapi32.dll)
Процесс d:\winnt\system32\zonelabs\vsmon.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll,wininet.dll)
Процесс d:\program files\d-tools\daemon.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс d:\program files\zone labs\zonealarm\zlclient.exe может работать с сетью (ws2_32.dll,ws2help.dll)
Процесс c:\programs\thebat\thebat.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll)
Процесс d:\program files\borland\starteam 6.0\starteam.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll)
Процесс d:\program files\borland\delphi5\bin\delphi32.exe может работать с сетью (ws2_32.dll,ws2help.dll,wininet.dll)
Процесс c:\program files\opera\opera.exe может работать с сетью (ws2_32.dll,ws2help.dll,wininet.dll)
Процесс e:\downlaods\dust\avz-betta2\avz.exe может работать с сетью (ws2_32.dll,ws2help.dll,rasapi32.dll,tapi32.dll,ne tapi32.dll)
Количество загруженных модулей: 529
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
D:\WINNT\system32\NTDSAPI.dll --> Подозрение на Keylogger или троянскую DLL
D:\WINNT\system32\NTDSAPI.dll>>> Нейросеть: файл с вероятностью 0.55% похож на типовой перехватчик событий клавиатуры/мыши
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 26 TCP портов и 11 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 568, найдено вирусов 0
Сканирование завершено в 5/17/2005 11:08:02 AM
Сканирование длилось 00:00:08
Система W2kSP4 + все хотфиксы. Антивирус - DrWeb 4.32b, firewall - ZoneAlarm Pro version:5.5.062.004
Похоже все сервисы в подозрительные попали
Спасибо! ждём'с
1. Огромное спасибо за новую версию!
2. Несколько вопросов:
2.1. Почему так:
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\Office\
?
2.2. В данном случае
Функция ZwUnloadKey (E4) перехвачена (805140C2->EB55263C), перехватчик D:\WINNT\system32\Drivers\uphcleanhlp.sys
в отличие от большинства (или даже всех) присланных логов отсутствует слово "предположительно". Почему так? (Зачем нужен uphcleanhlp, я в курсе).
2.3. В одном из выложенных логов присутствует такая строка:
>> Опасно ! Обнаружена маскировка сервисов и драйверов на уровне реестра
Что она означает?
Это глюк анализатора - сейчас у меня на сайте лежит обновленный архив, там этот баг вроде как поправлен. Тем не менее стоит включать продиводействие сразу на обоих уровнях (Kernel и User), иначе анализатор шалитСначала просто сканирование:
.....
>>> Подозрение на RootKit WZCSVC D:\WINNT\System32\svchost.exe - ......
Похоже все сервисы в подозрительные попали
RobinFood
Слово "предположительно" удалено в апдейте от сегодняшнего утра (AVZ знает перехватчик наверняка, или не знает - тогда сообщение "не удалось обнаружить").Нужно включать продиводействие сразу на обоих уровнях (Kernel и User), тогда это пропадет - анализатор немного шалит ...>> Опасно ! Обнаружена маскировка сервисов и драйверов на уровне реестра
Возможно, что-то с правами доступа ...C:\Program Files\Microsoft Office\Office\
мини-баг:
Если в диспетчере сервисов открыть закладку "Сервисы (по анализу реестра)", выбрать сервис и нажать на кнопку "Удалить сервис", то вместо него будет удален сервис, который был выбран на закладке "Сервисы (по данным API)".
Так на User-Mode ничего подозрительного не было - вот и не включал. OK, будем знать.
Нет, с доступом все в порядке. У меня тоже несколько таких ошибок было вчера. Поставил диск С: на проверку и в 3-х - 4-х каталогах такое вылезло. Сам диск не системный (система на D:\WinNT, см. лог выше), и FAT32. Так что неувязки с правами точно исключаются.
Вот пример лога нового лога (после нейтрализации Kernel-Mode Rootkit не перезагружался):
Протокол антивирусной утилиты AVZ версии 3.40
Сканирование запущено в 5/17/2005 11:53:14 AM
Загружена база: 13420 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Максимальный уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
KeServiceDescriptorTable найдена (RVA=080820)
ntoskrnl.exe обнаружен в памяти по адресу 80400000
SDT = 80480820
KiST = 80472128 (24
Проверено функций: 248, перехвачено: 0, восстановлено: 0
2. Проверка памяти
Количество найденных процессов: 38
Процесс d:\winnt\system32\winlogon.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll,rasapi32.dll, tapi32.dll)
Процесс d:\winnt\system32\lsass.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll)
Процесс d:\winnt\system32\mstask.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll,rasapi32.dll, tapi32.dll)
Процесс d:\winnt\system32\zonelabs\vsmon.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll,wininet.dll)
Процесс d:\program files\d-tools\daemon.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс d:\program files\zone labs\zonealarm\zlclient.exe может работать с сетью (ws2_32.dll,ws2help.dll)
Процесс c:\programs\thebat\thebat.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll)
Процесс d:\program files\borland\starteam 6.0\starteam.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll)
Процесс d:\program files\borland\delphi5\bin\delphi32.exe может работать с сетью (ws2_32.dll,ws2help.dll,wininet.dll)
Процесс c:\program files\opera\opera.exe может работать с сетью (ws2_32.dll,ws2help.dll,wininet.dll)
Процесс e:\downlaods\dust\avz-betta3\avz.exe может работать с сетью (ws2_32.dll,ws2help.dll,rasapi32.dll,tapi32.dll)
Количество загруженных модулей: 528
Проверка памяти завершена
3. Сканирование дисков
C:\Programs\DRWEB\Infected.!!!\main1.chm>>>>> Вирус !! TrojanDownloader.JS.Psyme.v
<много вирусов из Infected.!!! пропущено>
Ошибка при сканировании каталога C:\Programs\TheBat\MAIL\Bas\Attach\
C:\Programs\TheBat\MAIL\Gorokhov\Attach\MSO-Patch-0071.exe>>>>> Вирус !! I-Worm.Avron.b
C:\Programs\DrWebSrv\infected.!!!\A0361946.dll>>>> > Вирус !! TrojanDownloader.Win32.IstBar.dh
<много вирусов из Infected.!!! пропущено>
Ошибка при сканировании каталога C:\Programs\DrWebSrv\infected.!!!\
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 27 TCP портов и 11 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 4484, найдено вирусов 113
Сканирование завершено в 5/17/2005 11:54:02 AM
Сканирование длилось 00:00:48
У меня тоже вылазит
3. Сканирование дисков
Ошибка при сканировании каталога G:\Program Files\Microsoft Office\Office\1049\
и т.п.
с версией 3.20 никаких ошибок не было
Протокол антивирусной утилиты AVZ версии 3.40
Сканирование запущено в 17.05.2005 12:54:08
Загружена база: 13420 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Средний уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
KeServiceDescriptorTable найдена (RVA=080820)
ntoskrnl.exe обнаружен в памяти по адресу 80400000
KESystemDescriptorTable = 80480820
KiST = 80472128,80472128( 24
Функция ZwAllocateVirtualMemory (10) перехвачена (804C9B2C<>EB5A2B30), перехватчик предположительно C:\WINNT\system32\drivers\wpsdrvnt.sys
Функция ZwConnectPort (1B) перехвачена (804C5930<>E155348
Функция ZwCreateThread (2E) перехвачена (804E1488<>EB5A26F0), перехватчик предположительно C:\WINNT\system32\drivers\wpsdrvnt.sys
Функция ZwMapViewOfSection (5D) перехвачена (804CFF06<>EB5A2470), перехватчик предположительно C:\WINNT\system32\drivers\wpsdrvnt.sys
Функция ZwProtectVirtualMemory (77) перехвачена (804D2940<>EB5A2C50), перехватчик предположительно C:\WINNT\system32\drivers\wpsdrvnt.sys
Функция ZwShutdownSystem (D9) перехвачена (80490348<>EB5A2990), перехватчик предположительно C:\WINNT\system32\drivers\wpsdrvnt.sys
Функция ZwTerminateProcess (E0) перехвачена (804E312C<>EB5A28D0), перехватчик предположительно C:\WINNT\system32\drivers\wpsdrvnt.sys
Функция ZwWriteVirtualMemory (F0) перехвачена (804D4484<>EB5A2D60), перехватчик предположительно C:\WINNT\system32\drivers\wpsdrvnt.sys
Проверено функций: 248, перехвачено: 8, восстановлено: 0
2. Проверка памяти
Количество найденных процессов: 25
Количество загруженных модулей: 330
Проверка памяти завершена
3. Сканирование дисков
Ошибка при сканировании каталога C:\Documents and Settings\админс\Рабочий стол\ломать не строить\
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINNT\system32\SSSensor.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINNT\system32\SSSensor.dll>>> Нейросеть: файл с вероятностью 99.86% похож на типовой перехватчик событий клавиатуры/мыши
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 10 TCP портов и 13 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 20452, найдено вирусов 0
Сканирование завершено в 17.05.2005 13:05:26
Сканирование длилось 00:11:18
тоже ошибка на папке...
И фаирвольный SSSensor.dll не добавили в список безопасных )))
Протокол антивирусной утилиты AVZ версии 3.40
Сканирование запущено в 17.05.2005 11:05:21
Загружена база: 13420 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Максимальный уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
KeServiceDescriptorTable найдена (RVA=080820)
ntoskrnl.exe обнаружен в памяти по адресу 80400000
SDT = 80480820
KiST = 80472128 (24
Функция ZwConnectPort (1B) перехвачена (804C5930->8163240
Функция ZwOpenProcess (6A) перехвачена (804DE984->815BC14
Функция ZwOpenThread (6F) перехвачена (804DEC44->8181192
Проверено функций: 248, перехвачено: 3, восстановлено: 0
2. Проверка памяти
Количество найденных процессов: 25
Процесс c:\program files\common files\symantec shared\sndsrvc.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll)
Процесс c:\program files\common files\symantec shared\spbbc\spbbcsvc.exe может работать с сетью (ws2_32.dll,ws2help.dll)
Процесс c:\program files\common files\symantec shared\ccsetmgr.exe может работать с сетью (ws2_32.dll,ws2help.dll,tapi32.dll,netapi32.dll)
Процесс c:\program files\common files\symantec shared\ccevtmgr.exe может работать с сетью (ws2_32.dll,ws2help.dll,tapi32.dll,netapi32.dll)
Процесс c:\program files\common files\symantec shared\ccproxy.exe может работать с сетью (ws2_32.dll,ws2help.dll)
Процесс c:\program files\norton systemworks\norton antivirus\navapsvc.exe может работать с сетью (ws2_32.dll,ws2help.dll)
Процесс c:\program files\wingate\wingate.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll)
Процесс c:\program files\common files\symantec shared\ccapp.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,wininet.dll,r asapi32.dll,tapi32.dll)
Процесс d:\programm\avz-betta3\avz.exe может работать с сетью (ws2_32.dll,ws2help.dll,rasapi32.dll,tapi32.dll)
Количество загруженных модулей: 286
Проверка памяти завершена
3. Сканирование дисков
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\Office\Startup\
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\Office\
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\Templates\1049\
C:\Program Files\Mozilla Firefox\.autoreg - Файл не имеет видимого имени(степень опасности 15%)
C:\WINNT\$NtServicePackUninstall$\diskcomp.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
C:\WINNT\$NtServicePackUninstall$\diskcopy.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
C:\WINNT\$NtServicePackUninstall$\format.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
Ошибка при сканировании каталога D:\ALEX(XX)\work\Docs\Programming\VB Algorithms\
Ошибка при сканировании каталога D:\ALEX(XX)\work\Radio\Sprav\
D:\INSTALL\Graph\Corel\Corel 11\Documentation\.DS_Store - Файл не имеет видимого имени(степень опасности 15%)
D:\INSTALL\Graph\Corel\Corel 11\Program Files\.DS_Store - Файл не имеет видимого имени(степень опасности 15%)
D:\INSTALL\Graph\Corel\Corel 11\Program Files\Corel\.DS_Store - Файл не имеет видимого имени(степень опасности 15%)
D:\INSTALL\Graph\Corel\Corel 11\Program Files\Corel\Corel Graphics 11\.DS_Store - Файл не имеет видимого имени(степень опасности 15%)
D:\INSTALL\Graph\Corel\Corel 11\Program Files\Corel\Corel Graphics 11\Custom Data\.DS_Store - Файл не имеет видимого имени(степень опасности 15%)
D:\INSTALL\Graph\Corel\Corel 11\Program Files\Corel\Corel Graphics 11\Custom Data\Layouts\.DS_Store - Файл не имеет видимого имени(степень опасности 15%)
D:\INSTALL\Graph\Corel\Corel 11\Program Files\Corel\Corel Graphics 11\Programs\.DS_Store - Файл не имеет видимого имени(степень опасности 15%)
D:\INSTALL\Graph\Corel\Corel 11\Program Files\Corel\Corel Graphics 11\Workspace\.DS_Store - Файл не имеет видимого имени(степень опасности 15%)
D:\INSTALL\Graph\Corel\Corel 11\Program Files\Corel\Corel Graphics 11\Workspace\Corel R.A.V.E.2\.DS_Store - Файл не имеет видимого имени(степень опасности 15%)
D:\INSTALL\Graph\Corel\Corel 11\Program Files\Corel\Corel Graphics 11\Workspace\Corel R.A.V.E.2\Macromedia(R)Flash(TM)\.DS_Store - Файл не имеет видимого имени(степень опасности 15%)
Ошибка при сканировании каталога D:\INSTALL\Prog\MathCad\MATHCAD V11.A ENTERPRISE\Mathcad\program files\Mathsoft\Mathcad 11 Enterprise Edition\QSHEET\SAMPLES\EXCEL\
Ошибка при сканировании каталога D:\INSTALL\Prog\MathCad\MathCAD_2001\program files\MathSoft\Mathcad 2001 Professional\SAMPLES\EXCEL\
D:\INSTALL\Prog\Net\ICQ\.jpg - Файл не имеет видимого имени(степень опасности 15%)
Ошибка при сканировании каталога D:\INSTALL\Prog\OfficePrograms\ACCOUNT\exel\
Ошибка при сканировании каталога D:\INSTALL\Prog\OfficePrograms\FineReader\FineRead er60CorporateEdition\program files\ABBYY FineReader 6.0\
Ошибка при сканировании каталога D:\INSTALL\Prog\OfficePrograms\OFF_2000.RUS\Office 2000\PFILES\MSOFFICE\OFFICE\1049\
Ошибка при сканировании каталога D:\INSTALL\Prog\OfficePrograms\OFF_2000.RUS\Office 2000\PFILES\MSOFFICE\OFFICE\LIBRARY\
Ошибка при сканировании каталога D:\INSTALL\Prog\OfficePrograms\OFF_2000.RUS\Office 2000\PFILES\MSOFFICE\OFFICE\MACROS\
Ошибка при сканировании каталога D:\INSTALL\Prog\OfficePrograms\OFF_2000.RUS\Office 2000\PFILES\MSOFFICE\OFFICE\SAMPLES\
Ошибка при сканировании каталога D:\INSTALL\Prog\OfficePrograms\OFF_2000.RUS\Office 2000\PFILES\MSOFFICE\OFFICE\STARTUP\
Ошибка при сканировании каталога D:\INSTALL\Prog\OfficePrograms\OFF_2000.RUS\Office 2000\PFILES\MSOFFICE\OFFICE\
Ошибка при сканировании каталога D:\INSTALL\Prog\OfficePrograms\OFF_2000.RUS\Office 2000\PFILES\MSOFFICE\TEMPLATE\1049\
D:\INSTALL\Prog\Translate\SocratPersonal\.jpg - Файл не имеет видимого имени(степень опасности 15%)
D:\INSTALL\Security\antivir\Other\AVG ANTIVIRUS SUITE V6.367\SUPPORT\FILES\rmnavida.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\Security\antivir\Other\AVG ANTIVIRUS SUITE V6.367\SUPPORT\FILES\rmsircam.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\Security\antivir\Other\AVG ANTIVIRUS SUITE V6.367\SUPPORT\FILES\rmveronb.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\Security\FireWall\Norton\2002\Norton Internet Security 2002 v4.0 WiN32\Support\NAVTools\Repair\fixnavid.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\Security\FireWall\Norton\2002\Norton Internet Security 2002 v4.0 WiN32\Support\NAVTools\Repair\FixSirc.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\Security\FireWall\Norton\2004\INTERNET SECURITY PRO 2004\SUPPORT\NAVTOOLS\REPAIR\KLEZ\FIXKLEZ.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\Security\Norton\NortonSystemWorks2003\S upport\NAVTools\Repair\FixKlez.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\Security\Norton\NortonSystemWorks2003\S upport\NAVTools\Repair\Fixmagi.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\Security\Norton\NortonSystemWorks2003\S upport\NAVTools\Repair\FIXNAVID.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\Security\Norton\NortonSystemWorks2003\S upport\NAVTools\Repair\FIXNIMDA.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\Security\Norton\NortonSystemWorks2003\S upport\NAVTools\Repair\FixSirc.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\Security\Norton\NortonSystemWorks2003\S upport\NAVTools\Repair\FixYaha.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\Security\Norton\NortonSystemWorks2003\S upport\NAVTools\Repair\FXNIMDAE.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\System\HDD\PartitionMagic6\BTMAGIC\OS2D OS\FORMAT.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\System\HDD\PartitionMagic6\WINDOWS\RESC UEME\OS2DOS\COMMAND.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\System\HDD\PartitionMagic6\WINDOWS\RESC UEME\OS2DOS\FDISK.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\System\HDD\PartitionMagic6\WINDOWS\RESC UEME\OS2DOS\KEYB.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
D:\INSTALL\System\HDD\PartitionMagic6\WINDOWS\RESC UEME\OS2DOS\MODE.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
E:\Для слива\russia.INF>>>>> Вирус !! TrojanClicker.Win32.Adpower.g
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 94 TCP портов и 16 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 81670, найдено вирусов 1
Сканирование завершено в 17.05.2005 11:38:56
Сканирование длилось 00:33:35
Тоже ошибки при сканировании разных каталогов
да, ошибка при сканировании судя по всему какой-то баг или свежеподключенной диагностики ошибок. Я сейчас поставлю опыты ...
SSSensor.dll - мое упущение, действительно не добавлен
Сканирование с сетевых ресурсов по прежнему не работает - в начале пути одиночный слеш: 'Cannot open file \\localhost\distr\avz-betta3\bases\main.avz'
Протокол антивирусной утилиты AVZ версии 3.40
Сканирование запущено в 5/17/2005 1:45:27 PM
Загружена база: 13420 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Максимальный уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:ControlTraceA (69) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87DBB2<>77F6D53A
Функция advapi32.dll:ControlTraceW (70) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C805265<>77F6D551
Функция advapi32.dll:CreateTraceInstanceId (104) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87E88C<>77F6D568
Функция advapi32.dll:EnableTrace (204) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D7D<>77F6D587
Функция advapi32.dll:EnumerateTraceGuids (216) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C83D859<>77F6D59C
Функция advapi32.dll:FlushTraceA (223) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87EA3A<>77F6D5B9
Функция advapi32.dll:FlushTraceW (224) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87F8FC<>77F6D5CE
Функция advapi32.dll:GetTraceEnableFlags (285) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801F23<>77F6D5E3
Функция advapi32.dll:GetTraceEnableLevel (286) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801EE9<>77F6D600
Функция advapi32.dll:GetTraceLoggerHandle (287) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801E71<>77F6D61D
Функция advapi32.dll:QueryAllTracesA (442) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87F89C<>77F6D63B
Функция advapi32.dll:QueryAllTracesW (443) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C83D83B<>77F6D654
Функция advapi32.dll:QueryTraceA (454) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87E9D7<>77F6D66D
Функция advapi32.dll:QueryTraceW (455) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801F5D<>77F6D682
Функция advapi32.dll:RegisterTraceGuidsA (529) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C83F961<>77F6D697
Функция advapi32.dll:RegisterTraceGuidsW (530) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80D82F<>77F6D6B4
Функция advapi32.dll:StartTraceA (590) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87EDE0<>77F6D6D1
Функция advapi32.dll:StartTraceW (591) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C8024C7<>77F6D6E6
Функция advapi32.dll:StopTraceA (592) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87E9F8<>77F6D6FB
Функция advapi32.dll:StopTraceW (593) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87F8BA<>77F6D70F
Функция advapi32.dll:TraceEvent (632) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C804FF1<>77F6D723
Функция advapi32.dll:TraceEventInstance (633) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87E36B<>77F6D737
Функция advapi32.dll:TraceMessage (634) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87EC69<>77F6D753
Функция advapi32.dll:TraceMessageVa (635) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87ECF8<>77F6D769
Функция advapi32.dll:UnregisterTraceGuids (643) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C83F0D2<>77F6D781
Функция advapi32.dll:UpdateTraceA (644) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87EA19<>77F6D79F
Функция advapi32.dll:UpdateTraceW (645) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87F8DB<>77F6D7B5
Функция advapi32.dll:WmiNotificationRegistrationA (663) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87F91D<>77F6D7CB
Функция advapi32.dll:WmiNotificationRegistrationW (664) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C804DC9<>77F6D7EE
Функция advapi32.dll:WmiReceiveNotificationsA (677) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C87F945<>77F6D811
Функция advapi32.dll:WmiReceiveNotificationsW (67
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
KeServiceDescriptorTable найдена (RVA=0A83A0)
ntoskrnl.exe обнаружен в памяти по адресу 000000
SDT = 8089F460
KiST = 80830BB4 (296)
>>> Внимание, таблица KiST перемещена ! (0278FC(296)->80830BB4(296))
Функция ZwAcceptConnectPort (00) перехвачена (11659A->80917510), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAccessCheck (01) перехвачена (1278B5->80962516), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAccessCheckAndAuditAlarm (02) перехвачена (0FF485->809667CE), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAccessCheckByType (03) перехвачена (1008A2->8096254
Функция ZwAccessCheckByTypeAndAuditAlarm (04) перехвачена (127FB4->8096680
Функция ZwAccessCheckByTypeResultList (05) перехвачена (1A267E->8096257E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAccessCheckByTypeResultListAndAuditAlarm (06) перехвачена (1A4CF1->8096684C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAccessCheckByTypeResultListAndAuditAlarmByHandle (07) перехвачена (1A4D3A->80966890), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAddAtom (0
Функция ZwAddBootEntry (09) перехвачена (1B3381->8098A200), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAddDriverEntry (0A) перехвачена (1B3381->8098A200), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAdjustGroupsToken (0B) перехвачена (1A1E6C->8095DA44), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAdjustPrivilegesToken (0C) перехвачена (124F83->8095D69
Функция ZwAlertResumeThread (0D) перехвачена (198BC4->80945E8E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAlertThread (0E) перехвачена (1022F9->80945E3E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAllocateLocallyUniqueId (0F) перехвачена (0F9E9A->80989616), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAllocateUserPhysicalPages (10) перехвачена (18F91A->80927E5E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAllocateUuids (11) перехвачена (1B2607->80988DA6), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAllocateVirtualMemory (12) перехвачена (02FE8F->80840014), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwApphelpCacheControl (13) перехвачена (118884->8098CBB1), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwAreMappedFilesTheSame (14) перехвачена (18E300->8092357
Функция ZwAssignProcessToJobObject (15) перехвачена (0E2962->8094838
Функция ZwCallbackReturn (16) перехвачена (027F20->8082DDE4), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCancelDeviceWakeupRequest (17) перехвачена (194EDB->80938550), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCancelIoFile (1
Функция ZwCancelTimer (19) перехвачена (0367C4->8087A850), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwClearEvent (1A) перехвачена (12D22E->80981CB2), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwClose (1B) перехвачена (105558->8092B790), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCloseObjectAuditAlarm (1C) перехвачена (127F7A->80966CF
Функция ZwCompactKeys (1D) перехвачена (16CC50->808B1172), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCompareTokens (1E) перехвачена (1289F1->8096AF1E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCompleteConnectPort (1F) перехвачена (116446->80917E0C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCompressKey (20) перехвачена (16CEC0->808B13C
Функция ZwConnectPort (21) перехвачена (112925->809174B0), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwContinue (22) перехвачена (026BCC->808867E
Функция ZwCreateDebugObject (23) перехвачена (1B97A8->809967B0), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateDirectoryObject (24) перехвачена (0D202C->8092D39C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateEvent (25) перехвачена (10BCC4->80981D02), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateEventPair (26) перехвачена (1B346A->8098A52
Функция ZwCreateFile (27) перехвачена (12CA1C->808E5ED4), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateIoCompletion (2
Функция ZwCreateJobObject (29) перехвачена (0D18D5->8094634E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateJobSet (2A) перехвачена (199F51->809478EA), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateKey (2B) перехвачена (12AD62->808B15A4), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateMailslotFile (2C) перехвачена (0E35DD->808E5FDE), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateMutant (2D) перехвачена (114B7E->8098A8FE), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateNamedPipeFile (2E) перехвачена (126848->808E5F0E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreatePagingFile (2F) перехвачена (0C5701->8091F17
Функция ZwCreatePort (30) перехвачена (0FBC6A->8091831
Функция ZwCreateProcess (31) перехвачена (0CA98C->80941D12), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateProcessEx (32) перехвачена (11DFDB->80941C5C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateProfile (33) перехвачена (1B3A69->8098AD12), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateSection (34) перехвачена (1087E4->8091EB70), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateSemaphore (35) перехвачена (1173B0->809884DE), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateSymbolicLinkObject (36) перехвачена (0E2E8E->809343BC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateThread (37) перехвачена (111306->80941B1A), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateTimer (3
Функция ZwCreateToken (39) перехвачена (0DDEFF->8096B152), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwCreateWaitablePort (3A) перехвачена (0D1740->8091833C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwDebugActiveProcess (3B) перехвачена (1BA989->809978F0), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwDebugContinue (3C) перехвачена (1BAB19->80997A76), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwDelayExecution (3D) перехвачена (1146E4->8098B2FE), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwDeleteAtom (3E) перехвачена (1004E2->8098921
Функция ZwDeleteBootEntry (3F) перехвачена (194EDB->80938550), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwDeleteDriverEntry (40) перехвачена (194EDB->80938550), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwDeleteFile (41) перехвачена (0D2BA6->808E373E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwDeleteKey (42) перехвачена (0FC511->808B19B4), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwDeleteObjectAuditAlarm (43) перехвачена (1A4D91->80966E04), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwDeleteValueKey (44) перехвачена (0FF724->808B1B2C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwDeviceIoControlFile (45) перехвачена (12E7F3->808E6094), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwDisplayString (46) перехвачена (0C2E69->80986450), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwDuplicateObject (47) перехвачена (113E6F->8092D176), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwDuplicateToken (4
Функция ZwEnumerateBootEntries (49) перехвачена (1B3381->8098A200), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwEnumerateDriverEntries (4A) перехвачена (1B3381->8098A200), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwEnumerateKey (4B) перехвачена (124207->808B1D1
Функция ZwEnumerateSystemEnvironmentValuesEx (4C) перехвачена (1B2DDB->80989C90), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwEnumerateValueKey (4D) перехвачена (12457B->808B1F54), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwExtendSection (4E) перехвачена (18E738->80925BA2), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwFilterToken (4F) перехвачена (0E90B3->8095EAE4), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwFindAtom (50) перехвачена (0FF595->8098938C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwFlushBuffersFile (51) перехвачена (11D4AB->808E383A), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwFlushInstructionCache (52) перехвачена (1118BB->80928C4
Функция ZwFlushKey (53) перехвачена (0E9F0B->808B2190), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwFlushVirtualMemory (54) перехвачена (129517->8091A6F0), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwFlushWriteBuffer (55) перехвачена (1906C1->80928BEA), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwFreeUserPhysicalPages (56) перехвачена (19008B->809285B6), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwFreeVirtualMemory (57) перехвачена (030C61->80852FE0), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwFsControlFile (5
Функция ZwGetContextThread (59) перехвачена (196A87->8094200
Функция ZwGetDevicePowerState (5A) перехвачена (194F09->80938572), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwGetPlugPlayEvent (5B) перехвачена (0F0B4C->809073A0), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwGetWriteWatch (5C) перехвачена (080ADA->8085B166), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwImpersonateAnonymousToken (5D) перехвачена (0FBD62->8096AE26), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwImpersonateClientOfPort (5E) перехвачена (12E3B0->809183A6), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwImpersonateThread (5F) перехвачена (117E04->8094924A), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwInitializeRegistry (60) перехвачена (0D246B->808B2320), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwInitiatePowerAction (61) перехвачена (194D2C->809383B0), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwIsProcessInJob (62) перехвачена (1187E9->8094620C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwIsSystemResumeAutomatic (63) перехвачена (194EEF->8093855E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwListenPort (64) перехвачена (0D0D00->809186FA), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwLoadDriver (65) перехвачена (0E1A27->808F1244), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwLoadKey (66) перехвачена (0D737A->808B4046), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwLoadKey2 (67) перехвачена (16D3C5->808B4064), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwLoadKeyEx (6
Функция ZwLockFile (69) перехвачена (12616E->808E60FC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwLockProductActivationKeys (6A) перехвачена (0D80AE->809869AA), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwLockRegistryKey (6B) перехвачена (0BB16B->808B1474), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwLockVirtualMemory (6C) перехвачена (00A476->8085BB80), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwMakePermanentObject (6D) перехвачена (0E36EC->8092DB10), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwMakeTemporaryObject (6E) перехвачена (0DD024->8092B832), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwMapUserPhysicalPages (6F) перехвачена (18EFDF->8092747C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwMapUserPhysicalPagesScatter (70) перехвачена (18F401->809278F
Функция ZwMapViewOfSection (71) перехвачена (108B6A->8092458E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwModifyBootEntry (72) перехвачена (194EDB->80938550), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwModifyDriverEntry (73) перехвачена (194EDB->80938550), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwNotifyChangeDirectoryFile (74) перехвачена (1303A2->808E6D1C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwNotifyChangeKey (75) перехвачена (12CB6F->808B4010), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwNotifyChangeMultipleKeys (76) перехвачена (12A61E->808B2402), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenDirectoryObject (77) перехвачена (11BFA2->8092D46E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenEvent (7
Функция ZwOpenEventPair (79) перехвачена (1B3557->8098A5FC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenFile (7A) перехвачена (11BD09->808E6FD
Функция ZwOpenIoCompletion (7B) перехвачена (17EF37->808E4566), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenJobObject (7C) перехвачена (198EE5->80946512), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenKey (7D) перехвачена (12D424->808B2E40), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenMutant (7E) перехвачена (119EC8->8098A9D2), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenObjectAuditAlarm (7F) перехвачена (0F6A22->809668D6), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenProcess (80) перехвачена (11414B->8093B756), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenProcessToken (81) перехвачена (110AED->8095F320), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenProcessTokenEx (82) перехвачена (10F7A2->8095EF2A), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenSection (83) перехвачена (10CD77->8091D95A), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenSemaphore (84) перехвачена (0E2506->809885D0), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenSymbolicLinkObject (85) перехвачена (10BE4C->8093459C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenThread (86) перехвачена (11950A->8093B9E4), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenThreadToken (87) перехвачена (1187C8->8095F33E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenThreadTokenEx (8
Функция ZwOpenTimer (89) перехвачена (1B339B->8098A326), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwPlugPlayControl (8A) перехвачена (0FB5BA->80911654), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwPowerInformation (8B) перехвачена (1009D4->80939580), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwPrivilegeCheck (8C) перехвачена (0F5A7B->80969AB2), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwPrivilegeObjectAuditAlarm (8D) перехвачена (0CCE70->80965C3E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwPrivilegedServiceAuditAlarm (8E) перехвачена (0F4785->80965E1C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwProtectVirtualMemory (8F) перехвачена (1111DC->80928E1E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwPulseEvent (90) перехвачена (0D73F8->80981EAC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryAttributesFile (91) перехвачена (110975->808E3A14), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryBootEntryOrder (92) перехвачена (1B3381->8098A200), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryBootOptions (93) перехвачена (1B3381->8098A200), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryDebugFilterState (94) перехвачена (039D0D->80881850), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryDefaultLocale (95) перехвачена (10F8CE->809832E6), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryDefaultUILanguage (96) перехвачена (12CDD4->80984AE2), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryDirectoryFile (97) перехвачена (11C136->808E6CB6), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryDirectoryObject (9
Функция ZwQueryDriverEntryOrder (99) перехвачена (1B3381->8098A200), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryEaFile (9A) перехвачена (17F674->808E700
Функция ZwQueryEvent (9B) перехвачена (1283A8->80981F70), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryFullAttributesFile (9C) перехвачена (1264A3->808E3B8E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryInformationAtom (9D) перехвачена (0FD435->809894D0), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryInformationFile (9E) перехвачена (107F94->808E7860), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryInformationJobObject (9F) перехвачена (19915E->80946854), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryInformationPort (A0) перехвачена (18BF33->8091875
Функция ZwQueryInformationProcess (A1) перехвачена (10CBD5->8093C8D
Функция ZwQueryInformationThread (A2) перехвачена (11486B->8093BC66), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryInformationToken (A3) перехвачена (10F31B->8095F3DE), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryInstallUILanguage (A4) перехвачена (1253BD->809836EC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryIntervalProfile (A5) перехвачена (1B3F13->8098B18C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryIoCompletion (A6) перехвачена (17EFF7->808E460C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryKey (A7) перехвачена (12E22D->808B3110), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryMultipleValueKey (A
Функция ZwQueryMutant (A9) перехвачена (1B38A3->8098AA7
Функция ZwQueryObject (AA) перехвачена (101244->80933AFC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryOpenSubKeys (AB) перехвачена (16C56B->808B0AE6), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryOpenSubKeysEx (AC) перехвачена (16C7D8->808B0D04), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryPerformanceCounter (AD) перехвачена (114D6D->8098B21A), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryQuotaInformationFile (AE) перехвачена (17FF13->808E86CC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQuerySection (AF) перехвачена (111710->80928F9E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQuerySecurityObject (B0) перехвачена (0FE824->8092F5E
Функция ZwQuerySemaphore (B1) перехвачена (1B249F->80988680), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQuerySymbolicLinkObject (B2) перехвачена (10BEC9->8093463C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQuerySystemEnvironmentValue (B3) перехвачена (1B2E03->80989CAC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQuerySystemEnvironmentValueEx (B4) перехвачена (1B2DC5->80989C82), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQuerySystemInformation (B5) перехвачена (10B05E->80984B5E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQuerySystemTime (B6) перехвачена (126F7F->80986D5E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryTimer (B7) перехвачена (130A8C->8098A3D6), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryTimerResolution (B
Функция ZwQueryValueKey (B9) перехвачена (12C2BB->808B339E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryVirtualMemory (BA) перехвачена (046613->8085F32E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueryVolumeInformationFile (BB) перехвачена (10CE38->808E8BEC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwQueueApcThread (BC) перехвачена (11C744->80941D5
Функция ZwRaiseException (BD) перехвачена (026C14->80886830), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwRaiseHardError (BE) перехвачена (1B21E4->8098830E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwReadFile (BF) перехвачена (11D28E->808E9376), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwReadFileScatter (C0) перехвачена (0EDC6F->808E9952), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwReadRequestData (C1) перехвачена (119A49->80919422), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwReadVirtualMemory (C2) перехвачена (118559->809261AC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwRegisterThreadTerminatePort (C3) перехвачена (11E1A9->80942C1E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwReleaseMutant (C4) перехвачена (114653->8098ABAC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwReleaseSemaphore (C5) перехвачена (119446->809887AC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwRemoveIoCompletion (C6) перехвачена (126E0B->808E48FE), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwRemoveProcessDebug (C7) перехвачена (1BAA94->809979F6), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwRenameKey (C
Функция ZwReplaceKey (C9) перехвачена (16D2B4->808B3F12), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwReplyPort (CA) перехвачена (118D2A->80918860), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwReplyWaitReceivePort (CB) перехвачена (110DE8->80919C62), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwReplyWaitReceivePortEx (CC) перехвачена (1100A1->80919472), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwReplyWaitReplyPort (CD) перехвачена (18C012->80918BC0), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwRequestDeviceWakeup (CE) перехвачена (194EDB->80938550), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwRequestPort (CF) перехвачена (120050->809153DC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwRequestWaitReplyPort (D0) перехвачена (1152DE->8091577
Функция ZwRequestWakeupLatency (D1) перехвачена (194CCD->80938356), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwResetEvent (D2) перехвачена (11A1CA->8098207E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwResetWriteWatch (D3) перехвачена (0810AA->8085B77C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwRestoreKey (D4) перехвачена (16CFB1->808B36B4), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwResumeProcess (D5) перехвачена (198B64->80945DE
Функция ZwResumeThread (D6) перехвачена (111805->80945CCC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSaveKey (D7) перехвачена (16D05B->808B3756), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSaveKeyEx (D
Функция ZwSaveMergedKeys (D9) перехвачена (16D1C7->808B38B2), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSecureConnectPort (DA) перехвачена (11245D->80916B5C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetBootEntryOrder (DB) перехвачена (1B3381->8098A200), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetBootOptions (DC) перехвачена (1B3381->8098A200), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetContextThread (DD) перехвачена (196CBF->8094222
Функция ZwSetDebugFilterState (DE) перехвачена (0B4A83->80998540), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetDefaultHardErrorPort (DF) перехвачена (0CAC32->809881AE), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetDefaultLocale (E0) перехвачена (0D6B79->80983434), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetDefaultUILanguage (E1) перехвачена (0D6B1F->80983CAA), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetDriverEntryOrder (E2) перехвачена (1B3381->8098A200), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetEaFile (E3) перехвачена (17FBAD->808E7510), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetEvent (E4) перехвачена (115FE5->8098213A), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetEventBoostPriority (E5) перехвачена (125F68->809821F
Функция ZwSetHighEventPair (E6) перехвачена (1B3833->8098A8A0), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetHighWaitLowEventPair (E7) перехвачена (1B3763->8098A7DC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetInformationDebugObject (E
Функция ZwSetInformationFile (E9) перехвачена (10F92B->808E7E62), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetInformationJobObject (EA) перехвачена (0D1ADE->80948636), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetInformationKey (EB) перехвачена (16BFE7->808B012A), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetInformationObject (EC) перехвачена (113C0A->80932FCC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetInformationProcess (ED) перехвачена (110B0B->8093E61
Функция ZwSetInformationThread (EE) перехвачена (11586A->8093DCBA), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetInformationToken (EF) перехвачена (0E9246->8096BFBE), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetIntervalProfile (F0) перехвачена (1B3A47->8098ACF6), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetIoCompletion (F1) перехвачена (11FE5B->808E489C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetLdtEntries (F2) перехвачена (1983D6->8094533A), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetLowEventPair (F3) перехвачена (1B37CF->8098A842), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetLowWaitHighEventPair (F4) перехвачена (1B36F7->8098A776), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetQuotaInformationFile (F5) перехвачена (17FEEB->808E86AA), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetSecurityObject (F6) перехвачена (0F9ABC->8092F51C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetSystemEnvironmentValue (F7) перехвачена (1B30C5->80989F54), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetSystemEnvironmentValueEx (F
Функция ZwSetSystemInformation (F9) перехвачена (0EC54B->80983CEA), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetSystemPowerState (FA) перехвачена (1C6C74->809A593E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetSystemTime (FB) перехвачена (1B1E5F->8098790
Функция ZwSetThreadExecutionState (FC) перехвачена (13304F->8093826C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetTimer (FD) перехвачена (032B4D->8087A982), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetTimerResolution (FE) перехвачена (130E43->80986DF0), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetUuidSeed (FF) перехвачена (0CD5B5->80988C5E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetValueKey (100) перехвачена (12C6EB->808B396C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSetVolumeInformationFile (101) перехвачена (180468->808E8FEC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwShutdownSystem (102) перехвачена (1B15BF->80986414), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSignalAndWaitForSingleObject (103) перехвачена (010738->80867490), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwStartProfile (104) перехвачена (1B3CA2->8098AF32), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwStopProfile (105) перехвачена (1B3E53->8098B0D4), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSuspendProcess (106) перехвачена (198B09->80945D92), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwSuspendThread (107) перехвачена (132629->80945C0
Функция ZwSystemDebugControl (10
Функция ZwTerminateJobObject (109) перехвачена (19A335->80947F9A), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwTerminateProcess (10A) перехвачена (112F97->809434F4), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwTerminateThread (10B) перехвачена (117227->80943700), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwTestAlert (10C) перехвачена (1115C9->80945F4E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwTraceEvent (10D) перехвачена (01007D->80875AE4), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwTranslateFilePath (10E) перехвачена (1B2DEF->80989C9E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwUnloadDriver (10F) перехвачена (181D63->808F166
Функция ZwUnloadKey (110) перехвачена (16D297->808B3EFA), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwUnloadKey2 (111) перехвачена (16BA7D->808AFBE2), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwUnloadKeyEx (112) перехвачена (16BDD5->808AFF2A), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwUnlockFile (113) перехвачена (126037->808E649E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwUnlockVirtualMemory (114) перехвачена (013B5A->8085C2AC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwUnmapViewOfSection (115) перехвачена (11E3FB->8091A686), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwVdmControl (116) перехвачена (0C998A->8096D2B0), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwWaitForDebugEvent (117) перехвачена (1BA123->809970CC), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwWaitForMultipleObjects (11
Функция ZwWaitForSingleObject (119) перехвачена (10E772->8092FBAE), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwWaitHighEventPair (11A) перехвачена (1B368D->8098A712), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwWaitLowEventPair (11B) перехвачена (1B3623->8098A6AE), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwWriteFile (11C) перехвачена (110E09->808E9E4E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwWriteFileGather (11D) перехвачена (0F162C->808EA4B6), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwWriteRequestData (11E) перехвачена (119A04->8091944A), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwWriteVirtualMemory (11F) перехвачена (12AA26->809262B4), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwYieldExecution (120) перехвачена (017FA3->8082FFB
Функция ZwCreateKeyedEvent (121) перехвачена (0B4658->8098B5F0), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwOpenKeyedEvent (122) перехвачена (1122C9->8098B6DA), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwReleaseKeyedEvent (123) перехвачена (1B4242->8098B78C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwWaitForKeyedEvent (124) перехвачена (1B44DF->8098BA1
Функция ZwQueryPortInformationProcess (125) перехвачена (19625B->8093BC5C), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwGetCurrentProcessorNumber (126) перехвачена (196271->8093C25E), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Функция ZwWaitForMultipleObjects32 (127) перехвачена (191B15->80930034), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Проверено функций: 296, перехвачено: 296, восстановлено: 0
2. Проверка памяти
Количество найденных процессов: 27
Процесс c:\windows\system32\winlogon.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll)
Процесс c:\windows\system32\services.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll)
Процесс c:\windows\system32\svchost.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс c:\windows\system32\svchost.exe может работать с сетью (ws2_32.dll,ws2help.dll)
Процесс c:\windows\system32\svchost.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll,es.dll,rasapi 32.dll,tapi32.dll,wininet.dll)
Процесс c:\windows\system32\spoolsv.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс c:\windows\system32\inetsrv\inetinfo.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll,wininet.dll)
Процесс c:\progra~1\micros~1\mssql\binn\sqlservr.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll)
Процесс c:\program files\common files\system\mssearch\bin\mssearch.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll)
Процесс c:\progra~1\micros~1\mssql$~1\binn\sqlagent.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс c:\progra~1\micros~1\mssql\binn\sqlagent.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс c:\windows\system32\svchost.exe может работать с сетью (ws2_32.dll,ws2help.dll)
Процесс c:\windows\system32\svchost.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс c:\program files\borland\starteam server 6.0\starteamserver.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс c:\windows\system32\inetsrv\w3wp.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс c:\windows\system32\winlogon.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll)
Процесс c:\windows\system32\rdpclip.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll,urlmon.dll)
Процесс c:\windows\explorer.exe может работать с сетью (netapi32.dll,urlmon.dll,ws2_32.dll,ws2help.dll,wi ninet.dll)
Процесс c:\windows\system32\inetsrv\w3wp.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс c:\program files\microsoft sql server\80\tools\binn\sqlmangr.exe может работать с сетью (ws2_32.dll,ws2help.dll)
Процесс c:\documents and settings\administrator\desktop\avz-betta3\avz.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Количество загруженных модулей: 497
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\system32\WINSTA.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\WINSTA.dll>>> Нейросеть: файл с вероятностью 0.67% похож на типовой перехватчик событий клавиатуры/мыши
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 79 TCP портов и 10 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 524, найдено вирусов 0
Сканирование завершено в 5/17/2005 1:45:33 PM
Сканирование длилось 00:00:06
Вот это уже интересно - неправильно определился адрес таблицы. Это какая операционка ? Очень желательно прислать мне для изучения ntoskrnl.exe с этого ПК.
Т.е. в сообщении
"1B3CA2" - это неправильно определенный адрес ... принадрежащий к ntkrnlpa.exe. Причина тоже понятна -Функция ZwStartProfile (104) перехвачена (1B3CA2->8098AF32), перехватчик \WINDOWS\system32\ntkrnlpa.exe
Т.е. AVZ не смог найти ntoskrnl.exe в памятиntoskrnl.exe обнаружен в памяти по адресу 000000
Последний раз редактировалось Зайцев Олег; 17.05.2005 в 15:10.
Протокол антивирусной утилиты AVZ версии 3.40
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
KeServiceDescriptorTable найдена (RVA=082480)
ntoskrnl.exe обнаружен в памяти по адресу 804D7000
KESystemDescriptorTable = 80559480
KiST = 804E26A8,804E26A8( 284)
Функция ZwCreateThread (35) перехвачена (8057B1C5<>F7BB9B40), перехватчик предположительно C:\WINDOWS\system32\drivers\wpsdrvnt.sys
Функция ZwMapViewOfSection (6C) перехвачена (805732FC<>F7BB9860), перехватчик предположительно C:\WINDOWS\system32\drivers\wpsdrvnt.sys
Функция ZwTerminateProcess (101) перехвачена (80582C2B<>F7BB9CF0), перехватчик предположительно C:\WINDOWS\system32\drivers\wpsdrvnt.sys
Проверено функций: 284, перехвачено: 3, восстановлено: 0
3. Сканирование дисков
Ошибка при сканировании каталога C:\Documents and Settings\user\Application Data\Microsoft\Excel\XLSTART\
C:\Documents and Settings\user\Application Data\Microsoft\Installer\{54971851-57C7-496F-BDE6-B8335A84A245}\Icon54971851.chm - PE файл с нестандартным расширением(степень опасности 5%)
Ошибка при сканировании каталога C:\Documents and Settings\user\Application Data\Microsoft\Word\STARTUP\
Ошибка при сканировании каталога C:\Documents and Settings\user\My Documents\HOT!!!\Magistr\
Ошибка при сканировании каталога C:\Documents and Settings\user\My Documents\Institut\
Ошибка при сканировании каталога C:\Documents and Settings\user\My Documents\Magistra darba\
Ошибка при сканировании каталога C:\Documents and Settings\user\My Documents\My Live\Mobilka\
Ошибка при сканировании каталога C:\Program Files\Adobe\Acrobat 6.0\PDFMaker\Office\
Ошибка при сканировании каталога C:\Program Files\Adobe\Acrobat 6.0\PDFMaker\
C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroPDF.dll.700.bak - PE файл с нестандартным расширением(степень опасности 5%)
C:\Program Files\Adobe\Acrobat 7.0\Reader\Acrord32.dll.700.bak - PE файл с нестандартным расширением(степень опасности 5%)
C:\Program Files\Adobe\Acrobat 7.0\Reader\Acrord32.exe.700.bak - PE файл с нестандартным расширением(степень опасности 5%)
C:\Program Files\Adobe\Acrobat 7.0\Reader\esdupdate.dll.700.bak - PE файл с нестандартным расширением(степень опасности 5%)
C:\Program Files\Adobe\Acrobat 7.0\Reader\plug_ins\AcroForm.api.700.bak - PE файл с нестандартным расширением(степень опасности 5%)
C:\Program Files\Adobe\Acrobat 7.0\Reader\plug_ins\Escript.api.700.bak - PE файл с нестандартным расширением(степень опасности 5%)
C:\Program Files\Adobe\Acrobat 7.0\Reader\rt3d.dll.700.bak - PE файл с нестандартным расширением(степень опасности 5%)
C:\Program Files\Adobe\Acrobat 7.0\Reader\Updater\acroaum.exe.700.bak - PE файл с нестандартным расширением(степень опасности 5%)
C:\Program Files\Adobe\ActiveShare\TBrowser.bak - PE файл с нестандартным расширением(степень опасности 5%)
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\OFFICE11\1033\
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\OFFICE11\Library\Analysis\
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\OFFICE11\Library\
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\OFFICE11\MACROS\
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\OFFICE11\SAMPLES\
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\OFFICE11\STARTUP\
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\OFFICE11\XLSTART\
Ошибка при сканировании каталога C:\Program Files\Microsoft Office\Templates\1033\
C:\Program Files\Mozilla Firefox\.autoreg - Файл не имеет видимого имени(степень опасности 15%)
Ошибка при сканировании каталога C:\Program Files\Tildes Birojs 2002\FR6T&B\
C:\Program Files\WinRAR\WinRAR.BAK - PE файл с нестандартным расширением(степень опасности 5%)
C:\WINDOWS\Installer\{E32B4F2B-5CED-45F1-8B94-55394553F1F0}\dbibl.chm - PE файл с нестандартным расширением(степень опасности 5%)
Проверка завершена
Просканировано файлов: 56521, найдено вирусов 0
Сканирование завершено в 17.05.2005 0:32:32
Сканирование длилось 00:27:46
Ваши права в разделе
