2иван57 Верх лога покажи.
2иван57 Верх лога покажи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Спасибо !!!!!
Vista
Вот весь лог:
Протокол антивирусной утилиты AVZ версии 4.30
Сканирование запущено в 05.06.2009 11:18:23
Загружена база: сигнатуры - 226279, нейропрофили - 2, микропрограммы лечения - 56, база от 04.06.2009 17:33
Загружены микропрограммы эвристики: 372
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 120365
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 6.0.6001, Service Pack 1 ; AVZ работает с правами администратора
Восстановление системы: Отключено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=137B00)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 81A46000
SDT = 81B7DB00
KiST = 81AFE8E0 (391)
Проверено функций: 391, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=464, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 464)
Маскировка процесса с PID=512, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 512)
Маскировка процесса с PID=576, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 576)
Маскировка процесса с PID=1036, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1036)
Маскировка процесса с PID=1612, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1612)
Маскировка процесса с PID=1684, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1684)
Маскировка процесса с PID=1696, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1696)
Маскировка процесса с PID=1880, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1880)
Маскировка процесса с PID=1988, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 198
Маскировка процесса с PID=288, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 28
Маскировка процесса с PID=300, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 300)
Маскировка процесса с PID=1096, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1096)
Маскировка процесса с PID=1856, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1856)
Маскировка процесса с PID=3236, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3236)
Маскировка процесса с PID=3552, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3552)
Маскировка процесса с PID=3840, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3840)
Маскировка процесса с PID=3868, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 386
Маскировка процесса с PID=4072, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4072)
Маскировка процесса с PID=288, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 28
Маскировка процесса с PID=3400, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3400)
Маскировка процесса с PID=2784, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2784)
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 51
Количество загруженных модулей: 429
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 11 TCP портов и 9 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба Schedule (@%SystemRoot%\system32\schedsvc.dll,-100)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 480, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 05.06.2009 11:18:50
Сканирование длилось 00:00:29
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info
AVZPM активен.
Он на висте и win2003 не успевает собрать информацию о короткоживущих процессах и считает их маскирующимися
The worst foe lies within the self...
Правильно ли я понял: "Все нормально не забивай голову ни себе, ни ... и т.п."
СПАСИБО!!!
Правильно поняли.
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (@%SystemRoot%\System32\termsrv.dll,-26
>> Службы: разрешена потенциально опасная служба SSDPSRV (@%systemroot%\system32\ssdpsrv.dll,-100)
>> Службы: разрешена потенциально опасная служба Schedule (@%SystemRoot%\system32\schedsvc.dll,-100)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 263631, извлечено из архивов: 198890, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 06.06.2009 21:38:41
как мне закрыть мои дырки
Прошёлся по теме поиском - вроде такого ещё не спрашивали.
При добавлении в карантин создаётся два файла с расширениями dta и ini соответственно. Если добавление по какой-то причине не прошло (файла нет на диске, файл слишком надёжно прикрыт руткитом, файл проходит по базе доверенных), то файлы не создаются.
Такое предложение: ini-файл создавать в любом случае. Записывать в нём, помимо прочего, информацию о том, что, собственно, произошло при попытке карантина (закарантинен через стандартный api, через прямое чтение, через BC, не найден, проходит по базе доверенных, етц).
Вообще имеет смысл так сделать?
в ini пишется код возврата для команды карантина.Сообщение от a1822
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Если карантин не состоялся, то ini-файл не создаётся. Предложение в том, чтобы создавать ini-файл всегда, даже при неудаче.
При попытке карантина через BC ini-файл создается в любом случае. А без BC, да, тоже можно в принципе создавать, чтобы узнать например, что файл не попал в карантин из-за присутсвия в базе чистых.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Карантины нередко идут в вирлабы напрямую, и на них рухнет шквал мусора. Для BC ситуация особая - создание INI делается умышленно, так как на него не влияет база чистых и логика такова - если что-то каранитинят через BC, то видимо это что-то сильно злобное и подозрительное.
Здравствуйте.
При попытке выполнить скрипт№4 в конце сбора подозрительных объектов получаю:
Windows XP SP3, установлен Антивирус Касперского 2009 (выключал на время выполнения). С чем может быть связана проблема? Может с терминальным запуском?Создание архива с файлами из карантина
Ошибка выполнения команды CREATEQURANTINEARCHIVE, ошибка - Access violation at address 00403EC2 in module 'xvz.exe'. Read of address 00000003
Добавлено через 28 минут
При запуcке этой версии AVZ Касперский 2009 ругнулся на подозрительный драйвер, AVZ - повис, AVP не выгружался (судя по Process Explorer подскочила активность AVP уровня ядра). После перезагрузки компьютера Скрипт №4 выполнился.
Последний раз редактировалось nisome; 10.06.2009 в 13:13. Причина: Добавлено
Понятно. А можно хотя бы в лог писать (который в окошке AVZ внизу), что файл проходит по базе безопасных и поэтому не закарантинился? А то даже непонятно, нажалась кнопка или нет.
И кстати. Олег, нельзя ли сделать так, чтобы в диалоге "Поиск файлов на диске" кнопка "Пуск" нажималась клавишей Enter?
Что бы это могло значить?
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dllefDlgProcA (143) перехвачена, метод ProcAddressHijack.GetProcAddress ->774774E8->77AE3DB0
Функция user32.dll
Функция user32.dll
Функция user32.dll
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка - не найден файл (C:\SystemRoot\system32\ntoskrnl.exe)
Запустил AVZ и заглянул в "Менеджер расширений проводника". Среди расширений было одно, у которого было написано, что файл не найден, я решил удалить его регистрацию. Выделил это расширение мышью и нажал кнопку "Удалить". Удалились все расширения, а не это одно. Это баг или фича?Или я что-то не понимаю в логике программы?
Много раз замечал в логах в "Помогите":
Когда система установлена в папку WINDOWS.0, то в разделе "Модули пространства ядра" путь почему-то превращается в WINDOWS.0\0, в результате не видна информация о файлах.
И еще вопрос:
Почему AVZ не показывает и не удаляет из реестра сервис популярного в последнее время руткита (пример)? Приходится привлекать gmer. То же касается червя Kido - тело зловреда AVZ удаляет, а пустышка в реестре остается и в логе не отображается.
I am not young enough to know everything...
Очень странно, без ntoskrnl.exe система не загрузиться. У вас виндоус какая-то особенная ?
Сделайте логи по правилам, посмотреть интересно.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
На 64-битных системах такое пишет.
Зайцев Олег
В Бате изменился модуль работы с антивирусными плагинами - начиная с версии 4.2.4 ни один антивирусный плагин нормально не работает!
1) Предполагается ли выпуск обновлённой верии Вашего антивирусного плагина для Бат?
2) Для текущей версии плагина нужно бы написать - не работает, начиная с Бата 4.2.*.
Ваши права в разделе
