Код:
Протокол антивирусной утилиты AVZ версии 4.35
Сканирование запущено в 28.08.2011 02:01:24
Загружена база: сигнатуры - 293482, нейропрофили - 2, микропрограммы лечения - 56, база от 20.08.2011 04:00
Загружены микропрограммы эвристики: 388
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 290795
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: Отключено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=085700)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 8055C700
KiST = 80504480 (284)
Функция NtAddBootEntry (09) перехвачена (80616A60->F38EA202), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtAdjustPrivilegesToken (0B) перехвачена (805EC494->F6607D30), перехватчик C:\WINDOWS\system32\DRIVERS\pwipf6.sys, драйвер опознан как безопасный
Функция NtAllocateVirtualMemory (11) перехвачена (805A8AE6->F3978D8C), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
Функция NtClose (19) перехвачена (805BC55C->F390E6C1), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtConnectPort (1F) перехвачена (805A45FC->F6609AA0), перехватчик C:\WINDOWS\system32\DRIVERS\pwipf6.sys, драйвер опознан как безопасный
Функция NtCreateEvent (23) перехвачена (8060EF7E->F38EC7F0), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtCreateEventPair (24) перехвачена (806172D6->F38EC848), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtCreateFile (25) перехвачена (805790A8->F6608D70), перехватчик C:\WINDOWS\system32\DRIVERS\pwipf6.sys, драйвер опознан как безопасный
Функция NtCreateIoCompletion (26) перехвачена (80578A86->F38EC95E), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtCreateKey (29) перехвачена (80624120->F390E075), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtCreateMutant (2B) перехвачена (806176CE->F38EC746), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtCreatePort (2E) перехвачена (805A5118->F6609DE0), перехватчик C:\WINDOWS\system32\DRIVERS\pwipf6.sys, драйвер опознан как безопасный
Функция NtCreateProcessEx (30) перехвачена (805D11AA->F660A8D0), перехватчик C:\WINDOWS\system32\DRIVERS\pwipf6.sys, драйвер опознан как безопасный
Функция NtCreateSection (32) перехвачена (805AB3F4->F38EC898), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtCreateSemaphore (33) перехвачена (8061507E->F38EC79A), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtCreateSymbolicLinkObject (34) перехвачена (805C3A26->F6609290), перехватчик C:\WINDOWS\system32\DRIVERS\pwipf6.sys, драйвер опознан как безопасный
Функция NtCreateThread (35) перехвачена (805D1048->F660A4D0), перехватчик C:\WINDOWS\system32\DRIVERS\pwipf6.sys, драйвер опознан как безопасный
Функция NtCreateTimer (36) перехвачена (80616F9E->F38EC90C), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtDebugActiveProcess (39) перехвачена (80643B60->F6607490), перехватчик C:\WINDOWS\system32\DRIVERS\pwipf6.sys, драйвер опознан как безопасный
Функция NtDeleteBootEntry (3D) перехвачена (80616A52->F38EA226), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtDeleteKey (3F) перехвачена (806245BC->F390ED87), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtDeleteValueKey (41) перехвачена (8062478C->F390F03D), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtDuplicateObject (44) перехвачена (805BE034->F38ECBE2), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtEnumerateKey (47) перехвачена (8062496C->F390EBF2), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtEnumerateValueKey (49) перехвачена (80624BD6->F390EA5D), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtFreeVirtualMemory (53) перехвачена (805B2FDE->F3978E3C), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
Функция NtLoadDriver (61) перехвачена (80584160->F38E9FF0), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtModifyBootEntry (6D) перехвачена (80616A52->F38EA24A), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtNotifyChangeKey (6F) перехвачена (8062630E->F38ECD56), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtNotifyChangeMultipleKeys (70) перехвачена (80624F42->F38EACDA), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtOpenEvent (72) перехвачена (8060F07E->F38EC820), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtOpenEventPair (73) перехвачена (806173AE->F38EC870), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtOpenFile (74) перехвачена (8057A1A6->F6609040), перехватчик C:\WINDOWS\system32\DRIVERS\pwipf6.sys, драйвер опознан как безопасный
Функция NtOpenIoCompletion (75) перехвачена (80578B5E->F38EC988), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtOpenKey (77) перехвачена (806254FE->F390E3D1), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtOpenMutant (78) перехвачена (806177A6->F38EC772), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtOpenProcess (7A) перехвачена (805CB470->F38ECA1A), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtOpenSection (7D) перехвачена (805AA418->F38EC8D8), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtOpenSemaphore (7E) перехвачена (80615178->F38EC7C8), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtOpenThread (80) перехвачена (805CB6FC->F38ECAFE), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtOpenTimer (83) перехвачена (806170C0->F38EC936), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtProtectVirtualMemory (89) перехвачена (805B844A->F3978ED4), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
Функция NtQueryKey (A0) перехвачена (80625840->F390E8D8), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtQueryObject (A3) перехвачена (805C52F8->F38EABA0), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtQueryValueKey (B1) перехвачена (80622344->F390E72A), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtRenameKey (C0) перехвачена (80623B42->F398110E), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
Функция NtRequestPort (C7) - модификация машинного кода. Метод JmpTo. jmp F7ABDCA0
Функция NtRequestWaitReplyPort (C8) - модификация машинного кода. Метод JmpTo. jmp F7ABDD40
Функция NtRestoreKey (CC) перехвачена (80625B00->F390D6E8), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtResumeThread (CE) перехвачена (805D49EA->F6609540), перехватчик C:\WINDOWS\system32\DRIVERS\pwipf6.sys, драйвер опознан как безопасный
Функция NtSecureConnectPort (D2) перехвачена (805A3D90->F6609C40), перехватчик C:\WINDOWS\system32\DRIVERS\pwipf6.sys, драйвер опознан как безопасный
Функция NtSetBootEntryOrder (D3) перехвачена (80616A60->F38EA26E), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtSetBootOptions (D4) перехвачена (80616A60->F38EA292), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtSetInformationFile (E0) перехвачена (8057B034->F66093B0), перехватчик C:\WINDOWS\system32\DRIVERS\pwipf6.sys, драйвер опознан как безопасный
Функция NtSetSystemInformation (F0) перехвачена (8060FD36->F38EA04A), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtSetSystemPowerState (F1) перехвачена (80653E18->F38EA186), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtSetValueKey (F7) перехвачена (80622692->F390EE8E), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtShutdownSystem (F9) перехвачена (80612FC0->F38EA162), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtSystemDebugControl (FF) перехвачена (806180EA->F38EA1AA), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtTerminateProcess (101) перехвачена (805D2A12->F66084F0), перехватчик C:\WINDOWS\system32\DRIVERS\pwipf6.sys, драйвер опознан как безопасный
Функция NtTerminateThread (102) перехвачена (805D2C0C->F6608C50), перехватчик C:\WINDOWS\system32\DRIVERS\pwipf6.sys, драйвер опознан как безопасный
Функция NtTraceEvent (104) - модификация машинного кода. Метод JmpTo. jmp F7ABDC00
Функция NtVdmControl (10C) перехвачена (805FBB9C->F38EA2B6), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtRequestPort (805A2A76) - модификация машинного кода. Метод JmpTo. jmp F7ABDCA0
Функция NtRequestWaitReplyPort (805A2DA2) - модификация машинного кода. Метод JmpTo. jmp F7ABDD40
Функция NtTraceEvent (8053515A) - модификация машинного кода. Метод JmpTo. jmp F7ABDC00
Функция ObInsertObject (805C3006) - модификация машинного кода. Метод JmpTo. jmp F398B7F2 \SystemRoot\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
Функция ObMakeTemporaryObject (805BC582) - модификация машинного кода. Метод JmpTo. jmp F3989D4C \SystemRoot\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
Проверено функций: 284, перехвачено: 60, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
\FileSystem\ntfs[IRP_MJ_CREATE] = F398DE88 -> C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
\FileSystem\ntfs[IRP_MJ_CLOSE] = F398DEC8 -> C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
\FileSystem\ntfs[IRP_MJ_WRITE] = F398DFA4 -> C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = F398DFE4 -> C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
\FileSystem\FastFat[IRP_MJ_CREATE] = F398E024 -> C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
\FileSystem\FastFat[IRP_MJ_CLOSE] = F398E064 -> C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
\FileSystem\FastFat[IRP_MJ_WRITE] = F398E140 -> C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = F398E180 -> C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 23
Количество загруженных модулей: 233
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Нестандартный ключ Winlogon\Shell: "c:\progra~1\blackbox\blackbox.exe"
Нестандартный ключ реестра для системной службы: BITS ImagePath=""
Нестандартный ключ реестра для системной службы: wuauserv ImagePath=""
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: разрешен автоматический вход в систему
Проверка завершена
9. Мастер поиска и устранения проблем
>> Модифицирован ключ запуска проводника
>> Заблокирована настройка автоматического обновления
>> Меню Пуск - заблокированы элементы
>> Таймаут завершения служб находится за пределами допустимых значений
>> Заблокирован пункт меню Справка и техподдержка
Проверка завершена
Просканировано файлов: 256, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 28.08.2011 02:01:59
Сканирование длилось 00:00:37
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в систему http://kaspersky-911.ru