Показано с 1 по 2 из 2.

Помогите понять AVZ

  1. #1
    Junior Member Репутация
    Регистрация
    29.10.2007
    Сообщений
    7
    Вес репутации
    38

    Помогите понять AVZ

    Помогите пожалуйста понять показания программы AVZ



    Протокол антивирусной утилиты AVZ версии 4.27
    Сканирование запущено в 28.10.2007 23:57:57
    Загружена база: 131845 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, база от 19.10.2007 21:56
    Загружены микропрограммы эвристики: 371
    Загружены микропрограммы ИПУ: 9
    Загружены цифровые подписи системных файлов: 64767
    Режим эвристического анализатора: Максимальный уровень эвристики
    Режим лечения: включено
    Версия Windows: 5.1.2600, Service Pack 1 ; AVZ работает с правами администратора
    Восстановление системы: включено
    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    SDT найдена (RVA=076EC0)
    Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D4000
    SDT = 8054AEC0
    KiST = 80502588 (284)
    Функция IoEnumerateDeviceObjectList (804D4A1A) - модификация машинного кода. Метод не определен., внедрение с байта 15
    Функция IoGetLowerDeviceObject (804D4999) - модификация машинного кода. Метод не определен., внедрение с байта 5
    Функция IoInitializeIrp (804D483C) - модификация машинного кода. Метод не определен., внедрение с байта 6
    Функция KeInsertHeadQueue (804D47FF) - модификация машинного кода. Метод не определен., внедрение с байта 5
    Функция MmQuerySystemSize (804D4B2E) - модификация машинного кода. Метод не определен., внедрение с байта 2
    Проверено функций: 284, перехвачено: 0, восстановлено: 0
    1.3 Проверка IDT и SYSENTER
    Анализ для процессора 1
    Проверка IDT и SYSENTER завершена
    >>>> Обнаружена маскировка процесса 3848 c:\program files\internet explorer\iexplore.exe
    1.4 Поиск маскировки процессов и драйверов
    Проверка не производится, так как не установлен драйвер мониторинга AVZPM
    2. Проверка памяти
    Количество найденных процессов: 24
    Анализатор - изучается процесс 1644 C:\Program Files\D-Link\DSL-200\dslstat.exe
    [ES]:Возможно Malware, нейрооценка = 5000
    [ES]:Приложение не имеет видимых окон
    [ES]:Записан в автозапуск !!
    Анализатор - изучается процесс 1652 C:\Program Files\D-Link\DSL-200\dslagent.exe
    [ES]:Возможно Malware, нейрооценка = 5000
    [ES]:Может работать с сетью
    [ES]:Приложение не имеет видимых окон
    [ES]:Записан в автозапуск !!
    Анализатор - изучается процесс 1680 C:\WINDOWS\anvshell.exe
    [ES]:Возможно Malware, нейрооценка = 5000
    [ES]:Приложение не имеет видимых окон
    [ES]:Размещается в системной папке
    [ES]:Записан в автозапуск !!
    Анализатор - изучается процесс 3804 C:\WINDOWS\System32\0007000.exe
    [ES]:Возможно Malware, нейрооценка = 5000
    [ES]:Приложение не имеет видимых окон
    [ES]:Размещается в системной папке
    >>> Реальный размер предположительно = 2183168
    Анализатор - изучается процесс 2748 D:\Program Files\Maxthon\Maxthon.exe
    [ES]:Возможно Malware, нейрооценка = 5000
    [ES]:Может работать с сетью
    [ES]:EXE упаковщик ?
    [ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
    Количество загруженных модулей: 316
    Проверка памяти завершена
    3. Сканирование дисков
    C:\WINDOWS\x.pif - PE файл с нестандартным расширением;PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 40%)
    Прямое чтение C:\Documents and Settings\Илья.WG8PUKVVVKA5VMI\Local Settings\Temp\~DFED00.tmp
    Прямое чтение C:\Documents and Settings\Илья.WG8PUKVVVKA5VMI\Local Settings\Temp\~DF2F02.tmp
    Прямое чтение C:\Documents and Settings\Илья.WG8PUKVVVKA5VMI\Local Settings\Temp\~DFF1EB.tmp
    Прямое чтение C:\Documents and Settings\Илья.WG8PUKVVVKA5VMI\Local Settings\Temp\~DF2F15.tmp
    Прямое чтение C:\Documents and Settings\Илья.WG8PUKVVVKA5VMI\Local Settings\Temp\~DF2F2A.tmp
    Прямое чтение C:\Documents and Settings\Илья.WG8PUKVVVKA5VMI\Local Settings\Temp\~DF2F33.tmp
    Прямое чтение C:\Documents and Settings\Илья.WG8PUKVVVKA5VMI\Local Settings\Temp\~DF2F42.tmp
    Прямое чтение C:\Documents and Settings\Илья.WG8PUKVVVKA5VMI\Local Settings\Temp\~DF2F4B.tmp
    C:\Documents and Settings\Илья.WG8PUKVVVKA5VMI\updaterr.pif - PE файл с нестандартным расширением;PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 40%)
    C:\Program Files\Игры от NevoSoft\Treasure Island 2\treasure_island_2.exe.BAK - PE файл с нестандартным расширением(степень опасности 5%)
    C:\Program Files\Игры от NevoSoft\Nuclear Ball 2\nuclear_ball_2.exe.BAK - PE файл с нестандартным расширением(степень опасности 5%)
    C:\Program Files\Игры от NevoSoft\Super Cow\super_cow.exe.BAK - PE файл с нестандартным расширением(степень опасности 5%)
    C:\Program Files\Игры от NevoSoft\Feng Shui Mahjong\feng_shui_mahjong.exe.BAK - PE файл с нестандартным расширением(степень опасности 5%)
    C:\Program Files\Игры от NevoSoft\Mahjongg Artifacts\mahjongg_artifacts.exe.BAK - PE файл с нестандартным расширением(степень опасности 5%)
    E:\Games\SIMS\02.02.00.The Sims - IND\pcs-sims\sims\SoundData\Stings\4DOS.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
    E:\Games\Manhunt\manhunt.exe.bak - PE файл с нестандартным расширением(степень опасности 5%)
    E:\cfodder1\cannonfodder\CANEXIT.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
    E:\cfodder1\cannonfodder\CANNON.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
    F:\Games\Races\HP2\NFSHP2.bak - PE файл с нестандартным расширением(степень опасности 5%)
    4. Проверка Winsock Layered Service Provider (SPI/LSP)
    Настройки LSP проверены. Ошибок не обнаружено
    5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
    6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
    Проверка отключена пользователем
    7. Эвристичеcкая проверка системы
    Проверка завершена
    8. Поиск потенциальных уязвимостей
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
    >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Проверка завершена
    Просканировано файлов: 50459, извлечено из архивов: 26865, найдено вредоносных программ 0, подозрений - 0
    Сканирование завершено в 29.10.2007 0:14:58
    Сканирование длилось 00:17:03
    Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
    то Вы можете обратиться в конференцию - http://virusinfo.info

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    847
    Выполните, пожалуйста, правила и откройте тему в разделе "Помогите!", прикрепив к теме логи AVZ и Hijackthis (п.п 8-14 правил). Так, по куску протокола, никто из хелперов предположения строить не будет.
    Последний раз редактировалось Numb; 29.10.2007 в 04:39.

Похожие темы

  1. Помогите понять что за вирус!
    От maior2009 в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 30.12.2011, 10:18
  2. Помогите понять, что происходит с компом
    От shycat в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 22.08.2010, 11:57
  3. Помогите, не могу понять проблему!!!
    От SmokieDuck в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 03.03.2010, 21:42
  4. Ответов: 7
    Последнее сообщение: 25.10.2009, 09:16
  5. ПОМОГИТЕ !! Не могу понять какой вирус
    От hotchpotch в разделе Помогите!
    Ответов: 0
    Последнее сообщение: 09.02.2009, 15:15

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00216 seconds with 16 queries