-
Junior Member
- Вес репутации
- 39
Подозрение на маскировку ключей реестра службы/драйверов
Здравствуйте, сделал проверку антивирусной программой avz и обнаружил маскировку ключей реестра службы/драйверов. Как удалить?
Протокол антивирусной утилиты AVZ версии 4.41
Сканирование запущено в 30.08.2013 20:13:52
Загружена база: сигнатуры - 297614, нейропрофили - 2, микропрограммы лечения - 56, база от 30.08.2013 16:00
Загружены микропрограммы эвристики: 403
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 585650
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, Service Pack 3
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка загрузки драйвера - проверка прервана [C0000061]
1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен
1.5 Проверка обработчиков IRP
Ошибка загрузки драйвера - проверка прервана [C0000061]
2. Проверка памяти
Количество найденных процессов: 12
Количество загруженных модулей: 270
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 96 TCP портов и 7 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
>>> Подозрение на маскировку ключа реестра службы\драйвера "TlntSvr"
>>> Подозрение на маскировку ключа реестра службы\драйвера "WmiApRpl"
Обнаружен вызов интерпретатора командной строки в автозапуске [DR=1] HKLM\Software\Microsoft\Windows\CurrentVersion\Run \HotKeysCmds = [C:\WINDOWS\system32\hkcmd.exe]
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 62034, извлечено из архивов: 43447, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 30.08.2013 2023
Сканирование длилось 00:06:31
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ
можно использовать сервис http://virusdetector.ru/
Последний раз редактировалось Andreyuser; 30.08.2013 в 20:26.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Andreyuser, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Зачем крутили настройки АВЗ? Вас об этом просили?
Удалите драйвер расширенного мониторинга процессов и сделайте новые логи AVZ. Важно! AVZ нужно запускать от имени Администратора.
-
-
Junior Member
- Вес репутации
- 39
Сделал новые логи и отключил драйвер расширенного мониторинга процессов в avz
У меня учетная запись user с правами администратора. Сделал новые логи. Я уже обращался на форум заявка№144389 и мне посоветовали сделать учетную запись и работать с ограниченными правами-группа пользователи. Учетная запись гость-у меня отключена. Есть еще встроенная учетная запись администратор компьютера. Можно ли отключить все ненужные учетные записи, кроме рабочей и администратора компьютера.
-
Вирусов не видно. В принципе можно.
-
-
Junior Member
- Вес репутации
- 39
Спасибо за помощь.Тема закрыта
-
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
Советы и рекомендации после лечения компьютера
-