Код:
Внимание !!! База поcледний раз обновлялась 12.12.2007 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.29
Сканирование запущено в 23.01.2008 14:16:19
Загружена база: сигнатуры - 138934, нейропрофили - 2, микропрограммы лечения - 55, база от 12.12.2007 10:43
Загружены микропрограммы эвристики: 371
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 66967
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
Восстановление системы: Отключено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:GetProcAddress (408) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80ADA0->7C883FEC
Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D77->7C883F9C
Функция kernel32.dll:LoadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D4F->7C883FB0
Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF1->7C883FD8
Функция kernel32.dll:LoadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AE4B->7C883FC4
Детектирована модификация IAT: LoadLibraryA - 7C883F9C<>7C801D77
Детектирована модификация IAT: GetProcAddress - 7C883FEC<>7C80ADA0
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:RegisterRawInputDevices (546) перехвачена, метод ProcAddressHijack.GetProcAddress ->7E3BCD4C->7E4001D0
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082880)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 80800000
SDT = 80882880
KiST = 8080B6A8 (284)
Функция NtClose (19) перехвачена (8088FF49->F803D300), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtConnectPort (1F) перехвачена (808B4738->F803B3B0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtCreateKey (29) перехвачена (808979A9->F802E7F0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtCreateProcess (2F) перехвачена (808D9199->F803D030), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtCreateProcessEx (30) перехвачена (808AB016->F803D1A0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtCreateSection (32) перехвачена (8088D81B->F803DE00), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtCreateSymbolicLinkObject (34) перехвачена (808C934A->F803D8D0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtCreateThread (35) перехвачена (808A537E->F803E740), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtDeleteKey (3F) перехвачена (808BDD25->F802E8F0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtDeleteValueKey (41) перехвачена (808BC6FB->F802E970), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtDuplicateObject (44) перехвачена (8089D006->F803D4A0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtEnumerateKey (47) перехвачена (808980B0->F802EA00), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtEnumerateValueKey (49) перехвачена (808A7BEF->F802EAB0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtFlushKey (4F) перехвачена (808C6370->F802EB60), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtInitializeRegistry (5C) перехвачена (808CFDBB->F802EBE0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtLoadDriver (61) перехвачена (808CC000->F803AF60), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtLoadKey (62) перехвачена (808D6B7C->F802F5E0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtLoadKey2 (63) перехвачена (808D69CA->F802EC00), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtNotifyChangeKey (6F) перехвачена (808B8E26->F802ECD0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtOpenFile (74) перехвачена (8089A073->F973D020), перехватчик D:\WINDOWS\system32\Drivers\kl1.sys, драйвер опознан как безопасный
Функция NtOpenKey (77) перехвачена (80890EFB->F802EDB0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtOpenProcess (7A) перехвачена (8089D1E6->F803CE20), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtOpenSection (7D) перехвачена (808A15EF->F803DC30), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtQueryKey (A0) перехвачена (80897DB9->F802EE80), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtQueryMultipleValueKey (A1) перехвачена (809760DC->F802EF30), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtQuerySystemInformation (AD) перехвачена (808A6666->F803E3F0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtQueryValueKey (B1) перехвачена (80894303->F802EFE0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtReplaceKey (C1) перехвачена (80976A16->F802F090), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtRequestWaitReplyPort (C8) перехвачена (808A00DF->F803B990), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtRestoreKey (CC) перехвачена (80975534->F802F120), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtResumeThread (CE) перехвачена (808A59F1->F803E6F0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtSaveKey (CF) перехвачена (809755DB->F802F320), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtSetContextThread (D5) перехвачена (809558FF->F803EA70), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtSetInformationFile (E0) перехвачена (808A22F1->F803F090), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtSetInformationKey (E2) перехвачена (80975C3F->F802F3B0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtSetSecurityObject (ED) перехвачена (808C411F->F8039B00), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtSetSystemInformation (F0) перехвачена (808CF934->F803DAB0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtSetValueKey (F7) перехвачена (8089E16D->F802F450), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtSuspendThread (FE) перехвачена (80908C3D->F803E6A0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtSystemDebugControl (FF) перехвачена (80971893->F803B270), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtTerminateProcess (101) перехвачена (808AD781->F803E290), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtUnloadKey (107) перехвачена (8097580D->F802F5A0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtWriteVirtualMemory (115) перехвачена (808A8055->F803D360), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция FsRtlCheckLockForReadAccess (8082C289) - модификация машинного кода. Метод JmpTo. jmp F803F4B0 \??\D:\WINDOWS\system32\drivers\klif.sys
Функция IoIsOperationSynchronous (8081175A) - модификация машинного кода. Метод JmpTo. jmp F803F9B0 \??\D:\WINDOWS\system32\drivers\klif.sys
Проверено функций: 284, перехвачено: 43, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
Количество найденных процессов: 14
Количество загруженных модулей: 201
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\miscr3.dll --> Подозрение на Keylogger или троянскую DLL
D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\miscr3.dll>>> Поведенческий анализ:
Типичное для кейлоггеров поведение не зарегистрировано
D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\fssync.dll --> Подозрение на Keylogger или троянскую DLL
D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\fssync.dll>>> Поведенческий анализ:
Типичное для кейлоггеров поведение не зарегистрировано
D:\Program Files\Punto Switcher\correct.dll --> Подозрение на Keylogger или троянскую DLL
D:\Program Files\Punto Switcher\correct.dll>>> Поведенческий анализ:
1. Реагирует на события: клавиатура, мышь
2. Передает данные процессу: 1408 D:\Program Files\Punto Switcher\ps.exe (окно = "Punto Switcher Main Window")
3. Выясняет, какое окно находится в фокусе ввода
4. Опрашивает состояние клавиш
5. Опрашивает состояние клавиатуры
6. Опрашивает активную раскладку клавиатуры
7. Определяет ASCII коды по кодам клавиш
D:\Program Files\Punto Switcher\correct.dll>>> Нейросеть: файл с вероятностью 99.68% похож на типовой перехватчик событий клавиатуры/мыши
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 215, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 23.01.2008 14:17:18
Сканирование длилось 00:01:00
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info
Выполняется исследование системы
Код:
Внимание !!! База поcледний раз обновлялась 12.12.2007 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.29
Сканирование запущено в 23.01.2008 14:27:58
Загружена база: сигнатуры - 138934, нейропрофили - 2, микропрограммы лечения - 55, база от 12.12.2007 10:43
Загружены микропрограммы эвристики: 371
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 66967
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
Восстановление системы: Отключено
1. Поиск RootKit и программ, перехватывающих функции API
Ошибка в работе антируткита [Access violation at address 0040517F in module 'avz.exe'. Read of address 62696832], шаг [9]
2. Проверка памяти
Количество найденных процессов: 15
Количество загруженных модулей: 211
Проверка памяти завершена
3. Сканирование дисков
D:\Downloads\rk.zip/{ZIP}/Output/NTROOT.sys >>>>> Backdoor.Win32.NTRootKit.044
Прямое чтение D:\SOFT\от MS & SERVERS\cforce.exe
Прямое чтение D:\WINDOWS\system32\drivers\sptd.sys
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\miscr3.dll --> Подозрение на Keylogger или троянскую DLL
D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\miscr3.dll>>> Поведенческий анализ:
Типичное для кейлоггеров поведение не зарегистрировано
D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\fssync.dll --> Подозрение на Keylogger или троянскую DLL
D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\fssync.dll>>> Поведенческий анализ:
Типичное для кейлоггеров поведение не зарегистрировано
D:\Program Files\Punto Switcher\correct.dll --> Подозрение на Keylogger или троянскую DLL
D:\Program Files\Punto Switcher\correct.dll>>> Поведенческий анализ:
1. Реагирует на события: клавиатура, мышь
2. Передает данные процессу: 1404 D:\Program Files\Punto Switcher\ps.exe (окно = "Punto Switcher Main Window")
3. Выясняет, какое окно находится в фокусе ввода
4. Опрашивает состояние клавиш
5. Опрашивает состояние клавиатуры
6. Опрашивает активную раскладку клавиатуры
7. Определяет ASCII коды по кодам клавиш
D:\Program Files\Punto Switcher\correct.dll>>> Нейросеть: файл с вероятностью 99.68% похож на типовой перехватчик событий клавиатуры/мыши
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 48890, извлечено из архивов: 36370, найдено вредоносных программ 1, подозрений - 0
Сканирование завершено в 23.01.2008 14:39:22
Сканирование длилось 00:11:26
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info
Создание архива с файлами из карантина
Создание архива с файлами из карантина завершено
Выполняется исследование системы
И всё же папка c:\system не удаляется, скорей всего перехватывает драйвер secdir.sys