Внимание !!! База поcледний раз обновлялась 04.09.2015 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.45
Сканирование запущено в 07.11.2015 22:04:10
Загружена база: сигнатуры - 297570, нейропрофили - 2, микропрограммы лечения - 56, база от 04.09.2015 13:03
Загружены микропрограммы эвристики: 394
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 759075
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, Service Pack 3 "Microsoft Windows XP", дата инсталляции 04.04.2012 12:47:00 ; AVZ работает с правами администратора (+)
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=085700)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 8055C700
KiST = 80504570 (284)
Функция NtAssignProcessToJobObject (13) перехвачена (805D66D0->B6730F20), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys
Функция NtCreateThread (35) перехвачена (805D1068->B6731260), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys
Функция NtDebugActiveProcess (39) перехвачена (80643CB2->B6731520), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys
Функция NtDuplicateObject (44) перехвачена (805BE03C->B6731040), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys
Функция NtLoadDriver (61) перехвачена (80584172->B6731320), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys
Функция NtOpenProcess (7A) перехвачена (805CB486->B6730DC0), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys
Функция NtOpenThread (80) перехвачена (805CB712->B6730E80), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys
Функция NtProtectVirtualMemory (89) перехвачена (805B8452->B6730FE0), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys
Функция NtQueueApcThread (B4) перехвачена (805D2786->B67310A0), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys
Функция NtReplaceKey (C1) перехвачена (8062633E->B67316E0), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys
Функция NtRestoreKey (CC) перехвачена (80625C4A->B67316A0), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys
Функция NtSetContextThread (D5) перехвачена (805D2C4A->B6730FA0), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys
Функция NtSetInformationThread (E5) перехвачена (805CC154->B6730F60), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys
Функция NtSetSecurityObject (ED) перехвачена (805C0662->B67310E0), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys
Функция NtSetSystemInformation (F0) перехвачена (8060FE98->B67312E0), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys
Функция NtSuspendProcess (FD) перехвачена (805D4B10->B6730E20), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys
Функция NtSuspendThread (FE) перехвачена (805D4982->B6730EA0), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys
Функция NtSystemDebugControl (FF) перехвачена (8061823E->B67312A0), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys
Функция NtTerminateProcess (101) перехвачена (805D2308->B6730DE0), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys
Функция NtTerminateThread (102) перехвачена (805D2502->B6730EE0), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys
Функция NtWriteVirtualMemory (115) перехвачена (805B4400->B6731060), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys
Проверено функций: 284, перехвачено: 21, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 49
Количество загруженных модулей: 428
Прямое чтение c:\windows\system32\macromed\flash\flash32_19_0_0_226.ocx
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Documents and Settings\All Users\Application Data\Skype\{EA17F4FC-FDBF-4CF8-A529-2D983132D053}\Skype.msi
Прямое чтение C:\Documents and Settings\Home\Local Settings\Application Data\Google\Chrome\User Data\PepperFlash\19.0.0.226\pepflashplayer.dll
Прямое чтение C:\Documents and Settings\Home\Local Settings\Application Data\Temp\{B9C3392F-76A5-4130-B60B-4D9C0B03E6C8}\YandexElementsIE.msi
Прямое чтение C:\Documents and Settings\Home\Local Settings\Application Data\Temp\{DF6041C2-5361-4A00-BFDC-9EDBC35FC189}\YandexElementsIE.msi
Прямое чтение C:\Documents and Settings\Home\Local Settings\Application Data\Yandex\YandexBrowser\Application\45.0.2454.3655\plugins\npswf32_19_0_0_226.dll
Прямое чтение C:\Program Files\Adobe\Adobe Help Center\AdobeHelpData\Packages\PremiereElements_2.0_en-us.zip
Прямое чтение C:\Program Files\Adobe\Adobe Premiere Elements 2.0\Photoshop.dll
Прямое чтение C:\Program Files\Common Files\Apple\Apple Application Support\icudt40.dll
Прямое чтение C:\Program Files\Common Files\Microsoft Shared\OFFICE12\MSO.DLL
Прямое чтение C:\Program Files\Microsoft Office\Office12\excelcnv.exe
Прямое чтение C:\System Volume Information\_restore{53B3B719-9A50-4C5A-AD16-35E8DFBB3F35}\RP813\A0342567.dll
Прямое чтение C:\System Volume Information\_restore{53B3B719-9A50-4C5A-AD16-35E8DFBB3F35}\RP813\A0342584.dll
Прямое чтение C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\PresentationFramewo#\dad6af4d4f3b92adf0497c5ec9565236\PresentationFramework.ni.dll
Прямое чтение C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.ServiceModel\80743209bcc0a3af8305acd51569b483\System.ServiceModel.ni.dll
Прямое чтение C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\PresentationFramewo#\b72152b4330e2f009a868aa16c47acb4\PresentationFramework.ni.dll
Прямое чтение C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\System.Data.Entity\a275181f49dcdf245ec6a9d9287bb6c6\System.Data.Entity.ni.dll
Прямое чтение C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\System.ServiceModel\7c73ac0ffec7d226ca3dac70df184f18\System.ServiceModel.ni.dll
Прямое чтение C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\System.Windows.Forms\f28df9c2988724883cf19532d7f9f151\System.Windows.Forms.ni.dll
Прямое чтение C:\WINDOWS\Driver Cache\i386\sp2.cab
Прямое чтение C:\WINDOWS\I386\SP2.CAB
Прямое чтение C:\WINDOWS\Installer\11fca.msi
Прямое чтение C:\WINDOWS\Installer\4f8cf5a.msi
Прямое чтение C:\WINDOWS\system32\Macromed\Flash\Flash32_19_0_0_226.ocx
Прямое чтение C:\WINDOWS\system32\Macromed\Flash\NPSWF32_19_0_0_226.dll
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
>>> c:\windows\system32\nvcpl.dll ЭПС: подозрение на Подозрение на скрытый автозапуск - HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NvCplDaemon
Подозрение на скрытый автозапуск - HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NvCplDaemon="RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 109336, извлечено из архивов: 85642, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 07.11.2015 22:27:18
Сканирование длилось 00:23:12
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум
http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ
Скрыть