-
AVZ не тестируют файлы на диске.
Протокол антивирусной утилиты AVZ версии 3.50
Сканирование запущено в 31.05.2005 17:24:25
Загружена база: 13698 сигнатур, 1 нейропрофиль, 55 микропрограмм лечения
Загружены микропрограммы эвристики: 285
Загружены цифровые подписи системных файлов: 30065
Режим эвристического анализатора: Средний уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll
oadLibraryA (57
перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FC4<>7C801D77
Функция kernel32.dlloadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FD3<>7C801D4F
Функция kernel32.dlloadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FF1<>7C801AF1
Функция kernel32.dlloadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FE2<>7C80ACD3
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082B80)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559B80
KiST = FDE50B58 (297)
>>> Внимание, таблица KiST перемещена ! (804E2D20(284)->FDE50B58(297))
Функция ZwAllocateVirtualMemory (11) перехвачена (80568777->F2447B30), перехватчик C:\WINDOWS\system32\drivers\wpsdrvnt.sys
Функция ZwClose (19) перехвачена (805675D9->F100C2E0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateProcess (2F) перехвачена (805B3543->F100C000), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateProcessEx (30) перехвачена (805885D3->F100C170), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateSection (32) перехвачена (80564B1B->F100C420), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateThread (35) перехвачена (8057F262->F100CBAE), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwMapViewOfSection (6C) перехвачена (80573C04->F2447470), перехватчик C:\WINDOWS\system32\drivers\wpsdrvnt.sys
Функция ZwOpenProcess (7A) перехвачена (8057459E->F100BE00), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwProtectVirtualMemory (89) перехвачена (8057494D->F2447C50), перехватчик C:\WINDOWS\system32\drivers\wpsdrvnt.sys
Функция ZwQueryInformationFile (97) перехвачена (80572D12->F100C8EE), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwQuerySystemInformation (AD) перехвачена (8057CC27->F100CA2E), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwResumeThread (CE) перехвачена (8057F8D5->F100CB8E), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwSetInformationProcess (E4) перехвачена (8056C608->F100E950), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwShutdownSystem (F9) перехвачена (80645BD3->F2447990), перехватчик C:\WINDOWS\system32\drivers\wpsdrvnt.sys
Функция ZwTerminateProcess (101) перехвачена (8058AE1E->F100C7A0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwWriteVirtualMemory (115) перехвачена (8057C123->F2447D60), перехватчик C:\WINDOWS\system32\drivers\wpsdrvnt.sys
Проверено функций: 284, перехвачено: 16, восстановлено: 0
2. Проверка памяти
Количество найденных процессов: 23
Количество загруженных модулей: 341
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\system32\SSSensor.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\SSSensor.dll>>> Нейросеть: файл с вероятностью 99.86% похож на типовой перехватчик событий клавиатуры/мыши
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 12 TCP портов и 17 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 364, найдено вирусов 0
Сканирование завершено в 31.05.2005 17:25:08
Сканирование длилось 00:00:42
Пункт 3. Сканирование дисков, почему-то, игнорируется, хотя диск для сканирования был выбран. На моей машине это произошло после того как скачал послежнюю версию AVZ, на других компьютерах встречал такое и раньше, с более ранними версиями AVZ.
Не пишу в раздел "помогите" потому, что нет явных симптомов вируса.
С уважением,
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
Юра
Протокол антивирусной утилиты AVZ версии 3.50
Сканирование запущено в 31.05.2005 17:24:25
Загружена база: 13698 сигнатур, 1 нейропрофиль, 55 микропрограмм лечения
............
В протоколе явных проблем не видно, но я проверю алгоритм обхода каталогов, может, где-то есть небольшой баг. Перехваты не опасны, это AVP монитор.
-
-
Ничего не менял, просто запустил AVZ в очередной раз сегодня, проверил диск C нормально.
Загадка...
-
Ответить с цитированием
