-
Junior Member
- Вес репутации
- 55
Управление рабочими компьютерами через главный компьютер
У нас в компьютерном классе 10 компьютеров и один преподавательский.
Преподавательский компьютер по сети не открывает общую папку у двух компьютеров из 10, хотя все настройки сделаны правильно, как и у о стальных компьютеров. Что это - вирусы или дело в чем то другом?
03.06.2009 11:31:48 Версия Microsoft Windows: Microsoft Windows XP, Build=2600, SP="Service Pack 2"
03.06.2009 11:31:48 Восстановление системы: включено
03.06.2009 11:31:48 1.1 Поиск перехватчиков API, работающих в пользовательском режиме
03.06.2009 11:31:48 Анализ kernel32.dll, таблица экспорта найдена в секции .text
03.06.2009 11:31:48 Функция kernel32.dll:CreateProcessA (99) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C802367->61F03F42
03.06.2009 11:31:48 Перехватчик kernel32.dll:CreateProcessA (99) нейтрализован
03.06.2009 11:31:48 Функция kernel32.dll:CreateProcessW (103) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C802332->61F04040
03.06.2009 11:31:48 Перехватчик kernel32.dll:CreateProcessW (103) нейтрализован
03.06.2009 11:31:48 Функция kernel32.dll:FreeLibrary (241) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AA66->61F041FC
03.06.2009 11:31:48 Перехватчик kernel32.dll:FreeLibrary (241) нейтрализован
03.06.2009 11:31:48 Функция kernel32.dll:GetModuleFileNameA (372) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80B357->61F040FB
03.06.2009 11:31:48 Перехватчик kernel32.dll:GetModuleFileNameA (372) нейтрализован
03.06.2009 11:31:48 Функция kernel32.dll:GetModuleFileNameW (373) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80B25D->61F041A0
03.06.2009 11:31:48 Перехватчик kernel32.dll:GetModuleFileNameW (373) нейтрализован
03.06.2009 11:31:48 Функция kernel32.dll:GetProcAddress (40 перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AC28->61F04648
03.06.2009 11:31:48 Перехватчик kernel32.dll:GetProcAddress (40 нейтрализован
03.06.2009 11:31:48 Функция kernel32.dlloadLibraryA (57 перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D77->61F03C6F
03.06.2009 11:31:48 Перехватчик kernel32.dlloadLibraryA (57 нейтрализован
03.06.2009 11:31:48 >>> Функции LoadLibraryA - прививка процесса AVZ от перехвата подменой адреса !!)
03.06.2009 11:31:48 Функция kernel32.dlloadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D4F->61F03DAF
03.06.2009 11:31:48 Перехватчик kernel32.dlloadLibraryExA (579) нейтрализован
03.06.2009 11:31:48 >>> Функции LoadLibraryExA - прививка процесса AVZ от перехвата подменой адреса !!)
03.06.2009 11:31:48 Функция kernel32.dlloadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF1->61F03E5A
03.06.2009 11:31:48 Перехватчик kernel32.dlloadLibraryExW (580) нейтрализован
03.06.2009 11:31:48 Функция kernel32.dlloadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80ACD3->61F03D0C
03.06.2009 11:31:48 Перехватчик kernel32.dlloadLibraryW (581) нейтрализован
03.06.2009 11:31:48 Обнаружена модификация IAT: LoadLibraryW - 00B70010<>7C80ACD3
03.06.2009 11:31:48 Анализ ntdll.dll, таблица экспорта найдена в секции .text
03.06.2009 11:31:48 Анализ user32.dll, таблица экспорта найдена в секции .text
03.06.2009 11:31:49 Анализ advapi32.dll, таблица экспорта найдена в секции .text
03.06.2009 11:31:49 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
03.06.2009 11:31:49 Анализ wininet.dll, таблица экспорта найдена в секции .text
03.06.2009 11:31:49 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
03.06.2009 11:31:49 Анализ urlmon.dll, таблица экспорта найдена в секции .text
03.06.2009 11:31:49 Анализ netapi32.dll, таблица экспорта найдена в секции .text
03.06.2009 11:31:49 1.2 Поиск перехватчиков API, работающих в привилегированном режиме
03.06.2009 11:31:49 Драйвер успешно загружен
03.06.2009 11:31:49 SDT найдена (RVA=0846E0)
03.06.2009 11:31:49 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
03.06.2009 11:31:49 SDT = 8055B6E0
03.06.2009 11:31:49 KiST = 80503734 (284)
03.06.2009 11:31:51 Проверено функций: 284, перехвачено: 0, восстановлено: 0
03.06.2009 11:31:51 1.3 Проверка IDT и SYSENTER
03.06.2009 11:31:51 Анализ для процессора 1
03.06.2009 11:31:51 Анализ для процессора 2
03.06.2009 11:31:51 Проверка IDT и SYSENTER завершена
03.06.2009 11:31:51 1.4 Поиск маскировки процессов и драйверов
03.06.2009 11:31:51 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
03.06.2009 11:31:51 Драйвер успешно загружен
03.06.2009 11:31:51 1.5 Проверка обработчиков IRP
03.06.2009 11:31:51 Проверка завершена
03.06.2009 11:31:52 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a 1e18e3b_8.0.50727.922_x-ww_6c0aa506\MSVCP80.dll --> Подозрение на перехватчик клавиатуры или троянскую программу
03.06.2009 11:31:52 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a 1e18e3b_8.0.50727.922_x-ww_6c0aa506\MSVCP80.dll>>> Поведенческий анализ
03.06.2009 11:31:52 Типичное поведение для перехватчиков клавиатуры не зарегистрировано
03.06.2009 11:31:52 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a 1e18e3b_8.0.50727.922_x-ww_6c0aa506\MSVCR80.dll --> Подозрение на перехватчик клавиатуры или троянскую программу
03.06.2009 11:31:52 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a 1e18e3b_8.0.50727.922_x-ww_6c0aa506\MSVCR80.dll>>> Поведенческий анализ
03.06.2009 11:31:52 Типичное поведение для перехватчиков клавиатуры не зарегистрировано
03.06.2009 11:31:53 C:\WINDOWS\system32\AcSignIcon.dll --> Подозрение на перехватчик клавиатуры или троянскую программу
03.06.2009 11:31:53 C:\WINDOWS\system32\AcSignIcon.dll>>> Поведенческий анализ
03.06.2009 11:31:53 Типичное поведение для перехватчиков клавиатуры не зарегистрировано
03.06.2009 11:31:53 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a 1e18e3b_8.0.50727.922_x-ww_3cf1180b\MFC80U.DLL --> Подозрение на перехватчик клавиатуры или троянскую программу
03.06.2009 11:31:53 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a 1e18e3b_8.0.50727.922_x-ww_3cf1180b\MFC80U.DLL>>> Поведенческий анализ
03.06.2009 11:31:53 Типичное поведение для перехватчиков клавиатуры не зарегистрировано
03.06.2009 11:31:53 Совет: заподозренные файлы НЕ следует удалять, их следует отправить на исследование (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
03.06.2009 11:32:06 >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
03.06.2009 11:32:06 >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
03.06.2009 11:32:06 >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
03.06.2009 11:32:06 >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
03.06.2009 11:32:06 >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
03.06.2009 11:32:06 >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
03.06.2009 11:32:06 > Службы: набор применяемых на компьютере служб зависит от области его применения (домашний, компьютер в сети предприятия и т.д.)!
03.06.2009 11:32:06 >> Безопасность: разрешен автозапуск программ с CDROM
03.06.2009 11:32:06 >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
03.06.2009 11:32:06 >> Безопасность: к компьютеру разрешен доступ анонимного пользователя
03.06.2009 11:32:06 >> Безопасность: разрешена отправка приглашений удаленному помошнику
03.06.2009 11:32:07 >> Нарушение ассоциации SCR-файлов
03.06.2009 11:32:10 >> Отключить автозапуск с жестких дисков
03.06.2009 11:32:10 >> Отключить автозапуск с сетевых дисков
03.06.2009 11:32:10 >> Отключить автозапуск с CD-ROM
03.06.2009 11:32:10 >> Отключить автозапуск с съемных носителей
03.06.2009 11:32:11 Выполняется исследование системы...
03.06.2009 11:32:51 Исследование системы завершено
03.06.2009 11:32:51 Удаление файла:C:\Documents and Settings\Администратор\Рабочий стол\Virus Removal Tool\is-4S62O\LOG\avptool_syscheck.htm
03.06.2009 11:32:51 Удаление файла:C:\Documents and Settings\Администратор\Рабочий стол\Virus Removal Tool\is-4S62O\LOG\avptool_syscheck.xml
03.06.2009 11:32:51 Удаление службы/драйвера: ute5otcy
03.06.2009 11:32:51 Удаление файла:C:\WINDOWS\system32\Drivers\ute5otcy.sys
03.06.2009 11:32:51 Удаление службы/драйвера: uje5otcy
03.06.2009 11:32:51 Скрипт выполнен без ошибок
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-