<AVZ_CollectSysInfo> : завершен
-------------------------------
Время Событие
----- -------
01.09.2009 18:35:02 Версия Microsoft Windows: Microsoft Windows XP, Build=2600, SP="Service Pack 3"
01.09.2009 18:35:02 Восстановление системы: включено
01.09.2009 18:35:05 1.1 Поиск перехватчиков API, работающих в пользовательском режиме
01.09.2009 18:35:05 Анализ kernel32.dll, таблица экспорта найдена в секции .text
01.09.2009 18:35:05 Функция kernel32.dll:CreateProcessA (99) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80236B->61F03F42
01.09.2009 18:35:05 Перехватчик kernel32.dll:CreateProcessA (99) нейтрализован
01.09.2009 18:35:05 Функция kernel32.dll:CreateProcessW (103) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C802336->61F04040
01.09.2009 18:35:05 Перехватчик kernel32.dll:CreateProcessW (103) нейтрализован
01.09.2009 18:35:05 Функция kernel32.dll:FreeLibrary (241) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AC7E->61F041FC
01.09.2009 18:35:05 Перехватчик kernel32.dll:FreeLibrary (241) нейтрализован
01.09.2009 18:35:05 Функция kernel32.dll:GetModuleFileNameA (373) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80B56F->61F040FB
01.09.2009 18:35:05 Перехватчик kernel32.dll:GetModuleFileNameA (373) нейтрализован
01.09.2009 18:35:05 Функция kernel32.dll:GetModuleFileNameW (374) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80B475->61F041A0
01.09.2009 18:35:05 Перехватчик kernel32.dll:GetModuleFileNameW (374) нейтрализован
01.09.2009 18:35:05 Функция kernel32.dll:GetProcAddress (409) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AE40->61F04648
01.09.2009 18:35:05 Перехватчик kernel32.dll:GetProcAddress (409) нейтрализован
01.09.2009 18:35:05 Функция kernel32.dlloadLibraryA (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D7B->61F03C6F
01.09.2009 18:35:05 Перехватчик kernel32.dlloadLibraryA (581) нейтрализован
01.09.2009 18:35:05 >>> Функции LoadLibraryA - прививка процесса AVZ от перехвата подменой адреса !!)
01.09.2009 18:35:05 Функция kernel32.dlloadLibraryExA (582) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D53->61F03DAF
01.09.2009 18:35:05 Перехватчик kernel32.dlloadLibraryExA (582) нейтрализован
01.09.2009 18:35:05 >>> Функции LoadLibraryExA - прививка процесса AVZ от перехвата подменой адреса !!)
01.09.2009 18:35:05 Функция kernel32.dlloadLibraryExW (583) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF5->61F03E5A
01.09.2009 18:35:05 Перехватчик kernel32.dlloadLibraryExW (583) нейтрализован
01.09.2009 18:35:05 Функция kernel32.dlloadLibraryW (584) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AEEB->61F03D0C
01.09.2009 18:35:05 Перехватчик kernel32.dlloadLibraryW (584) нейтрализован
01.09.2009 18:35:05 Обнаружена модификация IAT: LoadLibraryW - 00BD0010<>7C80AEEB
01.09.2009 18:35:05 Анализ ntdll.dll, таблица экспорта найдена в секции .text
01.09.2009 18:35:05 Анализ user32.dll, таблица экспорта найдена в секции .text
01.09.2009 18:35:05 Анализ advapi32.dll, таблица экспорта найдена в секции .text
01.09.2009 18:35:05 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
01.09.2009 18:35:05 Анализ wininet.dll, таблица экспорта найдена в секции .text
01.09.2009 18:35:06 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
01.09.2009 18:35:06 Анализ urlmon.dll, таблица экспорта найдена в секции .text
01.09.2009 18:35:06 Анализ netapi32.dll, таблица экспорта найдена в секции .text
01.09.2009 18:35:08 1.2 Поиск перехватчиков API, работающих в привилегированном режиме
01.09.2009 18:35:09 Драйвер успешно загружен
01.09.2009 18:35:09 SDT найдена (RVA=083220)
01.09.2009 18:35:09 Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
01.09.2009 18:35:09 SDT = 8055A220
01.09.2009 18:35:09 KiST = 804E26A8 (284)
01.09.2009 18:35:10 Функция NtClose (19) перехвачена (805678DD->F56706B, перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS
01.09.2009 18:35:10 >>> Функция воcстановлена успешно !
01.09.2009 18:35:10 >>> Код перехватчика нейтрализован
01.09.2009 18:35:10 Функция NtCreateKey (29) перехвачена (8057065D->F5670574), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS
01.09.2009 18:35:10 >>> Функция воcстановлена успешно !
01.09.2009 18:35:10 >>> Код перехватчика нейтрализован
01.09.2009 18:35:10 Функция NtCreatePagingFile (2D) перехвачена (805BBDC7->F75B4C70), перехватчик C:\WINDOWS\system32\Drivers\Vax347b.sys, драйвер опознан как безопасный
01.09.2009 18:35:10 >>> Функция воcстановлена успешно !
01.09.2009 18:35:10 >>> Код перехватчика нейтрализован
01.09.2009 18:35:10 Функция NtDeleteValueKey (41) перехвачена (80592D5C->F5670A52), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS
01.09.2009 18:35:10 >>> Функция воcстановлена успешно !
01.09.2009 18:35:10 >>> Код перехватчика нейтрализован
01.09.2009 18:35:10 Функция NtDuplicateObject (44) перехвачена (805715E0->F567014C), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS
01.09.2009 18:35:10 >>> Функция воcстановлена успешно !
01.09.2009 18:35:10 >>> Код перехватчика нейтрализован
01.09.2009 18:35:10 Функция NtEnumerateKey (47) перехвачена (80570D64->F75B54FE), перехватчик C:\WINDOWS\system32\Drivers\Vax347b.sys, драйвер опознан как безопасный
01.09.2009 18:35:10 >>> Функция воcстановлена успешно !
01.09.2009 18:35:10 >>> Код перехватчика нейтрализован
01.09.2009 18:35:10 Функция NtEnumerateValueKey (49) перехвачена (80590677->F75C0D50), перехватчик C:\WINDOWS\system32\Drivers\Vax347b.sys, драйвер опознан как безопасный
01.09.2009 18:35:10 >>> Функция воcстановлена успешно !
01.09.2009 18:35:10 >>> Код перехватчика нейтрализован
01.09.2009 18:35:11 Функция NtOpenKey (77) перехвачена (80568D59->F567064E), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS
01.09.2009 18:35:11 >>> Функция воcстановлена успешно !
01.09.2009 18:35:11 >>> Код перехватчика нейтрализован
01.09.2009 18:35:11 Функция NtOpenProcess (7A) перехвачена (805717C7->F567008C), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS
01.09.2009 18:35:11 >>> Функция воcстановлена успешно !
01.09.2009 18:35:11 >>> Код перехватчика нейтрализован
01.09.2009 18:35:11 Функция NtOpenThread (80) перехвачена (8058A1C9->F56700F0), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS
01.09.2009 18:35:11 >>> Функция воcстановлена успешно !
01.09.2009 18:35:11 >>> Код перехватчика нейтрализован
01.09.2009 18:35:11 Функция NtQueryKey (A0) перехвачена (80570A6D->F75B551E), перехватчик C:\WINDOWS\system32\Drivers\Vax347b.sys, драйвер опознан как безопасный
01.09.2009 18:35:11 >>> Функция воcстановлена успешно !
01.09.2009 18:35:11 >>> Код перехватчика нейтрализован
01.09.2009 18:35:11 Функция NtQueryValueKey (B1) перехвачена (8056A1F2->F567076E), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS
01.09.2009 18:35:11 >>> Функция воcстановлена успешно !
01.09.2009 18:35:11 >>> Код перехватчика нейтрализован
01.09.2009 18:35:11 Функция NtRestoreKey (CC) перехвачена (8064EC71->F567072E), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS
01.09.2009 18:35:11 >>> Функция воcстановлена успешно !
01.09.2009 18:35:11 >>> Код перехватчика нейтрализован
01.09.2009 18:35:12 Функция NtSetSystemPowerState (F1) перехвачена (8066768B->F75C04F0), перехватчик C:\WINDOWS\system32\Drivers\Vax347b.sys, драйвер опознан как безопасный
01.09.2009 18:35:12 >>> Функция воcстановлена успешно !
01.09.2009 18:35:12 >>> Код перехватчика нейтрализован
01.09.2009 18:35:12 Функция NtSetValueKey (F7) перехвачена (80572889->F56708AE), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS
01.09.2009 18:35:12 >>> Функция воcстановлена успешно !
01.09.2009 18:35:12 >>> Код перехватчика нейтрализован
01.09.2009 18:35:20 Проверено функций: 284, перехвачено: 15, восстановлено: 15
01.09.2009 18:35:20 1.3 Проверка IDT и SYSENTER
01.09.2009 18:35:20 Анализ для процессора 1
01.09.2009 18:35:20 Проверка IDT и SYSENTER завершена
01.09.2009 18:35:23 1.4 Поиск маскировки процессов и драйверов
01.09.2009 18:35:23 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
01.09.2009 18:35:23 Драйвер успешно загружен
01.09.2009 18:35:23 1.5 Проверка обработчиков IRP
01.09.2009 18:35:23 Проверка завершена
01.09.2009 18:35:28 D:\Установленные\Офис\Office12\GrooveShellExtensio ns.dll --> Подозрение на перехватчик клавиатуры или троянскую программу
01.09.2009 18:35:28 D:\Установленные\Офис\Office12\GrooveShellExtensio ns.dll>>> Поведенческий анализ
01.09.2009 18:35:28 Типичное поведение для перехватчиков клавиатуры не зарегистрировано
01.09.2009 18:35:28 D:\Установленные\Офис\Office12\GrooveUtil.DLL --> Подозрение на перехватчик клавиатуры или троянскую программу
01.09.2009 18:35:28 D:\Установленные\Офис\Office12\GrooveUtil.DLL>>> Поведенческий анализ
01.09.2009 18:35:28 Типичное поведение для перехватчиков клавиатуры не зарегистрировано
01.09.2009 18:35:28 D:\Установленные\Офис\Office12\GrooveNew.DLL --> Подозрение на перехватчик клавиатуры или троянскую программу
01.09.2009 18:35:28 D:\Установленные\Офис\Office12\GrooveNew.DLL>>> Поведенческий анализ
01.09.2009 18:35:28 Типичное поведение для перехватчиков клавиатуры не зарегистрировано
01.09.2009 18:35:34 Совет: заподозренные файлы НЕ следует удалять, их следует отправить на исследование (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
01.09.2009 18:36:05 >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
01.09.2009 18:36:05 >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
01.09.2009 18:36:05 >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
01.09.2009 18:36:05 >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
01.09.2009 18:36:05 >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
01.09.2009 18:36:05 >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
01.09.2009 18:36:05 > Службы: набор применяемых на компьютере служб зависит от области его применения (домашний, компьютер в сети предприятия и т.д.)!
01.09.2009 18:36:05 >> Безопасность: разрешен автозапуск программ с CDROM
01.09.2009 18:36:05 >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
01.09.2009 18:36:06 >> Безопасность: к компьютеру разрешен доступ анонимного пользователя
01.09.2009 18:36:06 >>> Безопасность: в Microsoft Internet Explorer разрешено использование ActiveX-элементов, не помеченных как безопасные
01.09.2009 18:36:10 >> Microsoft Internet Explorer: разрешено использование элементов ActiveX, не помеченных как безопасные
01.09.2009 18:36:16 >> Отключить автозапуск с жестких дисков
01.09.2009 18:36:17 >> Отключить автозапуск с сетевых дисков
01.09.2009 18:36:17 >> Отключить автозапуск с CD-ROM
01.09.2009 18:36:17 >> Отключить автозапуск с съемных носителей
01.09.2009 18:36:17 >> Отключено автоматическое обновление системы (Windows Update)
01.09.2009 18:36:18 Выполняется исследование системы...
01.09.2009 18:43:02 Исследование системы завершено
01.09.2009 18:43:02 Удаление файла:\Установленные\Virus Removal Tool1\is-56C83\LOG\avptool_syscheck.htm
01.09.2009 18:43:02 Удаление файла:\Установленные\Virus Removal Tool1\is-56C83\LOG\avptool_syscheck.xml
01.09.2009 18:43:02 Удаление службы/драйвера: utmzmza3
01.09.2009 18:43:02 Удаление файла:C:\WINDOWS\system32\Drivers\utmzmza3.sys
01.09.2009 18:43:02 Удаление службы/драйвера: ujmzmza3
01.09.2009 18:43:02 Скрипт выполнен без ошибок
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Нужен скрипт
oadLibraryA (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D7B->61F03C6F
, перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS
:\Установленные\Virus Removal Tool1\is-56C83\LOG\avptool_syscheck.htm
