-
Junior Member
- Вес репутации
- 53
KAV нашёл ошибки
15.10.2009 10:18:39 Версия Microsoft Windows: Microsoft Windows XP, Build=2600, SP="Service Pack 3"
15.10.2009 10:18:39 Восстановление системы: включено
15.10.2009 10:18:40 1.1 Поиск перехватчиков API, работающих в пользовательском режиме
15.10.2009 10:18:40 Анализ kernel32.dll, таблица экспорта найдена в секции .text
15.10.2009 10:18:40 Функция kernel32.dll:CreateProcessA (99) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80236B->61F03F42
15.10.2009 10:18:40 Перехватчик kernel32.dll:CreateProcessA (99) нейтрализован
15.10.2009 10:18:40 Функция kernel32.dll:CreateProcessW (103) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C802336->61F04040
15.10.2009 10:18:40 Перехватчик kernel32.dll:CreateProcessW (103) нейтрализован
15.10.2009 10:18:40 Функция kernel32.dll:FreeLibrary (241) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AC6E->61F041FC
15.10.2009 10:18:40 Перехватчик kernel32.dll:FreeLibrary (241) нейтрализован
15.10.2009 10:18:40 Функция kernel32.dll:GetModuleFileNameA (373) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80B55F->61F040FB
15.10.2009 10:18:40 Перехватчик kernel32.dll:GetModuleFileNameA (373) нейтрализован
15.10.2009 10:18:40 Функция kernel32.dll:GetModuleFileNameW (374) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80B465->61F041A0
15.10.2009 10:18:40 Перехватчик kernel32.dll:GetModuleFileNameW (374) нейтрализован
15.10.2009 10:18:40 Функция kernel32.dll:GetProcAddress (409) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AE30->61F04648
15.10.2009 10:18:40 Перехватчик kernel32.dll:GetProcAddress (409) нейтрализован
15.10.2009 10:18:40 Функция kernel32.dlloadLibraryA (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D7B->61F03C6F
15.10.2009 10:18:40 Перехватчик kernel32.dlloadLibraryA (581) нейтрализован
15.10.2009 10:18:40 >>> Функции LoadLibraryA - прививка процесса AVZ от перехвата подменой адреса !!)
15.10.2009 10:18:40 Функция kernel32.dlloadLibraryExA (582) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D53->61F03DAF
15.10.2009 10:18:40 Перехватчик kernel32.dlloadLibraryExA (582) нейтрализован
15.10.2009 10:18:40 >>> Функции LoadLibraryExA - прививка процесса AVZ от перехвата подменой адреса !!)
15.10.2009 10:18:40 Функция kernel32.dlloadLibraryExW (583) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF5->61F03E5A
15.10.2009 10:18:40 Перехватчик kernel32.dlloadLibraryExW (583) нейтрализован
15.10.2009 10:18:40 Функция kernel32.dlloadLibraryW (584) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AEDB->61F03D0C
15.10.2009 10:18:40 Перехватчик kernel32.dlloadLibraryW (584) нейтрализован
15.10.2009 10:18:40 Обнаружена модификация IAT: LoadLibraryW - 01060010<>7C80AEDB
15.10.2009 10:18:40 Анализ ntdll.dll, таблица экспорта найдена в секции .text
15.10.2009 10:18:40 Анализ user32.dll, таблица экспорта найдена в секции .text
15.10.2009 10:18:40 Анализ advapi32.dll, таблица экспорта найдена в секции .text
15.10.2009 10:18:40 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
15.10.2009 10:18:40 Анализ wininet.dll, таблица экспорта найдена в секции .text
15.10.2009 10:18:40 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
15.10.2009 10:18:41 Анализ urlmon.dll, таблица экспорта найдена в секции .text
15.10.2009 10:18:41 Анализ netapi32.dll, таблица экспорта найдена в секции .text
15.10.2009 10:18:41 1.2 Поиск перехватчиков API, работающих в привилегированном режиме
15.10.2009 10:18:41 Драйвер успешно загружен
15.10.2009 10:18:41 SDT найдена (RVA=07BFA0)
15.10.2009 10:18:41 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
15.10.2009 10:18:41 SDT = 80552FA0
15.10.2009 10:18:41 KiST = 80501B8C (284)
15.10.2009 10:18:41 Функция NtAdjustPrivilegesToken (0B) перехвачена (805E1E0C->B6B48D46), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
15.10.2009 10:18:41 >>> Функция воcстановлена успешно !
15.10.2009 10:18:41 >>> Код перехватчика уже нейтрализован
15.10.2009 10:18:41 Функция NtConnectPort (1F) перехвачена (805998E8->B6B48250), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
15.10.2009 10:18:41 >>> Функция воcстановлена успешно !
15.10.2009 10:18:41 >>> Код перехватчика уже нейтрализован
15.10.2009 10:18:42 Функция NtCreateFile (25) перехвачена (8056E27C->B6B488EA), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
15.10.2009 10:18:42 >>> Функция воcстановлена успешно !
15.10.2009 10:18:42 >>> Код перехватчика уже нейтрализован
15.10.2009 10:18:42 Функция NtCreateKey (29) перехвачена (8061A286->B6B492C2), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
15.10.2009 10:18:42 >>> Функция воcстановлена успешно !
15.10.2009 10:18:42 >>> Код перехватчика уже нейтрализован
15.10.2009 10:18:42 Функция NtCreatePort (2E) перехвачена (8059A404->B6B48132), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
15.10.2009 10:18:42 >>> Функция воcстановлена успешно !
15.10.2009 10:18:42 >>> Код перехватчика уже нейтрализован
15.10.2009 10:18:42 Функция NtCreateSection (32) перехвачена (805A06EC->B6B4A254), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
15.10.2009 10:18:42 >>> Функция воcстановлена успешно !
15.10.2009 10:18:42 >>> Код перехватчика уже нейтрализован
15.10.2009 10:18:42 Функция NtCreateSymbolicLinkObject (34) перехвачена (805B9594->B6B4A52C), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
15.10.2009 10:18:42 >>> Функция воcстановлена успешно !
15.10.2009 10:18:42 >>> Код перехватчика уже нейтрализован
15.10.2009 10:18:42 Функция NtCreateThread (35) перехвачена (805C7208->B6B47CF, перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
15.10.2009 10:18:42 >>> Функция воcстановлена успешно !
15.10.2009 10:18:42 >>> Код перехватчика уже нейтрализован
15.10.2009 10:18:42 Функция NtDeleteKey (3F) перехвачена (8061A716->B6B48F2C), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
15.10.2009 10:18:42 >>> Функция воcстановлена успешно !
15.10.2009 10:18:42 >>> Код перехватчика уже нейтрализован
15.10.2009 10:18:42 Функция NtDeleteValueKey (41) перехвачена (8061A8E6->B6B490DC), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
15.10.2009 10:18:42 >>> Функция воcстановлена успешно !
15.10.2009 10:18:42 >>> Код перехватчика уже нейтрализован
15.10.2009 10:18:42 Функция NtDuplicateObject (44) перехвачена (805B384E->B6B47A5A), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
15.10.2009 10:18:42 >>> Функция воcстановлена успешно !
15.10.2009 10:18:42 >>> Код перехватчика уже нейтрализован
15.10.2009 10:18:42 Функция NtLoadDriver (61) перехвачена (80579588->B6B49ED6), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
15.10.2009 10:18:42 >>> Функция воcстановлена успешно !
15.10.2009 10:18:42 >>> Код перехватчика уже нейтрализован
15.10.2009 10:18:42 Функция NtMakeTemporaryObject (69) перехвачена (805B1CDE->B6B484D4), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
15.10.2009 10:18:42 >>> Функция воcстановлена успешно !
15.10.2009 10:18:42 >>> Код перехватчика уже нейтрализован
15.10.2009 10:18:42 Функция NtOpenFile (74) перехвачена (8056F39A->B6B48B2E), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
15.10.2009 10:18:42 >>> Функция воcстановлена успешно !
15.10.2009 10:18:42 >>> Код перехватчика уже нейтрализован
15.10.2009 10:18:42 Функция NtOpenProcess (7A) перехвачена (805C1296->B6B4778A), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
15.10.2009 10:18:42 >>> Функция воcстановлена успешно !
15.10.2009 10:18:42 >>> Код перехватчика уже нейтрализован
15.10.2009 10:18:42 Функция NtOpenSection (7D) перехвачена (8059F722->B6B48764), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
15.10.2009 10:18:42 >>> Функция воcстановлена успешно !
15.10.2009 10:18:42 >>> Код перехватчика уже нейтрализован
15.10.2009 10:18:42 Функция NtOpenThread (80) перехвачена (805C1522->B6B47902), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
15.10.2009 10:18:42 >>> Функция воcстановлена успешно !
15.10.2009 10:18:42 >>> Код перехватчика уже нейтрализован
15.10.2009 10:18:42 Функция NtRenameKey (C0) перехвачена (80619CA8->B6B4968, перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
15.10.2009 10:18:42 >>> Функция воcстановлена успешно !
15.10.2009 10:18:42 >>> Код перехватчика уже нейтрализован
15.10.2009 10:18:42 Функция NtRequestWaitReplyPort (C перехвачена (8059808E->B6B499F0), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
15.10.2009 10:18:42 >>> Функция воcстановлена успешно !
15.10.2009 10:18:42 >>> Код перехватчика уже нейтрализован
15.10.2009 10:18:42 Функция NtSecureConnectPort (D2) перехвачена (8059907C->B6B49C72), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
15.10.2009 10:18:42 >>> Функция воcстановлена успешно !
15.10.2009 10:18:42 >>> Код перехватчика уже нейтрализован
15.10.2009 10:18:42 Функция NtSetSystemInformation (F0) перехвачена (80605E76->B6B4A084), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
15.10.2009 10:18:42 >>> Функция воcстановлена успешно !
15.10.2009 10:18:42 >>> Код перехватчика уже нейтрализован
15.10.2009 10:18:42 Функция NtSetValueKey (F7) перехвачена (8061880C->B6B4948, перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
15.10.2009 10:18:42 >>> Функция воcстановлена успешно !
15.10.2009 10:18:42 >>> Код перехватчика уже нейтрализован
15.10.2009 10:18:42 Функция NtShutdownSystem (F9) перехвачена (80609092->B6B4846E), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
15.10.2009 10:18:42 >>> Функция воcстановлена успешно !
15.10.2009 10:18:42 >>> Код перехватчика уже нейтрализован
15.10.2009 10:18:42 Функция NtSystemDebugControl (FF) перехвачена (8060E1DA->B6B4865, перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
15.10.2009 10:18:42 >>> Функция воcстановлена успешно !
15.10.2009 10:18:42 >>> Код перехватчика уже нейтрализован
15.10.2009 10:18:42 Функция NtTerminateProcess (101) перехвачена (805C8C2A->B6B47FFC), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
15.10.2009 10:18:42 >>> Функция воcстановлена успешно !
15.10.2009 10:18:42 >>> Код перехватчика уже нейтрализован
15.10.2009 10:18:42 Функция NtTerminateThread (102) перехвачена (805C8E24->B6B47ECA), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
15.10.2009 10:18:42 >>> Функция воcстановлена успешно !
15.10.2009 10:18:42 >>> Код перехватчика уже нейтрализован
15.10.2009 10:18:44 Проверено функций: 284, перехвачено: 26, восстановлено: 26
15.10.2009 10:18:44 1.3 Проверка IDT и SYSENTER
15.10.2009 10:18:44 Анализ для процессора 1
15.10.2009 10:18:44 Проверка IDT и SYSENTER завершена
15.10.2009 10:18:44 1.4 Поиск маскировки процессов и драйверов
15.10.2009 10:18:44 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
15.10.2009 10:18:44 Драйвер успешно загружен
15.10.2009 10:18:44 1.5 Проверка обработчиков IRP
15.10.2009 10:18:44 Проверка завершена
15.10.2009 10:18:45 C:\WINDOWS\system32\guard32.dll --> Подозрение на перехватчик клавиатуры или троянскую программу
15.10.2009 10:18:45 C:\WINDOWS\system32\guard32.dll>>> Поведенческий анализ
15.10.2009 10:18:45 Типичное поведение для перехватчиков клавиатуры не зарегистрировано
15.10.2009 10:18:45 C:\WINDOWS\system32\nview.dll --> Подозрение на перехватчик клавиатуры или троянскую программу
15.10.2009 10:18:45 C:\WINDOWS\system32\nview.dll>>> Поведенческий анализ
15.10.2009 10:18:45 1. Реагирует на события: клавиатура
15.10.2009 10:18:45 2. Передает данные процессу: 164 C:\WINDOWS\system32\rundll32.exe (окно = "NVIDIA TwinView Window")
15.10.2009 10:18:45 C:\WINDOWS\system32\nview.dll>>> Нейросеть: файл с вероятностью 0.00% похож на типовой перехватчик клавиатуры/мыши
15.10.2009 10:18:46 C:\WINDOWS\system32\NVWRSRU.DLL --> Подозрение на перехватчик клавиатуры или троянскую программу
15.10.2009 10:18:46 C:\WINDOWS\system32\NVWRSRU.DLL>>> Поведенческий анализ
15.10.2009 10:18:46 Типичное поведение для перехватчиков клавиатуры не зарегистрировано
15.10.2009 10:18:46 C:\Program Files\Unlocker\UnlockerHook.dll --> Подозрение на перехватчик клавиатуры или троянскую программу
15.10.2009 10:18:46 C:\Program Files\Unlocker\UnlockerHook.dll>>> Поведенческий анализ
15.10.2009 10:18:46 1. Реагирует на события: клавиатура
15.10.2009 10:18:46 C:\Program Files\Unlocker\UnlockerHook.dll>>> Нейросеть: файл с вероятностью 0.00% похож на типовой перехватчик клавиатуры/мыши
15.10.2009 10:18:47 C:\WINDOWS\system32\midimap.dll --> Подозрение на перехватчик клавиатуры или троянскую программу
15.10.2009 10:18:47 C:\WINDOWS\system32\midimap.dll>>> Поведенческий анализ
15.10.2009 10:18:47 Типичное поведение для перехватчиков клавиатуры не зарегистрировано
15.10.2009 10:18:47 C:\WINDOWS\system32\ntshrui.dll --> Подозрение на перехватчик клавиатуры или троянскую программу
15.10.2009 10:18:47 C:\WINDOWS\system32\ntshrui.dll>>> Поведенческий анализ
15.10.2009 10:18:47 Типичное поведение для перехватчиков клавиатуры не зарегистрировано
15.10.2009 10:18:47 C:\WINDOWS\system32\mstask.dll --> Подозрение на перехватчик клавиатуры или троянскую программу
15.10.2009 10:18:47 C:\WINDOWS\system32\mstask.dll>>> Поведенческий анализ
15.10.2009 10:18:47 Типичное поведение для перехватчиков клавиатуры не зарегистрировано
15.10.2009 10:18:48 Совет: заподозренные файлы НЕ следует удалять, их следует отправить на исследование (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
15.10.2009 10:18:58 Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\WINDOWS\system32\guard32.dll"
15.10.2009 10:18:59 >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
15.10.2009 10:18:59 >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
15.10.2009 10:18:59 >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
15.10.2009 10:18:59 >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
15.10.2009 10:18:59 >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
15.10.2009 10:18:59 > Службы: набор применяемых на компьютере служб зависит от области его применения (домашний, компьютер в сети предприятия и т.д.)!
15.10.2009 10:18:59 >> Безопасность: разрешен автозапуск программ с CDROM
15.10.2009 10:18:59 >> Нарушение ассоциации BAT-файлов
15.10.2009 10:19:00 >> Нарушение ассоциации REG-файлов
15.10.2009 10:19:02 >> Меню "Пуск": заблокированы элементы
15.10.2009 10:19:02 >> Отключить автозапуск с жестких дисков
15.10.2009 10:19:03 >> Отключить автозапуск с сетевых дисков
15.10.2009 10:19:03 >> Отключить автозапуск с CD-ROM
15.10.2009 10:19:03 >> Отключить автозапуск с съемных носителей
15.10.2009 10:19:03 Выполняется исследование системы...
15.10.2009 1047 Исследование системы завершено
15.10.2009 1047 Удаление файла:C:\Documents and Settings\Администратор\Рабочий стол\Virus Removal Tool\is-MG5KA\LOG\avptool_syscheck.htm
15.10.2009 1047 Удаление файла:C:\Documents and Settings\Администратор\Рабочий стол\Virus Removal Tool\is-MG5KA\LOG\avptool_syscheck.xml
15.10.2009 1047 Удаление службы/драйвера: ute0otq3
15.10.2009 1047 Удаление файла:C:\WINDOWS\system32\Drivers\ute0otq3.sys
15.10.2009 1047 Удаление службы/драйвера: uje0otq3
15.10.2009 1047 Скрипт выполнен без ошибок
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-