Код:
Протокол антивирусной утилиты AVZ версии 4.32
Сканирование запущено в 02.02.2010 22:52:08
Загружена база: сигнатуры - 262199, нейропрофили - 2, микропрограммы лечения - 56, база от 30.01.2010 18:04
Загружены микропрограммы эвристики: 378
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 168261
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:WSAConnect (33) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:WSARecv (71) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:WSARecvFrom (73) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:WSASend (76) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:WSASendTo (78) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:closesocket (3) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:connect (4) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:recv (16) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:recvfrom (17) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:send (19) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:sendto (20) перехвачена, метод CodeHijack (метод не определен)
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=083120)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 8055A120
KiST = 804E26A8 (284)
Функция NtCreateKey (29) перехвачена (80570637->804D7571), перехватчик C:\WINDOWS\system32\ntoskrnl.exe, драйвер опознан как безопасный
Функция NtEnumerateKey (47) перехвачена (80570D3E->F843ADA4), перехватчик spez.sys
Функция NtEnumerateValueKey (49) перехвачена (8057E286->F843B132), перехватчик spez.sys
Функция NtOpenKey (77) перехвачена (805686CB->804D7576), перехватчик C:\WINDOWS\system32\ntoskrnl.exe, драйвер опознан как безопасный
Функция NtQueryKey (A0) перехвачена (80570A47->F843B20A), перехватчик spez.sys
Функция NtQueryValueKey (B1) перехвачена (8056CC96->F843B08A), перехватчик spez.sys
Функция NtSetValueKey (F7) перехвачена (80579D4F->F843B29C), перехватчик spez.sys
Функция NtTerminateProcess (101) перехвачена (80584CA9->B268BA30), перехватчик C:\WINDOWS\system32\DRIVERS\PavProc.sys, драйвер опознан как безопасный
Функция NtTerminateThread (102) перехвачена (8057B573->B268AE50), перехватчик C:\WINDOWS\system32\DRIVERS\PavProc.sys, драйвер опознан как безопасный
Проверено функций: 284, перехвачено: 9, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [B2B3616D] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [B2B35FC2] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = F8708EB0 -> C:\WINDOWS\System32\DRIVERS\ShlDrv51.sys, драйвер опознан как безопасный
\FileSystem\ntfs[IRP_MJ_CLOSE] = 823DD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 823DD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 823DD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = F8709390 -> C:\WINDOWS\System32\DRIVERS\ShlDrv51.sys, драйвер опознан как безопасный
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 823DD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 823DD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 823DD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 823DD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 823DD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 823DD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 823DD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 823DD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 823DD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 823DD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 823DD1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 81F57500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 81F57500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 81F57500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 81F57500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 81F57500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 81F57500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 81F57500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 81F57500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 81F57500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 81F57500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 81F57500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 81F57500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 81F57500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 81F57500 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 39
Количество загруженных модулей: 416
c:\program files\smart-shopper\bin\2.5.1\smrt-shpr.dll >>>>> AdvWare.Win32.Shopper.ax удаление запрещено настройкой
Проверка памяти завершена
3. Сканирование дисков
C:\Program Files\Smart-Shopper\Bin\2.5.1\Smrt-Shpr.dll >>>>> AdvWare.Win32.Shopper.ax удаление запрещено настройкой
Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 13 TCP портов и 13 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 91897, извлечено из архивов: 69170, найдено вредоносных программ 2, подозрений - 0
Сканирование завершено в 02.02.2010 23:07:52
Сканирование длилось 00:15:46
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info