Протокол исследования системы

AVZ 4.43 http://z-oleg.com/secur/avz/

Список процессов

Модули пространства ядра

Службы

Драйверы

Автозапуск

Модули расширения Internet Explorer (BHO, панели ...)

Модули расширения проводника

Модули расширения системы печати (мониторы печати, провайдеры)

Задания планировщика задач Task Scheduler

Настройки SPI/LSP

Настройки LSP проверены. Ошибок не обнаружено

127.0.0.1       localhost

127.0.0.1 activate.adobe.com

Протокол антивирусной утилиты AVZ версии 4.43
Сканирование запущено в 05.11.2014 20:39:33
Загружена база: сигнатуры - 297605, нейропрофили - 2, микропрограммы лечения - 56, база от 04.11.2014 16:00
Загружены микропрограммы эвристики: 407
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 692829
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 3 "Microsoft Windows XP" ; AVZ работает с правами администратора
Восстановление системы: Отключено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=08B520)
 Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
   SDT = 80562520
   KiST = 804E48B0 (284)
Функция NtCreateKey (29) перехвачена (8057791D->F74D60E0), перехватчик spiw.sys
Функция NtEnumerateKey (47) перехвачена (80578E14->BA4E1342), перехватчик C:\WINDOWS\system32\drivers\avgtpx86.sys, драйвер опознан как безопасный
Функция NtEnumerateValueKey (49) перехвачена (80587693->BA4E13F2), перехватчик C:\WINDOWS\system32\drivers\avgtpx86.sys, драйвер опознан как безопасный
Функция NtNotifyChangeKey (6F) перехвачена (805E21AF->B9B826E0), перехватчик C:\WINDOWS\system32\DRIVERS\avgidsshimx.sys, драйвер опознан как безопасный
Функция NtNotifyChangeMultipleKeys (70) перехвачена (805E1FC1->B9B82800), перехватчик C:\WINDOWS\system32\DRIVERS\avgidsshimx.sys, драйвер опознан как безопасный
Функция NtOpenKey (77) перехвачена (80572BF4->F74D60C0), перехватчик spiw.sys
Функция NtOpenProcess (7A) перехвачена (80581702->B9B82010), перехватчик C:\WINDOWS\system32\DRIVERS\avgidsshimx.sys, драйвер опознан как безопасный
Функция NtOpenThread (80) перехвачена (805E1959->B9B824D0), перехватчик C:\WINDOWS\system32\DRIVERS\avgidsshimx.sys, драйвер опознан как безопасный
Функция NtQueryKey (A0) перехвачена (80578A14->F74F510A), перехватчик spiw.sys
Функция NtQueryValueKey (B1) перехвачена (80573037->BA4E122A), перехватчик C:\WINDOWS\system32\drivers\avgtpx86.sys, драйвер опознан как безопасный
Функция NtSetValueKey (F7) перехвачена (8058228C->F74F519C), перехватчик spiw.sys
Функция NtSuspendProcess (FD) перехвачена (8063775B->B9B82300), перехватчик C:\WINDOWS\system32\DRIVERS\avgidsshimx.sys, драйвер опознан как безопасный
Функция NtSuspendThread (FE) перехвачена (80637677->B9B823E0), перехватчик C:\WINDOWS\system32\DRIVERS\avgidsshimx.sys, драйвер опознан как безопасный
Функция NtTerminateProcess (101) перехвачена (8058E695->B9B82120), перехватчик C:\WINDOWS\system32\DRIVERS\avgidsshimx.sys, драйвер опознан как безопасный
Функция NtTerminateThread (102) перехвачена (805838E7->B9B82210), перехватчик C:\WINDOWS\system32\DRIVERS\avgidsshimx.sys, драйвер опознан как безопасный
Функция NtWriteVirtualMemory (115) перехвачена (805885C4->B9B825E0), перехватчик C:\WINDOWS\system32\DRIVERS\avgidsshimx.sys, драйвер опознан как безопасный
Проверено функций: 284, перехвачено: 16, восстановлено: 0
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Анализ для процессора 2
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
 Драйвер успешно загружен
\FileSystem\ntfs[IRP_MJ_CREATE] = 8AE341F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8AE341F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8AE341F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8AE341F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8AE341F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8AE341F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8AE341F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8AE341F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8AE341F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8AE341F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = B6941660 -> C:\WINDOWS\System32\Drivers\MDFSYSNT.SYS
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8AE341F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8AE341F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8AE341F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8AE341F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8AE341F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 89E011F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 89E011F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 89E011F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 89E011F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 89E011F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 89E011F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 89E011F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 89E011F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 89E011F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 89E011F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 89E011F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 89E011F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 89E011F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 89E011F8 -> перехватчик не определен
\driver\disk[IRP_MJ_CREATE] = BA504BA0 -> C:\WINDOWS\system32\Drivers\fltsrv.sys, драйвер опознан как безопасный
\driver\disk[IRP_MJ_CREATE_NAMED_PIPE] = BA504BA0 -> C:\WINDOWS\system32\Drivers\fltsrv.sys, драйвер опознан как безопасный
\driver\disk[IRP_MJ_CLOSE] = BA504BA0 -> C:\WINDOWS\system32\Drivers\fltsrv.sys, драйвер опознан как безопасный
\driver\disk[IRP_MJ_READ] = BA504BA0 -> C:\WINDOWS\system32\Drivers\fltsrv.sys, драйвер опознан как безопасный
\driver\disk[IRP_MJ_WRITE] = BA504BA0 -> C:\WINDOWS\system32\Drivers\fltsrv.sys, драйвер опознан как безопасный
\driver\disk[IRP_MJ_PNP] = BA504BA0 -> C:\WINDOWS\system32\Drivers\fltsrv.sys, драйвер опознан как безопасный
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 83
 Количество загруженных модулей: 509
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
>>> Подозрение на маскировку ключа реестра службы\драйвера "geyuq"
Обнаружен вызов интерпретатора командной строки в автозапуске [DR=1] HKCU\Software\Microsoft\Windows\CurrentVersion\Run\AlcoholAutomount = ["C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount]
Подозрение на скрытый автозапуск -  HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NvCplDaemon="RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup"
Подозрение на скрытый автозапуск -  HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NvMediaCenter="RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit"
Подозрение на скрытый автозапуск -  HKLM\Software\Microsoft\Windows\CurrentVersion\Run\BluetoothAuthenticationAgent="rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
 >>  Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
 >>  Internet Explorer - разрешена загрузка неподписанных элементов ActiveX
 >>  Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
 >>  Internet Explorer - разрешен запуск программ и файлов в окне IFRAME
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей
 >>  Обнаружены опасные расширения в списке типов файлов, не представляющих угрозы
 >>  Повреждено меню настройки отображения папок
Проверка завершена
Просканировано файлов: 592, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 05.11.2014 20:41:00
Сканирование длилось 00:01:31
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ 
можно использовать сервис http://virusdetector.ru/
Создание архива с файлами из карантина
Создание архива с файлами из карантина завершено
Выполняется исследование системы
Диагностика сети
 DNS and Ping test
Host="yandex.ru", IP="93.158.134.11,213.180.193.11,213.180.204.11", Ping=OK (0,21,93.158.134.11)
Host="google.ru", IP="212.1.249.49,212.1.249.50,212.1.249.54,212.1.249.55,212.1.249.59,212.1.249.20,212.1.249.24,212.1.249.25,212.1.249.29,212.1.249.30,212.1.249.34,212.1.249.35,212.1.249.39,212.1.249.40,212.1.249.44,212.1.249.45", Ping=OK (0,3,212.1.249.49)
Host="google.com", IP="212.1.249.44,212.1.249.45,212.1.249.49,212.1.249.50,212.1.249.54,212.1.249.55,212.1.249.59,212.1.249.20,212.1.249.24,212.1.249.25,212.1.249.29,212.1.249.30,212.1.249.34,212.1.249.35,212.1.249.39,212.1.249.40", Ping=OK (0,2,212.1.249.44)
Host="www.kaspersky.com", IP="212.5.89.20", Ping=OK (0,4,212.5.89.20)
Host="www.kaspersky.ru", IP="212.5.89.229", Ping=OK (0,5,212.5.89.229)
Host="dnl-03.geo.kaspersky.com", IP="93.191.13.103", Ping=OK (0,12,93.191.13.103)
Host="dnl-11.geo.kaspersky.com", IP="62.76.24.153", Ping=OK (0,10,62.76.24.153)
Host="activation-v2.kaspersky.com", IP="212.5.89.37", Ping=OK (0,6,212.5.89.37)
Host="odnoklassniki.ru", IP="217.20.147.94", Ping=OK (0,4,217.20.147.94)
Host="vk.com", IP="87.240.131.99,87.240.131.120,87.240.131.97", Ping=OK (0,14,87.240.131.99)
Host="vkontakte.ru", IP="95.213.4.247,95.213.4.248,95.213.4.246", Ping=OK (0,13,95.213.4.247)
Host="twitter.com", IP="199.16.156.6,199.16.156.38,199.16.156.102,199.16.156.198", Ping=OK (0,161,199.16.156.6)
Host="facebook.com", IP="173.252.120.6", Ping=OK (0,155,173.252.120.6)
Host="ru-ru.facebook.com", IP="31.13.93.81", Ping=OK (0,48,31.13.93.81)
Network IE settings
 IE setting AutoConfigURL=
 IE setting AutoConfigProxy=wininet.dll
 IE setting ProxyOverride=*.local
 IE setting ProxyServer=
 IE setting Internet\ManualProxies=
Network TCP/IP settings
  Interface: "Подключение по локальной сети"
   IPAddress = "0.0.0.0"
   SubnetMask = "0.0.0.0"
   DefaultGateway = ""
   NameServer = ""
   Domain = ""
   DhcpServer = "192.168.0.1"
  Interface: "Подключение по локальной сети 7"
   IPAddress = "0.0.0.0"
   SubnetMask = "0.0.0.0"
   DefaultGateway = ""
   NameServer = ""
   Domain = ""
   DhcpServer = "192.168.0.1"
  Interface: "Подключение по локальной сети 6"
   IPAddress = "0.0.0.0"
   SubnetMask = "0.0.0.0"
   DefaultGateway = ""
   NameServer = ""
   Domain = ""
   DhcpServer = "255.255.255.255"
  Interface: "Подключение по локальной сети 5"
   IPAddress = "0.0.0.0"
   SubnetMask = "0.0.0.0"
   DefaultGateway = ""
   NameServer = ""
   Domain = ""
   DhcpServer = "255.255.255.255"

 Исследование системы завершено


Команды скрипта
 
Добавить в скрипт команды:
Нейтрализация перехватов функций при помощи антируткита
Включить AVZGuard
Управление AVZPM (true-включить,false-отключить)
BootCleaner - импорт списка удаленных файлов
BootCleaner - импортировать все
Чистка реестра после удаления файлов
ExecuteWizard ('TSW',2,3,true) - Выполнение мастера поиска и устранения проблем
BootCleaner - активация
Перезагрузка
Вставить заготовку для QuarantineFile() - помещение файла в карантин
Вставить заготовку для BC_QrFile() - помещение файла в карантин через BC
Вставить заготовку для DeleteFile() - удаление файла
Вставить заготовку для DelCLSID() - удаление CLSID класса из реестра
Дополнительные операции:
Оптимизация - отключить службу TermService (Службы терминалов)
Оптимизация - отключить службу SSDPSRV (Служба обнаружения SSDP)
Оптимизация - отключить службу Schedule (Планировщик заданий)
Оптимизация - отключить службу RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
Оптимизация - безопасность - отключить автозапуск программ с CD
Оптимизация - безопасность - отключить административный доступ к локальным дискам
Оптимизация - безопасность - блокировать возможность подключения анонимных пользователей
Безопасность: IE - запретить использование ActiveX, не помеченных как безопасные
Безопасность: IE - запретить загрузку подписанных элементов ActiveX без запроса
Безопасность: IE - запретить загрузку неподписанных элементов ActiveX
Безопасность: IE - запретить автоматические запросы элементов управления ActiveX
Безопасность: IE - запретить запуск программ и файлов в IFRAME без запроса
Безопасность - запретить отправку приглашений удаленному помощнику

Список файлов