AVZ 4.37 http://z-oleg.com/secur/avz/
| Имя файла | PID | Описание | Copyright | MD5 | Информация
| c:\program files\ati technologies\ati.ace\core-static\ccc.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 4052 | Catalyst Control Center: Host application | 2002-2010 | ?? | 64.00 кб, rsAh, | создан: 15.09.2010 11:20:52, изменен: 15.09.2010 11:20:52 Командная строка: "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe" 0 c:\program files\drweb enterprise suite\dwengine.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1860 | Dr.Web (R) Scanning Engine | Copyright (c) Doctor Web, Ltd., 1992-2011 | ?? | 1787.84 кб, rsAh, | создан: 15.06.2009 14:57:45, изменен: 23.09.2011 09:03:42 Командная строка: c:\program files\ati technologies\ati.ace\core-static\mom.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2824 | Catalyst Control Center: Monitoring program | 2002-2009 | ?? | 64.00 кб, rsAh, | создан: 22.04.2009 17:38:50, изменен: 22.04.2009 17:38:50 Командная строка: "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM" Обнаружено:31, из них опознаны как безопасные 31
| | |||||
| Модуль | Базовый адрес | Размер в памяти | Описание | Производитель
| C:\WINDOWS\system32\DRIVERS\1794297drv.sys | Скрипт: Kарантин, Удалить, Удалить через BC AA6C0000 | 07F000 (520192) |
| C:\WINDOWS\system32\DRIVERS\27566412.sys | Скрипт: Kарантин, Удалить, Удалить через BC AA19E000 | 522000 (5382144) |
| C:\WINDOWS\System32\Drivers\dump_atapi.sys | Скрипт: Kарантин, Удалить, Удалить через BC AE146000 | 018000 (98304) |
| C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS | Скрипт: Kарантин, Удалить, Удалить через BC F79C7000 | 002000 (8192) |
| Обнаружено модулей - 140, опознано как безопасные - 136
| | ||||||||
| Служба | Описание | Статус | Файл | Группа | Зависимости
| drwupgrade | Служба: Стоп, Удалить, Отключить, Удалить через BC Dr.Web(R) Enterprise Upgrade Service | Не запущен | C:\Program Files\DrWeb Enterprise Suite\1\drwupgrade.exe | Скрипт: Kарантин, Удалить, Удалить через BC |
| Обнаружено - 99, опознано как безопасные - 98
| | ||||||
| Имя файла | Статус | Метод запуска | Описание
| C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, StartCCC | Удалить C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved, {5E2121EE-0300-11D4-8D3B-444553540000} | Удалить C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\atiamaxx.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved, {872A9397-E0D6-4e28-B64D-52B8D0A7EA35} | Удалить C:\Program Files\DrWeb Enterprise Suite\SPIDERGATE.EXE | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, spidergate | Удалить C:\WINDOWS\System32\Drivers\AliIde.sys | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\aliide, EventMessageFile
| C:\WINDOWS\System32\Drivers\CmdIde.sys | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\cmdide, EventMessageFile
| C:\WINDOWS\System32\Drivers\IntelIde.sys | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\intelide, EventMessageFile
| C:\WINDOWS\System32\Drivers\TosIde.sys | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\toside, EventMessageFile
| C:\WINDOWS\System32\Drivers\ViaIde.sys | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\viaide, EventMessageFile
| C:\WINDOWS\System32\Drivers\lbrtfdc.sys | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\lbrtfdc, EventMessageFile
| C:\WINDOWS\System32\PrintFilterPipelineSvc.exe | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\PrintFilterPipelineSvc, EventMessageFile
| C:\WINDOWS\System32\hidserv.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\HidServ\Parameters, ServiceDll | Удалить C:\WINDOWS\System32\igmpv2.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IGMPv2, EventMessageFile
| C:\WINDOWS\System32\ipbootp.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IPBOOTP, EventMessageFile
| C:\WINDOWS\System32\iprip2.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IPRIP2, EventMessageFile
| C:\WINDOWS\System32\ospf.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\OSPF, EventMessageFile
| C:\WINDOWS\System32\ospfmib.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\OSPFMib, EventMessageFile
| C:\WINDOWS\System32\polagent.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\PolicyAgent, EventMessageFile
| C:\WINDOWS\System32\tssdis.exe | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\TermServSessDir, EventMessageFile
| C:\WINDOWS\system32\MsSip1.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\MS Subjects 1, $DLL | Удалить C:\WINDOWS\system32\MsSip2.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\MS Subjects 2, $DLL | Удалить C:\WINDOWS\system32\MsSip3.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\MS Subjects 3, $DLL | Удалить C:\WINDOWS\system32\psxss.exe | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix
| C:\WINDOWS\system32\stisvc.exe | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System, EventMessageFile
| deskpan.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved, {42071714-76d4-11d1-8b24-00a0c9068ff3} | Удалить kbd101.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\i8042prt\Parameters, LayerDriver JPN | Удалить kbd101a.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\i8042prt\Parameters, LayerDriver KOR | Удалить mvfs32.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_USERS, .DEFAULT\Control Panel\IOProcs, MVB | Удалить mvfs32.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_USERS, S-1-5-19\Control Panel\IOProcs, MVB | Удалить mvfs32.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_USERS, S-1-5-20\Control Panel\IOProcs, MVB | Удалить mvfs32.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_USERS, S-1-5-18\Control Panel\IOProcs, MVB | Удалить mvfs32.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_CURRENT_USER, Control Panel\IOProcs, MVB | Удалить vgafix.fon | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fixedfon.fon | Удалить vgaoem.fon | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, oemfonts.fon | Удалить vgasys.fon | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fonts.fon | Удалить Обнаружено элементов автозапуска - 917, опознано как безопасные - 882
| | ||||||
| Имя файла | Тип | Описание | Производитель | CLSID
| Модуль расширения | {92780B25-18CC-41C8-B9BE-3C9C571A8263} | Удалить Обнаружено элементов - 5, опознано как безопасные - 4
| | |||||||||
| Имя файла | Назначение | Описание | Производитель | CLSID
| deskpan.dll | Скрипт: Kарантин, Удалить, Удалить через BC Расширение CPL панорамирования дисплея | {42071714-76d4-11d1-8b24-00a0c9068ff3} | Удалить Расширения оболочки для сжатия файлов | {764BF0E1-F219-11ce-972D-00AA00A14F56} | Удалить Контекстное меню шифрования | {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} | Удалить Панель задач и меню ''Пуск'' | {0DF44EAA-FF21-4412-828E-260A8728E7F1} | Удалить Учетные записи пользователей | {7A9D77BD-5403-11d2-8785-2E0420524153} | Удалить C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll | Скрипт: Kарантин, Удалить, Удалить через BC Catalyst Context Menu extension | AMD Desktop Control Panel | © 2007-2008 Advanced Micro Devices, Inc. | {5E2121EE-0300-11D4-8D3B-444553540000} | Удалить C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\atiamaxx.dll | Скрипт: Kарантин, Удалить, Удалить через BC Display CPL Extension | AMD Desktop Control Panel | © 2007-2008 Advanced Micro Devices, Inc. | {872A9397-E0D6-4e28-B64D-52B8D0A7EA35} | Удалить Обнаружено элементов - 219, опознано как безопасные - 212
| | ||||||||||||||||||||
| Имя файла | Тип | Наименование | Описание | Производитель
| Обнаружено элементов - 8, опознано как безопасные - 8
| | ||||||
| Имя файла | Имя задания | Состояние задания | Описание | Производитель
| Обнаружено элементов - 3, опознано как безопасные - 3
| | ||||||
| Поставщик | Статус | Исп. файл | Описание | GUID
| Обнаружено - 3, опознано как безопасные - 3
| | ||||||
| Поставщик | Исп. файл | Описание
| Обнаружено - 23, опознано как безопасные - 23
| | ||||||
| Имя файла | Описание | Производитель | CLSID | URL загрузки
| Обнаружено элементов - 0, опознано как безопасные - 0
| | ||||||
| Имя файла | Описание | Производитель
| Обнаружено элементов - 30, опознано как безопасные - 30
| | ||||||
| Имя файла | Описание | Производитель | CLSID
| Обнаружено элементов - 14, опознано как безопасные - 14
| | ||||||
Запись файла Hosts
|
| Имя файла | Тип | Описание | Производитель | CLSID
| mscoree.dll | Скрипт: Kарантин, Удалить, Удалить через BC Protocol | Microsoft .NET Runtime Execution Engine () | © Microsoft Corporation. All rights reserved. | {1E66F26B-79EE-11D2-8710-00C04F79ED0D} | Удалить mscoree.dll | Скрипт: Kарантин, Удалить, Удалить через BC Protocol | Microsoft .NET Runtime Execution Engine () | © Microsoft Corporation. All rights reserved. | {1E66F26B-79EE-11D2-8710-00C04F79ED0D} | Удалить mscoree.dll | Скрипт: Kарантин, Удалить, Удалить через BC Protocol | Microsoft .NET Runtime Execution Engine () | © Microsoft Corporation. All rights reserved. | {1E66F26B-79EE-11D2-8710-00C04F79ED0D} | Удалить Обнаружено элементов - 31, опознано как безопасные - 28
| | ||||||
| Файл | Описание | Тип
| C:\WINDOWS\system32\DRIVERS\1794297drv.sys | Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit | Перехватчик KernelMode
| C:\WINDOWS\system32\Drivers\dwprot.sys | Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit | Перехватчик KernelMode
| \SystemRoot\system32\DRIVERS\1794297drv.sys | Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit | Перехватчик KernelMode
| |
Протокол антивирусной утилиты AVZ версии 4.37 Сканирование запущено в 25.01.2012 15:47:47 Загружена база: сигнатуры - 297280, нейропрофили - 2, микропрограммы лечения - 56, база от 25.01.2012 04:00 Загружены микропрограммы эвристики: 397 Загружены микропрограммы ИПУ: 9 Загружены цифровые подписи системных файлов: 317952 Режим эвристического анализатора: Средний уровень эвристики Режим лечения: включено Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора Восстановление системы: включено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=07C0A0) Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000 SDT = 805530A0 KiST = 80501BBC (284) Функция NtAdjustPrivilegesToken (0B) перехвачена (805E2876->AA6EC690), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtAllocateVirtualMemory (11) перехвачена (8059DEEA->F723F2C4), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtClose (19) перехвачена (805B1D8E->AA6ECF94), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtConnectPort (1F) перехвачена (80599A14->AA6EDDC8), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtCreateEvent (23) перехвачена (80605B84->AA6EE312), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtCreateFile (25) перехвачена (8056E38C->AA6ED270), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtCreateKey (29) перехвачена (8061ACEC->AA6EB500), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtCreateMutant (2B) перехвачена (8060E210->AA6EE1F8), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtCreateNamedPipeFile (2C) перехвачена (8056E3C6->AA6EC27E), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtCreatePort (2E) перехвачена (8059A530->AA6EE0CC), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtCreateSection (32) перехвачена (805A0816->AA6EC426), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtCreateSemaphore (33) перехвачена (8060BBBA->AA6EE432), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtCreateThread (35) перехвачена (805C736A->AA6ECC1C), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtCreateWaitablePort (38) перехвачена (8059A554->AA6EE162), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtDebugActiveProcess (39) перехвачена (8063A75E->AA6EFB1A), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtDeleteKey (3F) перехвачена (8061B188->AA6EBB0A), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtDeleteValueKey (41) перехвачена (8061B358->AA6EBEBE), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtDeviceIoControlFile (42) перехвачена (8056E552->AA6ED6F2), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtDuplicateObject (44) перехвачена (805B39A2->AA6F0D26), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtEnumerateKey (47) перехвачена (8061B538->AA6EC00A), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtEnumerateValueKey (49) перехвачена (8061B7A2->AA6EC0A2), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtFreeVirtualMemory (53) перехвачена (805A8544->F723F550), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtFsControlFile (54) перехвачена (8056E586->AA6ED500), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtLoadDriver (61) перехвачена (8057969A->AA6EFC0C), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtLoadKey (62) перехвачена (8061CF10->AA6EB4DC), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtLoadKey2 (63) перехвачена (8061CB1C->AA6EB4EE), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtMapViewOfSection (6C) перехвачена (805A75C4->AA6F0374), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtNotifyChangeKey (6F) перехвачена (8061CEDA->AA6EC1CE), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtOpenEvent (72) перехвачена (80605C84->AA6EE3A8), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtOpenFile (74) перехвачена (8056F4AA->AA6ED016), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtOpenKey (77) перехвачена (8061C0CA->AA6EB6C0), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtOpenMutant (78) перехвачена (8060E2E8->AA6EE288), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtOpenProcess (7A) перехвачена (805C13F8->AA6EC8CC), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtOpenSection (7D) перехвачена (8059F84C->AA6F010E), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtOpenSemaphore (7E) перехвачена (8060BCB4->AA6EE4C8), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtOpenThread (80) перехвачена (805C1684->AA6EC7BE), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtQueryKey (A0) перехвачена (8061C40C->AA6EC13A), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtQueryMultipleValueKey (A1) перехвачена (80619E3A->AA6EBD72), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtQuerySection (A7) перехвачена (805ADD1E->AA6F06AE), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtQueryValueKey (B1) перехвачена (80618F10->AA6EB99C), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtQueueApcThread (B4) перехвачена (805C75C8->AA6EFFA0), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtRenameKey (C0) перехвачена (8061A70E->AA6EBC2C), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtReplaceKey (C1) перехвачена (8061CDC0->AA6EAF16), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtReplyPort (C2) перехвачена (8059A930->AA6EE82C), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtReplyWaitReceivePort (C3) перехвачена (8059B8F8->AA6EE6F2), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtRequestWaitReplyPort (C8) перехвачена (805981BA->AA6EF8B4), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtRestoreKey (CC) перехвачена (8061C6CC->AA6EB28E), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtResumeThread (CE) перехвачена (805CAD9E->AA6F0BC8), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSaveKey (CF) перехвачена (8061C7C8->AA6EAEAE), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSecureConnectPort (D2) перехвачена (805991A8->AA6EDB0E), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSetContextThread (D5) перехвачена (805C7A8C->AA6ECE38), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSetInformationToken (E6) перехвачена (805F0BD6->AA6EF154), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSetSecurityObject (ED) перехвачена (805B6114->AA6EFDAA), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSetSystemInformation (F0) перехвачена (806068D6->AA6F07FE), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSetValueKey (F7) перехвачена (8061925E->AA6EB816), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSuspendProcess (FD) перехвачена (805CAE66->AA6F08F0), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSuspendThread (FE) перехвачена (805CACD8->AA6F0A2A), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSystemDebugControl (FF) перехвачена (8060EC2C->AA6EFA3E), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtTerminateProcess (101) перехвачена (805C8DA6->AA6ECA68), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtTerminateThread (102) перехвачена (805C8FA0->AA6EC9C8), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtUnmapViewOfSection (10B) перехвачена (805A83DA->AA6F0552), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtWriteVirtualMemory (115) перехвачена (805A9964->AA6ECB52), перехватчик C:\WINDOWS\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция FsRtlCheckLockForReadAccess (804E9FA0) - модификация машинного кода. Метод JmpTo. jmp AA6DEFD0 \SystemRoot\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! Функция IoIsOperationSynchronous (804EE87E) - модификация машинного кода. Метод JmpTo. jmp AA6DF3AC \SystemRoot\system32\DRIVERS\1794297drv.sys >>> Функция воcстановлена успешно ! Проверено функций: 284, перехвачено: 62, восстановлено: 64 1.3 Проверка IDT и SYSENTER Анализ для процессора 1 CmpCallCallBacks = 00089076 Disable callback OK Проверка IDT и SYSENTER завершена 1.4 Поиск маскировки процессов и драйверов Поиск маскировки процессов и драйверов завершен 1.5 Проверка обработчиков IRP Драйвер успешно загружен Проверка завершена 2. Проверка памяти Количество найденных процессов: 32 Количество загруженных модулей: 440 Проверка памяти завершена 3. Сканирование дисков Прямое чтение C:\Documents and Settings\администратор\Local Settings\Temp\~DF2DF7.tmp Прямое чтение C:\Documents and Settings\администратор\Local Settings\Temp\~DF362.tmp Прямое чтение C:\Documents and Settings\администратор\Local Settings\Temp\~DF3706.tmp Прямое чтение C:\Documents and Settings\администратор\Local Settings\Temp\~DF4D76.tmp Прямое чтение C:\Documents and Settings\администратор\Local Settings\Temp\~DF4DF5.tmp Прямое чтение C:\Documents and Settings\администратор\Local Settings\Temp\~DF74A0.tmp 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами Проверка отключена пользователем 7. Эвристичеcкая проверка системы Проверка завершена 8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешены терминальные подключения к данному ПК >> Безопасность: Разрешена отправка приглашений удаленному помощнику Проверка завершена 9. Мастер поиска и устранения проблем >> Разрешен автозапуск с HDD >> Разрешен автозапуск с сетевых дисков >> Разрешен автозапуск со сменных носителей Проверка завершена Просканировано файлов: 90104, извлечено из архивов: 74662, найдено вредоносных программ 0, подозрений - 0 Сканирование завершено в 25.01.2012 15:56:06 !!! Внимание !!! Восстановлено 64 функций KiST в ходе работы антируткита Это может нарушить нормальную работу ряда программ, поэтому настоятельно рекомендуется перезагрузить компьютер Сканирование длилось 00:08:20 Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам, то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18 Создание архива с файлами из карантина Создание архива с файлами из карантина завершено Выполняется исследование системыДобавить в скрипт команды:
Исследование системы завершено
Команды скрипта