Victor_VG
я отправил Вам на Ваш почтовый ящик результаты проверки. очень хотел услышать Ваши комментарии.
я отправил Вам на Ваш почтовый ящик результаты проверки. очень хотел услышать Ваши комментарии.
» AVZ - Anti-SpyWare, Anti-AdWare
kex_131
Скорее всего Victor_VG еще не появлялся на форуме, ждите.
abz, vv07, всем пожалуйста. "Мы легких путей не ищем".
Скорее всего Victor_VG еще не появлялся на форуме, ждите.
abz, vv07, всем пожалуйста. "Мы легких путей не ищем".
kex_131
Мое мыло отображаеться.Отправьте отчет,я посомтрю.В архиве пожулуйста и обзовите его AVZ
Мое мыло отображаеться.Отправьте отчет,я посомтрю.В архиве пожулуйста и обзовите его AVZ
vv07
отправил. спасибо.
отправил. спасибо.
Цитата:
kex_131
Собственно настораживает,только один момент,но тут думаю вам AVZ не поможет.
Цитата:
\FileSystem\ntfs[IRP_MJ_CREATE] = 8178D1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_CLOSE] = 8178D1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_WRITE] = 8178D1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8178D1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8178D1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8178D1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_EA] = 8178D1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8178D1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8178D1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8178D1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8178D1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8178D1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8178D1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8178D1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8178D1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_PNP] = 8178D1F8 -> перехватчик не определен
Необходимо проверить машину из доса.Любой свежий диск-реаниматор,с обновленными базами.Не хочу расстраивать,но подозреваю,что у вас сидит вирус в NTFS потоке.Именно он и может быть причиной,тупой работы системы.
На перехватчиков клавы,не обращайте внимания
.Это обычная реакция утилиты,по таким программам.AmlMaple я сам использую,а вот эту незнаю louderit вот что б я понял - так нет....
Цитата:
kex_131Попробую так.AVZ определила наличие в системе перехватика(Зловред иначе),но не смог идентифицировать его,так как он находиться в NTFS потоках,вашего жесткого диска.Для проверки необходим,специальный диск-реаниматор,который запускаеться в DOS.Но думаю,что вам лучше попросить кого нибуть,помочь вам.Сами наверное вы не сможете этого сделать,если как писали,не очень разбираетесь.
vv07
если Вас не затруднит, пожалуйста, скажите: что конкретно нужно делать. пошагово. с лексикой для детей и инопланетян. заранее благодарен.
Добавлено:
понял. спасибо. надеялся, что справлюсь сам. еще раз спасибо.
если Вас не затруднит, пожалуйста, скажите: что конкретно нужно делать. пошагово. с лексикой для детей и инопланетян. заранее благодарен.
Добавлено:
понял. спасибо. надеялся, что справлюсь сам. еще раз спасибо.
Цитата:
kex_131
Пошагово;Найти кента,соображающего
Спросить у него,имеет ли он диск для проверки компьютера из под DOS.Если получите утвердительный ответ,то попросить его,проверить ваш компьютер. При отсутствии кента,обратиься в ближайшую сервисную службу.
Если же надеетесь,все таки сами справиться,то напишите,дам ссылки откуда скачать загрузочный диск
kex_131
а вы перед проверкой АВЗ ничего другого из сканеров не запускали? попробуйте тоже самое в безопасном режиме сделать, записи останутся?
Проверить вот этим http://www.freedrweb.com/cureit/ и вот ftp://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/
Добавлено:
и еще вариант от DrWeb http://beta.drweb.com/files/livecd (требуется регистрация) правда он бета
а вы перед проверкой АВЗ ничего другого из сканеров не запускали? попробуйте тоже самое в безопасном режиме сделать, записи останутся?
Проверить вот этим http://www.freedrweb.com/cureit/ и вот ftp://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/
Добавлено:
и еще вариант от DrWeb http://beta.drweb.com/files/livecd (требуется регистрация) правда он бета
спасибо.
я временно не могу выйти из дома, так что это не самый короткий путь. если Вас не затруднит, укажите, пожалуйста, где я могу скачать то, что Вы указали.
относительно второго сообщения. да, проверял: др.вэб поставил на полную проверку. что-то нашел и я это удалил. спасибо за совет. попробую воспользоваться Вашими ссылками.
я временно не могу выйти из дома, так что это не самый короткий путь. если Вас не затруднит, укажите, пожалуйста, где я могу скачать то, что Вы указали.
относительно второго сообщения. да, проверял: др.вэб поставил на полную проверку. что-то нашел и я это удалил. спасибо за совет. попробую воспользоваться Вашими ссылками.
Oleg_Zaitsev
А куда закидывать файлы для возможного включения
их в "базу системных безопасных объектов AVZ" ?
А куда закидывать файлы для возможного включения
их в "базу системных безопасных объектов AVZ" ?
diEmaN
полностью поддерживаю твой вопрос - особенно надоело что AVZ ругается на PuntoSwitcher, как будто это перехватчик клавиатуры...
полностью поддерживаю твой вопрос - особенно надоело что AVZ ругается на PuntoSwitcher, как будто это перехватчик клавиатуры...
Цитата:
как будто это перехватчик клавиатуры
а он и есть
Точнее одна из его функций - "Дневник"
diEmaN
Базы безопасных,создаються автором программы и не могут изменяться вручную,так как это противоречит политике утилиты.Все равно,что влезть в базы анвира или базы Майкрософта.В конце то концов,можно задать исклюение,на период проверки.
Базы безопасных,создаються автором программы и не могут изменяться вручную,так как это противоречит политике утилиты.Все равно,что влезть в базы анвира или базы Майкрософта.В конце то концов,можно задать исклюение,на период проверки.
После того, как обнаружил в win.ini запись
[hkjhk]
;msconfig nnhjhkj12=1215006426
(система WinXPx64, файл win.ini поправил вручную, удалив вышеозначенную запись)
решил просканировать комп AVZ 4.30 получил отчёт (см лог). попытки лечения с установкой параметров HackTool на "лечение" или "спросить у пользователя"-результатов не дали--при повторном сканировании выдаёт тоже самое.
подозрительных файлов нашло три (см в архиве), один из них, который
подозрителен как руткит я удалил, однако после перезагрузки-сканирование его снова нашло. что делать в данной ситуации?
кстати, в реестре есть разделы (в частности HKCU\Software\SecuROM\License information), которые под правами администратора не
могу просмотреть или удалить-ошибка удаления или ошибка открытия. При выполнении
инструментом "восстановление системы"--"удаление всех ограничений
текущего пользователя" всё равно не могу открыть\удалить раздел.
кто что может сказать по поводу лога и что делать в данном случае?
[hkjhk]
;msconfig nnhjhkj12=1215006426
(система WinXPx64, файл win.ini поправил вручную, удалив вышеозначенную запись)
решил просканировать комп AVZ 4.30 получил отчёт (см лог). попытки лечения с установкой параметров HackTool на "лечение" или "спросить у пользователя"-результатов не дали--при повторном сканировании выдаёт тоже самое.
подозрительных файлов нашло три (см в архиве), один из них, который
подозрителен как руткит я удалил, однако после перезагрузки-сканирование его снова нашло. что делать в данной ситуации?
кстати, в реестре есть разделы (в частности HKCU\Software\SecuROM\License information), которые под правами администратора не
могу просмотреть или удалить-ошибка удаления или ошибка открытия. При выполнении
инструментом "восстановление системы"--"удаление всех ограничений
текущего пользователя" всё равно не могу открыть\удалить раздел.
кто что может сказать по поводу лога и что делать в данном случае?
vv07
Вообще-то под словом "закинуть" имелось в виду mail или сервис в и-нете,
куда можно отправить такие файлы разработчику для анализа.
Заносить их в базы или нет, конечно, решать г-ну Зайцеву.
А вопрос был задан потому, что ни в форуме, ни на сайте не увидел,
чтобы разработчик нуждался в такой "помощи".
Вообще-то под словом "закинуть" имелось в виду mail или сервис в и-нете,
куда можно отправить такие файлы разработчику для анализа.
Заносить их в базы или нет, конечно, решать г-ну Зайцеву.
А вопрос был задан потому, что ни в форуме, ни на сайте не увидел,
чтобы разработчик нуждался в такой "помощи".
diEmaN
Цитата:
На форуме вирусинфо (см. ссылку в шапке данной темы) есть особый раздел "Загрузка чистых файлов". Там есть форма для загрузки файлов + пошаговая инструкция, как это сделать. Файлы принимаются и накапливаются, затем забираются моим роботом, проходят многоступенчатый анализ и затем постепенно добавляются в базу чистых. Однако по статистике примерно каждый 20-й присланный таким образом файл оказывается зловредом ...
Цитата:
Вообще-то под словом "закинуть" имелось в виду mail или сервис в и-нете,
куда можно отправить такие файлы разработчику для анализа.
Заносить их в базы или нет, конечно, решать г-ну Зайцеву.
А вопрос был задан потому, что ни в форуме, ни на сайте не увидел,
чтобы разработчик нуждался в такой "помощи".
На форуме вирусинфо (см. ссылку в шапке данной темы) есть особый раздел "Загрузка чистых файлов". Там есть форма для загрузки файлов + пошаговая инструкция, как это сделать. Файлы принимаются и накапливаются, затем забираются моим роботом, проходят многоступенчатый анализ и затем постепенно добавляются в базу чистых. Однако по статистике примерно каждый 20-й присланный таким образом файл оказывается зловредом ...
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
---------
Она на ручном управлении. Если же её совсем отключить, то в *Диспетчер задач* в Процессы не будет видно имя пользователя.
---------------------
C:\WINDOWS\system32\iertutil.dll --> Подозрение на Keylogger или троянскую DLL
Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно изъят и помещен в папку Infected
-------
Но после его удаления ОС загрузилась с пустым раб. столом. И окном:
"Explorer.exe -не удалось найти компонент. Приложению не удаётся запуститься из-за отсутствия iertutil.dll Повторная установка приложения может исправить проблему."
Какая установка и чего?
Вернуть раб. стол удалось через *Диспетчер задач* путём захода в папку AVZ->\Infected и переименования файла avz00002.dta обратно в iertutil.dll вставки его в папку C:\WINDOWS\system32\ и перезагрузки компа. Хорошо что в папке Infected есть файлы ini по ним и ориентировался.
--------------------------
1.4 Поиск маскировки процессов и драйверов
Видимый процесс с PID=1420, имя = "\Device\HarddiskVolume1\Program Files\Alwil Software\Avast4\ashDisp.exe"
>> обнаружена подмена имени, новое имя = "c:\progra~1\alwils~1\avast4\ashdisp.exe"
Поиск маскировки процессов и драйверов завершен
------------------
Вот тут я не понял? При просмотре по адресу C:\Program Files\Alwil Software\Avast4 там лежит ashDisp.exe а не ashdisp.exe. Причём просмотрел даты у всех файлов в папке. Везде одинаково
Создан: 25 июля 2008 г., 13:47:00
Изменён: 19 июля 2008 г., 17:38:34
---------
Она на ручном управлении. Если же её совсем отключить, то в *Диспетчер задач* в Процессы не будет видно имя пользователя.
---------------------
C:\WINDOWS\system32\iertutil.dll --> Подозрение на Keylogger или троянскую DLL
Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно изъят и помещен в папку Infected
-------
Но после его удаления ОС загрузилась с пустым раб. столом. И окном:
"Explorer.exe -не удалось найти компонент. Приложению не удаётся запуститься из-за отсутствия iertutil.dll Повторная установка приложения может исправить проблему."
Какая установка и чего?
Вернуть раб. стол удалось через *Диспетчер задач* путём захода в папку AVZ->\Infected и переименования файла avz00002.dta обратно в iertutil.dll вставки его в папку C:\WINDOWS\system32\ и перезагрузки компа. Хорошо что в папке Infected есть файлы ini по ним и ориентировался.
--------------------------
1.4 Поиск маскировки процессов и драйверов
Видимый процесс с PID=1420, имя = "\Device\HarddiskVolume1\Program Files\Alwil Software\Avast4\ashDisp.exe"
>> обнаружена подмена имени, новое имя = "c:\progra~1\alwils~1\avast4\ashdisp.exe"
Поиск маскировки процессов и драйверов завершен
------------------
Вот тут я не понял? При просмотре по адресу C:\Program Files\Alwil Software\Avast4 там лежит ashDisp.exe а не ashdisp.exe. Причём просмотрел даты у всех файлов в папке. Везде одинаково
Создан: 25 июля 2008 г., 13:47:00
Изменён: 19 июля 2008 г., 17:38:34
Oleg_Zaitsev
Вот сделал проверку Вашей программой, вот лог:
[more=Читать дальше..]Протокол антивирусной утилиты AVZ версии 4.30
Сканирование запущено в 06.10.2008 20:47:07
Загружена база: сигнатуры - 190543, нейропрофили - 2, микропрограммы лечения - 56, база от 05.10.2008 21:23
Загружены микропрограммы эвристики: 370
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 73460
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 6.0.6001, Service Pack 1 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:LdrLoadDll (122) перехвачена, метод APICodeHijack.JmpTo[30781F16]
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:DrawIconEx (193) перехвачена, метод APICodeHijack.JmpTo[01FE11D6]
Функция user32.dll:GetIconInfo (297) перехвачена, метод APICodeHijack.JmpTo[01FE1116]
Функция user32.dll:SetWindowPos (680) перехвачена, метод APICodeHijack.JmpTo[01FE1036]
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=12C8C0)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 83042000
SDT = 8316E8C0
KiST = 830AF890 (391)
Проверено функций: 391, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 85A931F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 85A931F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 85A931F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 85A931F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 85A931F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 85A931F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 85A931F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 85A931F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 85A931F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 85A931F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 85A931F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 85A931F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 85A931F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 85A931F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 85A931F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 85A931F8 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 63
Количество загруженных модулей: 777
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Windows\System32\drivers\sptd.sys
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll --> Подозрение на Keylogger или троянскую DLL
C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll)
C:\Program Files\Unlocker\UnlockerHook.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Unlocker\UnlockerHook.dll>>> Поведенческий анализ
1. Реагирует на события: клавиатура
C:\Program Files\Unlocker\UnlockerHook.dll>>> Нейросеть: файл с вероятностью 99.92% похож на типовой перехватчик событий клавиатуры/мыши
Файл успешно помещен в карантин (C:\Program Files\Unlocker\UnlockerHook.dll)
C:\Program Files\Punto Switcher\pshook.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Punto Switcher\pshook.dll>>> Поведенческий анализ
1. Реагирует на события: клавиатура
2. Выясняет, какое окно находится в фокусе ввода
3. Опрашивает состояние клавиш
4. Опрашивает состояние клавиатуры
5. Опрашивает активную раскладку клавиатуры
6. Определяет ASCII коды по кодам клавиш
C:\Program Files\Punto Switcher\pshook.dll>>> Нейросеть: файл с вероятностью 89.00% похож на типовой перехватчик событий клавиатуры/мыши
Файл успешно помещен в карантин (C:\Program Files\Punto Switcher\pshook.dll)
C:\Program Files\Stardock\CursorFX\CurXP0.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Stardock\CursorFX\CurXP0.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (C:\Program Files\Stardock\CursorFX\CurXP0.dll)
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 142 TCP портов и 19 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (@%SystemRoot%\system32\schedsvc.dll,-100)
>> Службы: разрешена потенциально опасная служба RDSessMgr ()
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Нарушение ассоциации REG файлов
>> Таймаут завершения служб находится за пределами допустимых значений
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 173894, извлечено из архивов: 81214, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 06.10.2008 22:45:26
Сканирование длилось 01:58:21
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info[/more]
Скажите пожалуйста, стоит ли на что-то обратить внимание?
Заранее благодарю за ответ.
Да, а для общей защиты я использую KIS 7. И в принципе никогда на него нежаловался, просто сегодня почитал тему про AVZ и решил проверить.
Вот сделал проверку Вашей программой, вот лог:
[more=Читать дальше..]Протокол антивирусной утилиты AVZ версии 4.30
Сканирование запущено в 06.10.2008 20:47:07
Загружена база: сигнатуры - 190543, нейропрофили - 2, микропрограммы лечения - 56, база от 05.10.2008 21:23
Загружены микропрограммы эвристики: 370
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 73460
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 6.0.6001, Service Pack 1 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:LdrLoadDll (122) перехвачена, метод APICodeHijack.JmpTo[30781F16]
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:DrawIconEx (193) перехвачена, метод APICodeHijack.JmpTo[01FE11D6]
Функция user32.dll:GetIconInfo (297) перехвачена, метод APICodeHijack.JmpTo[01FE1116]
Функция user32.dll:SetWindowPos (680) перехвачена, метод APICodeHijack.JmpTo[01FE1036]
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=12C8C0)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 83042000
SDT = 8316E8C0
KiST = 830AF890 (391)
Проверено функций: 391, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 85A931F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 85A931F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 85A931F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 85A931F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 85A931F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 85A931F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 85A931F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 85A931F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 85A931F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 85A931F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 85A931F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 85A931F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 85A931F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 85A931F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 85A931F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 85A931F8 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 63
Количество загруженных модулей: 777
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Documents and Settings\Vovan\AppData\Local\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Documents and Settings\Vovan\Local Settings\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Users\Vovan\AppData\Local\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Application Data\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD4.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BD5.tmp
Прямое чтение C:\Users\Vovan\Local Settings\Microsoft\Windows\Explorer\ThumbCacheToDelete\thm4BE8.tmp
Прямое чтение C:\Windows\System32\drivers\sptd.sys
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll --> Подозрение на Keylogger или троянскую DLL
C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll)
C:\Program Files\Unlocker\UnlockerHook.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Unlocker\UnlockerHook.dll>>> Поведенческий анализ
1. Реагирует на события: клавиатура
C:\Program Files\Unlocker\UnlockerHook.dll>>> Нейросеть: файл с вероятностью 99.92% похож на типовой перехватчик событий клавиатуры/мыши
Файл успешно помещен в карантин (C:\Program Files\Unlocker\UnlockerHook.dll)
C:\Program Files\Punto Switcher\pshook.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Punto Switcher\pshook.dll>>> Поведенческий анализ
1. Реагирует на события: клавиатура
2. Выясняет, какое окно находится в фокусе ввода
3. Опрашивает состояние клавиш
4. Опрашивает состояние клавиатуры
5. Опрашивает активную раскладку клавиатуры
6. Определяет ASCII коды по кодам клавиш
C:\Program Files\Punto Switcher\pshook.dll>>> Нейросеть: файл с вероятностью 89.00% похож на типовой перехватчик событий клавиатуры/мыши
Файл успешно помещен в карантин (C:\Program Files\Punto Switcher\pshook.dll)
C:\Program Files\Stardock\CursorFX\CurXP0.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Stardock\CursorFX\CurXP0.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (C:\Program Files\Stardock\CursorFX\CurXP0.dll)
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 142 TCP портов и 19 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (@%SystemRoot%\system32\schedsvc.dll,-100)
>> Службы: разрешена потенциально опасная служба RDSessMgr ()
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Нарушение ассоциации REG файлов
>> Таймаут завершения служб находится за пределами допустимых значений
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 173894, извлечено из архивов: 81214, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 06.10.2008 22:45:26
Сканирование длилось 01:58:21
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info[/more]
Скажите пожалуйста, стоит ли на что-то обратить внимание?
Заранее благодарю за ответ.
Да, а для общей защиты я использую KIS 7. И в принципе никогда на него нежаловался, просто сегодня почитал тему про AVZ и решил проверить.
volodya62
Цитата:
Скрой его тегом [more]
Цитата:
вот лог:
Скрой его тегом [more]
thelamb
Цитата:
Цитата:
2. ставить галочку на "Выполнять лечение" и оставив действиями "Удалять" надо не при первом-втором запуске программы, а на 10-20, когда вы уже знаете на что она реагирует в вашей системе и знаете как она реагирует
, за довольно длительный срок пользования этой замечательной программой я ни разу не устанавливал эту галку, сканированием я определяю странное/подоздрительное, а для лечения есть отличный набор ручных и автоматических инструментов в программе, а уж удаляю я подозрительные файлы когда я на 99% уверен что а) это зараза и б) приняты меры для отката если это окажется не зараза...
Цитата:
volodya62
Цитата:
После этого повторить лог. Из того лога что вы щас привели, для меня подозрительно количество файлов для которых потребовалось прямое чтение и пути по которым они располагаются..., на на это и остальное лучше глянуть на повторном логе после установки драйвера.
Цитата:
Она на ручном управлении. Если же её совсем отключить, то в *Диспетчер задач* в Процессы не будет видно имя пользователя.Программа только указывает на потенциальную дыру, а устранять ее и если устранять, то как решать вам.
Цитата:
Но после его удаления ОС загрузилась с пустым раб. столом.1. Если это тот файл про который я думаю, то он "добавляется" после установки то ли IE7, то ли после SP3, щас точно сказать не могу, но
2. ставить галочку на "Выполнять лечение" и оставив действиями "Удалять" надо не при первом-втором запуске программы, а на 10-20, когда вы уже знаете на что она реагирует в вашей системе и знаете как она реагирует
, за довольно длительный срок пользования этой замечательной программой я ни разу не устанавливал эту галку, сканированием я определяю странное/подоздрительное, а для лечения есть отличный набор ручных и автоматических инструментов в программе, а уж удаляю я подозрительные файлы когда я на 99% уверен что а) это зараза и б) приняты меры для отката если это окажется не зараза...Цитата:
Вот тут я не понял?тут надо просто обратить винимание не на регистр букв в названии, а на "разные" пути к этому файлу, "разные" они потому что в одном случае используется старый формат имен - 8.3
volodya62
Цитата:
Вот сделал проверку Вашей программой, вот лог...Вам надо сначала установить драйвер программы: AVZPM --> "Установить драйвер расширенного мониторинга процесса" --> перезагрузка
После этого повторить лог. Из того лога что вы щас привели, для меня подозрительно количество файлов для которых потребовалось прямое чтение и пути по которым они располагаются..., на на это и остальное лучше глянуть на повторном логе после установки драйвера.
DJ makrus
Цитата:
Всё верно, я потому и разрешил удаление iertutil.dll, что вначале проверил на др. компе. В XP+ SP2 её нет. Выходило окно след. содержания:
"Explorer.exe -не удалось найти компонент. Приложению не удаётся запуститься из-за отсутствия iertutil.dll Повторная установка приложения может исправить проблему."
А вот что написано в свойствах самой iertutil.dll:
Тип файла: Application Extension
Неизвестное приложение
261 КБ (267 776 байт)
3 октября 2008 г., 4:12:02 (это я его удалял через AVZ)
1 марта 2008 г., 16:06:26 (это видимо он был создан. Но я SP3 cтавил 27-го мая.)
6 октября 2008 г., 21:23:08 это я сейчас его открыл.
Версия файла: 7.0.6000.16640 (vista_gdr.080213-1606)
Описание: Run time utility for Internet Explorer
(Вот этого я не понял? Окно то было от Explorer.exe? И как связаны меж собой раб. стол и IE (Internet Explorer)? В диспетчере задач при запущеном IE7 два процесса. 1- explorer.exe и 2- iexplorer.exe. Просмотрел в IE7 все надстройки и такой .dll там нет. Но я запускал и проверку sfc /scannow.
Авторские права: © Microsoft Corporation. All rights reserved
Внутреннее имя: IeRtUtil.dll
Название продукта: Windows® Internet Explorer
Производитель: Microsoft Corporation
Язык: Английский (США)
Цитата:
1. Если это тот файл про который я думаю, то он "добавляется" после установки то ли IE7, то ли после SP3, щас точно сказать не могу
Всё верно, я потому и разрешил удаление iertutil.dll, что вначале проверил на др. компе. В XP+ SP2 её нет. Выходило окно след. содержания:
"Explorer.exe -не удалось найти компонент. Приложению не удаётся запуститься из-за отсутствия iertutil.dll Повторная установка приложения может исправить проблему."
А вот что написано в свойствах самой iertutil.dll:
Тип файла: Application Extension
Неизвестное приложение
261 КБ (267 776 байт)
3 октября 2008 г., 4:12:02 (это я его удалял через AVZ)
1 марта 2008 г., 16:06:26 (это видимо он был создан. Но я SP3 cтавил 27-го мая.)
6 октября 2008 г., 21:23:08 это я сейчас его открыл.
Версия файла: 7.0.6000.16640 (vista_gdr.080213-1606)
Описание: Run time utility for Internet Explorer
(Вот этого я не понял? Окно то было от Explorer.exe? И как связаны меж собой раб. стол и IE (Internet Explorer)? В диспетчере задач при запущеном IE7 два процесса. 1- explorer.exe и 2- iexplorer.exe. Просмотрел в IE7 все надстройки и такой .dll там нет. Но я запускал и проверку sfc /scannow.
Авторские права: © Microsoft Corporation. All rights reserved
Внутреннее имя: IeRtUtil.dll
Название продукта: Windows® Internet Explorer
Производитель: Microsoft Corporation
Язык: Английский (США)
thelamb
Цитата:
Цитата:
Цитата:
Цитата:
А вот что написано в свойствах самой iertutil.dllу меня для текущей версии этого файла, MD5: b7f46f226ad4b4f4010aacba6c28b666
Цитата:
1 марта 2008 г., 16:06:26 (это видимо он был создан. Но я SP3 cтавил 27-го мая.)обновление до IE7 было раньше SP3 (если обновления на автомате)
Цитата:
Вот этого я не понял? Окно то было от Explorer.exe? И как связаны меж собой раб. стол и IE (Internet Explorer)?В винде браузер всегда был глубоко интегрирован в саму систему, с MS по этому поводу вроде бы даже судились...
volodya62
Думаю так,
Цитата:
Цитата:
из выявленных стоит исправить все проблемы из пункта
Цитата:
Есть подозрения но тут сказать с ходу сложно, на машине много всего было запущено в момент проверки?
Думаю так,
Цитата:
1.5 Проверка обработчиков IRPкоторые определил AVZ это реакция на Kaspersky или нет?на этот вопрос полнее всего ответит Oleg_Zaitsev
Цитата:
9. Мастер поиска и устранения проблем
из выявленных стоит исправить все проблемы из пункта
Цитата:
3. Сканирование дисков
Есть подозрения но тут сказать с ходу сложно, на машине много всего было запущено в момент проверки?
redwhiterus
Цитата:
Да, как обычно- всё что всегда. Сейчас делаю новую проверку как посоветовалDJ makrus, после этого выложу лог в студию.
Цитата:
Есть подозрения но тут сказать с ходу сложно, на машине много всего было запущено в момент проверки?
Да, как обычно- всё что всегда. Сейчас делаю новую проверку как посоветовалDJ makrus, после этого выложу лог в студию.
Oleg_Zaitsev
DJ makrus
redwhiterus
Господа, вот как и обещал лог:[more=Читать дальше..]Протокол антивирусной утилиты AVZ версии 4.30
Сканирование запущено в 07.10.2008 20:44:09
Загружена база: сигнатуры - 190543, нейропрофили - 2, микропрограммы лечения - 56, база от 05.10.2008 21:23
Загружены микропрограммы эвристики: 370
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 73460
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 6.0.6001, Service Pack 1 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:LdrLoadDll (122) перехвачена, метод APICodeHijack.JmpTo[30781F16]
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:DrawIconEx (193) перехвачена, метод APICodeHijack.JmpTo[023711D6]
Функция user32.dll:GetIconInfo (297) перехвачена, метод APICodeHijack.JmpTo[02371116]
Функция user32.dll:SetWindowPos (680) перехвачена, метод APICodeHijack.JmpTo[02371036]
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=12C8C0)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 83043000
SDT = 8316F8C0
KiST = 830B0890 (391)
Проверено функций: 391, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=644, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 644)
Маскировка процесса с PID=692, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 692)
Маскировка процесса с PID=744, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 744)
Маскировка процесса с PID=1164, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1164)
Маскировка процесса с PID=1716, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1716)
Маскировка процесса с PID=1896, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1896)
Маскировка процесса с PID=2000, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2000)
Маскировка процесса с PID=1016, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1016)
Маскировка процесса с PID=1072, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1072)
Маскировка процесса с PID=2220, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2220)
Маскировка процесса с PID=2312, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2312)
Маскировка процесса с PID=2324, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2324)
Маскировка процесса с PID=2344, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2344)
Маскировка процесса с PID=2504, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2504)
Маскировка процесса с PID=2524, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2524)
Маскировка процесса с PID=2532, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2532)
Маскировка процесса с PID=2592, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2592)
Маскировка процесса с PID=2652, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2652)
Маскировка процесса с PID=2708, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2708)
Маскировка процесса с PID=2736, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2736)
Маскировка процесса с PID=2988, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2988)
Маскировка процесса с PID=3056, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3056)
Маскировка процесса с PID=3072, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3072)
Маскировка процесса с PID=3088, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3088)
Маскировка процесса с PID=3252, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3252)
Маскировка процесса с PID=3364, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3364)
Маскировка процесса с PID=3684, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3684)
Маскировка процесса с PID=2972, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2972)
Маскировка процесса с PID=3340, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3340)
Маскировка процесса с PID=1440, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1440)
Маскировка процесса с PID=3372, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3372)
Маскировка процесса с PID=3972, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3972)
Маскировка процесса с PID=3704, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3704)
Маскировка процесса с PID=3736, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3736)
Маскировка процесса с PID=1104, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1104)
Маскировка процесса с PID=3032, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3032)
Маскировка процесса с PID=3640, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3640)
Маскировка процесса с PID=3868, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3868)
Маскировка процесса с PID=2212, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2212)
Маскировка процесса с PID=2664, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2664)
Маскировка процесса с PID=1372, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1372)
Маскировка процесса с PID=4072, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4072)
Маскировка процесса с PID=980, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 980)
Маскировка процесса с PID=3640, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3640)
Маскировка процесса с PID=2292, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2292)
Маскировка процесса с PID=2568, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2568)
Маскировка процесса с PID=3832, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3832)
Маскировка процесса с PID=2716, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2716)
Маскировка процесса с PID=1568, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1568)
Маскировка процесса с PID=3652, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3652)
Маскировка процесса с PID=2116, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2116)
Маскировка процесса с PID=3472, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3472)
Маскировка процесса с PID=2072, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2072)
Маскировка процесса с PID=2116, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2116)
Маскировка процесса с PID=984, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 984)
Маскировка процесса с PID=1164, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1164)
Маскировка процесса с PID=2072, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2072)
Маскировка процесса с PID=2764, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2764)
Маскировка процесса с PID=3836, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3836)
Маскировка процесса с PID=1832, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1832)
Маскировка процесса с PID=2664, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2664)
Маскировка процесса с PID=1164, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1164)
Маскировка процесса с PID=888, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 888)
Маскировка процесса с PID=2664, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2664)
Маскировка процесса с PID=2680, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2680)
Маскировка процесса с PID=2748, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2748)
Маскировка процесса с PID=1668, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1668)
Маскировка процесса с PID=2084, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2084)
Маскировка процесса с PID=2384, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2384)
Маскировка процесса с PID=192, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 192)
Маскировка процесса с PID=1016, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1016)
Маскировка процесса с PID=3808, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3808)
Маскировка процесса с PID=2956, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2956)
Маскировка процесса с PID=4000, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4000)
Маскировка процесса с PID=3808, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3808)
Маскировка процесса с PID=3680, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3680)
Маскировка процесса с PID=3832, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3832)
Маскировка процесса с PID=1572, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1572)
Маскировка процесса с PID=2840, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2840)
Маскировка процесса с PID=2680, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2680)
Маскировка процесса с PID=4072, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4072)
Маскировка процесса с PID=2348, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2348)
Маскировка процесса с PID=1892, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1892)
Маскировка процесса с PID=2224, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2224)
Маскировка процесса с PID=2136, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2136)
Маскировка процесса с PID=2340, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2340)
Маскировка процесса с PID=856, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 856)
Маскировка процесса с PID=3704, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3704)
Маскировка процесса с PID=3496, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3496)
Маскировка процесса с PID=2564, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2564)
Маскировка процесса с PID=512, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 512)
Маскировка процесса с PID=2996, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2996)
Маскировка процесса с PID=3968, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3968)
Маскировка процесса с PID=2788, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2788)
Маскировка процесса с PID=3764, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3764)
Маскировка процесса с PID=2040, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2040)
Маскировка процесса с PID=2368, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2368)
Маскировка процесса с PID=3568, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3568)
Маскировка процесса с PID=1892, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1892)
Маскировка процесса с PID=2988, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2988)
Маскировка процесса с PID=2780, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2780)
Маскировка процесса с PID=3644, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3644)
Маскировка процесса с PID=3600, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3600)
Маскировка процесса с PID=1104, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1104)
Маскировка процесса с PID=3680, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3680)
Маскировка процесса с PID=1156, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1156)
Маскировка процесса с PID=2344, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2344)
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 864291F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 864291F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 864291F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 864291F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 864291F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 864291F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 864291F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 864291F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 864291F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 864291F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 864291F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 864291F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 864291F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 864291F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 864291F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 864291F8 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 63
Количество загруженных модулей: 582
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Temp\~DF8034.tmp
Прямое чтение C:\Windows\System32\drivers\sptd.sys
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll --> Подозрение на Keylogger или троянскую DLL
C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll)
C:\Program Files\Unlocker\UnlockerHook.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Unlocker\UnlockerHook.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (C:\Program Files\Unlocker\UnlockerHook.dll)
C:\Program Files\Punto Switcher\pshook.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Punto Switcher\pshook.dll>>> Поведенческий анализ
1. Реагирует на события: клавиатура
2. Выясняет, какое окно находится в фокусе ввода
C:\Program Files\Punto Switcher\pshook.dll>>> Нейросеть: файл с вероятностью 50,00% похож на типовой перехватчик событий клавиатуры/мыши
Файл успешно помещен в карантин (C:\Program Files\Punto Switcher\pshook.dll)
C:\Program Files\Stardock\CursorFX\CurXP0.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Stardock\CursorFX\CurXP0.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (C:\Program Files\Stardock\CursorFX\CurXP0.dll)
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 114 TCP портов и 21 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (@%SystemRoot%\system32\schedsvc.dll,-100)
>> Службы: разрешена потенциально опасная служба RDSessMgr ()
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Нарушение ассоциации REG файлов
>> Таймаут завершения служб находится за пределами допустимых значений
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 174150, извлечено из архивов: 81593, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 07.10.2008 22:52:53
Сканирование длилось 02:08:46
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info[/more]
Итак, Ваш вердикт. Пациент здоров, жить будет?
DJ makrus
redwhiterus
Господа, вот как и обещал лог:[more=Читать дальше..]Протокол антивирусной утилиты AVZ версии 4.30
Сканирование запущено в 07.10.2008 20:44:09
Загружена база: сигнатуры - 190543, нейропрофили - 2, микропрограммы лечения - 56, база от 05.10.2008 21:23
Загружены микропрограммы эвристики: 370
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 73460
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 6.0.6001, Service Pack 1 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:LdrLoadDll (122) перехвачена, метод APICodeHijack.JmpTo[30781F16]
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:DrawIconEx (193) перехвачена, метод APICodeHijack.JmpTo[023711D6]
Функция user32.dll:GetIconInfo (297) перехвачена, метод APICodeHijack.JmpTo[02371116]
Функция user32.dll:SetWindowPos (680) перехвачена, метод APICodeHijack.JmpTo[02371036]
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=12C8C0)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 83043000
SDT = 8316F8C0
KiST = 830B0890 (391)
Проверено функций: 391, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=644, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 644)
Маскировка процесса с PID=692, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 692)
Маскировка процесса с PID=744, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 744)
Маскировка процесса с PID=1164, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1164)
Маскировка процесса с PID=1716, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1716)
Маскировка процесса с PID=1896, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1896)
Маскировка процесса с PID=2000, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2000)
Маскировка процесса с PID=1016, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1016)
Маскировка процесса с PID=1072, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1072)
Маскировка процесса с PID=2220, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2220)
Маскировка процесса с PID=2312, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2312)
Маскировка процесса с PID=2324, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2324)
Маскировка процесса с PID=2344, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2344)
Маскировка процесса с PID=2504, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2504)
Маскировка процесса с PID=2524, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2524)
Маскировка процесса с PID=2532, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2532)
Маскировка процесса с PID=2592, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2592)
Маскировка процесса с PID=2652, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2652)
Маскировка процесса с PID=2708, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2708)
Маскировка процесса с PID=2736, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2736)
Маскировка процесса с PID=2988, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2988)
Маскировка процесса с PID=3056, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3056)
Маскировка процесса с PID=3072, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3072)
Маскировка процесса с PID=3088, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3088)
Маскировка процесса с PID=3252, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3252)
Маскировка процесса с PID=3364, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3364)
Маскировка процесса с PID=3684, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3684)
Маскировка процесса с PID=2972, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2972)
Маскировка процесса с PID=3340, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3340)
Маскировка процесса с PID=1440, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1440)
Маскировка процесса с PID=3372, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3372)
Маскировка процесса с PID=3972, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3972)
Маскировка процесса с PID=3704, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3704)
Маскировка процесса с PID=3736, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3736)
Маскировка процесса с PID=1104, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1104)
Маскировка процесса с PID=3032, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3032)
Маскировка процесса с PID=3640, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3640)
Маскировка процесса с PID=3868, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3868)
Маскировка процесса с PID=2212, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2212)
Маскировка процесса с PID=2664, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2664)
Маскировка процесса с PID=1372, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1372)
Маскировка процесса с PID=4072, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4072)
Маскировка процесса с PID=980, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 980)
Маскировка процесса с PID=3640, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3640)
Маскировка процесса с PID=2292, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2292)
Маскировка процесса с PID=2568, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2568)
Маскировка процесса с PID=3832, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3832)
Маскировка процесса с PID=2716, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2716)
Маскировка процесса с PID=1568, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1568)
Маскировка процесса с PID=3652, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3652)
Маскировка процесса с PID=2116, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2116)
Маскировка процесса с PID=3472, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3472)
Маскировка процесса с PID=2072, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2072)
Маскировка процесса с PID=2116, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2116)
Маскировка процесса с PID=984, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 984)
Маскировка процесса с PID=1164, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1164)
Маскировка процесса с PID=2072, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2072)
Маскировка процесса с PID=2764, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2764)
Маскировка процесса с PID=3836, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3836)
Маскировка процесса с PID=1832, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1832)
Маскировка процесса с PID=2664, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2664)
Маскировка процесса с PID=1164, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1164)
Маскировка процесса с PID=888, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 888)
Маскировка процесса с PID=2664, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2664)
Маскировка процесса с PID=2680, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2680)
Маскировка процесса с PID=2748, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2748)
Маскировка процесса с PID=1668, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1668)
Маскировка процесса с PID=2084, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2084)
Маскировка процесса с PID=2384, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2384)
Маскировка процесса с PID=192, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 192)
Маскировка процесса с PID=1016, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1016)
Маскировка процесса с PID=3808, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3808)
Маскировка процесса с PID=2956, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2956)
Маскировка процесса с PID=4000, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4000)
Маскировка процесса с PID=3808, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3808)
Маскировка процесса с PID=3680, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3680)
Маскировка процесса с PID=3832, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3832)
Маскировка процесса с PID=1572, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1572)
Маскировка процесса с PID=2840, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2840)
Маскировка процесса с PID=2680, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2680)
Маскировка процесса с PID=4072, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4072)
Маскировка процесса с PID=2348, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2348)
Маскировка процесса с PID=1892, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1892)
Маскировка процесса с PID=2224, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2224)
Маскировка процесса с PID=2136, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2136)
Маскировка процесса с PID=2340, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2340)
Маскировка процесса с PID=856, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 856)
Маскировка процесса с PID=3704, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3704)
Маскировка процесса с PID=3496, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3496)
Маскировка процесса с PID=2564, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2564)
Маскировка процесса с PID=512, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 512)
Маскировка процесса с PID=2996, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2996)
Маскировка процесса с PID=3968, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3968)
Маскировка процесса с PID=2788, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2788)
Маскировка процесса с PID=3764, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3764)
Маскировка процесса с PID=2040, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2040)
Маскировка процесса с PID=2368, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2368)
Маскировка процесса с PID=3568, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3568)
Маскировка процесса с PID=1892, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1892)
Маскировка процесса с PID=2988, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2988)
Маскировка процесса с PID=2780, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2780)
Маскировка процесса с PID=3644, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3644)
Маскировка процесса с PID=3600, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3600)
Маскировка процесса с PID=1104, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1104)
Маскировка процесса с PID=3680, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3680)
Маскировка процесса с PID=1156, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1156)
Маскировка процесса с PID=2344, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2344)
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 864291F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 864291F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 864291F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 864291F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 864291F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 864291F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 864291F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 864291F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 864291F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 864291F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 864291F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 864291F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 864291F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 864291F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 864291F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 864291F8 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 63
Количество загруженных модулей: 582
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Temp\~DF8034.tmp
Прямое чтение C:\Windows\System32\drivers\sptd.sys
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll --> Подозрение на Keylogger или троянскую DLL
C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll)
C:\Program Files\Unlocker\UnlockerHook.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Unlocker\UnlockerHook.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (C:\Program Files\Unlocker\UnlockerHook.dll)
C:\Program Files\Punto Switcher\pshook.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Punto Switcher\pshook.dll>>> Поведенческий анализ
1. Реагирует на события: клавиатура
2. Выясняет, какое окно находится в фокусе ввода
C:\Program Files\Punto Switcher\pshook.dll>>> Нейросеть: файл с вероятностью 50,00% похож на типовой перехватчик событий клавиатуры/мыши
Файл успешно помещен в карантин (C:\Program Files\Punto Switcher\pshook.dll)
C:\Program Files\Stardock\CursorFX\CurXP0.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Stardock\CursorFX\CurXP0.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (C:\Program Files\Stardock\CursorFX\CurXP0.dll)
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 114 TCP портов и 21 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (@%SystemRoot%\system32\schedsvc.dll,-100)
>> Службы: разрешена потенциально опасная служба RDSessMgr ()
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Нарушение ассоциации REG файлов
>> Таймаут завершения служб находится за пределами допустимых значений
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 174150, извлечено из архивов: 81593, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 07.10.2008 22:52:53
Сканирование длилось 02:08:46
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info[/more]
Итак, Ваш вердикт. Пациент здоров, жить будет?
thelamb
Цитата:
Точнее сказать не "разрешил удаление", а "удалил вручную". iertutil.dll от SP3 может продетектиться антикейлоггером, но
1. он не удалится автоматом и не будет предложено удалить его
2. это странно - если SP3 и апдейты ставились штутно, то файл должен опознваться системой как безопасный. Если это не происходит - или апдейты ставились как-то в обход автоапдейта MS, или файл этот модифицирован, или глюк какой-то. В эталонной XP SP3 с последними апдейтами картина такова: "Файл: C:\WINDOWS\system32\iertutil.dll. Результат: Файл прошел контроль подлинности Microsoft"
Добавлено:
volodya62
Цитата:
Ничего особенно опасного не видно - эмулятор CD, антивирус, украшалка системы ... не опасно в общем. Кроме одного - в логе написано про недопустимые таймауты служб - это может и глюк в проверке таймаутов, но лучше пофиксить эту проблему через мастер поиска и устранения пробелем. Фокус тут вот в чем - есть разные "недооптимизаторы", которые ускоряют якобы систему разными твиками. Один из популярных твиков - это заданием маленьких таймаутов завершения процессов и служб. Конечно система после этого будет шустрее завершать работу, иногда в 2-3 раза шустрее - но какой ценой ? А цена жестокая - система начинает завершаться, службы получают сигнал о завершении и должны корректно завершить работу, закрыть все файлы, сохранить все что положено и т.п. Однако этот процесс может идти долго, а твикером прописан небольшой таймаут, он истекает и система начинает по варварски "мочить" все службы без разбора, завершились они там как положен или нет. Поэтому в результате в работе системы со временем могут появиться непредсказуемые глюки ...
Цитата:
Всё верно, я потому и разрешил удаление iertutil.dll, что вначале проверил на др. компе. В XP+ SP2 её нет. Выходило окно след. содержания:
"Explorer.exe -не удалось найти компонент. Приложению не удаётся запуститься из-за отсутствия iertutil.dll Повторная установка приложения может исправить проблему."
Точнее сказать не "разрешил удаление", а "удалил вручную". iertutil.dll от SP3 может продетектиться антикейлоггером, но
1. он не удалится автоматом и не будет предложено удалить его
2. это странно - если SP3 и апдейты ставились штутно, то файл должен опознваться системой как безопасный. Если это не происходит - или апдейты ставились как-то в обход автоапдейта MS, или файл этот модифицирован, или глюк какой-то. В эталонной XP SP3 с последними апдейтами картина такова: "Файл: C:\WINDOWS\system32\iertutil.dll. Результат: Файл прошел контроль подлинности Microsoft"
Добавлено:
volodya62
Цитата:
Господа, вот как и обещал лог:Читать дальше..
Итак, Ваш вердикт. Пациент здоров, жить будет?
Ничего особенно опасного не видно - эмулятор CD, антивирус, украшалка системы ... не опасно в общем. Кроме одного - в логе написано про недопустимые таймауты служб - это может и глюк в проверке таймаутов, но лучше пофиксить эту проблему через мастер поиска и устранения пробелем. Фокус тут вот в чем - есть разные "недооптимизаторы", которые ускоряют якобы систему разными твиками. Один из популярных твиков - это заданием маленьких таймаутов завершения процессов и служб. Конечно система после этого будет шустрее завершать работу, иногда в 2-3 раза шустрее - но какой ценой ? А цена жестокая - система начинает завершаться, службы получают сигнал о завершении и должны корректно завершить работу, закрыть все файлы, сохранить все что положено и т.п. Однако этот процесс может идти долго, а твикером прописан небольшой таймаут, он истекает и система начинает по варварски "мочить" все службы без разбора, завершились они там как положен или нет. Поэтому в результате в работе системы со временем могут появиться непредсказуемые глюки ...
В общем всё понял. Спасибо всем! А то я было подумал, подмена файла.
Oleg_Zaitsev
Как я понял надо вот на это мне обратить внимание :
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (@%SystemRoot%\system32\schedsvc.dll,-100)
>> Службы: разрешена потенциально опасная служба RDSessMgr ()
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Нарушение ассоциации REG файлов
>> Таймаут завершения служб находится за пределами допустимых значений
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
А нельзя поподробней об этом рассказать? Что все эти пункты значат? По поводу автозапуска понятно, а остальное для меня не понятно.
Как я понял надо вот на это мне обратить внимание :
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (@%SystemRoot%\system32\schedsvc.dll,-100)
>> Службы: разрешена потенциально опасная служба RDSessMgr ()
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Нарушение ассоциации REG файлов
>> Таймаут завершения служб находится за пределами допустимых значений
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
А нельзя поподробней об этом рассказать? Что все эти пункты значат? По поводу автозапуска понятно, а остальное для меня не понятно.
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657
Предыдущая тема: Программы для учета потраченного времени
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.