fufgjd Опубликовано 11 октября, 2007 Жалоба Поделиться Опубликовано 11 октября, 2007 Добрый вечер! просканировал диск "с" прогой AVZ и вот пишу вам результат ,то что я обозначил красным это опасно если опасно то насколько , и как это удалить это удалить этой прогой или другой. -------------------------------------------------------------- Внимание !!! База поcледний раз обновлялась 27.09.2007 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) Протокол антивирусной утилиты AVZ версии 4.27 Сканирование запущено в 11.10.2007 14:01:00 Загружена база: 128614 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, база от 27.09.2007 10:19 Загружены микропрограммы эвристики: 371 Загружены микропрограммы ИПУ: 9 Загружены цифровые подписи системных файлов: 63144 Режим эвристического анализатора: Средний уровень эвристики Режим лечения: выключено Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора Восстановление системы: включено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=082B80) Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000 SDT = 80559B80 KiST = 804E2D20 (284) Функция NtAlertResumeThread (0C) перехвачена (8062E4EC->865E1008), перехватчик не определен Функция NtAlertThread (0D) перехвачена (8057998C->865EF178), перехватчик не определен Функция NtAllocateVirtualMemory (11) перехвачена (80568777->86732B58), перехватчик не определен Функция NtConnectPort (1F) перехвачена (80598C34->867322D8), перехватчик не определен Функция NtCreateMutant (2B) перехвачена (80578E73->8638C4B0), перехватчик не определен Функция NtCreateThread (35) перехвачена (8057F262->86662ED8), перехватчик не определен Функция NtDeleteValueKey (41) перехвачена (80597430->ECE33CC0), перехватчик C:\Program Files\Symantec\SYMEVENT.SYS Функция NtFreeVirtualMemory (53) перехвачена (80568FC4->865C8058), перехватчик не определен Функция NtImpersonateAnonymousToken (59) перехвачена (80596925->8638AA30), перехватчик не определен Функция NtImpersonateThread (5B) перехвачена (8057C33A->865E27D8), перехватчик не определен Функция NtMapViewOfSection (6C) перехвачена (80573C04->86757608), перехватчик не определен Функция NtOpenEvent (72) перехвачена (80580306->86312A30), перехватчик не определен Функция NtOpenProcessToken (7B) перехвачена (8056C8FC->866A5C90), перехватчик не определен Функция NtOpenThreadToken (81) перехвачена (8056C383->8657A878), перехватчик не определен Функция NtQueryValueKey (B1) перехвачена (8056B9A8->86562DE0), перехватчик не определен Функция NtResumeThread (CE) перехвачена (8057F8D5->8656B148), перехватчик не определен Функция NtSetContextThread (D5) перехвачена (8062C85B->86579D00), перехватчик не определен Функция NtSetInformationProcess (E4) перехвачена (8056C608->865CB610), перехватчик не определен Функция NtSetInformationThread (E5) перехвачена (80576E5D->865EBCD0), перехватчик не определен Функция NtSetValueKey (F7) перехвачена (80575527->ECE33F20), перехватчик C:\Program Files\Symantec\SYMEVENT.SYS Функция NtSuspendProcess (FD) перехвачена (8062E431->86376A28), перехватчик не определен Функция NtSuspendThread (FE) перехвачена (805DC61B->865ED4E0), перехватчик не определен Функция NtTerminateProcess (101) перехвачена (8058AE1E->8657B528), перехватчик не определен Функция NtTerminateThread (102) перехвачена (8057E97C->8665BA18), перехватчик не определен Функция NtUnmapViewOfSection (10B) перехвачена (80573789->86686760), перехватчик не определен Функция NtWriteVirtualMemory (115) перехвачена (8057C123->8658A008), перехватчик не определен Проверено функций: 284, перехвачено: 26, восстановлено: 0 1.3 Проверка IDT и SYSENTER Анализ для процессора 1 Проверка IDT и SYSENTER завершена 1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM 2. Проверка памяти Количество найденных процессов: 25 Количество загруженных модулей: 298 Проверка памяти завершена 3. Сканирование дисков 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами Проверка отключена пользователем 7. Эвристичеcкая проверка системы Проверка завершена 8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику Проверка завершена Просканировано файлов: 81988, извлечено из архивов: 63807, найдено вредоносных программ 0, подозрений - 0 Сканирование завершено в 11.10.2007 14:13:45 Сканирование длилось 00:12:47 Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам, то Вы можете обратиться в конференцию - http://virusinfo.info ---------------------------------------------------------------------------------------------------------------------- Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 11 октября, 2007 Жалоба Поделиться Опубликовано 11 октября, 2007 Этот лог не несет почти никакой информации. Сделай из меню Файл- Исследование системы. Запакуй и выкладывай. Заодно и лог HijackThis приложи. Ссылка на комментарий Поделиться на другие сайты Поделиться
fufgjd Опубликовано 11 октября, 2007 Автор Жалоба Поделиться Опубликовано 11 октября, 2007 ок! сейчас попробую. Ссылка на комментарий Поделиться на другие сайты Поделиться
fufgjd Опубликовано 14 октября, 2007 Автор Жалоба Поделиться Опубликовано 14 октября, 2007 hijackthis.log avz_sysinfo.htm avz_log.txt avz_sysinfo.xml avz_log.txt avz_sysinfo.htm avz_sysinfo.xml hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 14 октября, 2007 Жалоба Поделиться Опубликовано 14 октября, 2007 (изменено) В Hijack пофикси строку O23 - Service: SpIDer Guard for Windows NT (spidernt) - Unknown owner - C:\Program Files\DrWeb\spidernt.exe (file missing) Если хочешь прикрыть уязвимые службы, то перейди в АVZ меню Файл--Выполнить скрипт, скопируй код и нажми "запустить". Делать это необязательно. beginRegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);SetServiceStart('Schedule', 4);SetServiceStart('TermService', 4);end. Изменено 14 октября, 2007 пользователем ser208 Ссылка на комментарий Поделиться на другие сайты Поделиться
fufgjd Опубликовано 14 октября, 2007 Автор Жалоба Поделиться Опубликовано 14 октября, 2007 спасибо! это значит что вирусов или всякой заразы НЕТ. Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 14 октября, 2007 Жалоба Поделиться Опубликовано 14 октября, 2007 (изменено) Точно что нет, не скажу. Я не вижу. Изменено 14 октября, 2007 пользователем ser208 Ссылка на комментарий Поделиться на другие сайты Поделиться
fufgjd Опубликовано 14 октября, 2007 Автор Жалоба Поделиться Опубликовано 14 октября, 2007 последний вопрос .почему то о чём я проявил беспокойство окрашивается в красный цвет .как это объясняется Ссылка на комментарий Поделиться на другие сайты Поделиться
Форматцевт Опубликовано 14 октября, 2007 Жалоба Поделиться Опубликовано 14 октября, 2007 AVP вернулся к исходным настройкам, следует восстановить старые, и обновить ABD, а остальное - домыслы. ИМХО ЗЫ Сброс произошёл из за не корректной работы по Входу-Выходу. Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 14 октября, 2007 Жалоба Поделиться Опубликовано 14 октября, 2007 последний вопрос .почему то о чём я проявил беспокойство окрашивается в красный цвет .как это объясняется Это перехваты системных функций, что по сути само по себе опасно (поэтому отмечено красным). Но перехваты конкретно в вашей системе сделаны антивирусом, не смотря на то, что напротив некоторых функций отмечено, что "перехватчик не определен" (перехваты Symantec). Более того, это не ложное срабатывание, так как задача AVZ в данном случае - это не поиск "плохих" перехватчиков, а обращение вашего внимания на любые из них, если они имеют место у вас быть. P.S. Из FAQ к AVZ: Следует понимать, что обнаружение перехвата тех или иных функций еще не означает, что в систему внедрился RootKit - возможно, перехват функций применяется антивирусным монитором, Firewall или иными утилитами. Например, весьма полезная и удобная утилита RegMon устанавливает свой драйвер для перехвата 13-ти функций KiST для слежения за операциями с реестром. По статистике примерно в одном случае из 50-80 перехват произведен вредоносной программой , в остальных случаях как правило это антивирусы и Firewall. Ссылка на комментарий Поделиться на другие сайты Поделиться
fufgjd Опубликовано 15 октября, 2007 Автор Жалоба Поделиться Опубликовано 15 октября, 2007 ОК! спасибо что разъяснили теперь я спокоен Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения