Advertisement
Not a member of Pastebin yet?
Sign Up,
it unlocks many cool features!
- Протокол антивирусной утилиты AVZ версии 4.43
- Сканирование запущено в 27.01.2015 23:53:55
- Загружена база: сигнатуры - 297605, нейропрофили - 2, микропрограммы лечения - 56, база от 27.01.2015 16:00
- Загружены микропрограммы эвристики: 408
- Загружены микропрограммы ИПУ: 9
- Загружены цифровые подписи системных файлов: 716910
- Режим эвристического анализатора: Средний уровень эвристики
- Режим лечения: выключено
- Версия Windows: 6.1.7601, Service Pack 1 "Windows 7 Ultimate" ; AVZ работает с правами администратора
- Восстановление системы: включено
- 1. Поиск RootKit и программ, перехватывающих функции API
- 1.1 Поиск перехватчиков API, работающих в UserMode
- Анализ kernel32.dll, таблица экспорта найдена в секции .text
- Анализ ntdll.dll, таблица экспорта найдена в секции .text
- Анализ user32.dll, таблица экспорта найдена в секции .text
- Анализ advapi32.dll, таблица экспорта найдена в секции .text
- Анализ ws2_32.dll, таблица экспорта найдена в секции .text
- Анализ wininet.dll, таблица экспорта найдена в секции .text
- Анализ rasapi32.dll, таблица экспорта найдена в секции .text
- Анализ urlmon.dll, таблица экспорта найдена в секции .text
- Анализ netapi32.dll, таблица экспорта найдена в секции .text
- 1.2 Поиск перехватчиков API, работающих в KernelMode
- Драйвер успешно загружен
- SDT найдена (RVA=169B00)
- Ядро ntkrnlpa.exe обнаружено в памяти по адресу 82C16000
- SDT = 82D7FB00
- KiST = 82C941FC (401)
- Функция MmGetPhysicalAddress (82C85757) - модификация машинного кода. Метод не определен.
- Функция MmMapIoSpace (82C85C83) - модификация машинного кода. Метод не определен.
- Проверено функций: 401, перехвачено: 0, восстановлено: 0
- 1.3 Проверка IDT и SYSENTER
- Анализ для процессора 1
- Анализ для процессора 2
- Анализ для процессора 3
- Анализ для процессора 4
- Проверка IDT и SYSENTER завершена
- 1.4 Поиск маскировки процессов и драйверов
- Проверка не производится, так как не установлен драйвер мониторинга AVZPM
- 1.5 Проверка обработчиков IRP
- Драйвер успешно загружен
- Проверка завершена
- 2. Проверка памяти
- Количество найденных процессов: 58
- Количество загруженных модулей: 515
- Проверка памяти завершена
- 3. Сканирование дисков
- 4. Проверка Winsock Layered Service Provider (SPI/LSP)
- Настройки LSP проверены. Ошибок не обнаружено
- 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
- 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
- Проверка отключена пользователем
- 7. Эвристичеcкая проверка системы
- >>> c:\windows\system32\nvspcap.dll ЭПС: подозрение на Подозрение на скрытый автозапуск - HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ShadowPlay
- Подозрение на скрытый автозапуск - HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ShadowPlay="C:\Windows\system32\rundll32.exe C:\Windows\system32\nvspcap.dll,ShadowPlayOnSystemStart"
- >>> C:\Program Files\xtab\cmdshell.exe ЭПС: подозрение на Файл с подозрительным именем (CH)
- >>> C:\Program Files\xtab\hpnotify.exe ЭПС: подозрение на Файл с подозрительным именем (CH)
- >>> C:\Program Files\xtab\iewatchdog.dll ЭПС: подозрение на Файл с подозрительным именем (CH)
- >>> C:\Program Files\xtab\protectservice.exe ЭПС: подозрение на Файл с подозрительным именем (CH)
- >>> C:\Program Files\xtab\suptab.dll ЭПС: подозрение на Файл с подозрительным именем (CH)
- >>> C:\Program Files\XTab\SupTab.dll ЭПС: подозрение на Файл с подозрительным именем (CH - CLSID)
- >>> C:\Program Files\XTab\ProtectService.exe ЭПС: подозрение на Файл с подозрительным именем (CH - Service) (высокая степень вероятности)
- Проверка завершена
- 8. Поиск потенциальных уязвимостей
- >> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
- >> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
- >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
- > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
- >> Безопасность: разрешен автозапуск программ с CDROM
- >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
- >> Безопасность: к ПК разрешен доступ анонимного пользователя
- >> Безопасность: Разрешена отправка приглашений удаленному помощнику
- Проверка завершена
- 9. Мастер поиска и устранения проблем
- >> Разрешен автозапуск с HDD
- >> Разрешен автозапуск с сетевых дисков
- >> Разрешен автозапуск со сменных носителей
- Проверка завершена
- Просканировано файлов: 574, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
- Сканирование завершено в 27.01.2015 23:54:41
- Сканирование длилось 00:00:48
- Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
- то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
- Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ
- можно использовать сервис http://virusdetector.ru/
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement