Выполнение скрипта AVZ по сети

Chinaski

Chinaski

Ассоциация VN
Сообщения
2,148
Реакции
483
Баллы
453
Добрый день! Возникла необходимость регулярно собирать логи с компьютеров в сети. Решено было автоматизировать процесс следующим образом:
На сервере лежит AVZ, папка расшарена для общего доступа (как на чтение так и на запись), на целевой компьютер вытащен ярлык на AVZ со следующей командной строкой
\\name_server\avz4\avz.exe HiddenMode=0 NQ=Y MiniLog=Y Script=std2
рабочая папка
\\name_server\avz4\
HiddenMode в данном случае временно указан со значением 0, дабы наблюдать за процессом, предполагается 3.

Содержимое скрипта
begin
ExecuteStdScr(2);
end.

То есть задача сводится к минимуму, выполнить скрипт №2.
Скрипт начинает выполняться, но процесс останавливается через какое-то время, и больше ничего не происходит.

Код:
Функция NtAlertResumeThread (0C) перехвачена (805D4BDC->8A61A208), перехватчик не определен
Функция NtAlertThread (0D) перехвачена (805D4B8C->8A78AC18), перехватчик не определен
Функция NtAllocateVirtualMemory (11) перехвачена (805A8AC2->8A60B3F0), перехватчик не определен
Функция NtCreateKey (29) перехвачена (80624160->B1848130), перехватчик C:\WINDOWS\system32\Drivers\SYMEVENT.SYS, драйвер опознан как безопасный
Функция NtCreateMutant (2B) перехвачена (80617718->8A655260), перехватчик не определен
Функция NtCreateThread (35) перехвачена (805D1038->8A675158), перехватчик не определен
Функция NtDeleteKey (3F) перехвачена (806245FC->B18483B0), перехватчик C:\WINDOWS\system32\Drivers\SYMEVENT.SYS, драйвер опознан как безопасный
Функция NtDeleteValueKey (41) перехвачена (806247CC->B1848910), перехватчик C:\WINDOWS\system32\Drivers\SYMEVENT.SYS, драйвер опознан как безопасный
Функция NtFreeVirtualMemory (53) перехвачена (805B2FBA->8A67C1B0), перехватчик не определен
Функция NtImpersonateAnonymousToken (59) перехвачена (805F9258->8A5ED510), перехватчик не определен
Функция NtImpersonateThread (5B) перехвачена (805D7860->8A603CF0), перехватчик не определен
Функция NtMapViewOfSection (6C) перехвачена (805B2042->8A5FF3B8), перехватчик не определен
Функция NtOpenEvent (72) перехвачена (8060F0D6->8A8AE958), перехватчик не определен
Функция NtOpenProcessToken (7B) перехвачена (805EDF26->8A6066D0), перехватчик не определен
Функция NtOpenThreadToken (81) перехвачена (805EDF44->8A609E28), перехватчик не определен
Функция NtResumeThread (CE) перехвачена (805D4A18->8A61F3F0), перехватчик не определен
Функция NtSetContextThread (D5) перехвачена (805D2C1A->8A935828), перехватчик не определен
Функция NtSetInformationProcess (E4) перехвачена (805CDEA0->8A5F25F0), перехватчик не определен
Функция NtSetInformationThread (E5) перехвачена (805CC124->8A5E6240), перехватчик не определен
Функция NtSetValueKey (F7) перехвачена (806226D2->B1848B60), перехватчик C:\WINDOWS\system32\Drivers\SYMEVENT.SYS, драйвер опознан как безопасный
Функция NtSuspendProcess (FD) перехвачена (805D4AE0->8A603950), перехватчик не определен
Функция NtSuspendThread (FE) перехвачена (805D4952->8A655748), перехватчик не определен
Функция NtTerminateProcess (101) перехвачена (805D22D8->8A729E88), перехватчик не определен
Функция NtTerminateThread (102) перехвачена (805D24D2->8A605C20), перехватчик не определен
Функция NtUnmapViewOfSection (10B) перехвачена (805B2E50->8A603A50), перехватчик не определен
Функция NtWriteVirtualMemory (115) перехвачена (805B43D4->8A662B30), перехватчик не определен
C:\Program Files\Common Files\Spigot\Search Settings\wth160.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Common Files\Spigot\Search Settings\wth160.dll>>> Поведенческий анализ 
  1. Реагирует на события: клавиатура, все события
C:\Program Files\Common Files\Spigot\Search Settings\wth160.dll>>> Нейросеть: файл с вероятностью 0.00% похож на типовой перехватчик событий клавиатуры/мыши
Программа отрабатывает до этого момента, дальше ничего не происходит, окно так и висит, память расходуемая процессом не изменяется. Вообще ничего не происходит дальше.

Подскажите пожалуйста в чем может быть причина, и если кто сталкивался с задачей организации сбора логов с компьютера в сети как это лучше организовать? :confused:
 
regist

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,342
Реакции
5,919
Баллы
998
Программа отрабатывает до этого момента, дальше ничего не происходит, окно так и висит, память расходуемая процессом не изменяется. Вообще ничего не происходит дальше.
может стоит подождать подольше ? ;)
на этом этапе вроде идёт сканирование файлов.
 
Последнее редактирование:
shestale

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
5,004
Баллы
743
В справке к AVZ есть типовой пример: "Заготовка скрипта для сканирования сети".
 
Chinaski

Chinaski

Ассоциация VN
Сообщения
2,148
Реакции
483
Баллы
453
Насчет подождать подольше - оставлял на ночь, ничего не изменилось.

Добавлено через 3 минуты 33 секунды
В справке к AVZ есть типовой пример: "Заготовка скрипта для сканирования сети".
Да, там есть пример. Но мне хотелось бы понять почему не работает так я пытался сделать? Пробовал на другом компьютере, результат такой же. :(
 
shestale

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
5,004
Баллы
743
Попробуйте запустить как написано в "примере", если будет работать, тогда проблема в вашем скрипте.
 
akok

akok

Команда форума
Администратор
Сообщения
16,527
Реакции
13,097
Баллы
2,203
Пробовали банальное ExitAVZ;?
 
regist

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,342
Реакции
5,919
Баллы
998
Это надо написать после end?
перед ним.
Попробуйте запустить как написано в "примере", если будет работать, тогда проблема в вашем скрипте.
по сути у него так и запускается за исключение того, что режим запуска не скрытый, кстати там в примере похоже очепятка.
 
regist

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,342
Реакции
5,919
Баллы
998
Chinaski, антивирус, UAC и т.д. не могут блокировать работу AVZ ?
 
Chinaski

Chinaski

Ассоциация VN
Сообщения
2,148
Реакции
483
Баллы
453
Попробуйте запустить как написано в "примере", если будет работать, тогда проблема в вашем скрипте.
Такой совет может любой дать.
P.S. извиняюсь если грубо звучит.
 
Chinaski

Chinaski

Ассоциация VN
Сообщения
2,148
Реакции
483
Баллы
453
AVZ после добавления ExitAVZ закрылся самостоятельно, но на серваке в рабочей папке программы в папке LOG ничего создано не было, права на запись 100% есть. В чем может быть причина?
 
regist

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,342
Реакции
5,919
Баллы
998
Chinaski, только что запустил на своей системе с вашими параметрами тоже получил довольно укороченный лог наверно из-за MiniLog=Y. А у вас лог создаётся ? уже ответили в предыдущем сообщение. Вот мой лог.

Добавлено через 6 минут 54 секунды
Chinaski, попробуйте заменить ваш скрипт на подобный

Код:
var
 AVZLogDir : string;
begin
 // Формирование имени рабочей папки
 AVZLogDir := GetAVZDirectory + 'LOG\';
 CreateDirectory(AVZLogDir);
 // Настройка AVZ
 SetupAVZ('EvLevel=3'); // Эвристика на максимум 
 SetupAVZ('ExtEvCheck=Y'); // Расширенный анализ включен
 // Запуск сканирования
 RunScan;
 // Выполнение исследования системы
 ExecuteSysCheck(AVZLogDir+'virusinfo_syscheck.htm');
end.
только пропишите явно пути к папке с логом. Можете ещё добавить логирование на каждом шаге и отследить на каком именно шаге у вас затык.
 
Последнее редактирование:
Chinaski

Chinaski

Ассоциация VN
Сообщения
2,148
Реакции
483
Баллы
453
Chinaski, только что запустил на своей системе с вашими параметрами тоже получил довольно укороченный лог наверно из-за MiniLog=Y. А у вас лог создаётся ? уже ответили в предыдущем сообщение. Вот мой лог.

Добавлено через 6 минут 54 секунды
Chinaski, попробуйте заменить ваш скрипт на подобный

Код:
var
 AVZLogDir : string;
begin
 // Формирование имени рабочей папки
 AVZLogDir := GetAVZDirectory + 'LOG\';
 CreateDirectory(AVZLogDir);
 // Настройка AVZ
 SetupAVZ('EvLevel=3'); // Эвристика на максимум 
 SetupAVZ('ExtEvCheck=Y'); // Расширенный анализ включен
 // Запуск сканирования
 RunScan;
 // Выполнение исследования системы
 ExecuteSysCheck(AVZLogDir+'virusinfo_syscheck.htm');
end.
только пропишите явно пути к папке с логом. Можете ещё добавить логирование на каждом шаге и отследить на каком именно шаге у вас затык.
сделал так, к сожалению папка по прежнему пуста.
 
regist

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,342
Реакции
5,919
Баллы
998
сделал так, к сожалению папка по прежнему пуста.
добавьте логирование (вывод сообщения в лог )
к примеру выполните скрипт

Код:
var
 AVZLogDir : string;
begin
 // Формирование имени рабочей папки
 AVZLogDir := GetAVZDirectory + 'LOG\';
 CreateDirectory(AVZLogDir);
 // Настройка AVZ
 SetupAVZ('EvLevel=3'); // Эвристика на максимум
 SetupAVZ('ExtEvCheck=Y'); // Расширенный анализ включен
  AddToLog('Запуск сканирования');
 // Запуск сканирования
 RunScan;
 AddToLog('RunScan прошло успешно');
 // Выполнение исследования системы
 ExecuteSysCheck(AVZLogDir+'virusinfo_syscheck.htm');
 AddToLog('ExecuteSysCheck прошло успешно');
end.
скопируйте лог из AVZ и напишите в своём следующем сообщение.
 
Последнее редактирование:
Chinaski

Chinaski

Ассоциация VN
Сообщения
2,148
Реакции
483
Баллы
453
Вот что отрапортовал AVZ, лог по прежнему не создан :(:sorry:

Код:
Внимание !!! База поcледний раз обновлялась 30.01.2013 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.39
Сканирование запущено в 12.04.2013 13:32:07
Загружена база: сигнатуры - 297614, нейропрофили - 2, микропрограммы лечения - 56, база от 30.01.2013 18:40
Загружены микропрограммы эвристики: 399
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 506902
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: Отключено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=085700)
 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
   SDT = 8055C700
   KiST = 805044D4 (284)
Функция NtAlertResumeThread (0C) перехвачена (805D4BDC->8A61A208), перехватчик не определен
Функция NtAlertThread (0D) перехвачена (805D4B8C->8A78AC18), перехватчик не определен
Функция NtAllocateVirtualMemory (11) перехвачена (805A8AC2->8A60B3F0), перехватчик не определен
Функция NtCreateKey (29) перехвачена (80624160->B1848130), перехватчик C:\WINDOWS\system32\Drivers\SYMEVENT.SYS, драйвер опознан как безопасный
Функция NtCreateMutant (2B) перехвачена (80617718->8A655260), перехватчик не определен
Функция NtCreateThread (35) перехвачена (805D1038->8A675158), перехватчик не определен
Функция NtDeleteKey (3F) перехвачена (806245FC->B18483B0), перехватчик C:\WINDOWS\system32\Drivers\SYMEVENT.SYS, драйвер опознан как безопасный
Функция NtDeleteValueKey (41) перехвачена (806247CC->B1848910), перехватчик C:\WINDOWS\system32\Drivers\SYMEVENT.SYS, драйвер опознан как безопасный
Функция NtFreeVirtualMemory (53) перехвачена (805B2FBA->8A67C1B0), перехватчик не определен
Функция NtImpersonateAnonymousToken (59) перехвачена (805F9258->8A5ED510), перехватчик не определен
Функция NtImpersonateThread (5B) перехвачена (805D7860->8A603CF0), перехватчик не определен
Функция NtMapViewOfSection (6C) перехвачена (805B2042->8A5FF3B8), перехватчик не определен
Функция NtOpenEvent (72) перехвачена (8060F0D6->8A8AE958), перехватчик не определен
Функция NtOpenProcessToken (7B) перехвачена (805EDF26->8A6066D0), перехватчик не определен
Функция NtOpenThreadToken (81) перехвачена (805EDF44->8A609E28), перехватчик не определен
Функция NtResumeThread (CE) перехвачена (805D4A18->8A61F3F0), перехватчик не определен
Функция NtSetContextThread (D5) перехвачена (805D2C1A->8A935828), перехватчик не определен
Функция NtSetInformationProcess (E4) перехвачена (805CDEA0->8A5F25F0), перехватчик не определен
Функция NtSetInformationThread (E5) перехвачена (805CC124->8A5E6240), перехватчик не определен
Функция NtSetValueKey (F7) перехвачена (806226D2->B1848B60), перехватчик C:\WINDOWS\system32\Drivers\SYMEVENT.SYS, драйвер опознан как безопасный
Функция NtSuspendProcess (FD) перехвачена (805D4AE0->8A603950), перехватчик не определен
Функция NtSuspendThread (FE) перехвачена (805D4952->8A655748), перехватчик не определен
Функция NtTerminateProcess (101) перехвачена (805D22D8->8A729E88), перехватчик не определен
Функция NtTerminateThread (102) перехвачена (805D24D2->8A605C20), перехватчик не определен
Функция NtUnmapViewOfSection (10B) перехвачена (805B2E50->8A603A50), перехватчик не определен
Функция NtWriteVirtualMemory (115) перехвачена (805B43D4->8A662B30), перехватчик не определен
Проверено функций: 284, перехвачено: 26, восстановлено: 0
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Анализ для процессора 2
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
 Драйвер успешно загружен
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 84
Анализатор - изучается процесс 2032 C:\Program Files\Application Updater\ApplicationUpdater.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 680 C:\Program Files\EMC Captiva\Captiva Cloud Runtime\Emc.Captiva.WebCaptureService.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Приложение не имеет видимых окон
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 1916 C:\Program Files\Java\jre7\bin\jqs.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 660 C:\Program Files\IBM\Lotus\Notes\SUService.exe
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 2784 C:\Program Files\Canon Electronics\P215\TouchDR.exe
[ES]:Может работать с сетью
[ES]:Может отправлять почту ?!
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 3380 C:\Program Files\EMC Captiva\Captiva Cloud Runtime\Emc.Captiva.WebToolkitHost.exe
[ES]:Может работать с сетью
Анализатор - изучается процесс 1768 C:\Program Files\IBM\Lotus\Notes\ntaskldr.EXE
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 5260 C:\WINDOWS\system32\jview.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Размещается в системной папке
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 4756 C:\telnet\TELNET.EXE
[ES]:Может работать с сетью
Анализатор - изучается процесс 4040 C:\telnet\TELNET.EXE
[ES]:Может работать с сетью
Анализатор - изучается процесс 5636 C:\Program Files\IBM\Lotus\Notes\nEvent.EXE
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
 Количество загруженных модулей: 848
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files\Common Files\Spigot\Search Settings\wth160.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Common Files\Spigot\Search Settings\wth160.dll>>> Поведенческий анализ 
  1. Реагирует на события: клавиатура, все события
C:\Program Files\Common Files\Spigot\Search Settings\wth160.dll>>> Нейросеть: файл с вероятностью 0.00% похож на типовой перехватчик событий клавиатуры/мыши
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 932, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 12.04.2013 13:34:00
Сканирование длилось 00:01:55
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
RunScan прошло успешно
Выполняется исследование системы
ExecuteSysCheck прошло успешно
Выполнение скрипта завершено
 
shestale

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
5,004
Баллы
743
Такой совет может любой дать.
В принципе Константин вам уже ответил, добавлю что я имел ввиду сужение поиска вашей проблемы, разделением ее на проблему скрипта и аппаратную проблему.
 
Chinaski

Chinaski

Ассоциация VN
Сообщения
2,148
Реакции
483
Баллы
453
Запустил скрипт из справки, из той же папки с того же сервака. Лог не создан. Вот протокол.

Код:
Внимание !!! База поcледний раз обновлялась 30.01.2013 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.39
Сканирование запущено в 12.04.2013 13:58:52
Загружена база: сигнатуры - 297614, нейропрофили - 2, микропрограммы лечения - 56, база от 30.01.2013 18:40
Загружены микропрограммы эвристики: 399
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 506902
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: Отключено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=085700)
 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
   SDT = 8055C700
   KiST = 805044D4 (284)
Функция NtAlertResumeThread (0C) перехвачена (805D4BDC->8A61A208), перехватчик не определен
Функция NtAlertThread (0D) перехвачена (805D4B8C->8A78AC18), перехватчик не определен
Функция NtAllocateVirtualMemory (11) перехвачена (805A8AC2->8A60B3F0), перехватчик не определен
Функция NtCreateKey (29) перехвачена (80624160->B1848130), перехватчик C:\WINDOWS\system32\Drivers\SYMEVENT.SYS, драйвер опознан как безопасный
Функция NtCreateMutant (2B) перехвачена (80617718->8A655260), перехватчик не определен
Функция NtCreateThread (35) перехвачена (805D1038->8A675158), перехватчик не определен
Функция NtDeleteKey (3F) перехвачена (806245FC->B18483B0), перехватчик C:\WINDOWS\system32\Drivers\SYMEVENT.SYS, драйвер опознан как безопасный
Функция NtDeleteValueKey (41) перехвачена (806247CC->B1848910), перехватчик C:\WINDOWS\system32\Drivers\SYMEVENT.SYS, драйвер опознан как безопасный
Функция NtFreeVirtualMemory (53) перехвачена (805B2FBA->8A67C1B0), перехватчик не определен
Функция NtImpersonateAnonymousToken (59) перехвачена (805F9258->8A5ED510), перехватчик не определен
Функция NtImpersonateThread (5B) перехвачена (805D7860->8A603CF0), перехватчик не определен
Функция NtMapViewOfSection (6C) перехвачена (805B2042->8A5FF3B8), перехватчик не определен
Функция NtOpenEvent (72) перехвачена (8060F0D6->8A8AE958), перехватчик не определен
Функция NtOpenProcessToken (7B) перехвачена (805EDF26->8A6066D0), перехватчик не определен
Функция NtOpenThreadToken (81) перехвачена (805EDF44->8A609E28), перехватчик не определен
Функция NtResumeThread (CE) перехвачена (805D4A18->8A61F3F0), перехватчик не определен
Функция NtSetContextThread (D5) перехвачена (805D2C1A->8A935828), перехватчик не определен
Функция NtSetInformationProcess (E4) перехвачена (805CDEA0->8A5F25F0), перехватчик не определен
Функция NtSetInformationThread (E5) перехвачена (805CC124->8A5E6240), перехватчик не определен
Функция NtSetValueKey (F7) перехвачена (806226D2->B1848B60), перехватчик C:\WINDOWS\system32\Drivers\SYMEVENT.SYS, драйвер опознан как безопасный
Функция NtSuspendProcess (FD) перехвачена (805D4AE0->8A603950), перехватчик не определен
Функция NtSuspendThread (FE) перехвачена (805D4952->8A655748), перехватчик не определен
Функция NtTerminateProcess (101) перехвачена (805D22D8->8A729E88), перехватчик не определен
Функция NtTerminateThread (102) перехвачена (805D24D2->8A605C20), перехватчик не определен
Функция NtUnmapViewOfSection (10B) перехвачена (805B2E50->8A603A50), перехватчик не определен
Функция NtWriteVirtualMemory (115) перехвачена (805B43D4->8A662B30), перехватчик не определен
Проверено функций: 284, перехвачено: 26, восстановлено: 0
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Анализ для процессора 2
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
 Драйвер успешно загружен
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 86
Анализатор - изучается процесс 2032 C:\Program Files\Application Updater\ApplicationUpdater.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 680 C:\Program Files\EMC Captiva\Captiva Cloud Runtime\Emc.Captiva.WebCaptureService.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Приложение не имеет видимых окон
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 1916 C:\Program Files\Java\jre7\bin\jqs.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 660 C:\Program Files\IBM\Lotus\Notes\SUService.exe
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 2784 C:\Program Files\Canon Electronics\P215\TouchDR.exe
[ES]:Может работать с сетью
[ES]:Может отправлять почту ?!
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 3380 C:\Program Files\EMC Captiva\Captiva Cloud Runtime\Emc.Captiva.WebToolkitHost.exe
[ES]:Может работать с сетью
Анализатор - изучается процесс 1768 C:\Program Files\IBM\Lotus\Notes\ntaskldr.EXE
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 5260 C:\WINDOWS\system32\jview.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Размещается в системной папке
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 4756 C:\telnet\TELNET.EXE
[ES]:Может работать с сетью
Анализатор - изучается процесс 4040 C:\telnet\TELNET.EXE
[ES]:Может работать с сетью
Анализатор - изучается процесс 5636 C:\Program Files\IBM\Lotus\Notes\nEvent.EXE
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
 Количество загруженных модулей: 849
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files\Common Files\Spigot\Search Settings\wth160.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Common Files\Spigot\Search Settings\wth160.dll>>> Поведенческий анализ 
  1. Реагирует на события: клавиатура, все события
C:\Program Files\Common Files\Spigot\Search Settings\wth160.dll>>> Нейросеть: файл с вероятностью 0.00% похож на типовой перехватчик событий клавиатуры/мыши
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 935, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 12.04.2013 14:00:11
Сканирование длилось 00:01:22
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
RunScan прошло успешно
Выполняется исследование системы
ExecuteSysCheck прошло успешно
Выполнение скрипта завершено
 
Сверху Снизу