Выполнение скрипта AVZ по сети

Тема в разделе "Прочие инструменты защиты компьютера", создана пользователем Chinaski, 12 апр 2013.

  1. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    Добрый день! Возникла необходимость регулярно собирать логи с компьютеров в сети. Решено было автоматизировать процесс следующим образом:
    На сервере лежит AVZ, папка расшарена для общего доступа (как на чтение так и на запись), на целевой компьютер вытащен ярлык на AVZ со следующей командной строкой
    \\name_server\avz4\avz.exe HiddenMode=0 NQ=Y MiniLog=Y Script=std2
    рабочая папка
    \\name_server\avz4\
    HiddenMode в данном случае временно указан со значением 0, дабы наблюдать за процессом, предполагается 3.

    Содержимое скрипта
    begin
    ExecuteStdScr(2);
    end.

    То есть задача сводится к минимуму, выполнить скрипт №2.
    Скрипт начинает выполняться, но процесс останавливается через какое-то время, и больше ничего не происходит.

    Код (Text):
    Функция NtAlertResumeThread (0C) перехвачена (805D4BDC->8A61A208), перехватчик не определен
    Функция NtAlertThread (0D) перехвачена (805D4B8C->8A78AC18), перехватчик не определен
    Функция NtAllocateVirtualMemory (11) перехвачена (805A8AC2->8A60B3F0), перехватчик не определен
    Функция NtCreateKey (29) перехвачена (80624160->B1848130), перехватчик C:\WINDOWS\system32\Drivers\SYMEVENT.SYS, драйвер опознан как безопасный
    Функция NtCreateMutant (2B) перехвачена (80617718->8A655260), перехватчик не определен
    Функция NtCreateThread (35) перехвачена (805D1038->8A675158), перехватчик не определен
    Функция NtDeleteKey (3F) перехвачена (806245FC->B18483B0), перехватчик C:\WINDOWS\system32\Drivers\SYMEVENT.SYS, драйвер опознан как безопасный
    Функция NtDeleteValueKey (41) перехвачена (806247CC->B1848910), перехватчик C:\WINDOWS\system32\Drivers\SYMEVENT.SYS, драйвер опознан как безопасный
    Функция NtFreeVirtualMemory (53) перехвачена (805B2FBA->8A67C1B0), перехватчик не определен
    Функция NtImpersonateAnonymousToken (59) перехвачена (805F9258->8A5ED510), перехватчик не определен
    Функция NtImpersonateThread (5B) перехвачена (805D7860->8A603CF0), перехватчик не определен
    Функция NtMapViewOfSection (6C) перехвачена (805B2042->8A5FF3B8), перехватчик не определен
    Функция NtOpenEvent (72) перехвачена (8060F0D6->8A8AE958), перехватчик не определен
    Функция NtOpenProcessToken (7B) перехвачена (805EDF26->8A6066D0), перехватчик не определен
    Функция NtOpenThreadToken (81) перехвачена (805EDF44->8A609E28), перехватчик не определен
    Функция NtResumeThread (CE) перехвачена (805D4A18->8A61F3F0), перехватчик не определен
    Функция NtSetContextThread (D5) перехвачена (805D2C1A->8A935828), перехватчик не определен
    Функция NtSetInformationProcess (E4) перехвачена (805CDEA0->8A5F25F0), перехватчик не определен
    Функция NtSetInformationThread (E5) перехвачена (805CC124->8A5E6240), перехватчик не определен
    Функция NtSetValueKey (F7) перехвачена (806226D2->B1848B60), перехватчик C:\WINDOWS\system32\Drivers\SYMEVENT.SYS, драйвер опознан как безопасный
    Функция NtSuspendProcess (FD) перехвачена (805D4AE0->8A603950), перехватчик не определен
    Функция NtSuspendThread (FE) перехвачена (805D4952->8A655748), перехватчик не определен
    Функция NtTerminateProcess (101) перехвачена (805D22D8->8A729E88), перехватчик не определен
    Функция NtTerminateThread (102) перехвачена (805D24D2->8A605C20), перехватчик не определен
    Функция NtUnmapViewOfSection (10B) перехвачена (805B2E50->8A603A50), перехватчик не определен
    Функция NtWriteVirtualMemory (115) перехвачена (805B43D4->8A662B30), перехватчик не определен
    C:\Program Files\Common Files\Spigot\Search Settings\wth160.dll --> Подозрение на Keylogger или троянскую DLL
    C:\Program Files\Common Files\Spigot\Search Settings\wth160.dll>>> Поведенческий анализ
      1. Реагирует на события: клавиатура, все события
    C:\Program Files\Common Files\Spigot\Search Settings\wth160.dll>>> Нейросеть: файл с вероятностью 0.00% похож на типовой перехватчик событий клавиатуры/мыши
     
    Программа отрабатывает до этого момента, дальше ничего не происходит, окно так и висит, память расходуемая процессом не изменяется. Вообще ничего не происходит дальше.

    Подскажите пожалуйста в чем может быть причина, и если кто сталкивался с задачей организации сбора логов с компьютера в сети как это лучше организовать? :confused:
     
  2. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    может стоит подождать подольше ? ;)
    на этом этапе вроде идёт сканирование файлов.
     
    Последнее редактирование: 12 апр 2013
  3. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.059
    Симпатии:
    4.488
    В справке к AVZ есть типовой пример: "Заготовка скрипта для сканирования сети".
     
  4. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    Насчет подождать подольше - оставлял на ночь, ничего не изменилось.

    Добавлено через 3 минуты 33 секунды
    Да, там есть пример. Но мне хотелось бы понять почему не работает так я пытался сделать? Пробовал на другом компьютере, результат такой же. :(
     
  5. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    1.092
    Симпатии:
    194
  6. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.059
    Симпатии:
    4.488
    Попробуйте запустить как написано в "примере", если будет работать, тогда проблема в вашем скрипте.
     
  7. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.453
    Симпатии:
    13.952
    Пробовали банальное ExitAVZ;?
     
  8. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    Это надо написать после end?
    Если да то попробовал так сделать, результат тот же.
     
    Последнее редактирование: 12 апр 2013
  9. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    перед ним.
    по сути у него так и запускается за исключение того, что режим запуска не скрытый, кстати там в примере похоже очепятка.
     
  10. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.059
    Симпатии:
    4.488
    не проверял)
     
  11. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Chinaski, антивирус, UAC и т.д. не могут блокировать работу AVZ ?
     
  12. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    Такой совет может любой дать.
    P.S. извиняюсь если грубо звучит.
     
  13. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.453
    Симпатии:
    13.952
    Это основа любой диагностики. Запусти рабочий пример и можно понять, что не так :)
     
    2 пользователям это понравилось.
  14. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    AVZ после добавления ExitAVZ закрылся самостоятельно, но на серваке в рабочей папке программы в папке LOG ничего создано не было, права на запись 100% есть. В чем может быть причина?
     
  15. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Chinaski, только что запустил на своей системе с вашими параметрами тоже получил довольно укороченный лог наверно из-за MiniLog=Y. А у вас лог создаётся ? уже ответили в предыдущем сообщение. Вот мой лог.

    Добавлено через 6 минут 54 секунды
    Chinaski, попробуйте заменить ваш скрипт на подобный

    Код (Text):
    var
     AVZLogDir : string;
    begin
     // Формирование имени рабочей папки
     AVZLogDir := GetAVZDirectory + 'LOG\';
     CreateDirectory(AVZLogDir);
     // Настройка AVZ
     SetupAVZ('EvLevel=3'); // Эвристика на максимум
     SetupAVZ('ExtEvCheck=Y'); // Расширенный анализ включен
     // Запуск сканирования
     RunScan;
     // Выполнение исследования системы
     ExecuteSysCheck(AVZLogDir+'virusinfo_syscheck.htm');
    end.
    только пропишите явно пути к папке с логом. Можете ещё добавить логирование на каждом шаге и отследить на каком именно шаге у вас затык.
     
    Последнее редактирование: 12 апр 2013
    1 человеку нравится это.
  16. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    сделал так, к сожалению папка по прежнему пуста.
     
  17. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    добавьте логирование (вывод сообщения в лог )
    к примеру выполните скрипт

    Код (Text):
    var
     AVZLogDir : string;
    begin
     // Формирование имени рабочей папки
     AVZLogDir := GetAVZDirectory + 'LOG\';
     CreateDirectory(AVZLogDir);
     // Настройка AVZ
     SetupAVZ('EvLevel=3'); // Эвристика на максимум
     SetupAVZ('ExtEvCheck=Y'); // Расширенный анализ включен
      AddToLog('Запуск сканирования');
     // Запуск сканирования
     RunScan;
     AddToLog('RunScan прошло успешно');
     // Выполнение исследования системы
     ExecuteSysCheck(AVZLogDir+'virusinfo_syscheck.htm');
     AddToLog('ExecuteSysCheck прошло успешно');
    end.
    скопируйте лог из AVZ и напишите в своём следующем сообщение.
     
    Последнее редактирование: 12 апр 2013
  18. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    Вот что отрапортовал AVZ, лог по прежнему не создан :(:sorry:

    Код (Text):
    Внимание !!! База поcледний раз обновлялась 30.01.2013 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
    Протокол антивирусной утилиты AVZ версии 4.39
    Сканирование запущено в 12.04.2013 13:32:07
    Загружена база: сигнатуры - 297614, нейропрофили - 2, микропрограммы лечения - 56, база от 30.01.2013 18:40
    Загружены микропрограммы эвристики: 399
    Загружены микропрограммы ИПУ: 9
    Загружены цифровые подписи системных файлов: 506902
    Режим эвристического анализатора: Максимальный уровень эвристики
    Режим лечения: выключено
    Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
    Восстановление системы: Отключено
    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
     Анализ kernel32.dll, таблица экспорта найдена в секции .text
     Анализ ntdll.dll, таблица экспорта найдена в секции .text
     Анализ user32.dll, таблица экспорта найдена в секции .text
     Анализ advapi32.dll, таблица экспорта найдена в секции .text
     Анализ ws2_32.dll, таблица экспорта найдена в секции .text
     Анализ wininet.dll, таблица экспорта найдена в секции .text
     Анализ rasapi32.dll, таблица экспорта найдена в секции .text
     Анализ urlmon.dll, таблица экспорта найдена в секции .text
     Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
     Драйвер успешно загружен
     SDT найдена (RVA=085700)
     Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
       SDT = 8055C700
       KiST = 805044D4 (284)
    Функция NtAlertResumeThread (0C) перехвачена (805D4BDC->8A61A208), перехватчик не определен
    Функция NtAlertThread (0D) перехвачена (805D4B8C->8A78AC18), перехватчик не определен
    Функция NtAllocateVirtualMemory (11) перехвачена (805A8AC2->8A60B3F0), перехватчик не определен
    Функция NtCreateKey (29) перехвачена (80624160->B1848130), перехватчик C:\WINDOWS\system32\Drivers\SYMEVENT.SYS, драйвер опознан как безопасный
    Функция NtCreateMutant (2B) перехвачена (80617718->8A655260), перехватчик не определен
    Функция NtCreateThread (35) перехвачена (805D1038->8A675158), перехватчик не определен
    Функция NtDeleteKey (3F) перехвачена (806245FC->B18483B0), перехватчик C:\WINDOWS\system32\Drivers\SYMEVENT.SYS, драйвер опознан как безопасный
    Функция NtDeleteValueKey (41) перехвачена (806247CC->B1848910), перехватчик C:\WINDOWS\system32\Drivers\SYMEVENT.SYS, драйвер опознан как безопасный
    Функция NtFreeVirtualMemory (53) перехвачена (805B2FBA->8A67C1B0), перехватчик не определен
    Функция NtImpersonateAnonymousToken (59) перехвачена (805F9258->8A5ED510), перехватчик не определен
    Функция NtImpersonateThread (5B) перехвачена (805D7860->8A603CF0), перехватчик не определен
    Функция NtMapViewOfSection (6C) перехвачена (805B2042->8A5FF3B8), перехватчик не определен
    Функция NtOpenEvent (72) перехвачена (8060F0D6->8A8AE958), перехватчик не определен
    Функция NtOpenProcessToken (7B) перехвачена (805EDF26->8A6066D0), перехватчик не определен
    Функция NtOpenThreadToken (81) перехвачена (805EDF44->8A609E28), перехватчик не определен
    Функция NtResumeThread (CE) перехвачена (805D4A18->8A61F3F0), перехватчик не определен
    Функция NtSetContextThread (D5) перехвачена (805D2C1A->8A935828), перехватчик не определен
    Функция NtSetInformationProcess (E4) перехвачена (805CDEA0->8A5F25F0), перехватчик не определен
    Функция NtSetInformationThread (E5) перехвачена (805CC124->8A5E6240), перехватчик не определен
    Функция NtSetValueKey (F7) перехвачена (806226D2->B1848B60), перехватчик C:\WINDOWS\system32\Drivers\SYMEVENT.SYS, драйвер опознан как безопасный
    Функция NtSuspendProcess (FD) перехвачена (805D4AE0->8A603950), перехватчик не определен
    Функция NtSuspendThread (FE) перехвачена (805D4952->8A655748), перехватчик не определен
    Функция NtTerminateProcess (101) перехвачена (805D22D8->8A729E88), перехватчик не определен
    Функция NtTerminateThread (102) перехвачена (805D24D2->8A605C20), перехватчик не определен
    Функция NtUnmapViewOfSection (10B) перехвачена (805B2E50->8A603A50), перехватчик не определен
    Функция NtWriteVirtualMemory (115) перехвачена (805B43D4->8A662B30), перехватчик не определен
    Проверено функций: 284, перехвачено: 26, восстановлено: 0
    1.3 Проверка IDT и SYSENTER
     Анализ для процессора 1
     Анализ для процессора 2
     Проверка IDT и SYSENTER завершена
    1.4 Поиск маскировки процессов и драйверов
     Проверка не производится, так как не установлен драйвер мониторинга AVZPM
    1.5 Проверка обработчиков IRP
     Драйвер успешно загружен
     Проверка завершена
    2. Проверка памяти
     Количество найденных процессов: 84
    Анализатор - изучается процесс 2032 C:\Program Files\Application Updater\ApplicationUpdater.exe
    [ES]:Может работать с сетью
    [ES]:Приложение не имеет видимых окон
    [ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
    Анализатор - изучается процесс 680 C:\Program Files\EMC Captiva\Captiva Cloud Runtime\Emc.Captiva.WebCaptureService.exe
    [ES]:Может работать с сетью
    [ES]:Прослушивает порты TCP !
    [ES]:Приложение не имеет видимых окон
    [ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
    Анализатор - изучается процесс 1916 C:\Program Files\Java\jre7\bin\jqs.exe
    [ES]:Может работать с сетью
    [ES]:Прослушивает порты TCP !
    [ES]:Приложение не имеет видимых окон
    [ES]:Записан в автозапуск !!
    [ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
    Анализатор - изучается процесс 660 C:\Program Files\IBM\Lotus\Notes\SUService.exe
    [ES]:Приложение не имеет видимых окон
    Анализатор - изучается процесс 2784 C:\Program Files\Canon Electronics\P215\TouchDR.exe
    [ES]:Может работать с сетью
    [ES]:Может отправлять почту ?!
    [ES]:Приложение не имеет видимых окон
    [ES]:Записан в автозапуск !!
    Анализатор - изучается процесс 3380 C:\Program Files\EMC Captiva\Captiva Cloud Runtime\Emc.Captiva.WebToolkitHost.exe
    [ES]:Может работать с сетью
    Анализатор - изучается процесс 1768 C:\Program Files\IBM\Lotus\Notes\ntaskldr.EXE
    [ES]:Может работать с сетью
    [ES]:Приложение не имеет видимых окон
    Анализатор - изучается процесс 5260 C:\WINDOWS\system32\jview.exe
    [ES]:Может работать с сетью
    [ES]:Прослушивает порты TCP !
    [ES]:Размещается в системной папке
    [ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
    Анализатор - изучается процесс 4756 C:\telnet\TELNET.EXE
    [ES]:Может работать с сетью
    Анализатор - изучается процесс 4040 C:\telnet\TELNET.EXE
    [ES]:Может работать с сетью
    Анализатор - изучается процесс 5636 C:\Program Files\IBM\Lotus\Notes\nEvent.EXE
    [ES]:Может работать с сетью
    [ES]:Приложение не имеет видимых окон
     Количество загруженных модулей: 848
    Проверка памяти завершена
    3. Сканирование дисков
    4. Проверка Winsock Layered Service Provider (SPI/LSP)
     Настройки LSP проверены. Ошибок не обнаружено
    5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
    C:\Program Files\Common Files\Spigot\Search Settings\wth160.dll --> Подозрение на Keylogger или троянскую DLL
    C:\Program Files\Common Files\Spigot\Search Settings\wth160.dll>>> Поведенческий анализ
      1. Реагирует на события: клавиатура, все события
    C:\Program Files\Common Files\Spigot\Search Settings\wth160.dll>>> Нейросеть: файл с вероятностью 0.00% похож на типовой перехватчик событий клавиатуры/мыши
    На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
    6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
     Проверка отключена пользователем
    7. Эвристичеcкая проверка системы
    Проверка завершена
    8. Поиск потенциальных уязвимостей
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
    >> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешены терминальные подключения к данному ПК
    Проверка завершена
    9. Мастер поиска и устранения проблем
    Проверка завершена
    Просканировано файлов: 932, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
    Сканирование завершено в 12.04.2013 13:34:00
    Сканирование длилось 00:01:55
    Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
    то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
    RunScan прошло успешно
    Выполняется исследование системы
    ExecuteSysCheck прошло успешно
    Выполнение скрипта завершено
     
  19. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.059
    Симпатии:
    4.488
    В принципе Константин вам уже ответил, добавлю что я имел ввиду сужение поиска вашей проблемы, разделением ее на проблему скрипта и аппаратную проблему.
     
    1 человеку нравится это.
  20. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    Запустил скрипт из справки, из той же папки с того же сервака. Лог не создан. Вот протокол.

    Код (Text):
    Внимание !!! База поcледний раз обновлялась 30.01.2013 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
    Протокол антивирусной утилиты AVZ версии 4.39
    Сканирование запущено в 12.04.2013 13:58:52
    Загружена база: сигнатуры - 297614, нейропрофили - 2, микропрограммы лечения - 56, база от 30.01.2013 18:40
    Загружены микропрограммы эвристики: 399
    Загружены микропрограммы ИПУ: 9
    Загружены цифровые подписи системных файлов: 506902
    Режим эвристического анализатора: Максимальный уровень эвристики
    Режим лечения: выключено
    Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
    Восстановление системы: Отключено
    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
     Анализ kernel32.dll, таблица экспорта найдена в секции .text
     Анализ ntdll.dll, таблица экспорта найдена в секции .text
     Анализ user32.dll, таблица экспорта найдена в секции .text
     Анализ advapi32.dll, таблица экспорта найдена в секции .text
     Анализ ws2_32.dll, таблица экспорта найдена в секции .text
     Анализ wininet.dll, таблица экспорта найдена в секции .text
     Анализ rasapi32.dll, таблица экспорта найдена в секции .text
     Анализ urlmon.dll, таблица экспорта найдена в секции .text
     Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
     Драйвер успешно загружен
     SDT найдена (RVA=085700)
     Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
       SDT = 8055C700
       KiST = 805044D4 (284)
    Функция NtAlertResumeThread (0C) перехвачена (805D4BDC->8A61A208), перехватчик не определен
    Функция NtAlertThread (0D) перехвачена (805D4B8C->8A78AC18), перехватчик не определен
    Функция NtAllocateVirtualMemory (11) перехвачена (805A8AC2->8A60B3F0), перехватчик не определен
    Функция NtCreateKey (29) перехвачена (80624160->B1848130), перехватчик C:\WINDOWS\system32\Drivers\SYMEVENT.SYS, драйвер опознан как безопасный
    Функция NtCreateMutant (2B) перехвачена (80617718->8A655260), перехватчик не определен
    Функция NtCreateThread (35) перехвачена (805D1038->8A675158), перехватчик не определен
    Функция NtDeleteKey (3F) перехвачена (806245FC->B18483B0), перехватчик C:\WINDOWS\system32\Drivers\SYMEVENT.SYS, драйвер опознан как безопасный
    Функция NtDeleteValueKey (41) перехвачена (806247CC->B1848910), перехватчик C:\WINDOWS\system32\Drivers\SYMEVENT.SYS, драйвер опознан как безопасный
    Функция NtFreeVirtualMemory (53) перехвачена (805B2FBA->8A67C1B0), перехватчик не определен
    Функция NtImpersonateAnonymousToken (59) перехвачена (805F9258->8A5ED510), перехватчик не определен
    Функция NtImpersonateThread (5B) перехвачена (805D7860->8A603CF0), перехватчик не определен
    Функция NtMapViewOfSection (6C) перехвачена (805B2042->8A5FF3B8), перехватчик не определен
    Функция NtOpenEvent (72) перехвачена (8060F0D6->8A8AE958), перехватчик не определен
    Функция NtOpenProcessToken (7B) перехвачена (805EDF26->8A6066D0), перехватчик не определен
    Функция NtOpenThreadToken (81) перехвачена (805EDF44->8A609E28), перехватчик не определен
    Функция NtResumeThread (CE) перехвачена (805D4A18->8A61F3F0), перехватчик не определен
    Функция NtSetContextThread (D5) перехвачена (805D2C1A->8A935828), перехватчик не определен
    Функция NtSetInformationProcess (E4) перехвачена (805CDEA0->8A5F25F0), перехватчик не определен
    Функция NtSetInformationThread (E5) перехвачена (805CC124->8A5E6240), перехватчик не определен
    Функция NtSetValueKey (F7) перехвачена (806226D2->B1848B60), перехватчик C:\WINDOWS\system32\Drivers\SYMEVENT.SYS, драйвер опознан как безопасный
    Функция NtSuspendProcess (FD) перехвачена (805D4AE0->8A603950), перехватчик не определен
    Функция NtSuspendThread (FE) перехвачена (805D4952->8A655748), перехватчик не определен
    Функция NtTerminateProcess (101) перехвачена (805D22D8->8A729E88), перехватчик не определен
    Функция NtTerminateThread (102) перехвачена (805D24D2->8A605C20), перехватчик не определен
    Функция NtUnmapViewOfSection (10B) перехвачена (805B2E50->8A603A50), перехватчик не определен
    Функция NtWriteVirtualMemory (115) перехвачена (805B43D4->8A662B30), перехватчик не определен
    Проверено функций: 284, перехвачено: 26, восстановлено: 0
    1.3 Проверка IDT и SYSENTER
     Анализ для процессора 1
     Анализ для процессора 2
     Проверка IDT и SYSENTER завершена
    1.4 Поиск маскировки процессов и драйверов
     Проверка не производится, так как не установлен драйвер мониторинга AVZPM
    1.5 Проверка обработчиков IRP
     Драйвер успешно загружен
     Проверка завершена
    2. Проверка памяти
     Количество найденных процессов: 86
    Анализатор - изучается процесс 2032 C:\Program Files\Application Updater\ApplicationUpdater.exe
    [ES]:Может работать с сетью
    [ES]:Приложение не имеет видимых окон
    [ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
    Анализатор - изучается процесс 680 C:\Program Files\EMC Captiva\Captiva Cloud Runtime\Emc.Captiva.WebCaptureService.exe
    [ES]:Может работать с сетью
    [ES]:Прослушивает порты TCP !
    [ES]:Приложение не имеет видимых окон
    [ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
    Анализатор - изучается процесс 1916 C:\Program Files\Java\jre7\bin\jqs.exe
    [ES]:Может работать с сетью
    [ES]:Прослушивает порты TCP !
    [ES]:Приложение не имеет видимых окон
    [ES]:Записан в автозапуск !!
    [ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
    Анализатор - изучается процесс 660 C:\Program Files\IBM\Lotus\Notes\SUService.exe
    [ES]:Приложение не имеет видимых окон
    Анализатор - изучается процесс 2784 C:\Program Files\Canon Electronics\P215\TouchDR.exe
    [ES]:Может работать с сетью
    [ES]:Может отправлять почту ?!
    [ES]:Приложение не имеет видимых окон
    [ES]:Записан в автозапуск !!
    Анализатор - изучается процесс 3380 C:\Program Files\EMC Captiva\Captiva Cloud Runtime\Emc.Captiva.WebToolkitHost.exe
    [ES]:Может работать с сетью
    Анализатор - изучается процесс 1768 C:\Program Files\IBM\Lotus\Notes\ntaskldr.EXE
    [ES]:Может работать с сетью
    [ES]:Приложение не имеет видимых окон
    Анализатор - изучается процесс 5260 C:\WINDOWS\system32\jview.exe
    [ES]:Может работать с сетью
    [ES]:Прослушивает порты TCP !
    [ES]:Размещается в системной папке
    [ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
    Анализатор - изучается процесс 4756 C:\telnet\TELNET.EXE
    [ES]:Может работать с сетью
    Анализатор - изучается процесс 4040 C:\telnet\TELNET.EXE
    [ES]:Может работать с сетью
    Анализатор - изучается процесс 5636 C:\Program Files\IBM\Lotus\Notes\nEvent.EXE
    [ES]:Может работать с сетью
    [ES]:Приложение не имеет видимых окон
     Количество загруженных модулей: 849
    Проверка памяти завершена
    3. Сканирование дисков
    4. Проверка Winsock Layered Service Provider (SPI/LSP)
     Настройки LSP проверены. Ошибок не обнаружено
    5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
    C:\Program Files\Common Files\Spigot\Search Settings\wth160.dll --> Подозрение на Keylogger или троянскую DLL
    C:\Program Files\Common Files\Spigot\Search Settings\wth160.dll>>> Поведенческий анализ
      1. Реагирует на события: клавиатура, все события
    C:\Program Files\Common Files\Spigot\Search Settings\wth160.dll>>> Нейросеть: файл с вероятностью 0.00% похож на типовой перехватчик событий клавиатуры/мыши
    На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
    6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
     Проверка отключена пользователем
    7. Эвристичеcкая проверка системы
    Проверка завершена
    8. Поиск потенциальных уязвимостей
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
    >> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешены терминальные подключения к данному ПК
    Проверка завершена
    9. Мастер поиска и устранения проблем
    Проверка завершена
    Просканировано файлов: 935, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
    Сканирование завершено в 12.04.2013 14:00:11
    Сканирование длилось 00:01:22
    Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
    то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
    RunScan прошло успешно
    Выполняется исследование системы
    ExecuteSysCheck прошло успешно
    Выполнение скрипта завершено
     
     

Поделиться этой страницей