Выполнение скрипта AVZ по сети

Chinaski

Ассоциация VN
Сообщения
2,148
Симпатии
483
Баллы
453
#1
Добрый день! Возникла необходимость регулярно собирать логи с компьютеров в сети. Решено было автоматизировать процесс следующим образом:
На сервере лежит AVZ, папка расшарена для общего доступа (как на чтение так и на запись), на целевой компьютер вытащен ярлык на AVZ со следующей командной строкой
\\name_server\avz4\avz.exe HiddenMode=0 NQ=Y MiniLog=Y Script=std2
рабочая папка
\\name_server\avz4\
HiddenMode в данном случае временно указан со значением 0, дабы наблюдать за процессом, предполагается 3.

Содержимое скрипта
begin
ExecuteStdScr(2);
end.

То есть задача сводится к минимуму, выполнить скрипт №2.
Скрипт начинает выполняться, но процесс останавливается через какое-то время, и больше ничего не происходит.

Код:
Функция NtAlertResumeThread (0C) перехвачена (805D4BDC->8A61A208), перехватчик не определен
Функция NtAlertThread (0D) перехвачена (805D4B8C->8A78AC18), перехватчик не определен
Функция NtAllocateVirtualMemory (11) перехвачена (805A8AC2->8A60B3F0), перехватчик не определен
Функция NtCreateKey (29) перехвачена (80624160->B1848130), перехватчик C:\WINDOWS\system32\Drivers\SYMEVENT.SYS, драйвер опознан как безопасный
Функция NtCreateMutant (2B) перехвачена (80617718->8A655260), перехватчик не определен
Функция NtCreateThread (35) перехвачена (805D1038->8A675158), перехватчик не определен
Функция NtDeleteKey (3F) перехвачена (806245FC->B18483B0), перехватчик C:\WINDOWS\system32\Drivers\SYMEVENT.SYS, драйвер опознан как безопасный
Функция NtDeleteValueKey (41) перехвачена (806247CC->B1848910), перехватчик C:\WINDOWS\system32\Drivers\SYMEVENT.SYS, драйвер опознан как безопасный
Функция NtFreeVirtualMemory (53) перехвачена (805B2FBA->8A67C1B0), перехватчик не определен
Функция NtImpersonateAnonymousToken (59) перехвачена (805F9258->8A5ED510), перехватчик не определен
Функция NtImpersonateThread (5B) перехвачена (805D7860->8A603CF0), перехватчик не определен
Функция NtMapViewOfSection (6C) перехвачена (805B2042->8A5FF3B8), перехватчик не определен
Функция NtOpenEvent (72) перехвачена (8060F0D6->8A8AE958), перехватчик не определен
Функция NtOpenProcessToken (7B) перехвачена (805EDF26->8A6066D0), перехватчик не определен
Функция NtOpenThreadToken (81) перехвачена (805EDF44->8A609E28), перехватчик не определен
Функция NtResumeThread (CE) перехвачена (805D4A18->8A61F3F0), перехватчик не определен
Функция NtSetContextThread (D5) перехвачена (805D2C1A->8A935828), перехватчик не определен
Функция NtSetInformationProcess (E4) перехвачена (805CDEA0->8A5F25F0), перехватчик не определен
Функция NtSetInformationThread (E5) перехвачена (805CC124->8A5E6240), перехватчик не определен
Функция NtSetValueKey (F7) перехвачена (806226D2->B1848B60), перехватчик C:\WINDOWS\system32\Drivers\SYMEVENT.SYS, драйвер опознан как безопасный
Функция NtSuspendProcess (FD) перехвачена (805D4AE0->8A603950), перехватчик не определен
Функция NtSuspendThread (FE) перехвачена (805D4952->8A655748), перехватчик не определен
Функция NtTerminateProcess (101) перехвачена (805D22D8->8A729E88), перехватчик не определен
Функция NtTerminateThread (102) перехвачена (805D24D2->8A605C20), перехватчик не определен
Функция NtUnmapViewOfSection (10B) перехвачена (805B2E50->8A603A50), перехватчик не определен
Функция NtWriteVirtualMemory (115) перехвачена (805B43D4->8A662B30), перехватчик не определен
C:\Program Files\Common Files\Spigot\Search Settings\wth160.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Common Files\Spigot\Search Settings\wth160.dll>>> Поведенческий анализ 
  1. Реагирует на события: клавиатура, все события
C:\Program Files\Common Files\Spigot\Search Settings\wth160.dll>>> Нейросеть: файл с вероятностью 0.00% похож на типовой перехватчик событий клавиатуры/мыши
Программа отрабатывает до этого момента, дальше ничего не происходит, окно так и висит, память расходуемая процессом не изменяется. Вообще ничего не происходит дальше.

Подскажите пожалуйста в чем может быть причина, и если кто сталкивался с задачей организации сбора логов с компьютера в сети как это лучше организовать? :confused:
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,277
Симпатии
5,867
Баллы
918
#2
Программа отрабатывает до этого момента, дальше ничего не происходит, окно так и висит, память расходуемая процессом не изменяется. Вообще ничего не происходит дальше.
может стоит подождать подольше ? ;)
на этом этапе вроде идёт сканирование файлов.
 
Последнее редактирование:

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,636
Симпатии
4,974
Баллы
663
#3
В справке к AVZ есть типовой пример: "Заготовка скрипта для сканирования сети".
 

Chinaski

Ассоциация VN
Сообщения
2,148
Симпатии
483
Баллы
453
#4
Насчет подождать подольше - оставлял на ночь, ничего не изменилось.

Добавлено через 3 минуты 33 секунды
В справке к AVZ есть типовой пример: "Заготовка скрипта для сканирования сети".
Да, там есть пример. Но мне хотелось бы понять почему не работает так я пытался сделать? Пробовал на другом компьютере, результат такой же. :(
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,636
Симпатии
4,974
Баллы
663
#6
Попробуйте запустить как написано в "примере", если будет работать, тогда проблема в вашем скрипте.
 

akok

Команда форума
Администратор
Сообщения
15,794
Симпатии
12,728
Баллы
2,203
#7
Пробовали банальное ExitAVZ;?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,277
Симпатии
5,867
Баллы
918
#9
Это надо написать после end?
перед ним.
Попробуйте запустить как написано в "примере", если будет работать, тогда проблема в вашем скрипте.
по сути у него так и запускается за исключение того, что режим запуска не скрытый, кстати там в примере похоже очепятка.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,277
Симпатии
5,867
Баллы
918
#11
Chinaski, антивирус, UAC и т.д. не могут блокировать работу AVZ ?
 

Chinaski

Ассоциация VN
Сообщения
2,148
Симпатии
483
Баллы
453
#12
Попробуйте запустить как написано в "примере", если будет работать, тогда проблема в вашем скрипте.
Такой совет может любой дать.
P.S. извиняюсь если грубо звучит.
 

akok

Команда форума
Администратор
Сообщения
15,794
Симпатии
12,728
Баллы
2,203
#13

Chinaski

Ассоциация VN
Сообщения
2,148
Симпатии
483
Баллы
453
#14
AVZ после добавления ExitAVZ закрылся самостоятельно, но на серваке в рабочей папке программы в папке LOG ничего создано не было, права на запись 100% есть. В чем может быть причина?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,277
Симпатии
5,867
Баллы
918
#15
Chinaski, только что запустил на своей системе с вашими параметрами тоже получил довольно укороченный лог наверно из-за MiniLog=Y. А у вас лог создаётся ? уже ответили в предыдущем сообщение. Вот мой лог.

Добавлено через 6 минут 54 секунды
Chinaski, попробуйте заменить ваш скрипт на подобный

Код:
var
 AVZLogDir : string;
begin
 // Формирование имени рабочей папки
 AVZLogDir := GetAVZDirectory + 'LOG\';
 CreateDirectory(AVZLogDir);
 // Настройка AVZ
 SetupAVZ('EvLevel=3'); // Эвристика на максимум 
 SetupAVZ('ExtEvCheck=Y'); // Расширенный анализ включен
 // Запуск сканирования
 RunScan;
 // Выполнение исследования системы
 ExecuteSysCheck(AVZLogDir+'virusinfo_syscheck.htm');
end.
только пропишите явно пути к папке с логом. Можете ещё добавить логирование на каждом шаге и отследить на каком именно шаге у вас затык.
 
Последнее редактирование:

Chinaski

Ассоциация VN
Сообщения
2,148
Симпатии
483
Баллы
453
#16
Chinaski, только что запустил на своей системе с вашими параметрами тоже получил довольно укороченный лог наверно из-за MiniLog=Y. А у вас лог создаётся ? уже ответили в предыдущем сообщение. Вот мой лог.

Добавлено через 6 минут 54 секунды
Chinaski, попробуйте заменить ваш скрипт на подобный

Код:
var
 AVZLogDir : string;
begin
 // Формирование имени рабочей папки
 AVZLogDir := GetAVZDirectory + 'LOG\';
 CreateDirectory(AVZLogDir);
 // Настройка AVZ
 SetupAVZ('EvLevel=3'); // Эвристика на максимум 
 SetupAVZ('ExtEvCheck=Y'); // Расширенный анализ включен
 // Запуск сканирования
 RunScan;
 // Выполнение исследования системы
 ExecuteSysCheck(AVZLogDir+'virusinfo_syscheck.htm');
end.
только пропишите явно пути к папке с логом. Можете ещё добавить логирование на каждом шаге и отследить на каком именно шаге у вас затык.
сделал так, к сожалению папка по прежнему пуста.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,277
Симпатии
5,867
Баллы
918
#17
сделал так, к сожалению папка по прежнему пуста.
добавьте логирование (вывод сообщения в лог )
к примеру выполните скрипт

Код:
var
 AVZLogDir : string;
begin
 // Формирование имени рабочей папки
 AVZLogDir := GetAVZDirectory + 'LOG\';
 CreateDirectory(AVZLogDir);
 // Настройка AVZ
 SetupAVZ('EvLevel=3'); // Эвристика на максимум
 SetupAVZ('ExtEvCheck=Y'); // Расширенный анализ включен
  AddToLog('Запуск сканирования');
 // Запуск сканирования
 RunScan;
 AddToLog('RunScan прошло успешно');
 // Выполнение исследования системы
 ExecuteSysCheck(AVZLogDir+'virusinfo_syscheck.htm');
 AddToLog('ExecuteSysCheck прошло успешно');
end.
скопируйте лог из AVZ и напишите в своём следующем сообщение.
 
Последнее редактирование:

Chinaski

Ассоциация VN
Сообщения
2,148
Симпатии
483
Баллы
453
#18
Вот что отрапортовал AVZ, лог по прежнему не создан :(:sorry:

Код:
Внимание !!! База поcледний раз обновлялась 30.01.2013 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.39
Сканирование запущено в 12.04.2013 13:32:07
Загружена база: сигнатуры - 297614, нейропрофили - 2, микропрограммы лечения - 56, база от 30.01.2013 18:40
Загружены микропрограммы эвристики: 399
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 506902
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: Отключено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=085700)
 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
   SDT = 8055C700
   KiST = 805044D4 (284)
Функция NtAlertResumeThread (0C) перехвачена (805D4BDC->8A61A208), перехватчик не определен
Функция NtAlertThread (0D) перехвачена (805D4B8C->8A78AC18), перехватчик не определен
Функция NtAllocateVirtualMemory (11) перехвачена (805A8AC2->8A60B3F0), перехватчик не определен
Функция NtCreateKey (29) перехвачена (80624160->B1848130), перехватчик C:\WINDOWS\system32\Drivers\SYMEVENT.SYS, драйвер опознан как безопасный
Функция NtCreateMutant (2B) перехвачена (80617718->8A655260), перехватчик не определен
Функция NtCreateThread (35) перехвачена (805D1038->8A675158), перехватчик не определен
Функция NtDeleteKey (3F) перехвачена (806245FC->B18483B0), перехватчик C:\WINDOWS\system32\Drivers\SYMEVENT.SYS, драйвер опознан как безопасный
Функция NtDeleteValueKey (41) перехвачена (806247CC->B1848910), перехватчик C:\WINDOWS\system32\Drivers\SYMEVENT.SYS, драйвер опознан как безопасный
Функция NtFreeVirtualMemory (53) перехвачена (805B2FBA->8A67C1B0), перехватчик не определен
Функция NtImpersonateAnonymousToken (59) перехвачена (805F9258->8A5ED510), перехватчик не определен
Функция NtImpersonateThread (5B) перехвачена (805D7860->8A603CF0), перехватчик не определен
Функция NtMapViewOfSection (6C) перехвачена (805B2042->8A5FF3B8), перехватчик не определен
Функция NtOpenEvent (72) перехвачена (8060F0D6->8A8AE958), перехватчик не определен
Функция NtOpenProcessToken (7B) перехвачена (805EDF26->8A6066D0), перехватчик не определен
Функция NtOpenThreadToken (81) перехвачена (805EDF44->8A609E28), перехватчик не определен
Функция NtResumeThread (CE) перехвачена (805D4A18->8A61F3F0), перехватчик не определен
Функция NtSetContextThread (D5) перехвачена (805D2C1A->8A935828), перехватчик не определен
Функция NtSetInformationProcess (E4) перехвачена (805CDEA0->8A5F25F0), перехватчик не определен
Функция NtSetInformationThread (E5) перехвачена (805CC124->8A5E6240), перехватчик не определен
Функция NtSetValueKey (F7) перехвачена (806226D2->B1848B60), перехватчик C:\WINDOWS\system32\Drivers\SYMEVENT.SYS, драйвер опознан как безопасный
Функция NtSuspendProcess (FD) перехвачена (805D4AE0->8A603950), перехватчик не определен
Функция NtSuspendThread (FE) перехвачена (805D4952->8A655748), перехватчик не определен
Функция NtTerminateProcess (101) перехвачена (805D22D8->8A729E88), перехватчик не определен
Функция NtTerminateThread (102) перехвачена (805D24D2->8A605C20), перехватчик не определен
Функция NtUnmapViewOfSection (10B) перехвачена (805B2E50->8A603A50), перехватчик не определен
Функция NtWriteVirtualMemory (115) перехвачена (805B43D4->8A662B30), перехватчик не определен
Проверено функций: 284, перехвачено: 26, восстановлено: 0
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Анализ для процессора 2
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
 Драйвер успешно загружен
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 84
Анализатор - изучается процесс 2032 C:\Program Files\Application Updater\ApplicationUpdater.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 680 C:\Program Files\EMC Captiva\Captiva Cloud Runtime\Emc.Captiva.WebCaptureService.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Приложение не имеет видимых окон
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 1916 C:\Program Files\Java\jre7\bin\jqs.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 660 C:\Program Files\IBM\Lotus\Notes\SUService.exe
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 2784 C:\Program Files\Canon Electronics\P215\TouchDR.exe
[ES]:Может работать с сетью
[ES]:Может отправлять почту ?!
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 3380 C:\Program Files\EMC Captiva\Captiva Cloud Runtime\Emc.Captiva.WebToolkitHost.exe
[ES]:Может работать с сетью
Анализатор - изучается процесс 1768 C:\Program Files\IBM\Lotus\Notes\ntaskldr.EXE
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 5260 C:\WINDOWS\system32\jview.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Размещается в системной папке
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 4756 C:\telnet\TELNET.EXE
[ES]:Может работать с сетью
Анализатор - изучается процесс 4040 C:\telnet\TELNET.EXE
[ES]:Может работать с сетью
Анализатор - изучается процесс 5636 C:\Program Files\IBM\Lotus\Notes\nEvent.EXE
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
 Количество загруженных модулей: 848
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files\Common Files\Spigot\Search Settings\wth160.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Common Files\Spigot\Search Settings\wth160.dll>>> Поведенческий анализ 
  1. Реагирует на события: клавиатура, все события
C:\Program Files\Common Files\Spigot\Search Settings\wth160.dll>>> Нейросеть: файл с вероятностью 0.00% похож на типовой перехватчик событий клавиатуры/мыши
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 932, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 12.04.2013 13:34:00
Сканирование длилось 00:01:55
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
RunScan прошло успешно
Выполняется исследование системы
ExecuteSysCheck прошло успешно
Выполнение скрипта завершено
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,636
Симпатии
4,974
Баллы
663
#19
Такой совет может любой дать.
В принципе Константин вам уже ответил, добавлю что я имел ввиду сужение поиска вашей проблемы, разделением ее на проблему скрипта и аппаратную проблему.
 

Chinaski

Ассоциация VN
Сообщения
2,148
Симпатии
483
Баллы
453
#20
Запустил скрипт из справки, из той же папки с того же сервака. Лог не создан. Вот протокол.

Код:
Внимание !!! База поcледний раз обновлялась 30.01.2013 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.39
Сканирование запущено в 12.04.2013 13:58:52
Загружена база: сигнатуры - 297614, нейропрофили - 2, микропрограммы лечения - 56, база от 30.01.2013 18:40
Загружены микропрограммы эвристики: 399
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 506902
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: Отключено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=085700)
 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
   SDT = 8055C700
   KiST = 805044D4 (284)
Функция NtAlertResumeThread (0C) перехвачена (805D4BDC->8A61A208), перехватчик не определен
Функция NtAlertThread (0D) перехвачена (805D4B8C->8A78AC18), перехватчик не определен
Функция NtAllocateVirtualMemory (11) перехвачена (805A8AC2->8A60B3F0), перехватчик не определен
Функция NtCreateKey (29) перехвачена (80624160->B1848130), перехватчик C:\WINDOWS\system32\Drivers\SYMEVENT.SYS, драйвер опознан как безопасный
Функция NtCreateMutant (2B) перехвачена (80617718->8A655260), перехватчик не определен
Функция NtCreateThread (35) перехвачена (805D1038->8A675158), перехватчик не определен
Функция NtDeleteKey (3F) перехвачена (806245FC->B18483B0), перехватчик C:\WINDOWS\system32\Drivers\SYMEVENT.SYS, драйвер опознан как безопасный
Функция NtDeleteValueKey (41) перехвачена (806247CC->B1848910), перехватчик C:\WINDOWS\system32\Drivers\SYMEVENT.SYS, драйвер опознан как безопасный
Функция NtFreeVirtualMemory (53) перехвачена (805B2FBA->8A67C1B0), перехватчик не определен
Функция NtImpersonateAnonymousToken (59) перехвачена (805F9258->8A5ED510), перехватчик не определен
Функция NtImpersonateThread (5B) перехвачена (805D7860->8A603CF0), перехватчик не определен
Функция NtMapViewOfSection (6C) перехвачена (805B2042->8A5FF3B8), перехватчик не определен
Функция NtOpenEvent (72) перехвачена (8060F0D6->8A8AE958), перехватчик не определен
Функция NtOpenProcessToken (7B) перехвачена (805EDF26->8A6066D0), перехватчик не определен
Функция NtOpenThreadToken (81) перехвачена (805EDF44->8A609E28), перехватчик не определен
Функция NtResumeThread (CE) перехвачена (805D4A18->8A61F3F0), перехватчик не определен
Функция NtSetContextThread (D5) перехвачена (805D2C1A->8A935828), перехватчик не определен
Функция NtSetInformationProcess (E4) перехвачена (805CDEA0->8A5F25F0), перехватчик не определен
Функция NtSetInformationThread (E5) перехвачена (805CC124->8A5E6240), перехватчик не определен
Функция NtSetValueKey (F7) перехвачена (806226D2->B1848B60), перехватчик C:\WINDOWS\system32\Drivers\SYMEVENT.SYS, драйвер опознан как безопасный
Функция NtSuspendProcess (FD) перехвачена (805D4AE0->8A603950), перехватчик не определен
Функция NtSuspendThread (FE) перехвачена (805D4952->8A655748), перехватчик не определен
Функция NtTerminateProcess (101) перехвачена (805D22D8->8A729E88), перехватчик не определен
Функция NtTerminateThread (102) перехвачена (805D24D2->8A605C20), перехватчик не определен
Функция NtUnmapViewOfSection (10B) перехвачена (805B2E50->8A603A50), перехватчик не определен
Функция NtWriteVirtualMemory (115) перехвачена (805B43D4->8A662B30), перехватчик не определен
Проверено функций: 284, перехвачено: 26, восстановлено: 0
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Анализ для процессора 2
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
 Драйвер успешно загружен
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 86
Анализатор - изучается процесс 2032 C:\Program Files\Application Updater\ApplicationUpdater.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 680 C:\Program Files\EMC Captiva\Captiva Cloud Runtime\Emc.Captiva.WebCaptureService.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Приложение не имеет видимых окон
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 1916 C:\Program Files\Java\jre7\bin\jqs.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 660 C:\Program Files\IBM\Lotus\Notes\SUService.exe
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 2784 C:\Program Files\Canon Electronics\P215\TouchDR.exe
[ES]:Может работать с сетью
[ES]:Может отправлять почту ?!
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 3380 C:\Program Files\EMC Captiva\Captiva Cloud Runtime\Emc.Captiva.WebToolkitHost.exe
[ES]:Может работать с сетью
Анализатор - изучается процесс 1768 C:\Program Files\IBM\Lotus\Notes\ntaskldr.EXE
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 5260 C:\WINDOWS\system32\jview.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Размещается в системной папке
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 4756 C:\telnet\TELNET.EXE
[ES]:Может работать с сетью
Анализатор - изучается процесс 4040 C:\telnet\TELNET.EXE
[ES]:Может работать с сетью
Анализатор - изучается процесс 5636 C:\Program Files\IBM\Lotus\Notes\nEvent.EXE
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
 Количество загруженных модулей: 849
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files\Common Files\Spigot\Search Settings\wth160.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Common Files\Spigot\Search Settings\wth160.dll>>> Поведенческий анализ 
  1. Реагирует на события: клавиатура, все события
C:\Program Files\Common Files\Spigot\Search Settings\wth160.dll>>> Нейросеть: файл с вероятностью 0.00% похож на типовой перехватчик событий клавиатуры/мыши
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 935, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 12.04.2013 14:00:11
Сканирование длилось 00:01:22
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
RunScan прошло успешно
Выполняется исследование системы
ExecuteSysCheck прошло успешно
Выполнение скрипта завершено
 
Сверху Снизу