Протокол антивирусной утилиты AVZ версии 4.30
Сканирование запущено в 22.06.2008 14:43:41
Загружена база: сигнатуры - 172042, нейропрофили - 2, микропрограммы лечения - 56, база от 22.06.2008 01:19
Загружены микропрограммы эвристики: 370
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 71156
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtClose (111) перехвачена, метод APICodeHijack.JmpTo[10005056]
Функция ntdll.dll:ZwClose (921) перехвачена, метод APICodeHijack.JmpTo[10005056]
 Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:EndTask (202) перехвачена, метод APICodeHijack.JmpTo[10004C26]
Функция user32.dll:keybd_event (727) перехвачена, метод APICodeHijack.JmpTo[10001546]
Функция user32.dll:mouse_event (728) перехвачена, метод APICodeHijack.JmpTo[100016C6]
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
 Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 867D21E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 867D21E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 867D21E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 867D21E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 867D21E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 867D21E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 867D21E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 867D21E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 867D21E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 867D21E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 867D21E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 867D21E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 867D21E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 867D21E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 867D21E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 867D21E8 -> перехватчик не определен
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 32
 Количество загруженных модулей: 289
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\system32\guard32.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\guard32.dll>>> Поведенческий анализ 
  1. Реагирует на события: клавиатура, мышь
  2. Определяет PID текущего процесса
C:\WINDOWS\system32\guard32.dll>>> Нейросеть: файл с вероятностью 0.60% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINDOWS\system32\DRWEBSP.DLL --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\DRWEBSP.DLL>>> Поведенческий анализ 
 Типичное для кейлоггеров поведение не зарегистрировано
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\WINDOWS\system32\guard32.dll"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 126753, извлечено из архивов: 104797, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 22.06.2008 14:54:48
Сканирование длилось 00:11:08
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info