посмотрите, что можно сделать
Протокол антивирусной утилиты AVZ версии 4.30
Сканирование запущено в 13.12.2008 9:54:41
Загружена база: сигнатуры - 200245, нейропрофили - 2, микропрограммы лечения - 56, база от 11.12.2008 21:22
Загружены микропрограммы эвристики: 371
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 74240
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 3, v.5503 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:GetProcAddress (409) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AE30->7C884FEC
Функция kernel32.dll:LoadLibraryA (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D7B->7C884F9C
Функция kernel32.dll:LoadLibraryExA (582) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D53->7C884FB0
Функция kernel32.dll:LoadLibraryExW (583) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF5->7C884FD8
Функция kernel32.dll:LoadLibraryW (584) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AEDB->7C884FC4
Детектирована модификация IAT: LoadLibraryA - 7C884F9C<>7C801D7B
Детектирована модификация IAT: GetProcAddress - 7C884FEC<>7C80AE30
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:RegisterRawInputDevices (546) перехвачена, метод ProcAddressHijack.GetProcAddress ->7E3BCE0E->7E400010
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=08B520)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80562520
KiST = 804E48A0 (284)
Функция NtClose (19) перехвачена (8056FAF2->F40AB370), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtConnectPort (1F) перехвачена (80585563->F40A9420), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtCreateKey (29) перехвачена (80577925->F409C7A0), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtCreateProcess (2F) перехвачена (805B0470->F40AB0A0), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtCreateProcessEx (30) перехвачена (8058B7CD->F40AB210), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtCreateSection (32) перехвачена (8056DB66->F40ABE70), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtCreateSymbolicLinkObject (34) перехвачена (805E6E56->F40AB940), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtCreateThread (35) перехвачена (80586C43->F40AC7B0), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtDeleteKey (3F) перехвачена (80593334->F409C8A0), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtDeleteValueKey (41) перехвачена (80591F8B->F409C920), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtDuplicateObject (44) перехвачена (8058121E->F40AB510), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtEnumerateKey (47) перехвачена (80578E1C->F409C9B0), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtEnumerateValueKey (49) перехвачена (80587691->F409CA60), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtFlushKey (4F) перехвачена (805D93BB->F409CB10), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtInitializeRegistry (5C) перехвачена (805A9D25->F409CB90), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtLoadDriver (61) перехвачена (805A8F96->F40A8FD0), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtLoadKey (62) перехвачена (805CE7E5->F409D590), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtLoadKey2 (63) перехвачена (805CE944->F409CBB0), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtNotifyChangeKey (6F) перехвачена (805E218F->F409CC80), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtOpenFile (74) перехвачена (8057C4A4->F727C030), перехватчик C:\WINDOWS\system32\Drivers\kl1.sys, драйвер опознан как безопасный
Функция NtOpenKey (77) перехвачена (80572BFC->F409CD60), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtOpenProcess (7A) перехвачена (8058170A->F40AAE90), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtOpenSection (7D) перехвачена (8057A8B5->F40ABCA0), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtQueryKey (A0) перехвачена (80578A1C->F409CE30), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtQueryMultipleValueKey (A1) перехвачена (806556D4->F409CEE0), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtQuerySystemInformation (AD) перехвачена (80585FF1->F40AC460), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtQueryValueKey (B1) перехвачена (8057303F->F409CF90), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtReplaceKey (C1) перехвачена (806564B0->F409D040), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtRequestWaitReplyPort (C8) перехвачена (8057948D->F40A9A00), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtRestoreKey (CC) перехвачена (80656045->F409D0D0), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtResumeThread (CE) перехвачена (805872BA->F40AC760), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtSaveKey (CF) перехвачена (80656146->F409D2D0), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtSetContextThread (D5) перехвачена (80635937->F40ACAE0), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtSetInformationFile (E0) перехвачена (8057F4ED->F40AD0A0), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtSetInformationKey (E2) перехвачена (80655237->F409D360), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtSetSecurityObject (ED) перехвачена (805D9CAC->F40A7C20), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtSetSystemInformation (F0) перехвачена (805AABC8->F40ABB20), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtSetValueKey (F7) перехвачена (80582294->F409D400), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtSuspendThread (FE) перехвачена (806375EB->F40AC710), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtSystemDebugControl (FF) перехвачена (80650D8D->F40A92E0), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtTerminateProcess (101) перехвачена (8058E695->F40AC300), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtUnloadKey (107) перехвачена (80654DAE->F409D550), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtWriteVirtualMemory (115) перехвачена (805885C2->F40AB3D0), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция FsRtlCheckLockForReadAccess (804F4583) - модификация машинного кода. Метод JmpTo. jmp F40AD4C0 \??\C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция IoAllocateIrp (804EAF8D) - модификация машинного кода. Метод не определен., внедрение с байта 15
Функция IoIsOperationSynchronous (804EAF9E) - модификация машинного кода. Метод JmpTo. jmp F40AD9C0 \??\C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Проверено функций: 284, перехвачено: 43, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 31
Анализатор - изучается процесс 1220 C:\WINDOWS\System32\smss.exe
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
Анализатор - изучается процесс 1276 C:\WINDOWS\system32\csrss.exe
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
Анализатор - изучается процесс 1312 C:\WINDOWS\system32\winlogon.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
Процесс c:\windows\system32\winlogon.exe Может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll)
Анализатор - изучается процесс 1356 C:\WINDOWS\system32\services.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
Процесс c:\windows\system32\services.exe Может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll)
Анализатор - изучается процесс 1368 C:\WINDOWS\system32\lsass.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
Процесс c:\windows\system32\lsass.exe Может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll)
Анализатор - изучается процесс 1520 C:\WINDOWS\system32\svchost.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
Процесс c:\windows\system32\svchost.exe Может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Анализатор - изучается процесс 1612 C:\WINDOWS\system32\svchost.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Процесс c:\windows\system32\svchost.exe Может работать с сетью (ws2_32.dll,ws2help.dll)
Анализатор - изучается процесс 1864 C:\WINDOWS\System32\svchost.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Процесс c:\windows\system32\svchost.exe Может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll,wininet.dll,u rlmon.dll,es.dll,rasapi32.dll,tapi32.dll)
Анализатор - изучается процесс 1916 C:\WINDOWS\system32\svchost.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
Процесс c:\windows\system32\svchost.exe Может работать с сетью (ws2_32.dll,ws2help.dll)
Анализатор - изучается процесс 128 C:\WINDOWS\system32\spoolsv.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Процесс c:\windows\system32\spoolsv.exe Может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс c:\windows\explorer.exe Может работать с сетью (netapi32.dll,wininet.dll,urlmon.dll,ws2_32.dll,ws 2help.dll,rasapi32.dll,tapi32.dll)
Анализатор - изучается процесс 1204 C:\WINDOWS\system32\svchost.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
Процесс c:\windows\system32\svchost.exe Может работать с сетью (ws2_32.dll,ws2help.dll)
Анализатор - изучается процесс 1704 C:\Program Files\CDBurnerXP\NMSAccessU.exe
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 1720 C:\WINDOWS\system32\nvsvc32.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
Процесс c:\windows\system32\nvsvc32.exe Может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll)
Анализатор - изучается процесс 2008 C:\WINDOWS\system32\RUNDLL32.EXE
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
Анализатор - изучается процесс 1120 C:\WINDOWS\system32\rundll32.exe
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
Анализатор - изучается процесс 324 C:\Program Files\AlfaClock Free Edition\AlfaClock.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:EXE упаковщик ?
[ES]:Записан в автозапуск !!
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Процесс c:\program files\alfaclock free edition\alfaclock.exe Может работать с сетью (rasapi32.dll,netapi32.dll,ws2_32.dll,ws2help.dll, tapi32.dll)
Анализатор - изучается процесс 404 C:\Program Files\VistaDriveIcon\VistaDrv.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Процесс c:\program files\vistadriveicon\vistadrv.exe Может работать с сетью (wininet.dll,urlmon.dll)
Анализатор - изучается процесс 528 D:\Проги\Винчестер Температура\DTemp.exe
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Процесс c:\program files\common files\nero\lib\nmindexstoresvr.exe Может работать с сетью (ws2_32.dll,ws2help.dll,urlmon.dll)
Анализатор - изучается процесс 812 C:\WINDOWS\System32\alg.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
Процесс c:\windows\system32\alg.exe Может работать с сетью (ws2_32.dll,ws2help.dll)
Количество загруженных модулей: 383
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\Report\0c66_File_Monitoring_eventlog.rpt
Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\Report\0c67_Web_Monitoring_eventlog.rpt
Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\Report\0c69_pdm_eventcritlog.rpt
Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\Report\0c69_pdm_eventlog.rpt
Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\Report\0c6b_AdBlocker_eventcritlog.rpt
Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\Report\0c6b_AdBlocker_eventlog.rpt
Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\Report\eventlog.rpt
Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\Report\report.rpt
Прямое чтение C:\Documents and Settings\All Users\Application Data\Nero\Nero8\Nero BackItUp\Cache\NeroBackItUpScheduler3.log
Прямое чтение C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
Прямое чтение C:\Documents and Settings\LocalService\NTUSER.DAT
Прямое чтение C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
Прямое чтение C:\Documents and Settings\NetworkService\NTUSER.DAT
Прямое чтение C:\Documents and Settings\Сергей\Local Settings\Application Data\Ahead\Nero Home\bl.db
Прямое чтение C:\Documents and Settings\Сергей\Local Settings\Application Data\Ahead\Nero Home\is2.db
Прямое чтение C:\Documents and Settings\Сергей\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
Прямое чтение C:\Documents and Settings\Сергей\NTUSER.DAT
Прямое чтение C:\Program Files\AIMP2\Data\AllUsers\ML\AIMP2_ML.DAT
Прямое чтение C:\System Volume Information\_restore{4687BB40-0E5A-498B-AF50-8299F8814970}\RP7\change.log
Прямое чтение C:\WINDOWS\system32\CatRoot2\edb.log
Прямое чтение C:\WINDOWS\system32\CatRoot2\tmp.edb
Прямое чтение C:\WINDOWS\system32\config\AppEvent.Evt
Прямое чтение C:\WINDOWS\system32\config\default
Прямое чтение C:\WINDOWS\system32\config\Internet.evt
Прямое чтение C:\WINDOWS\system32\config\ODiag.evt
Прямое чтение C:\WINDOWS\system32\config\OSession.evt
Прямое чтение C:\WINDOWS\system32\config\SAM
Прямое чтение C:\WINDOWS\system32\config\SecEvent.Evt
Прямое чтение C:\WINDOWS\system32\config\SECURITY
Прямое чтение C:\WINDOWS\system32\config\SysEvent.Evt
Прямое чтение C:\WINDOWS\system32\config\system
Прямое чтение C:\WINDOWS\system32\drivers\fidbox.dat
Прямое чтение C:\WINDOWS\system32\drivers\fidbox.idx
Прямое чтение C:\WINDOWS\system32\drivers\fidbox2.dat
Прямое чтение C:\WINDOWS\system32\drivers\fidbox2.idx
C:\WINDOWS\system32\format.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
C:\WINDOWS\system32\more.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
C:\WINDOWS\system32\tree.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR
Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P
Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P
Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A
Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP
Прямое чтение C:\WINDOWS\WindowsUpdate.log
D:\Игры\TDU\Euro\Bnk\Vehicules\Rim\Audi\A6_V8_F_01 .bnk >>> подозрение на Trojan-Downloader.Win32.Delf.guh ( 0B55F38D 05412842 0027E949 0021DECD 411648)
Ramka-5.tga MailBomb detected !
D:\Проги\Adobe Premiere\Плагины для Adobe Premier\07-Canopus_XPlodePro_v4.0\addons\Lightwave 6.5 Plugin\CanopusX3dExport.P - PE файл с нестандартным расширением;PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 40%)
D:\Проги\Webcopier 4.4\Patch\maximumsoft_webcopier_v4.4-patch.exe - Подозрение на Virus.Win32.PE_Type1(степень опасности 75%)
D:\Проги\WIN XP SP 3\SOFT\nVidia.exe - Подозрение на Virus.Win32.PE_Type1(степень опасности 75%)
D:\Проги\WIN XP SP 3\SOFT\XP\Cursors.exe - Подозрение на Virus.Win32.PE_Type1(степень опасности 75%)
D:\Проги\WIN XP SP 3\SOFT\XP\QTabBar.exe - Подозрение на Virus.Win32.PE_Type1(степень опасности 75%)
D:\Проги\WIN XP SP 3\SOFT\XP\VistaDrv.exe - Подозрение на Virus.Win32.PE_Type1(степень опасности 75%)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\system32\winspool.drv --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\winspool.drv>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
C:\WINDOWS\system32\rsaenh.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\rsaenh.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
C:\WINDOWS\system32\MSImg32.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\MSImg32.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
C:\WINDOWS\system32\ntshrui.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\ntshrui.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll"
Опасно - отладчик процесса "taskmgr.exe" = "C:\Program Files\PROWiSe\PROWiSe.exe"
>>> C:\Program Files\PROWiSe\PROWiSe.exe ЭПС: подозрение на Опасно - отладчик процесса "taskmgr.exe" (высокая степень вероятности)
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Обнаружен отладчик системного процесса
>> Таймаут завершения служб находится за пределами допустимых значений
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 493552, извлечено из архивов: 307238, найдено вредоносных программ 0, подозрений - 1
Сканирование завершено в 13.12.2008 10:51:17
Сканирование длилось 00:56:36