Вот данные из AVZ:
Сканирование запущено в 08/10/2006 21
02
Загружена база: 41561 сигнатура, 2 нейропрофиля, 55 микропрограмм лечения, база от 13.09.2006 12:05
Загружены микропрограммы эвристики: 360
Загружены цифровые подписи системных файлов: 51546
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082480)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559480
KiST = 804E26A8 (284)
Функция ZwAlertResumeThread (0C) перехвачена (8062DDD4->81F667B0), перехватчик не определен
Функция ZwAlertThread (0D) перехвачена (80579BB8->8208761
, перехватчик не определен
Функция ZwAllocateVirtualMemory (11) перехвачена (80567D9D->81FB00F
, перехватчик не определен
Функция ZwConnectPort (1F) перехвачена (805894AD->822350D
, перехватчик не определен
Функция ZwCreateKey (29) перехвачена (8056E761->F6D7A310), перехватчик C:\Program Files\Symantec\SYMEVENT.SYS
Функция ZwCreateMutant (2B) перехвачена (80579F88->821F6810), перехватчик не определен
Функция ZwCreateThread (35) перехвачена (8057B1C5->820D81A
, перехватчик не определен
Функция ZwDeleteKey (3F) перехвачена (80590F78->F6D7A5B0), перехватчик C:\Program Files\Symantec\SYMEVENT.SYS
Функция ZwDeleteValueKey (41) перехвачена (8058E9FA->F6D7ACC0), перехватчик C:\Program Files\Symantec\SYMEVENT.SYS
Функция ZwFreeVirtualMemory (53) перехвачена (805686C7->822CBD50), перехватчик не определен
Функция ZwImpersonateAnonymousToken (59) перехвачена (805963CD->81FD5AB0), перехватчик не определен
Функция ZwImpersonateThread (5B) перехвачена (8057E7F7->81F60820), перехватчик не определен
Функция ZwMapViewOfSection (6C) перехвачена (805732FC->82234B20), перехватчик не определен
Функция ZwOpenEvent (72) перехвачена (80586CC5->82201D7
, перехватчик не определен
Функция ZwOpenProcessToken (7B) перехвачена (8056BFF9->822AF5B0), перехватчик не определен
Функция ZwOpenThreadToken (81) перехвачена (8056BA96->822A1100), перехватчик не определен
Функция ZwQueryValueKey (B1) перехвачена (8056B0BB->81F1E6E0), перехватчик не определен
Функция ZwResumeThread (CE) перехвачена (8057B838->821D5B2
, перехватчик не определен
Функция ZwSetContextThread (D5) перехвачена (8062C143->8223590
, перехватчик не определен
Функция ZwSetInformationProcess (E4) перехвачена (8056BD05->8225C3A
, перехватчик не определен
Функция ZwSetInformationThread (E5) перехвачена (80575736->822591A0), перехватчик не определен
Функция ZwSetValueKey (F7) перехвачена (80574C1D->F6D7AF20), перехватчик C:\Program Files\Symantec\SYMEVENT.SYS
Функция ZwSuspendProcess (FD) перехвачена (8062DD19->8223CB1
, перехватчик не определен
Функция ZwSuspendThread (FE) перехвачена (805DF81E->822CD87
, перехватчик не определен
Функция ZwTerminateProcess (101) перехвачена (80582C2B->822CAB0
, перехватчик не определен
Функция ZwTerminateThread (102) перехвачена (8057A8DE->820EB190), перехватчик не определен
Функция ZwUnmapViewOfSection (10B) перехвачена (80572E81->822CCFD0), перехватчик не определен
Функция ZwWriteVirtualMemory (115) перехвачена (8057E5E0->82113ED0), перехватчик не определен
Проверено функций: 284, перехвачено: 28, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
2. Проверка памяти
Количество найденных процессов: 47
Анализатор - изучается процесс 1708 C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 560 C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 644 C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 660 C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 1892 C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Предположительно может бороться с антивирусами
Анализатор - изучается процесс 308 C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 3412 C:\Program Files\ahead\InCD\InCD.exe
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Процесс c:\program files\ahead\incd\incd.exe может работать с сетью (res.dll)
Анализатор - изучается процесс 3420 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 3488 C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 3496 C:\Program Files\e-Carte Bleue\LCL\e-Carte Bleue VISA Cleo\ECB-CLEO.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 3616 C:\Program Files\FinePixViewer\QuickDCF.exe
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 3624 C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 3644 C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
Количество загруженных модулей: 475
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\Content.log
([I
]и такиу прямых чтений - пол-страницы, если важно - выложу[/I])
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\PROGRA~1\FICHIE~1\SYMANT~1\ANTISPAM\ASOEHOOK.DLL --> Подозрение на Keylogger или троянскую DLL
C:\PROGRA~1\FICHIE~1\SYMANT~1\ANTISPAM\ASOEHOOK.DLL>>> Поведенческий анализ:
1. Реагирует на события: оконные события
C:\PROGRA~1\FICHIE~1\SYMANT~1\ANTISPAM\ASOEHOOK.DLL>>> Нейросеть: файл с вероятностью 99.70% похож на типовой перехватчик событий клавиатуры/мыши
C:\Program Files\Fichiers communs\Symantec Shared\ccL40.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Fichiers communs\Symantec Shared\ccL40.dll>>> Поведенческий анализ:
Типичное для кейлоггеров поведение не зарегистрировано
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 48 TCP портов и 25 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 244209, извлечено из архивов: 198824, найдено вредоносных программ 0
Сканирование завершено в 08/10/2006 23:01:32
Сканирование длилось 01
30