Протокол исследования системы

Список процессов

Имя файла	PID	Описание	Copyright	MD5	Информация
c:\program files\eset\eset smart security\ekrn.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1568	ESET Service	Copyright (c) ESET, spol. s r.o. 1992-2013. All rights reserved.	??	1310,22 кб, rsAh, создан: 21.03.2013 14:19:46, изменен: 21.03.2013 14:19:46 Командная строка: "C:\Program Files\ESET\ESET Smart Security\ekrn.exe"
c:\windows\explorer.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1876	Проводник	© Корпорация Майкрософт. Все права защищены.	??	2553,00 кб, rsAh, создан: 29.12.2010 05:39:09, изменен: 29.12.2010 05:39:09 Командная строка: C:\Windows\Explorer.EXE
c:\program files\internet explorer\iexplore.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	4068	Internet Explorer	© Корпорация Майкрософт. Все права защищены.	??	657,27 кб, rsAh, создан: 29.12.2010 05:36:13, изменен: 29.12.2010 05:36:13 Командная строка: "C:\Program Files\Internet Explorer\iexplore.exe" http://forum.oszone.net
c:\program files\internet explorer\iexplore.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	2056	Internet Explorer	© Корпорация Майкрософт. Все права защищены.	??	657,27 кб, rsAh, создан: 29.12.2010 05:36:13, изменен: 29.12.2010 05:36:13 Командная строка: "C:\Program Files\Internet Explorer\iexplore.exe" SCODEF:4068 CREDAT:79873
c:\windows\system32\searchprotocolhost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	3740	Microsoft Windows Search Protocol Host	© Microsoft Corporation. All rights reserved.	??	160,50 кб, rsAh, создан: 14.07.2009 08:14:11, изменен: 14.07.2009 09:14:35 Командная строка: "C:\Windows\system32\SearchProtocolHost.exe" Global\UsGthrFltPipeMssGthrPipe_S-1-5-21-2681828073-1125019564-243132242-10001_ Global\UsGthrCtrlFltPipeMssGthrPipe_S-1-5-21-2681828073-1125019564-243132242-10001 1 -2147483646 "Software\Microsoft\Windows Search" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT; MS Search 4.0 Robot)" "C:\ProgramData\Microsoft\Search\Data\Temp\usgthrsvc" "DownLevelDaemon" "1"
c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	956	Хост-процесс для служб Windows	© Корпорация Майкрософт. Все права защищены.	??	20,50 кб, rsAh, создан: 14.07.2009 07:19:28, изменен: 14.07.2009 09:14:41 Командная строка: C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1016	Хост-процесс для служб Windows	© Корпорация Майкрософт. Все права защищены.	??	20,50 кб, rsAh, создан: 14.07.2009 07:19:28, изменен: 14.07.2009 09:14:41 Командная строка: C:\Windows\system32\svchost.exe -k netsvcs
Обнаружено:40, из них опознаны как безопасные 40

Имя модуля	Handle	Описание	Copyright	MD5	Используется процессами
C:\Windows\system32\authui.dll Скрипт: Kарантин, Удалить, Удалить через BC	1954283520	Интерфейс проверки подлинности	© Корпорация Майкрософт. Все права защищены.	--	1876
C:\Windows\system32\credui.dll Скрипт: Kарантин, Удалить, Удалить через BC	1807417344	Интерфейс диспетчера учетных данных	© Корпорация Майкрософт. Все права защищены.	--	1016
C:\Windows\system32\cryptui.dll Скрипт: Kарантин, Удалить, Удалить через BC	1952907264	Интерфейс поставщика доверия	© Корпорация Майкрософт. Все права защищены.	--	1568, 1876
C:\Windows\system32\ieframe.dll Скрипт: Kарантин, Удалить, Удалить через BC	1909981184	Интернет-обозреватель	© Корпорация Майкрософт (Microsoft Corp.) Все права защищены.	--	1568, 1876, 4068, 2056
C:\Windows\system32\MAPI32.dll Скрипт: Kарантин, Удалить, Удалить через BC	1854013440	Расширенный MAPI 1.0 для Windows NT	© Корпорация Майкрософт (Microsoft Corp.). Все права защищены.	--	3740
C:\Windows\system32\netcfgx.dll Скрипт: Kарантин, Удалить, Удалить через BC	1873739776	Объекты настройки сети	© Корпорация Майкрософт. Все права защищены.	--	956, 1016
C:\Windows\system32\NetworkExplorer.dll Скрипт: Kарантин, Удалить, Удалить через BC	1847590912	Сетевой проводник	© Корпорация Майкрософт. Все права защищены.	--	1876
C:\Windows\system32\timedate.cpl Скрипт: Kарантин, Удалить, Удалить через BC	1892810752	Настройка даты/времени	© Корпорация Майкрософт. Все права защищены.	--	1876
Обнаружено модулей:451, из них опознаны как безопасные 443

Модули пространства ядра

Модуль	Базовый адрес	Размер в памяти	Описание	Производитель
C:\Windows\System32\comctl32.dll Скрипт: Kарантин, Удалить, Удалить через BC	75800000	08F000 (585728)	Библиотека элементов управления взаимодействия с пользователем	© Корпорация Майкрософт. Все права защищены.
C:\Windows\System32\Drivers\dump_atapi.sys Скрипт: Kарантин, Удалить, Удалить через BC	93FC5000	009000 (36864)
C:\Windows\System32\Drivers\dump_dumpata.sys Скрипт: Kарантин, Удалить, Удалить через BC	93FBA000	00B000 (45056)
C:\Windows\System32\Drivers\dump_dumpfve.sys Скрипт: Kарантин, Удалить, Удалить через BC	93FCE000	011000 (69632)
C:\Windows\System32\Drivers\sptd.sys Скрипт: Kарантин, Удалить, Удалить через BC	886A5000	10C000 (1097728)
Обнаружено модулей - 189, опознано как безопасные - 184

Службы

Служба	Описание	Статус	Файл	Группа	Зависимости
Обнаружено - 153, опознано как безопасные - 153

Драйверы

Служба	Описание	Статус	Файл	Группа	Зависимости
sptd Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	sptd	Работает	C:\Windows\System32\Drivers\sptd.sys Скрипт: Kарантин, Удалить, Удалить через BC	Boot Bus Extender
Обнаружено - 249, опознано как безопасные - 248

Автозапуск

Имя файла	Статус	Метод запуска	Описание
C:\Windows\System32\appmgr.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Software Installation, EventMessageFile
C:\Windows\Temp\7ZipSfx.000\dotNetFx40_Full_x86_x64\DW\DW20.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\VSSetup, EventMessageFile
C:\Windows\system32\mstscax.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Microsoft-Windows-TerminalServices-ClientActiveXCore, EventMessageFile
C:\Windows\system32\psxss.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix
C:\Windows\system32\sdclt.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\BackupPath,
progman.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, shell Удалить
Обнаружено элементов автозапуска - 668, опознано как безопасные - 662

Модули расширения Internet Explorer (BHO, панели ...)

Имя файла	Тип	Описание	Производитель	CLSID
	BHO			{8984B388-A5BB-4DF7-B274-77B879E179DB} Удалить
C:\Windows\System32\ieframe.dll Скрипт: Kарантин, Удалить, Удалить через BC	URLSearchHook	Интернет-обозреватель	© Корпорация Майкрософт (Microsoft Corp.) Все права защищены.	{CFBFAE00-17A6-11D0-99CB-00C04FD64497} Удалить
Обнаружено элементов - 3, опознано как безопасные - 1

Модули расширения проводника

Имя файла	Назначение	Описание	Производитель	CLSID
Обнаружено элементов - 6, опознано как безопасные - 6

Модули расширения системы печати (мониторы печати, провайдеры)

Имя файла	Тип	Наименование	Описание	Производитель
Обнаружено элементов - 7, опознано как безопасные - 7

Задания планировщика задач Task Scheduler

Имя файла	Имя задания	Состояние задания	Описание	Производитель	Путь	Командная строка
C:\Windows\system32\drivers\etc\hosts Скрипт: Kарантин, Удалить, Удалить через BC	At1.job Скрипт: Удалить	The task is ready to run at its next scheduled time.				cmd.exe "/c attrib -H C:\Windows\system32\drivers\etc\hosts && copy C:\Users\38E2~1\AppData\Local\Temp\19891687 C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts"
C:\Users\38E2~1\AppData\Local\Temp\19891687 Скрипт: Kарантин, Удалить, Удалить через BC	At1.job Скрипт: Удалить	The task is ready to run at its next scheduled time.				cmd.exe "/c attrib -H C:\Windows\system32\drivers\etc\hosts && copy C:\Users\38E2~1\AppData\Local\Temp\19891687 C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts"
C:\Windows\system32\drivers\etc\hosts Скрипт: Kарантин, Удалить, Удалить через BC	At1 Скрипт: Удалить	The task is ready to run at its next scheduled time.			C:\Windows\system32\Tasks\	C:\Windows\system32\drivers\etc\hosts "/c attrib -H C:\Windows\system32\drivers\etc\hosts && copy C:\Users\38E2~1\AppData\Local\Temp\19891687 C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts"
C:\Users\38E2~1\AppData\Local\Temp\19891687 Скрипт: Kарантин, Удалить, Удалить через BC	At1 Скрипт: Удалить	The task is ready to run at its next scheduled time.			C:\Windows\system32\Tasks\	C:\Windows\system32\drivers\etc\hosts "/c attrib -H C:\Windows\system32\drivers\etc\hosts && copy C:\Users\38E2~1\AppData\Local\Temp\19891687 C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts"
C:\Windows\system32\drivers\etc\hosts Скрипт: Kарантин, Удалить, Удалить через BC	At1 Скрипт: Удалить	The task is ready to run at its next scheduled time.			C:\Windows\system32\Tasks\	C:\Users\38E2~1\AppData\Local\Temp\19891687 "/c attrib -H C:\Windows\system32\drivers\etc\hosts && copy C:\Users\38E2~1\AppData\Local\Temp\19891687 C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts"
C:\Users\38E2~1\AppData\Local\Temp\19891687 Скрипт: Kарантин, Удалить, Удалить через BC	At1 Скрипт: Удалить	The task is ready to run at its next scheduled time.			C:\Windows\system32\Tasks\	C:\Users\38E2~1\AppData\Local\Temp\19891687 "/c attrib -H C:\Windows\system32\drivers\etc\hosts && copy C:\Users\38E2~1\AppData\Local\Temp\19891687 C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts"
C:\Windows\ehome\mcupdate Скрипт: Kарантин, Удалить, Удалить через BC	mcupdate Скрипт: Удалить	The task is ready to run at its next scheduled time.			C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\	C:\Windows\ehome\mcupdate $(Arg0)
C:\Windows\ehome\ehrec Скрипт: Kарантин, Удалить, Удалить через BC	RecordingRestart Скрипт: Удалить	The task is ready to run at its next scheduled time.			C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\	C:\Windows\ehome\ehrec /RestartRecording
C:\Windows\System32\sdclt.exe Скрипт: Kарантин, Удалить, Удалить через BC	ConfigNotification Скрипт: Удалить	The task is ready to run at its next scheduled time.	Программа архивации Microsoft® Windows	© Корпорация Майкрософт. Все права защищены.	C:\Windows\system32\Tasks\Microsoft\Windows\WindowsBackup\	C:\Windows\System32\sdclt.exe /CONFIGNOTIFICATION
Обнаружено элементов - 70, опознано как безопасные - 61

Настройки SPI/LSP

Поставщики пространства имен (NSP)

Поставщик	Статус	Исп. файл	Описание	GUID
Обнаружено - 6, опознано как безопасные - 6

Поставщики транспортных протоколов (TSP, LSP)

Поставщик Исп. файл Описание
Обнаружено - 22, опознано как безопасные - 22
Результаты автоматического анализа настроек SPI
Настройки LSP проверены. Ошибок не обнаружено

Порты TCP/UDP

Порт Статус Remote Host Remote Port Приложение Примечания
Порты TCP
139 LISTENING 0.0.0.0 0 [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445 LISTENING 0.0.0.0 0 [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49161 TIME_WAIT 91.190.218.14 443 [0]
49163 TIME_WAIT 213.199.179.176 80 [0]
49166 TIME_WAIT 65.54.167.14 12350 [0]
49171 TIME_WAIT 134.170.24.173 443 [0]
49174 TIME_WAIT 95.188.248.18 63252 [0]
49179 TIME_WAIT 212.12.203.27 49766 [0]
49189 TIME_WAIT 178.136.199.115 3292 [0]
49190 TIME_WAIT 220.137.202.239 20074 [0]
Порты UDP
137 LISTENING -- -- [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138 LISTENING -- -- [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить

Downloaded Program Files (DPF)

Имя файла Описание Производитель CLSID URL загрузки
Обнаружено элементов - 3, опознано как безопасные - 3

Апплеты панели управления (CPL)

Имя файла Описание Производитель
C:\Windows\system32\intl.cpl
Скрипт: Kарантин, Удалить, Удалить через BC Библиотека панели управления © Корпорация Майкрософт. Все права защищены.
C:\Windows\system32\timedate.cpl
Скрипт: Kарантин, Удалить, Удалить через BC Настройка даты/времени © Корпорация Майкрософт. Все права защищены.
Обнаружено элементов - 24, опознано как безопасные - 22

Active Setup

Имя файла Описание Производитель CLSID
Обнаружено элементов - 9, опознано как безопасные - 9

Файл HOSTS

Запись файла Hosts
127.0.0.1 localhost
37.10.117.107 wap.odnoklassniki.ru my.mail.ru m.vk.com
127.0.0.1 obhodilka.ru antiblock.ru o.vhodilka.ru netdostupa.com razblokirovatdostup.ru
127.0.0.1 webvpn.org dostyp.ru anonim.do.am urlbl.ru webmurk.ru
127.0.0.1 neklassniki.ru v.vhodilka.ru workandtalk.ru nonymizer.ru unboo.ru
127.0.0.1 raskruty.ru websplatt.ru hellhead.ru spoolls.com diazoom.ru dardan.ru
127.0.0.1 nekontakt2.ru vhodilka.ru anonimix.ru nezayti.ru
127.0.0.1 anonim.ttu.su waitplay.ru pinun.ru adminimus.ru ok-anonimaizer.ru
37.10.117.107 odnoklassniki.ru vk.com www.odnoklassniki.ru m.odnoklassniki.ru
Очистка файла Hosts

Протоколы и обработчики

Имя файла Тип Описание Производитель CLSID
Обнаружено элементов - 16, опознано как безопасные - 16

Общие ресурсы

Сетевое имя Путь Примечания
ADMIN$ C:\Windows Удаленный Admin
C$ C:\ Стандартный общий ресурс
E$ E:\ Стандартный общий ресурс
G$ G:\ Стандартный общий ресурс
IPC$ Удаленный IPC
Users C:\Users

Подозрительные объекты

Файл Описание Тип
C:\Windows\system32\DRIVERS\ehdrv.sys
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit Перехватчик KernelMode
E:\autorun.inf
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение эвристического анализа ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)
C:\Windows\system32\cpldapu\produkey.exe
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение эвристического анализа ЭПС: подозрение на Файл с подозрительным именем (CH)
C:\Users\Семья\appdata\roaming\flash\cgminer.exe
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение эвристического анализа ЭПС: подозрение на Файл с подозрительным именем (CH)
C:\Users\Семья\appdata\roaming\flash\cgminer-nogpu.exe
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение эвристического анализа ЭПС: подозрение на Файл с подозрительным именем (CH)

Протокол антивирусной утилиты AVZ версии 4.41
Сканирование запущено в 18.11.2013 22:20:21
Загружена база: сигнатуры - 297613, нейропрофили - 2, микропрограммы лечения - 56, база от 18.11.2013 04:00
Загружены микропрограммы эвристики: 405
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 611695
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 6.1.7600,  ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=1689C0)
 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 82A1B000
   SDT = 82B839C0
   KiST = 82A8A700 (401)
Функция NtCreateThread (57) перехвачена (82CF5C6A->8E10B7F0), перехватчик C:\Windows\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtLoadDriver (9B) перехвачена (82BBC291->8E10B8B0), перехватчик C:\Windows\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtSetSystemInformation (15E) перехвачена (82CA5E85->8E10B870), перехватчик C:\Windows\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtSystemDebugControl (170) перехвачена (82C24362->8E10B830), перехватчик C:\Windows\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Проверено функций: 401, перехвачено: 4, восстановлено: 0
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Анализ для процессора 2
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
 Драйвер успешно загружен
\FileSystem\ntfs[IRP_MJ_CREATE] = 84A051F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 84A051F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 84A051F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 84A051F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 84A051F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 84A051F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 84A051F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 84A051F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 84A051F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 84A051F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 84A051F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 84A051F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 84A051F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 84A051F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 84A051F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 84A051F8 -> перехватчик не определен
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 37
 Количество загруженных модулей: 438
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
>>> E:\autorun.inf ЭПС: подозрение на  скрытый автозапуск (высокая степень вероятности)
Обнаружен вызов интерпретатора командной строки в автозапуске [DR=1] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\HotKeysCmds = [C:\Windows\system32\hkcmd.exe]
>>> C:\Windows\system32\cpldapu\produkey.exe ЭПС: подозрение на Файл с подозрительным именем (CH)
>>> C:\Users\Семья\appdata\roaming\flash\cgminer.exe ЭПС: подозрение на Файл с подозрительным именем (CH)
>>> C:\Users\Семья\appdata\roaming\flash\cgminer-nogpu.exe ЭПС: подозрение на Файл с подозрительным именем (CH)
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 475, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 18.11.2013 22:20:56
Сканирование длилось 00:00:37
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ 
можно использовать сервис http://virusdetector.ru/
Выполняется исследование системы

 Исследование системы завершено


Команды скрипта 
Добавить в скрипт команды:
Нейтрализация перехватов функций при помощи антируткита
Включить AVZGuard
Управление AVZPM (true-включить,false-отключить)
BootCleaner - импорт списка удаленных файлов
BootCleaner - импортировать все
Чистка реестра после удаления файлов
ExecuteWizard ('TSW',2,3,true) - Выполнение мастера поиска и устранения проблем
BootCleaner - активация
Перезагрузка
Вставить заготовку для QuarantineFile() - помещение файла в карантин
Вставить заготовку для BC_QrFile() - помещение файла в карантин через BC
Вставить заготовку для DeleteFile() - удаление файла
Вставить заготовку для DelCLSID() - удаление CLSID класса из реестра
Дополнительные операции:Оптимизация - отключить службу TermService (Службы удаленных рабочих столов)
Оптимизация - отключить службу SSDPSRV (Обнаружение SSDP)
Оптимизация - отключить службу Schedule (Планировщик заданий)
Оптимизация - безопасность - отключить автозапуск программ с CD
Оптимизация - безопасность - отключить административный доступ к локальным дискам
Безопасность - запретить отправку приглашений удаленному помощнику

Список файлов

Порт	Статус	Remote Host	Remote Port	Приложение	Примечания
Порты TCP
139	LISTENING	0.0.0.0	0	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445	LISTENING	0.0.0.0	0	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49161	TIME_WAIT	91.190.218.14	443	[0]
49163	TIME_WAIT	213.199.179.176	80	[0]
49166	TIME_WAIT	65.54.167.14	12350	[0]
49171	TIME_WAIT	134.170.24.173	443	[0]
49174	TIME_WAIT	95.188.248.18	63252	[0]
49179	TIME_WAIT	212.12.203.27	49766	[0]
49189	TIME_WAIT	178.136.199.115	3292	[0]
49190	TIME_WAIT	220.137.202.239	20074	[0]
Порты UDP
137	LISTENING	--	--	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138	LISTENING	--	--	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить

Сетевое имя	Путь	Примечания
ADMIN$	C:\Windows	Удаленный Admin
C$	C:\	Стандартный общий ресурс
E$	E:\	Стандартный общий ресурс
G$	G:\	Стандартный общий ресурс
IPC$		Удаленный IPC
Users	C:\Users