Протокол исследования системы

Список процессов

Имя файла	PID	Описание	Copyright	MD5	Информация
c:\users\38e2~1\appdata\local\temp\rar$exa0.533\autologger.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	3352	AutoLogger	Copyright © 2013	??	10277,69 кб, rsAh, создан: 18.11.2013 14:01:29, изменен: 18.11.2013 14:20:57 Командная строка: "C:\Users\38E2~1\AppData\Local\Temp\Rar$EXa0.533\AutoLogger.exe"
c:\users\38e2~1\appdata\local\temp\rar$exa0.533\autologger.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	3428	AutoLogger	Copyright © 2013	??	10277,69 кб, rsAh, создан: 18.11.2013 14:01:29, изменен: 18.11.2013 14:20:57 Командная строка: "C:\Users\38E2~1\AppData\Local\Temp\Rar$EXa0.533\AutoLogger.exe" -sfxelevation
c:\program files\eset\eset smart security\ekrn.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1576	ESET Service	Copyright (c) ESET, spol. s r.o. 1992-2013. All rights reserved.	??	1310,22 кб, rsAh, создан: 21.03.2013 14:19:46, изменен: 21.03.2013 14:19:46 Командная строка: "C:\Program Files\ESET\ESET Smart Security\ekrn.exe"
c:\windows\explorer.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1848	Проводник	© Корпорация Майкрософт. Все права защищены.	??	2553,00 кб, rsAh, создан: 29.12.2010 05:39:09, изменен: 29.12.2010 05:39:09 Командная строка: C:\Windows\Explorer.EXE
c:\program files\internet explorer\iexplore.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	3616	Internet Explorer	© Корпорация Майкрософт. Все права защищены.	??	657,27 кб, rsAh, создан: 29.12.2010 05:36:13, изменен: 29.12.2010 05:36:13 Командная строка: "C:\Program Files\Internet Explorer\iexplore.exe" http://forum.oszone.net
c:\program files\internet explorer\iexplore.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	4056	Internet Explorer	© Корпорация Майкрософт. Все права защищены.	??	657,27 кб, rsAh, создан: 29.12.2010 05:36:13, изменен: 29.12.2010 05:36:13 Командная строка: "C:\Program Files\Internet Explorer\iexplore.exe" SCODEF:3616 CREDAT:79873
c:\windows\system32\searchprotocolhost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	2700	Microsoft Windows Search Protocol Host	© Microsoft Corporation. All rights reserved.	??	160,50 кб, rsAh, создан: 14.07.2009 08:14:11, изменен: 14.07.2009 09:14:35 Командная строка: "C:\Windows\system32\SearchProtocolHost.exe" Global\UsGthrFltPipeMssGthrPipe_S-1-5-21-2681828073-1125019564-243132242-10007_ Global\UsGthrCtrlFltPipeMssGthrPipe_S-1-5-21-2681828073-1125019564-243132242-10007 1 -2147483646 "Software\Microsoft\Windows Search" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT; MS Search 4.0 Robot)" "C:\ProgramData\Microsoft\Search\Data\Temp\usgthrsvc" "DownLevelDaemon" "1"
c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	960	Хост-процесс для служб Windows	© Корпорация Майкрософт. Все права защищены.	??	20,50 кб, rsAh, создан: 14.07.2009 07:19:28, изменен: 14.07.2009 09:14:41 Командная строка: C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	988	Хост-процесс для служб Windows	© Корпорация Майкрософт. Все права защищены.	??	20,50 кб, rsAh, создан: 14.07.2009 07:19:28, изменен: 14.07.2009 09:14:41 Командная строка: C:\Windows\system32\svchost.exe -k netsvcs
c:\program files\winrar\winrar.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	3736	WinRAR archiver	Copyright © Alexander Roshal 1993-2013	??	1208,09 кб, rsAh, создан: 18.11.2013 22:14:32, изменен: 22.08.2013 19:01:18 Командная строка: "C:\Program Files\WinRAR\WinRAR.exe" "C:\Users\Семья\Desktop\AutoLogger.rar"
Обнаружено:44, из них опознаны как безопасные 42

Имя модуля	Handle	Описание	Copyright	MD5	Используется процессами
C:\Program Files\WinRAR\Formats\7z.fmt Скрипт: Kарантин, Удалить, Удалить через BC	1950482432			--	3736
C:\Program Files\WinRAR\Formats\ace.fmt Скрипт: Kарантин, Удалить, Удалить через BC	1896742912			--	3736
C:\Program Files\WinRAR\Formats\arj.fmt Скрипт: Kарантин, Удалить, Удалить через BC	1896611840			--	3736
C:\Program Files\WinRAR\Formats\bz2.fmt Скрипт: Kарантин, Удалить, Удалить через BC	1896415232			--	3736
C:\Program Files\WinRAR\Formats\cab.fmt Скрипт: Kарантин, Удалить, Удалить через BC	1896284160			--	3736
C:\Program Files\WinRAR\Formats\gz.fmt Скрипт: Kарантин, Удалить, Удалить через BC	1856765952			--	3736
C:\Program Files\WinRAR\Formats\iso.fmt Скрипт: Kарантин, Удалить, Удалить через BC	1855258624			--	3736
C:\Program Files\WinRAR\Formats\lzh.fmt Скрипт: Kарантин, Удалить, Удалить через BC	1855062016			--	3736
C:\Program Files\WinRAR\Formats\tar.fmt Скрипт: Kарантин, Удалить, Удалить через BC	1851654144			--	3736
C:\Program Files\WinRAR\Formats\uue.fmt Скрипт: Kарантин, Удалить, Удалить через BC	1850605568			--	3736
C:\Program Files\WinRAR\Formats\xz.fmt Скрипт: Kарантин, Удалить, Удалить через BC	1842216960			--	3736
C:\Program Files\WinRAR\Formats\z.fmt Скрипт: Kарантин, Удалить, Удалить через BC	1841627136			--	3736
C:\Windows\system32\authui.dll Скрипт: Kарантин, Удалить, Удалить через BC	1962803200	Интерфейс проверки подлинности	© Корпорация Майкрософт. Все права защищены.	--	1848
C:\Windows\system32\credui.dll Скрипт: Kарантин, Удалить, Удалить через BC	1819344896	Интерфейс диспетчера учетных данных	© Корпорация Майкрософт. Все права защищены.	--	988
C:\Windows\system32\cryptui.dll Скрипт: Kарантин, Удалить, Удалить через BC	1961426944	Интерфейс поставщика доверия	© Корпорация Майкрософт. Все права защищены.	--	1576, 1848
C:\Windows\System32\ieframe.dll Скрипт: Kарантин, Удалить, Удалить через BC	1915092992	Интернет-обозреватель	© Корпорация Майкрософт (Microsoft Corp.) Все права защищены.	--	3428, 1576, 1848, 3616, 4056, 2700
C:\Windows\system32\netcfgx.dll Скрипт: Kарантин, Удалить, Удалить через BC	1913454592	Объекты настройки сети	© Корпорация Майкрософт. Все права защищены.	--	960
C:\Windows\system32\NetworkExplorer.dll Скрипт: Kарантин, Удалить, Удалить через BC	1795948544	Сетевой проводник	© Корпорация Майкрософт. Все права защищены.	--	1848
C:\Windows\system32\timedate.cpl Скрипт: Kарантин, Удалить, Удалить через BC	1864237056	Настройка даты/времени	© Корпорация Майкрософт. Все права защищены.	--	1848
Обнаружено модулей:507, из них опознаны как безопасные 488

Модули пространства ядра

Модуль	Базовый адрес	Размер в памяти	Описание	Производитель
C:\Windows\System32\comctl32.dll Скрипт: Kарантин, Удалить, Удалить через BC	75FF0000	08F000 (585728)	Библиотека элементов управления взаимодействия с пользователем	© Корпорация Майкрософт. Все права защищены.
C:\Windows\System32\Drivers\dump_atapi.sys Скрипт: Kарантин, Удалить, Удалить через BC	93FAC000	009000 (36864)
C:\Windows\System32\Drivers\dump_dumpata.sys Скрипт: Kарантин, Удалить, Удалить через BC	93FA1000	00B000 (45056)
C:\Windows\System32\Drivers\dump_dumpfve.sys Скрипт: Kарантин, Удалить, Удалить через BC	93FB5000	011000 (69632)
C:\Windows\System32\Drivers\sptd.sys Скрипт: Kарантин, Удалить, Удалить через BC	88683000	10C000 (1097728)
Обнаружено модулей - 188, опознано как безопасные - 183

Службы

Служба	Описание	Статус	Файл	Группа	Зависимости
Обнаружено - 153, опознано как безопасные - 153

Драйверы

Служба	Описание	Статус	Файл	Группа	Зависимости
sptd Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	sptd	Работает	C:\Windows\System32\Drivers\sptd.sys Скрипт: Kарантин, Удалить, Удалить через BC	Boot Bus Extender
Обнаружено - 248, опознано как безопасные - 247

Автозапуск

Имя файла	Статус	Метод запуска	Описание
C:\Users\Семья\AppData\Local\Temp\Rar$EXa0.533\AutoLogger\AVZ\Script2.txt Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\RunOnce, AVZ Удалить
C:\Windows\System32\appmgr.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Software Installation, EventMessageFile
C:\Windows\Temp\7ZipSfx.000\dotNetFx40_Full_x86_x64\DW\DW20.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\VSSetup, EventMessageFile
C:\Windows\system32\mstscax.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Microsoft-Windows-TerminalServices-ClientActiveXCore, EventMessageFile
C:\Windows\system32\psxss.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix
C:\Windows\system32\sdclt.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\BackupPath,
progman.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, shell Удалить
Обнаружено элементов автозапуска - 700, опознано как безопасные - 693

Модули расширения Internet Explorer (BHO, панели ...)

Имя файла	Тип	Описание	Производитель	CLSID
	BHO			{8984B388-A5BB-4DF7-B274-77B879E179DB} Удалить
C:\Windows\System32\ieframe.dll Скрипт: Kарантин, Удалить, Удалить через BC	URLSearchHook	Интернет-обозреватель	© Корпорация Майкрософт (Microsoft Corp.) Все права защищены.	{CFBFAE00-17A6-11D0-99CB-00C04FD64497} Удалить
Обнаружено элементов - 3, опознано как безопасные - 1

Модули расширения проводника

Имя файла	Назначение	Описание	Производитель	CLSID
Обнаружено элементов - 6, опознано как безопасные - 6

Модули расширения системы печати (мониторы печати, провайдеры)

Имя файла	Тип	Наименование	Описание	Производитель
Обнаружено элементов - 7, опознано как безопасные - 7

Задания планировщика задач Task Scheduler

Имя файла	Имя задания	Состояние задания	Описание	Производитель	Путь	Командная строка
C:\Windows\system32\drivers\etc\hosts Скрипт: Kарантин, Удалить, Удалить через BC	At1.job Скрипт: Удалить	The task is ready to run at its next scheduled time.				cmd.exe "/c attrib -H C:\Windows\system32\drivers\etc\hosts && copy C:\Users\38E2~1\AppData\Local\Temp\19891687 C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts"
C:\Users\38E2~1\AppData\Local\Temp\19891687 Скрипт: Kарантин, Удалить, Удалить через BC	At1.job Скрипт: Удалить	The task is ready to run at its next scheduled time.				cmd.exe "/c attrib -H C:\Windows\system32\drivers\etc\hosts && copy C:\Users\38E2~1\AppData\Local\Temp\19891687 C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts"
C:\Windows\system32\drivers\etc\hosts Скрипт: Kарантин, Удалить, Удалить через BC	At1 Скрипт: Удалить	The task is ready to run at its next scheduled time.			C:\Windows\system32\Tasks\	C:\Windows\system32\drivers\etc\hosts "/c attrib -H C:\Windows\system32\drivers\etc\hosts && copy C:\Users\38E2~1\AppData\Local\Temp\19891687 C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts"
C:\Users\38E2~1\AppData\Local\Temp\19891687 Скрипт: Kарантин, Удалить, Удалить через BC	At1 Скрипт: Удалить	The task is ready to run at its next scheduled time.			C:\Windows\system32\Tasks\	C:\Windows\system32\drivers\etc\hosts "/c attrib -H C:\Windows\system32\drivers\etc\hosts && copy C:\Users\38E2~1\AppData\Local\Temp\19891687 C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts"
C:\Windows\system32\drivers\etc\hosts Скрипт: Kарантин, Удалить, Удалить через BC	At1 Скрипт: Удалить	The task is ready to run at its next scheduled time.			C:\Windows\system32\Tasks\	C:\Users\38E2~1\AppData\Local\Temp\19891687 "/c attrib -H C:\Windows\system32\drivers\etc\hosts && copy C:\Users\38E2~1\AppData\Local\Temp\19891687 C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts"
C:\Users\38E2~1\AppData\Local\Temp\19891687 Скрипт: Kарантин, Удалить, Удалить через BC	At1 Скрипт: Удалить	The task is ready to run at its next scheduled time.			C:\Windows\system32\Tasks\	C:\Users\38E2~1\AppData\Local\Temp\19891687 "/c attrib -H C:\Windows\system32\drivers\etc\hosts && copy C:\Users\38E2~1\AppData\Local\Temp\19891687 C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts"
C:\Windows\ehome\mcupdate Скрипт: Kарантин, Удалить, Удалить через BC	mcupdate Скрипт: Удалить	The task is ready to run at its next scheduled time.			C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\	C:\Windows\ehome\mcupdate $(Arg0)
C:\Windows\ehome\ehrec Скрипт: Kарантин, Удалить, Удалить через BC	RecordingRestart Скрипт: Удалить	The task is ready to run at its next scheduled time.			C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\	C:\Windows\ehome\ehrec /RestartRecording
C:\Windows\System32\sdclt.exe Скрипт: Kарантин, Удалить, Удалить через BC	ConfigNotification Скрипт: Удалить	The task is ready to run at its next scheduled time.	Программа архивации Microsoft® Windows	© Корпорация Майкрософт. Все права защищены.	C:\Windows\system32\Tasks\Microsoft\Windows\WindowsBackup\	C:\Windows\System32\sdclt.exe /CONFIGNOTIFICATION
Обнаружено элементов - 70, опознано как безопасные - 61

Настройки SPI/LSP

Поставщики пространства имен (NSP)

Поставщик	Статус	Исп. файл	Описание	GUID
Обнаружено - 6, опознано как безопасные - 6

Поставщики транспортных протоколов (TSP, LSP)

Поставщик Исп. файл Описание
Обнаружено - 22, опознано как безопасные - 22
Результаты автоматического анализа настроек SPI
Настройки LSP проверены. Ошибок не обнаружено

Порты TCP/UDP

Порт Статус Remote Host Remote Port Приложение Примечания
Порты TCP
139 LISTENING 0.0.0.0 0 [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445 LISTENING 0.0.0.0 0 [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49802 TIME_WAIT 173.194.32.173 80 [0]
Порты UDP
137 LISTENING -- -- [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138 LISTENING -- -- [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить

Downloaded Program Files (DPF)

Имя файла Описание Производитель CLSID URL загрузки
Обнаружено элементов - 3, опознано как безопасные - 3

Апплеты панели управления (CPL)

Имя файла Описание Производитель
C:\Windows\system32\intl.cpl
Скрипт: Kарантин, Удалить, Удалить через BC Библиотека панели управления © Корпорация Майкрософт. Все права защищены.
C:\Windows\system32\timedate.cpl
Скрипт: Kарантин, Удалить, Удалить через BC Настройка даты/времени © Корпорация Майкрософт. Все права защищены.
Обнаружено элементов - 24, опознано как безопасные - 22

Active Setup

Имя файла Описание Производитель CLSID
Обнаружено элементов - 9, опознано как безопасные - 9

Файл HOSTS

Запись файла Hosts
127.0.0.1 localhost
37.10.117.107 wap.odnoklassniki.ru my.mail.ru m.vk.com
127.0.0.1 obhodilka.ru antiblock.ru o.vhodilka.ru netdostupa.com razblokirovatdostup.ru
127.0.0.1 webvpn.org dostyp.ru anonim.do.am urlbl.ru webmurk.ru
127.0.0.1 neklassniki.ru v.vhodilka.ru workandtalk.ru nonymizer.ru unboo.ru
127.0.0.1 raskruty.ru websplatt.ru hellhead.ru spoolls.com diazoom.ru dardan.ru
127.0.0.1 nekontakt2.ru vhodilka.ru anonimix.ru nezayti.ru
127.0.0.1 anonim.ttu.su waitplay.ru pinun.ru adminimus.ru ok-anonimaizer.ru
37.10.117.107 odnoklassniki.ru vk.com www.odnoklassniki.ru m.odnoklassniki.ru
Очистка файла Hosts

Протоколы и обработчики

Имя файла Тип Описание Производитель CLSID
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
Обнаружено элементов - 16, опознано как безопасные - 13

Общие ресурсы

Сетевое имя Путь Примечания
ADMIN$ C:\Windows Удаленный Admin
C$ C:\ Стандартный общий ресурс
E$ E:\ Стандартный общий ресурс
G$ G:\ Стандартный общий ресурс
IPC$ Удаленный IPC
Users C:\Users

Подозрительные объекты

Файл Описание Тип
C:\Windows\system32\DRIVERS\ehdrv.sys
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit Перехватчик KernelMode
E:\autorun.inf
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение эвристического анализа ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)
C:\Windows\system32\cpldapu\produkey.exe
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение эвристического анализа ЭПС: подозрение на Файл с подозрительным именем (CH)
C:\Users\Семья\appdata\roaming\flash\cgminer.exe
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение эвристического анализа ЭПС: подозрение на Файл с подозрительным именем (CH)
C:\Users\Семья\appdata\roaming\flash\cgminer-nogpu.exe
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение эвристического анализа ЭПС: подозрение на Файл с подозрительным именем (CH)

Протокол антивирусной утилиты AVZ версии 4.41
Сканирование запущено в 18.11.2013 22:16:29
Загружена база: сигнатуры - 297613, нейропрофили - 2, микропрограммы лечения - 56, база от 18.11.2013 04:00
Загружены микропрограммы эвристики: 405
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 611695
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 6.1.7600,  ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=1689C0)
 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 82A4F000
   SDT = 82BB79C0
   KiST = 82ABE700 (401)
Функция NtCreateThread (57) перехвачена (82D29C6A->8E03A7F0), перехватчик C:\Windows\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtLoadDriver (9B) перехвачена (82BF0291->8E03A8B0), перехватчик C:\Windows\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtSetSystemInformation (15E) перехвачена (82CD9E85->8E03A870), перехватчик C:\Windows\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtSystemDebugControl (170) перехвачена (82C58362->8E03A830), перехватчик C:\Windows\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Проверено функций: 401, перехвачено: 4, восстановлено: 0
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Анализ для процессора 2
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
 Драйвер успешно загружен
\FileSystem\ntfs[IRP_MJ_CREATE] = 84A051F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 84A051F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 84A051F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 84A051F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 84A051F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 84A051F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 84A051F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 84A051F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 84A051F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 84A051F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 84A051F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 84A051F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 84A051F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 84A051F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 84A051F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 84A051F8 -> перехватчик не определен
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 42
 Количество загруженных модулей: 507
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
>>> E:\autorun.inf ЭПС: подозрение на  скрытый автозапуск (высокая степень вероятности)
Обнаружен вызов интерпретатора командной строки в автозапуске [DR=1] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\HotKeysCmds = [C:\Windows\system32\hkcmd.exe]
>>> C:\Windows\system32\cpldapu\produkey.exe ЭПС: подозрение на Файл с подозрительным именем (CH)
>>> C:\Users\Семья\appdata\roaming\flash\cgminer.exe ЭПС: подозрение на Файл с подозрительным именем (CH)
>>> C:\Users\Семья\appdata\roaming\flash\cgminer-nogpu.exe ЭПС: подозрение на Файл с подозрительным именем (CH)
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 549, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 18.11.2013 22:17:03
Сканирование длилось 00:00:36
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ 
можно использовать сервис http://virusdetector.ru/
Создание архива с файлами из карантина
Создание архива с файлами из карантина завершено
Выполняется исследование системы

 Исследование системы завершено


Команды скрипта 
Добавить в скрипт команды:
Нейтрализация перехватов функций при помощи антируткита
Включить AVZGuard
Управление AVZPM (true-включить,false-отключить)
BootCleaner - импорт списка удаленных файлов
BootCleaner - импортировать все
Чистка реестра после удаления файлов
ExecuteWizard ('TSW',2,3,true) - Выполнение мастера поиска и устранения проблем
BootCleaner - активация
Перезагрузка
Вставить заготовку для QuarantineFile() - помещение файла в карантин
Вставить заготовку для BC_QrFile() - помещение файла в карантин через BC
Вставить заготовку для DeleteFile() - удаление файла
Вставить заготовку для DelCLSID() - удаление CLSID класса из реестра
Дополнительные операции:Оптимизация - отключить службу TermService (Службы удаленных рабочих столов)
Оптимизация - отключить службу SSDPSRV (Обнаружение SSDP)
Оптимизация - отключить службу Schedule (Планировщик заданий)
Оптимизация - безопасность - отключить автозапуск программ с CD
Оптимизация - безопасность - отключить административный доступ к локальным дискам
Безопасность - запретить отправку приглашений удаленному помощнику

Список файлов

Порт	Статус	Remote Host	Remote Port	Приложение	Примечания
Порты TCP
139	LISTENING	0.0.0.0	0	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445	LISTENING	0.0.0.0	0	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49802	TIME_WAIT	173.194.32.173	80	[0]
Порты UDP
137	LISTENING	--	--	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138	LISTENING	--	--	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить

Сетевое имя	Путь	Примечания
ADMIN$	C:\Windows	Удаленный Admin
C$	C:\	Стандартный общий ресурс
E$	E:\	Стандартный общий ресурс
G$	G:\	Стандартный общий ресурс
IPC$		Удаленный IPC
Users	C:\Users