Протокол исследования системы

Список процессов

Имя файла	PID	Описание	Copyright	MD5	Информация
c:\program files\adguard\adguard.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	3392	Adguard Web Filter	Copyright © Insoft LLC 2010-2013	??	1706,52 кб, rsAh, создан: 17.12.2013 20:06:50, изменен: 17.12.2013 20:06:50 Командная строка: "C:\Program Files\Adguard\Adguard.exe"
c:\program files\adguard\adguardsvc.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1972	Adguard Web Filter	Copyright © Insoft LLC 2010-2013	??	117,52 кб, rsAh, создан: 17.12.2013 20:06:16, изменен: 17.12.2013 20:06:16 Командная строка: "C:\Program Files\Adguard\AdguardSvc.exe"
c:\program files\displaylink core software\displaylinkmanager.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1528	DisplayLinkManager Application	Copyright (c) 2003 - 2012 DisplayLink (UK) Ltd. All rights reserved.	??	7174,04 кб, rsAh, создан: 17.12.2012 23:19:25, изменен: 17.12.2012 23:19:25 Командная строка: "C:\Program Files\DisplayLink Core Software\DisplayLinkManager.exe"
c:\program files\displaylink core software\displaylinkuseragent.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1672	DisplayLinkUserAgent Application	Copyright (c) 2003 - 2012 DisplayLink (UK) Ltd. All rights reserved.	??	931,04 кб, rsAh, создан: 17.12.2012 23:19:26, изменен: 17.12.2012 23:19:26 Командная строка: "C:\Program Files\DisplayLink Core Software\DisplayLinkUserAgent.exe"
Обнаружено:65, из них опознаны как безопасные 63

Имя модуля	Handle	Описание	Copyright	MD5	Используется процессами
C:\Program Files\DisplayLink Core Software\DisplayLinkUsb.dll Скрипт: Kарантин, Удалить, Удалить через BC	1907359744	DisplayLinkUSB - DLL	@ 2002-2005 S. Meyer,	--	1528
C:\Windows\assembly\NativeImages_v4.0.30319_32\Microsoft.VisualBas#\fb899e125ddad0451676c56c0a29f347\Microsoft.VisualBasic.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1842544640	Visual Basic Runtime Library	© Microsoft Corporation. All rights reserved.	--	3392, 1972
C:\Windows\assembly\NativeImages_v4.0.30319_32\PresentationFramewo#\afb6ee589f84c5afa5ecd2e4868e7f3c\PresentationFramework.Aero.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1924268032	PresentationFramework.Aero.dll	© Microsoft Corporation. All rights reserved.	--	3392
C:\Windows\assembly\NativeImages_v4.0.30319_32\SMDiagnostics\1939e67e5e0a537eef62a1549a6eeee4\SMDiagnostics.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1689124864	SMDiagnostics.dll	© Microsoft Corporation. All rights reserved.	--	3392, 1972
C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Data.Entity\23306a2f98494721d97a76ab1af4115a\System.Data.Entity.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1746927616	.NET Framework	© Microsoft Corporation. All rights reserved.	--	1972
C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Data\5c656de12d26c3cb8b380abd9b07d0bc\System.Data.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1765801984	.NET Framework	© Microsoft Corporation. All rights reserved.	--	3392, 1972
C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Deployment\ad3f5cdc5a8ddb8a3ba37cc317db47a1\System.Deployment.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1802371072	System.Deployment.dll	© Microsoft Corporation. All rights reserved.	--	3392, 1972
C:\Windows\assembly\NativeImages_v4.0.30319_32\System.EnterpriseSe#\7bc03f12f7fd848a347a3686da7eba84\System.EnterpriseServices.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1724776448	Microsoft .NET Services Support Infrastructure	© Microsoft Corporation. All rights reserved.	--	1972
C:\Windows\assembly\NativeImages_v4.0.30319_32\System.IdentityModel\2f4c2f70cf6140fb69dc56a5c90d94a2\System.IdentityModel.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1593507840	System.IdentityModel.dll	© Microsoft Corporation. All rights reserved.	--	3392, 1972
C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Management\223b2479c888b2c792f9e21fbfc08e99\System.Management.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1556217856	.NET Framework	© Microsoft Corporation. All rights reserved.	--	1972
C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Runtime.Dura#\dfe8523548c718196cab0b5b73ced5d5\System.Runtime.DurableInstancing.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1689321472	System.Runtime.DurableInstancing.dll	© Microsoft Corporation. All rights reserved.	--	3392, 1972
C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Runtime.Seri#\b261c9b2e69a1d8415d7ef2c1321b1d3\System.Runtime.Serialization.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1716191232	System.Runtime.Serialization.dll	© Microsoft Corporation. All rights reserved.	--	3392, 1972
C:\Windows\assembly\NativeImages_v4.0.30319_32\System.ServiceProce#\3022e53e46be87db0f5766010bf2d153\System.ServiceProcess.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1831993344	.NET Framework	© Microsoft Corporation. All rights reserved.	--	3392, 1972
C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Transactions\8dc4e526126472c1c77e0e8e9d9ed962\System.Transactions.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1743323136	.NET Framework	© Microsoft Corporation. All rights reserved.	--	3392, 1972
Обнаружено модулей:590, из них опознаны как безопасные 576

Модули пространства ядра

Модуль	Базовый адрес	Размер в памяти	Описание	Производитель
C:\Windows\system32\drivers\adgnetworktdi.sys Скрипт: Kарантин, Удалить, Удалить через BC	8B9C3000	00C000 (49152)	Adguard TDI network drive	Copyright (C) Insoft LLC 201
C:\Windows\System32\Drivers\dump_dumpfve.sys Скрипт: Kарантин, Удалить, Удалить через BC	98EAC000	011000 (69632)
C:\Windows\System32\Drivers\dump_iaStor.sys Скрипт: Kарантин, Удалить, Удалить через BC	90E35000	2B5000 (2838528)
Обнаружено модулей - 223, опознано как безопасные - 220

Службы

Служба	Описание	Статус	Файл	Группа	Зависимости
DisplayLinkService Служба: Стоп, Удалить, Отключить, Удалить через BC	DisplayLinkManager	Работает	C:\Program Files\DisplayLink Core Software\DisplayLinkManager.exe Скрипт: Kарантин, Удалить, Удалить через BC	PlugPlay	PlugPlay
hpCMSrv Служба: Стоп, Удалить, Отключить, Удалить через BC	HP Connection Manager 4 Service	Не запущен	C:\Program Files\Hewlett-Packard\HP Connection Manager\hpCMSrv.exe Скрипт: Kарантин, Удалить, Удалить через BC		RPCSS
MozillaMaintenance Служба: Стоп, Удалить, Отключить, Удалить через BC	Mozilla Maintenance Service	Не запущен	C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe Скрипт: Kарантин, Удалить, Удалить через BC
Обнаружено - 169, опознано как безопасные - 166

Драйверы

Служба	Описание	Статус	Файл	Группа	Зависимости
adgnetworktdi Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	adgnetworktdi	Работает	C:\Windows\system32\drivers\adgnetworktdi.sys Скрипт: Kарантин, Удалить, Удалить через BC	PNP_TDI
MpKsl4db881ea Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	MpKsl4db881ea	Не запущен	C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{C0C9D720-9C18-461F-A44D-B0A17F6E6BAB}\MpKsl4db881ea.sys Скрипт: Kарантин, Удалить, Удалить через BC
VGPU Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	VGPU	Не запущен	C:\Windows\system32\drivers\rdvgkmd.sys Скрипт: Kарантин, Удалить, Удалить через BC
Обнаружено - 285, опознано как безопасные - 282

Автозапуск

Имя файла	Статус	Метод запуска	Описание
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved, {5E2121EE-0300-11D4-8D3B-444553540000} Удалить
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\atiamaxx.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved, {872A9397-E0D6-4e28-B64D-52B8D0A7EA35} Удалить
C:\Program Files\Hewlett-Packard\HP 3D DriveGuard\hpaccelerometercp.CPL Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Cpls, HP 3D DriveGuard Удалить
C:\Windows\System32\MsSpellCheckingFacility.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Microsoft-Windows-Spell-Checking, EventMessageFile
C:\Windows\System32\MsSpellCheckingFacility.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Microsoft-Windows-SpellChecker, EventMessageFile
C:\Windows\System32\MsSpellCheckingFacility.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\Microsoft-Windows-Spell-Checking, EventMessageFile
C:\Windows\System32\MsSpellCheckingFacility.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\Microsoft-Windows-SpellChecker, EventMessageFile
C:\Windows\system32\psxss.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix
progman.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, shell Удалить
Обнаружено элементов автозапуска - 747, опознано как безопасные - 738

Модули расширения Internet Explorer (BHO, панели ...)

Имя файла	Тип	Описание	Производитель	CLSID
	BHO			{D5FEC983-01DB-414a-9456-AF95AC9ED7B5} Удалить
	Модуль расширения			{0C4CC089-D306-440D-9772-464E226F6539} Удалить
C:\Program Files\Download Master\dmaster.exe Скрипт: Kарантин, Удалить, Удалить через BC	Модуль расширения	Download Master	2002-2013 WestByte	{8DAE90AD-4583-4977-9DD4-4360F7A45C74} Удалить
C:\Program Files\Download Master\dmaster.exe Скрипт: Kарантин, Удалить, Удалить через BC	Модуль расширения	Download Master	2002-2013 WestByte	{92780B25-18CC-41C8-B9BE-3C9C571A8263} Удалить
Обнаружено элементов - 11, опознано как безопасные - 7

Модули расширения проводника

Имя файла	Назначение	Описание	Производитель	CLSID
	WebCheck			{E6FB5E20-DE35-11CF-9C87-00AA005127ED} Удалить
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll Скрипт: Kарантин, Удалить, Удалить через BC	Catalyst Context Menu extension	AMD Desktop Control Panel	© 2007-2008 Advanced Micro Devices, Inc.	{5E2121EE-0300-11D4-8D3B-444553540000} Удалить
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\atiamaxx.dll Скрипт: Kарантин, Удалить, Удалить через BC	Display CPL Extension	AMD Desktop Control Panel	© 2007-2008 Advanced Micro Devices, Inc.	{872A9397-E0D6-4e28-B64D-52B8D0A7EA35} Удалить
Обнаружено элементов - 22, опознано как безопасные - 19

Модули расширения системы печати (мониторы печати, провайдеры)

Имя файла	Тип	Наименование	Описание	Производитель
Обнаружено элементов - 7, опознано как безопасные - 7

Задания планировщика задач Task Scheduler

Имя файла	Имя задания	Состояние задания	Описание	Производитель	Путь	Командная строка
C:\Windows\ehome\mcupdate Скрипт: Kарантин, Удалить, Удалить через BC	mcupdate Скрипт: Удалить				C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\	C:\Windows\ehome\mcupdate $(Arg0)
C:\Windows\ehome\ehrec Скрипт: Kарантин, Удалить, Удалить через BC	RecordingRestart Скрипт: Удалить				C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\	C:\Windows\ehome\ehrec /RestartRecording
Обнаружено элементов - 75, опознано как безопасные - 73

Настройки SPI/LSP

Поставщики пространства имен (NSP)

Поставщик	Статус	Исп. файл	Описание	GUID
Обнаружено - 8, опознано как безопасные - 8

Поставщики транспортных протоколов (TSP, LSP)

Поставщик Исп. файл Описание
Обнаружено - 37, опознано как безопасные - 37
Результаты автоматического анализа настроек SPI
Настройки LSP проверены. Ошибок не обнаружено

Порты TCP/UDP

Порт Статус Remote Host Remote Port Приложение Примечания
Порты TCP
139 LISTENING 0.0.0.0 0 [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445 LISTENING 0.0.0.0 0 [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49216 TIME_WAIT 173.194.39.122 80 [0]
49217 TIME_WAIT 173.194.71.99 80 [0]
49218 TIME_WAIT 173.194.39.122 80 [0]
49227 TIME_WAIT 173.194.39.121 80 [0]
Порты UDP
137 LISTENING -- -- [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138 LISTENING -- -- [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить

Downloaded Program Files (DPF)

Имя файла Описание Производитель CLSID URL загрузки
Обнаружено элементов - 0, опознано как безопасные - 0

Апплеты панели управления (CPL)

Имя файла Описание Производитель
Обнаружено элементов - 22, опознано как безопасные - 22

Active Setup

Имя файла Описание Производитель CLSID
Обнаружено элементов - 9, опознано как безопасные - 9

Файл HOSTS

Запись файла Hosts

Протоколы и обработчики

Имя файла Тип Описание Производитель CLSID
Обнаружено элементов - 16, опознано как безопасные - 16

Общие ресурсы

Сетевое имя Путь Примечания
ADMIN$ C:\Windows Удаленный Admin
C$ C:\ Стандартный общий ресурс
D$ D:\ Стандартный общий ресурс
IPC$ Удаленный IPC

Подозрительные объекты

Файл Описание Тип
C:\Windows\system32\DRIVERS\klif.sys
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit Перехватчик KernelMode

Протокол антивирусной утилиты AVZ версии 4.41
Сканирование запущено в 03.01.2014 22:40:19
Загружена база: сигнатуры - 297613, нейропрофили - 2, микропрограммы лечения - 56, база от 02.01.2014 16:00
Загружены микропрограммы эвристики: 405
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 630585
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 6.1.7601, Service Pack 1 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=169B00)
 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 82C3C000
   SDT = 82DA5B00
   KiST = 82CBA43C (401)
Функция NtAdjustPrivilegesToken (0C) перехвачена (82EC1ED3->9118C90A), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtAlpcConnectPort (16) перехвачена (82EB259E->9113CCF0), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtAlpcSendWaitReceivePort (27) перехвачена (82E8F225->9113CF22), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtConnectPort (3B) перехвачена (82EB50A0->9113CAEA), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateSection (54) перехвачена (82E6013D->9118F4D6), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateThread (57) перехвачена (82F18FDA->9118E906), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateThreadEx (58) перехвачена (82EAD4AB->9118EB52), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDebugActiveProcess (60) перехвачена (82EEAEDA->9118E498), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDeviceIoControlFile (6B) перехвачена (82EB074F->9112D590), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDuplicateObject (6F) перехвачена (82E6E761->9118CA4C), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtLoadDriver (9B) перехвачена (82E02C40->9118C578), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtMapViewOfSection (A8) перехвачена (82E835F1->9118F28C), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenProcess (BE) перехвачена (82E4EBA1->9118DFCC), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenSection (C2) перехвачена (82EA69FB->9118F706), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenThread (C6) перехвачена (82E9B102->9118E5F8), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueueApcThread (10D) перехвачена (82E38E50->9118F140), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtRequestWaitReplyPort (12B) перехвачена (82E7AB22->9113CDF6), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtResumeThread (130) перехвачена (82EAD6D2->9118EE5C), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSecureConnectPort (138) перехвачена (82E9B137->9113CBEA), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetContextThread (13C) перехвачена (82F1A84F->9118EFC2), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetInformationToken (150) перехвачена (82E4095F->9112D9AA), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetSystemInformation (15E) перехвачена (82E8B37A->9118C8B0), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSuspendProcess (16E) перехвачена (82F1ACDF->9118E1D4), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSuspendThread (16F) перехвачена (82ED21CB->9118ECFC), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSystemDebugControl (170) перехвачена (82EC2802->9112D9BC), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtTerminateProcess (172) перехвачена (82E97D9A->9118E33A), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtTerminateThread (173) перехвачена (82EB56CB->9118E7FC), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtUnmapViewOfSection (181) перехвачена (82EA19BA->9118F80E), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtWriteVirtualMemory (18F) перехвачена (82E9CA97->9118F598), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Проверено функций: 401, перехвачено: 29, восстановлено: 0
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Анализ для процессора 2
 Анализ для процессора 3
 Анализ для процессора 4
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
 Драйвер успешно загружен
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 62
 Количество загруженных модулей: 578
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 640, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 03.01.2014 22:41:41
Сканирование длилось 00:01:26
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ 
можно использовать сервис http://virusdetector.ru/
Выполняется исследование системы

 Исследование системы завершено


Команды скрипта 
Добавить в скрипт команды:
Нейтрализация перехватов функций при помощи антируткита
Включить AVZGuard
Управление AVZPM (true-включить,false-отключить)
BootCleaner - импорт списка удаленных файлов
BootCleaner - импортировать все
Чистка реестра после удаления файлов
ExecuteWizard ('TSW',2,3,true) - Выполнение мастера поиска и устранения проблем
BootCleaner - активация
Перезагрузка
Вставить заготовку для QuarantineFile() - помещение файла в карантин
Вставить заготовку для BC_QrFile() - помещение файла в карантин через BC
Вставить заготовку для DeleteFile() - удаление файла
Вставить заготовку для DelCLSID() - удаление CLSID класса из реестра
Дополнительные операции:Оптимизация - отключить службу TermService (Службы удаленных рабочих столов)
Оптимизация - отключить службу SSDPSRV (Обнаружение SSDP)
Оптимизация - отключить службу Schedule (Планировщик заданий)
Оптимизация - безопасность - отключить автозапуск программ с CD
Оптимизация - безопасность - отключить административный доступ к локальным дискам
Оптимизация - безопасность - блокировать возможность подключения анонимных пользователей
Безопасность - запретить отправку приглашений удаленному помощнику

Список файлов

Порт	Статус	Remote Host	Remote Port	Приложение	Примечания
Порты TCP
139	LISTENING	0.0.0.0	0	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445	LISTENING	0.0.0.0	0	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49216	TIME_WAIT	173.194.39.122	80	[0]
49217	TIME_WAIT	173.194.71.99	80	[0]
49218	TIME_WAIT	173.194.39.122	80	[0]
49227	TIME_WAIT	173.194.39.121	80	[0]
Порты UDP
137	LISTENING	--	--	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138	LISTENING	--	--	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить

Сетевое имя	Путь	Примечания
ADMIN$	C:\Windows	Удаленный Admin
C$	C:\	Стандартный общий ресурс
D$	D:\	Стандартный общий ресурс
IPC$		Удаленный IPC