Протокол исследования системы

Список процессов

Имя файла	PID	Описание	Copyright	MD5	Информация
c:\program files\adguard\adguardsvc.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	2060	Adguard Web Filter	Copyright © Insoft LLC 2010-2013	??	117,52 кб, rsAh, создан: 17.12.2013 20:06:16, изменен: 17.12.2013 20:06:16 Командная строка: "C:\Program Files\Adguard\AdguardSvc.exe"
c:\users\Пользователь\desktop\autologger.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	10068	Автоматический сборщик логов	Все права на AutoLogger принадлежат regist & Drongo © Copyright 2013	??	10642,70 кб, rsAh, создан: 03.01.2014 22:26:32, изменен: 03.01.2014 01:01:06, имя содержит национальные символы Командная строка: "C:\Users\Пользователь\Desktop\AutoLogger.exe"
c:\program files\displaylink core software\displaylinkmanager.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1532	DisplayLinkManager Application	Copyright (c) 2003 - 2012 DisplayLink (UK) Ltd. All rights reserved.	??	7174,04 кб, rsAh, создан: 17.12.2012 23:19:25, изменен: 17.12.2012 23:19:25 Командная строка: "C:\Program Files\DisplayLink Core Software\DisplayLinkManager.exe"
c:\program files\displaylink core software\displaylinkuseragent.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1812	DisplayLinkUserAgent Application	Copyright (c) 2003 - 2012 DisplayLink (UK) Ltd. All rights reserved.	??	931,04 кб, rsAh, создан: 17.12.2012 23:19:26, изменен: 17.12.2012 23:19:26 Командная строка: "C:\Program Files\DisplayLink Core Software\DisplayLinkUserAgent.exe"
c:\windows\explorer.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1960	Проводник	© Корпорация Майкрософт. Все права защищены.	??	2555,00 кб, rsAh, создан: 02.04.2013 23:07:37, изменен: 25.02.2011 07:30:54 Командная строка: C:\Windows\Explorer.EXE
Обнаружено:62, из них опознаны как безопасные 59

Имя модуля	Handle	Описание	Copyright	MD5	Используется процессами
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\atiamrus.dll Скрипт: Kарантин, Удалить, Удалить через BC	1949499392	AMD Desktop Control Panel	© 2007-2008 Advanced Micro Devices, Inc.	--	1960
C:\Program Files\DisplayLink Core Software\DisplayLinkUsb.dll Скрипт: Kарантин, Удалить, Удалить через BC	1910439936	DisplayLinkUSB - DLL	@ 2002-2005 S. Meyer,	--	1532
C:\Windows\assembly\NativeImages_v4.0.30319_32\Microsoft.VisualBas#\fb899e125ddad0451676c56c0a29f347\Microsoft.VisualBasic.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1801781248	Visual Basic Runtime Library	© Microsoft Corporation. All rights reserved.	--	2060
C:\Windows\assembly\NativeImages_v4.0.30319_32\SMDiagnostics\1939e67e5e0a537eef62a1549a6eeee4\SMDiagnostics.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1592328192	SMDiagnostics.dll	© Microsoft Corporation. All rights reserved.	--	2060
C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Data.Entity\23306a2f98494721d97a76ab1af4115a\System.Data.Entity.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1611333632	.NET Framework	© Microsoft Corporation. All rights reserved.	--	2060
C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Data\5c656de12d26c3cb8b380abd9b07d0bc\System.Data.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1637482496	.NET Framework	© Microsoft Corporation. All rights reserved.	--	2060
C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Deployment\ad3f5cdc5a8ddb8a3ba37cc317db47a1\System.Deployment.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1918042112	System.Deployment.dll	© Microsoft Corporation. All rights reserved.	--	2060
C:\Windows\assembly\NativeImages_v4.0.30319_32\System.EnterpriseSe#\7bc03f12f7fd848a347a3686da7eba84\System.EnterpriseServices.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1606483968	Microsoft .NET Services Support Infrastructure	© Microsoft Corporation. All rights reserved.	--	2060
C:\Windows\assembly\NativeImages_v4.0.30319_32\System.IdentityModel\2f4c2f70cf6140fb69dc56a5c90d94a2\System.IdentityModel.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1590165504	System.IdentityModel.dll	© Microsoft Corporation. All rights reserved.	--	2060
C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Management\223b2479c888b2c792f9e21fbfc08e99\System.Management.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1422589952	.NET Framework	© Microsoft Corporation. All rights reserved.	--	2060
C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Runtime.Dura#\dfe8523548c718196cab0b5b73ced5d5\System.Runtime.DurableInstancing.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1591279616	System.Runtime.DurableInstancing.dll	© Microsoft Corporation. All rights reserved.	--	2060
C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Runtime.Seri#\b261c9b2e69a1d8415d7ef2c1321b1d3\System.Runtime.Serialization.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1592786944	System.Runtime.Serialization.dll	© Microsoft Corporation. All rights reserved.	--	2060
C:\Windows\assembly\NativeImages_v4.0.30319_32\System.ServiceProce#\3022e53e46be87db0f5766010bf2d153\System.ServiceProcess.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1828978688	.NET Framework	© Microsoft Corporation. All rights reserved.	--	2060
C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Transactions\8dc4e526126472c1c77e0e8e9d9ed962\System.Transactions.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1607663616	.NET Framework	© Microsoft Corporation. All rights reserved.	--	2060
Обнаружено модулей:592, из них опознаны как безопасные 578

Модули пространства ядра

Модуль	Базовый адрес	Размер в памяти	Описание	Производитель
C:\Windows\system32\drivers\adgnetworktdi.sys Скрипт: Kарантин, Удалить, Удалить через BC	8B74A000	00C000 (49152)	Adguard TDI network drive	Copyright (C) Insoft LLC 201
C:\Windows\System32\Drivers\dump_dumpfve.sys Скрипт: Kарантин, Удалить, Удалить через BC	995C0000	011000 (69632)
C:\Windows\System32\Drivers\dump_iaStor.sys Скрипт: Kарантин, Удалить, Удалить через BC	90E2E000	2B5000 (2838528)
Обнаружено модулей - 222, опознано как безопасные - 219

Службы

Служба	Описание	Статус	Файл	Группа	Зависимости
DisplayLinkService Служба: Стоп, Удалить, Отключить, Удалить через BC	DisplayLinkManager	Работает	C:\Program Files\DisplayLink Core Software\DisplayLinkManager.exe Скрипт: Kарантин, Удалить, Удалить через BC	PlugPlay	PlugPlay
hpCMSrv Служба: Стоп, Удалить, Отключить, Удалить через BC	HP Connection Manager 4 Service	Не запущен	C:\Program Files\Hewlett-Packard\HP Connection Manager\hpCMSrv.exe Скрипт: Kарантин, Удалить, Удалить через BC		RPCSS
MozillaMaintenance Служба: Стоп, Удалить, Отключить, Удалить через BC	Mozilla Maintenance Service	Не запущен	C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe Скрипт: Kарантин, Удалить, Удалить через BC
Обнаружено - 169, опознано как безопасные - 166

Драйверы

Служба	Описание	Статус	Файл	Группа	Зависимости
adgnetworktdi Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	adgnetworktdi	Работает	C:\Windows\system32\drivers\adgnetworktdi.sys Скрипт: Kарантин, Удалить, Удалить через BC	PNP_TDI
MpKsl4db881ea Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	MpKsl4db881ea	Не запущен	C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{C0C9D720-9C18-461F-A44D-B0A17F6E6BAB}\MpKsl4db881ea.sys Скрипт: Kарантин, Удалить, Удалить через BC
VGPU Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	VGPU	Не запущен	C:\Windows\system32\drivers\rdvgkmd.sys Скрипт: Kарантин, Удалить, Удалить через BC
Обнаружено - 284, опознано как безопасные - 281

Автозапуск

Имя файла	Статус	Метод запуска	Описание
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved, {5E2121EE-0300-11D4-8D3B-444553540000} Удалить
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\atiamaxx.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved, {872A9397-E0D6-4e28-B64D-52B8D0A7EA35} Удалить
C:\Program Files\Hewlett-Packard\HP 3D DriveGuard\hpaccelerometercp.CPL Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Cpls, HP 3D DriveGuard Удалить
C:\Users\Пользователь\Desktop\AutoLogger\AVZ\Script2.txt Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\RunOnce, AVZ Удалить
C:\Windows\System32\MsSpellCheckingFacility.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Microsoft-Windows-Spell-Checking, EventMessageFile
C:\Windows\System32\MsSpellCheckingFacility.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Microsoft-Windows-SpellChecker, EventMessageFile
C:\Windows\System32\MsSpellCheckingFacility.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\Microsoft-Windows-Spell-Checking, EventMessageFile
C:\Windows\System32\MsSpellCheckingFacility.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\Microsoft-Windows-SpellChecker, EventMessageFile
C:\Windows\system32\psxss.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix
progman.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, shell Удалить
Обнаружено элементов автозапуска - 774, опознано как безопасные - 764

Модули расширения Internet Explorer (BHO, панели ...)

Имя файла	Тип	Описание	Производитель	CLSID
	BHO			{D5FEC983-01DB-414a-9456-AF95AC9ED7B5} Удалить
	Модуль расширения			{0C4CC089-D306-440D-9772-464E226F6539} Удалить
C:\Program Files\Download Master\dmaster.exe Скрипт: Kарантин, Удалить, Удалить через BC	Модуль расширения	Download Master	2002-2013 WestByte	{8DAE90AD-4583-4977-9DD4-4360F7A45C74} Удалить
C:\Program Files\Download Master\dmaster.exe Скрипт: Kарантин, Удалить, Удалить через BC	Модуль расширения	Download Master	2002-2013 WestByte	{92780B25-18CC-41C8-B9BE-3C9C571A8263} Удалить
Обнаружено элементов - 11, опознано как безопасные - 7

Модули расширения проводника

Имя файла	Назначение	Описание	Производитель	CLSID
	WebCheck			{E6FB5E20-DE35-11CF-9C87-00AA005127ED} Удалить
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll Скрипт: Kарантин, Удалить, Удалить через BC	Catalyst Context Menu extension	AMD Desktop Control Panel	© 2007-2008 Advanced Micro Devices, Inc.	{5E2121EE-0300-11D4-8D3B-444553540000} Удалить
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\atiamaxx.dll Скрипт: Kарантин, Удалить, Удалить через BC	Display CPL Extension	AMD Desktop Control Panel	© 2007-2008 Advanced Micro Devices, Inc.	{872A9397-E0D6-4e28-B64D-52B8D0A7EA35} Удалить
Обнаружено элементов - 22, опознано как безопасные - 19

Модули расширения системы печати (мониторы печати, провайдеры)

Имя файла	Тип	Наименование	Описание	Производитель
Обнаружено элементов - 7, опознано как безопасные - 7

Задания планировщика задач Task Scheduler

Имя файла	Имя задания	Состояние задания	Описание	Производитель	Путь	Командная строка
C:\Windows\ehome\mcupdate Скрипт: Kарантин, Удалить, Удалить через BC	mcupdate Скрипт: Удалить				C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\	C:\Windows\ehome\mcupdate $(Arg0)
C:\Windows\ehome\ehrec Скрипт: Kарантин, Удалить, Удалить через BC	RecordingRestart Скрипт: Удалить				C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\	C:\Windows\ehome\ehrec /RestartRecording
Обнаружено элементов - 75, опознано как безопасные - 73

Настройки SPI/LSP

Поставщики пространства имен (NSP)

Поставщик	Статус	Исп. файл	Описание	GUID
Обнаружено - 8, опознано как безопасные - 8

Поставщики транспортных протоколов (TSP, LSP)

Поставщик Исп. файл Описание
Обнаружено - 37, опознано как безопасные - 37
Результаты автоматического анализа настроек SPI
Настройки LSP проверены. Ошибок не обнаружено

Порты TCP/UDP

Порт Статус Remote Host Remote Port Приложение Примечания
Порты TCP
139 LISTENING 0.0.0.0 0 [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445 LISTENING 0.0.0.0 0 [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
58103 TIME_WAIT 173.194.71.104 80 [0]
58104 TIME_WAIT 173.194.71.104 80 [0]
58107 TIME_WAIT 173.194.39.122 80 [0]
58108 TIME_WAIT 173.194.39.122 80 [0]
58128 TIME_WAIT 173.194.39.122 80 [0]
58129 TIME_WAIT 173.194.39.122 80 [0]
58133 TIME_WAIT 87.250.250.90 80 [0]
58138 TIME_WAIT 87.250.250.119 80 [0]
58145 TIME_WAIT 173.194.39.66 80 [0]
58146 TIME_WAIT 173.194.39.66 80 [0]
58152 TIME_WAIT 173.194.39.111 80 [0]
58153 TIME_WAIT 173.194.39.111 80 [0]
58155 TIME_WAIT 173.194.39.122 443 [0]
58186 TIME_WAIT 134.170.184.137 443 [0]
58187 TIME_WAIT 134.170.184.137 443 [0]
58189 TIME_WAIT 204.79.197.200 443 [0]
Порты UDP
137 LISTENING -- -- [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138 LISTENING -- -- [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить

Downloaded Program Files (DPF)

Имя файла Описание Производитель CLSID URL загрузки
Обнаружено элементов - 0, опознано как безопасные - 0

Апплеты панели управления (CPL)

Имя файла Описание Производитель
Обнаружено элементов - 22, опознано как безопасные - 22

Active Setup

Имя файла Описание Производитель CLSID
Обнаружено элементов - 9, опознано как безопасные - 9

Файл HOSTS

Запись файла Hosts

Протоколы и обработчики

Имя файла Тип Описание Производитель CLSID
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
Обнаружено элементов - 16, опознано как безопасные - 13

Общие ресурсы

Сетевое имя Путь Примечания
ADMIN$ C:\Windows Удаленный Admin
C$ C:\ Стандартный общий ресурс
D$ D:\ Стандартный общий ресурс
IPC$ Удаленный IPC

Подозрительные объекты

Файл Описание Тип
C:\Windows\system32\DRIVERS\klif.sys
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit Перехватчик KernelMode

Протокол антивирусной утилиты AVZ версии 4.41
Сканирование запущено в 03.01.2014 22:32:37
Загружена база: сигнатуры - 297613, нейропрофили - 2, микропрограммы лечения - 56, база от 02.01.2014 16:00
Загружены микропрограммы эвристики: 405
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 630585
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 6.1.7601, Service Pack 1 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=169B00)
 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 82C05000
   SDT = 82D6EB00
   KiST = 82C8343C (401)
Функция NtAdjustPrivilegesToken (0C) перехвачена (82E8AED3->9118790A), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtAlpcConnectPort (16) перехвачена (82E7B59E->91137CF0), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtAlpcSendWaitReceivePort (27) перехвачена (82E58225->91137F22), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtConnectPort (3B) перехвачена (82E7E0A0->91137AEA), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateSection (54) перехвачена (82E2913D->9118A4D6), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateThread (57) перехвачена (82EE1FDA->91189906), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateThreadEx (58) перехвачена (82E764AB->91189B52), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDebugActiveProcess (60) перехвачена (82EB3EDA->91189498), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDeviceIoControlFile (6B) перехвачена (82E7974F->91128590), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDuplicateObject (6F) перехвачена (82E37761->91187A4C), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtLoadDriver (9B) перехвачена (82DCBC40->91187578), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtMapViewOfSection (A8) перехвачена (82E4C5F1->9118A28C), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenProcess (BE) перехвачена (82E17BA1->91188FCC), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenSection (C2) перехвачена (82E6F9FB->9118A706), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenThread (C6) перехвачена (82E64102->911895F8), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueueApcThread (10D) перехвачена (82E01E50->9118A140), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtRequestWaitReplyPort (12B) перехвачена (82E43B22->91137DF6), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtResumeThread (130) перехвачена (82E766D2->91189E5C), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSecureConnectPort (138) перехвачена (82E64137->91137BEA), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetContextThread (13C) перехвачена (82EE384F->91189FC2), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetInformationToken (150) перехвачена (82E0995F->911289AA), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetSystemInformation (15E) перехвачена (82E5437A->911878B0), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSuspendProcess (16E) перехвачена (82EE3CDF->911891D4), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSuspendThread (16F) перехвачена (82E9B1CB->91189CFC), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSystemDebugControl (170) перехвачена (82E8B802->911289BC), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtTerminateProcess (172) перехвачена (82E60D9A->9118933A), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtTerminateThread (173) перехвачена (82E7E6CB->911897FC), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtUnmapViewOfSection (181) перехвачена (82E6A9BA->9118A80E), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtWriteVirtualMemory (18F) перехвачена (82E65A97->9118A598), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Проверено функций: 401, перехвачено: 29, восстановлено: 0
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Анализ для процессора 2
 Анализ для процессора 3
 Анализ для процессора 4
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
 Драйвер успешно загружен
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 61
 Количество загруженных модулей: 593
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 654, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 03.01.2014 22:34:18
Сканирование длилось 00:01:44
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ 
можно использовать сервис http://virusdetector.ru/
Создание архива с файлами из карантина
Создание архива с файлами из карантина завершено
Выполняется исследование системы

 Исследование системы завершено


Команды скрипта 
Добавить в скрипт команды:
Нейтрализация перехватов функций при помощи антируткита
Включить AVZGuard
Управление AVZPM (true-включить,false-отключить)
BootCleaner - импорт списка удаленных файлов
BootCleaner - импортировать все
Чистка реестра после удаления файлов
ExecuteWizard ('TSW',2,3,true) - Выполнение мастера поиска и устранения проблем
BootCleaner - активация
Перезагрузка
Вставить заготовку для QuarantineFile() - помещение файла в карантин
Вставить заготовку для BC_QrFile() - помещение файла в карантин через BC
Вставить заготовку для DeleteFile() - удаление файла
Вставить заготовку для DelCLSID() - удаление CLSID класса из реестра
Дополнительные операции:Оптимизация - отключить службу TermService (Службы удаленных рабочих столов)
Оптимизация - отключить службу SSDPSRV (Обнаружение SSDP)
Оптимизация - отключить службу Schedule (Планировщик заданий)
Оптимизация - безопасность - отключить автозапуск программ с CD
Оптимизация - безопасность - отключить административный доступ к локальным дискам
Оптимизация - безопасность - блокировать возможность подключения анонимных пользователей
Безопасность - запретить отправку приглашений удаленному помощнику

Список файлов

Порт	Статус	Remote Host	Remote Port	Приложение	Примечания
Порты TCP
139	LISTENING	0.0.0.0	0	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445	LISTENING	0.0.0.0	0	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
58103	TIME_WAIT	173.194.71.104	80	[0]
58104	TIME_WAIT	173.194.71.104	80	[0]
58107	TIME_WAIT	173.194.39.122	80	[0]
58108	TIME_WAIT	173.194.39.122	80	[0]
58128	TIME_WAIT	173.194.39.122	80	[0]
58129	TIME_WAIT	173.194.39.122	80	[0]
58133	TIME_WAIT	87.250.250.90	80	[0]
58138	TIME_WAIT	87.250.250.119	80	[0]
58145	TIME_WAIT	173.194.39.66	80	[0]
58146	TIME_WAIT	173.194.39.66	80	[0]
58152	TIME_WAIT	173.194.39.111	80	[0]
58153	TIME_WAIT	173.194.39.111	80	[0]
58155	TIME_WAIT	173.194.39.122	443	[0]
58186	TIME_WAIT	134.170.184.137	443	[0]
58187	TIME_WAIT	134.170.184.137	443	[0]
58189	TIME_WAIT	204.79.197.200	443	[0]
Порты UDP
137	LISTENING	--	--	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138	LISTENING	--	--	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить

Сетевое имя	Путь	Примечания
ADMIN$	C:\Windows	Удаленный Admin
C$	C:\	Стандартный общий ресурс
D$	D:\	Стандартный общий ресурс
IPC$		Удаленный IPC