Протокол исследования системы

Список процессов

Имя файла	PID	Описание	Copyright	MD5	Информация
c:\program files\connectify\connectifyd.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	2104	Connectify Daemon Service	Copyright © 2009-2014	68C9FB18EC34AC508C097412E5A797F5	3279,74 кб, rsAh, создан: 24.09.2014 20:44:55, изменен: 10.09.2014 23:57:32 Командная строка: "ConnectifyD.exe"
c:\program files\connectify\connectifyservice.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1952	Connectify Service Stub	Copyright (C) 2011-2014	341D98E20B8D859075AE94B1E0B25788	476,50 кб, rsAh, создан: 24.09.2014 20:44:55, изменен: 10.09.2014 23:56:40 Командная строка: "C:\Program Files\Connectify\ConnectifyService.exe"
c:\program files\intel\intel(r) rapid storage technology\iastordatamgrsvc.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1580	IAStorDataSvc	Copyright © Intel Corporation 2009-2011	F5C0317AF600F8C0D7E4202EB04232B1	13,02 кб, rsAh, создан: 04.06.2012 22:10:49, изменен: 18.02.2011 08:20:54 Командная строка: "C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe"
c:\program files\intel\intel(r) rapid storage technology\iastoricon.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	3700	IAStorIcon	Copyright © Intel Corporation 2009-2011	26C49FA8BF063A51FBEF8F1E2C839A90	276,52 кб, rsAh, создан: 04.06.2012 22:10:49, изменен: 18.02.2011 08:20:50 Командная строка: "C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe"
c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	5720	Хост-процесс для служб Windows	© Корпорация Майкрософт. Все права защищены.	54A47F6B5E09A77E61649109C6A08866	20,50 кб, rsAh, создан: 14.07.2009 03:19:28, изменен: 14.07.2009 05:14:41 Командная строка: C:\Windows\System32\svchost.exe -k secsvcs
c:\program files\lenovo\energycut\utilty.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	3796	Lenovo Power Management Software	Lenovo(beijing) Limited All rights reserved.	A071CF6027E14E6C49A8CA8ED5F012CD	1544,00 кб, rsAh, создан: 14.01.2013 08:07:04, изменен: 27.04.2007 19:40:14 Командная строка: "C:\Program Files\Lenovo\EnergyCut\utilty.exe"
c:\program files\windows media player\wmpnetwk.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	5896	Служба общих сетевых ресурсов проигрывателя Windows Media	© Корпорация Майкрософт (Microsoft Corp.). Все права защищены.	3B40D3A61AA8C21B88AE57C58AB3122E	1095,50 кб, rsAh, создан: 21.11.2010 01:29:49, изменен: 21.11.2010 01:29:49 Командная строка: "C:\Program Files\Windows Media Player\wmpnetwk.exe"
Обнаружено:78, из них опознаны как безопасные 76

Имя модуля	Handle	Описание	Copyright	MD5	Используется процессами
\\?\C:\ProgramData\Microsoft\Windows\DRM\Cache\Indiv_SID_S-1-5-20\Indiv01.key Скрипт: Kарантин, Удалить, Удалить через BC	180355072	Individualized Black Box DLL	© Microsoft Corporation. All rights reserved.	D1D4AA6FC0F5130234650282C8147328	5896
C:\Program Files\Lenovo\EnergyCut\kbdhook.dll Скрипт: Kарантин, Удалить, Удалить через BC	268435456			62C739C43353B01075D04F6954A87AA9	3796
C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{57A24123-A722-4E6B-89A3-75C6970F40D1}\mpengine.dll Скрипт: Kарантин, Удалить, Удалить через BC	2003632128	Microsoft Malware Protection Engine	© Microsoft Corporation. All rights reserved.	D26B73F34CD1B70C77EADC04438344B3	5720
C:\Windows\assembly\NativeImages_v2.0.50727_32\IAStorCommon\9afbc0732818d697f59563155e6a7d88\IAStorCommon.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1777270784	IAStorCommon	Copyright © Intel Corp. 2009-2011	752A3783E24A9024B9184FAA0C6577E7	1580, 3700
C:\Windows\assembly\NativeImages_v2.0.50727_32\IAStorDataMgr\578c60a32c9c55c2ff30b80883ab7327\IAStorDataMgr.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1777336320	IAStorService	Copyright © Intel Corporation 2009-2011	A2E19E8CC5F195710EA7E1D0158A4828	1580
C:\Windows\assembly\NativeImages_v2.0.50727_32\IAStorDataMgrSvc\e3d3301935e19725d86240df028695ad\IAStorDataMgrSvc.ni.exe Скрипт: Kарантин, Удалить, Удалить через BC	1778057216	IAStorDataSvc	Copyright © Intel Corporation 2009-2011	70AD3BC1C237FCF264D9FC10A2C2453A	1580
C:\Windows\assembly\NativeImages_v2.0.50727_32\IAStorUtil\8732f9a33d8b7ffb5ae91d15c9e3aece\IAStorUtil.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1900937216	IAStorUtil	Copyright © Intel Corporation 2009-2011	E457D66D121EB1088DD19F3A3DFB6CEE	1580, 3700
C:\Windows\assembly\NativeImages_v2.0.50727_32\IsdiInterop\17c296575fad30d021e6370dc70cf800\IsdiInterop.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1776943104			800EBA011491BE402094B204335E4D17	1580
C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Configuration\237d509a79aeef6e4635b09450d98f2a\System.Configuration.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1669398528	System.Configuration.dll	© Microsoft Corporation. All rights reserved.	49BA0CAAA0668976382ABB600870129C	1580, 3700
C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Drawing\836e10dfd0811b303553216f5cb092ef\System.Drawing.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1682898944	.NET Framework	© Microsoft Corporation. All rights reserved.	AC0B6D0C310CFC83FC56C3314A6945D3	3700
C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Runtime.Remo#\b3011370dcbf33751d3b9dce8091c6c6\System.Runtime.Remoting.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1625948160	Microsoft .NET Runtime Object Remoting	© Microsoft Corporation. All rights reserved.	F595F0287F17F87968904E8A3AC5E8E3	1580, 3700
C:\Windows\assembly\NativeImages_v2.0.50727_32\System.ServiceProce#\a229c5bed4a12b5db6ca55d223ada6df\System.ServiceProcess.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1777598464	.NET Framework	© Microsoft Corporation. All rights reserved.	D4A6547DF01A88FECBAAC7C987E0E201	1580
C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Web\b4001d722e320fa42cd87b04b5249b2d\System.Web.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1369833472	System.Web.dll	© Microsoft Corporation. All rights reserved.	6976F63C95C1C34AF794B3C1550192E8	1580, 3700
C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Windows.Forms\1453d9e9a4989833ef3db4b22549ba1a\System.Windows.Forms.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1670447104	.NET Framework	© Microsoft Corporation. All rights reserved.	3E099BCDDA4D167BED6928281B3C5C26	3700
C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Xml\d49908aa93a23c84847b1f8b1b667860\System.Xml.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1661992960	.NET Framework	© Microsoft Corporation. All rights reserved.	2FBB653F8BF919E32C9869FA545A5F01	1580, 3700
C:\Windows\assembly\NativeImages_v2.0.50727_32\System\908ba9e296e92b4e14bdc2437edac603\System.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1684537344	.NET Framework	© Microsoft Corporation. All rights reserved.	AA60FC73326973A774036486421F386C	1580, 3700
C:\Windows\assembly\NativeImages_v2.0.50727_32\WindowsBase\d97a5aa0eb7697aca7c6e90ae471af2b\WindowsBase.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1381826560	WindowsBase.dll	© Microsoft Corporation. All rights reserved.	07E182AA3ED9DF0166F72B40DCC2CBA1	1580, 3700
C:\Windows\assembly\NativeImages_v4.0.30319_32\SMDiagnostics\046058f81b039ab6fd839e03e67595f8\SMDiagnostics.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1746862080	SMDiagnostics.dll	© Microsoft Corporation. All rights reserved.	BC46E30E37EDCDD7E45493B80E131EA7	2104
C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Configuration\0648dbecb7e3fb9523565107e04a5caf\System.Configuration.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1809580032	System.Configuration.dll	© Microsoft Corporation. All rights reserved.	D89F78736FEAFEEEDF12DE2895FB2779	2104
C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Core\691c1ad89d16f49d80e84fa06a79089a\System.Core.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1768751104	.NET Framework	© Microsoft Corporation. All rights reserved.	68580AEF5F1529E493F5DE41622D0C92	2104
C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Drawing\b4c08872c259018b17b2801da33ac80f\System.Drawing.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1800011776	.NET Framework	© Microsoft Corporation. All rights reserved.	11930A7074F0553E1062DFA01430EE58	2104
C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Management\c90a4b709b46b64c89fce02585d55370\System.Management.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1779302400	.NET Framework	© Microsoft Corporation. All rights reserved.	0131DCE38D98C74C479ED4C799011A61	2104
C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Net.Http\7f372539d1837d70e88821cc20ed6530\System.Net.Http.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1740963840	.NET Framework	© Microsoft Corporation. All rights reserved.	2C6A378BEA45CBA17799352C0111F890	2104
C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Runt73a1fc9d#\54565a827b0e5a6f78e93e2ae06dd0e4\System.Runtime.Remoting.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1780613120	Microsoft .NET Runtime Object Remoting	© Microsoft Corporation. All rights reserved.	1452AF963D2821CC35A24FE52F86B8A7	2104
C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Runteb92aa12#\f9f13cd8fe1cefaad78579a7c3a41464\System.Runtime.Serialization.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1742667776	System.Runtime.Serialization.dll	© Microsoft Corporation. All rights reserved.	D1029EEF72DF1410FCAAE8BFDF00CC0D	2104
C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Security\51d4d139f9b740978450f2aa473f6f13\System.Security.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1781530624	System.Security.dll	© Microsoft Corporation. All rights reserved.	CC1C0148477E5D3A717EF7A62BD535FD	2104
C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Serv759bfb78#\902843918d037f5f3511d679bf1e2216\System.ServiceProcess.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1810890752	.NET Framework	© Microsoft Corporation. All rights reserved.	D3F2F4E40E7552B978516895F0EE4400	2104
C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Servd1dec626#\35d3a1b878542de59cb4fc0593992404\System.ServiceModel.Internals.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1746010112	System.ServiceModel.Internals.dll	© Microsoft Corporation. All rights reserved.	E859F50707C775A737DC5C08D9E93E03	2104
C:\Windows\assembly\NativeImages_v4.0.30319_32\System.ServiceModel\316b149dbb031d0e35c9d57bb2fc4b6e\System.ServiceModel.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1747386368	System.ServiceModel.dll	© Microsoft Corporation. All rights reserved.	77C966D0AB83751504940C788DCB678F	2104
C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Web\d12ecb88500237067aa30b40081d51b7\System.Web.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1727266816	System.Web.dll	© Microsoft Corporation. All rights reserved.	0BA2753DCF7B0652D26797FE758D2A46	2104
C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Windows.Forms\db563d596d76daed04e9b5d25b2f4cb9\System.Windows.Forms.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1787101184	.NET Framework	© Microsoft Corporation. All rights reserved.	4E886667DD5BC1B44E280404310443C2	2104
C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Xml\7147fa233a070283dba824da40089bf1\System.Xml.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1801846784	.NET Framework	© Microsoft Corporation. All rights reserved.	D9747507D0885342B3D94C3FA4A784ED	2104
C:\Windows\assembly\NativeImages_v4.0.30319_32\System\17a393b77ae757f0768501fb95ff5af6\System.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1811152896	.NET Framework	© Microsoft Corporation. All rights reserved.	311C2664FA7B215B31345469D7B143C6	2104
Обнаружено модулей:691, из них опознаны как безопасные 658

Модули пространства ядра

Модуль	Базовый адрес	Размер в памяти	Описание	Производитель
C:\Windows\System32\Drivers\dump_dumpfve.sys Скрипт: Kарантин, Удалить, Удалить через BC	9420D000	011000 (69632)
C:\Windows\System32\Drivers\dump_iaStor.sys Скрипт: Kарантин, Удалить, Удалить через BC	8FC30000	101000 (1052672)
Обнаружено модулей - 210, опознано как безопасные - 208

Службы

Служба	Описание	Статус	Файл	Группа	Зависимости
Connectify Служба: Стоп, Удалить, Отключить, Удалить через BC	Connectify	Работает	C:\Program Files\Connectify\ConnectifyService.exe Скрипт: Kарантин, Удалить, Удалить через BC		wlansvc
MyWiFiDHCPDNS Служба: Стоп, Удалить, Отключить, Удалить через BC	Wireless PAN DHCP Server	Не запущен	C:\Program Files\Intel\WiFi\bin\PanDhcpDns.exe Скрипт: Kарантин, Удалить, Удалить через BC		RPCSS
Steam Client Service Служба: Стоп, Удалить, Отключить, Удалить через BC	Steam Client Service	Не запущен	C:\Program Files\Common Files\Steam\SteamService.exe Скрипт: Kарантин, Удалить, Удалить через BC
Обнаружено - 172, опознано как безопасные - 169

Драйверы

Служба	Описание	Статус	Файл	Группа	Зависимости
BTCOM Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Bluetooth Serial port driver	Не запущен	C:\Windows\system32\DRIVERS\btcomport.sys Скрипт: Kарантин, Удалить, Удалить через BC	Extended base
BTCOMBUS Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Bluetooth Serial Port Bus Service	Не запущен	C:\Windows\system32\Drivers\btcombus.sys Скрипт: Kарантин, Удалить, Удалить через BC
BthAvrcp Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Профиль Bluetooth AVRCP	Не запущен	C:\Windows\system32\DRIVERS\BthAvrcp.sys Скрипт: Kарантин, Удалить, Удалить через BC	Extended Base
GarenaPEngine Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	GarenaPEngine	Не запущен	C:\Users\Vladimir\AppData\Local\Temp\LRD83F0.tmp Скрипт: Kарантин, Удалить, Удалить через BC
VGPU Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	VGPU	Не запущен	C:\Windows\system32\drivers\rdvgkmd.sys Скрипт: Kарантин, Удалить, Удалить через BC
Обнаружено - 291, опознано как безопасные - 286

Автозапуск

Имя файла	Статус	Метод запуска	Описание
C:\3184efd80de44e93ec68\DW\DW20.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\VSSetup, EventMessageFile
C:\Program Files\Common Files\Steam\SteamService.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Steam Client Service, EventMessageFile
C:\Program Files\Connectify\DispatchUI.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Connectify Dispatch, command Удалить
C:\Program Files\Lenovo\EnergyCut\utilty.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, EnergyUtility Удалить
C:\Program Files\Lenovo\OneKey App\OneKey Recovery Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, UpdatePRCShortCut Удалить
C:\Program Files\Steam\steam.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Steam, command Удалить
C:\Users\Vladimir\AppData\Local\Temp\BED198CD-CD895BBA-96AE1D68-94400EB9\KhHxaMPX.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Doctor Web\Dr.Web Engine, EventMessageFile
C:\Users\Vladimir\AppData\Local\Temp\BED198CD-CD895BBA-96AE1D68-94400EB9\zN22bjMtxmphoQn.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Doctor Web\DrWebARKDaemon, EventMessageFile
C:\Users\Vladimir\AppData\Roaming\minecraft-goldmods.ru.url Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\minecraft-gold, command Удалить
C:\Windows\System32\MsSpellCheckingFacility.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Microsoft-Windows-Spell-Checking, EventMessageFile
C:\Windows\System32\MsSpellCheckingFacility.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Microsoft-Windows-SpellChecker, EventMessageFile
C:\Windows\System32\MsSpellCheckingFacility.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\Microsoft-Windows-Spell-Checking, EventMessageFile
C:\Windows\System32\MsSpellCheckingFacility.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\Microsoft-Windows-SpellChecker, EventMessageFile
C:\Windows\system32\psxss.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix
progman.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, shell Удалить
Обнаружено элементов автозапуска - 745, опознано как безопасные - 730

Модули расширения Internet Explorer (BHO, панели ...)

Имя файла	Тип	Описание	Производитель	CLSID
	Панель			{09900DE8-1DCA-443F-9243-26FF581438AF} Удалить
	URLSearchHook			{09900DE8-1DCA-443F-9243-26FF581438AF} Удалить
Обнаружено элементов - 9, опознано как безопасные - 7

Модули расширения проводника

Имя файла	Назначение	Описание	Производитель	CLSID
	WebCheck			{E6FB5E20-DE35-11CF-9C87-00AA005127ED} Удалить
Обнаружено элементов - 20, опознано как безопасные - 19

Модули расширения системы печати (мониторы печати, провайдеры)

Имя файла	Тип	Наименование	Описание	Производитель
BsMonSvr Скрипт: Kарантин, Удалить, Удалить через BC	Монитор	BlueSoleil Print Port	Bluetooth Application	Copyright (C) IVT Corp. 2002-2008.
Обнаружено элементов - 9, опознано как безопасные - 8

Задания планировщика задач Task Scheduler

Имя файла	Имя задания	Состояние задания	Описание	Производитель	Путь	Командная строка
aitagent Скрипт: Kарантин, Удалить, Удалить через BC	AitAgent Скрипт: Удалить				C:\Windows\system32\Tasks\Microsoft\Windows\Application Experience\	aitagent
C:\Windows\ehome\mcupdate Скрипт: Kарантин, Удалить, Удалить через BC	mcupdate Скрипт: Удалить				C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\	%SystemRoot%\ehome\mcupdate $(Arg0)
C:\Windows\ehome\mcupdate Скрипт: Kарантин, Удалить, Удалить через BC	mcupdate_scheduled Скрипт: Удалить				C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\	%SystemRoot%\ehome\mcupdate -crl -hms -pscn 15
C:\Windows\ehome\ehrec Скрипт: Kарантин, Удалить, Удалить через BC	RecordingRestart Скрипт: Удалить				C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\	%SystemRoot%\ehome\ehrec /RestartRecording
C:\Windows\ehome\ehrec Скрипт: Kарантин, Удалить, Удалить через BC	StartRecording Скрипт: Удалить				C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\	%SystemRoot%\ehome\ehrec /StartRecording
F:\Setup.now.exe Скрипт: Kарантин, Удалить, Удалить через BC	{3BAC9D4A-C8ED-40D0-BCEA-570D9D44E612} Скрипт: Удалить				C:\Windows\system32\Tasks\	C:\Windows\system32\pcalua.exe -a F:\Setup.now.exe -d F:\
D:\Program Files\by Decepticon\South Park The Stick of Truth\South Park - The Stick of Truth.exe Скрипт: Kарантин, Удалить, Удалить через BC	{49C50B86-51F0-4011-A6D5-C87FCBEA82A3} Скрипт: Удалить		South Park - The Stick of Truth	Copyright (C) 2014 Obsidian Entertainment, Inc.	C:\Windows\system32\Tasks\	D:\Program Files\by Decepticon\South Park The Stick of Truth\South Park - The Stick of Truth.exe
D:\Program Files\by Decepticon\South Park The Stick of Truth\_Redist Скрипт: Kарантин, Удалить, Удалить через BC	{57317216-1A03-4B8F-96CC-C324412D4FB4} Скрипт: Удалить				C:\Windows\system32\Tasks\	C:\Windows\system32\pcalua.exe -a "D:\Program Files\by Decepticon\South Park The Stick of Truth\_Redist\vcredist_x86_sp1.exe" -d "D:\Program Files\by Decepticon\South Park The Stick of Truth\_Redist"
C:\Users\Vladimir\Downloads\zbot\zbot.exe Скрипт: Kарантин, Удалить, Удалить через BC	{6DD35FE4-6670-4203-8D1B-E50BB9E8C0E9} Скрипт: Удалить				C:\Windows\system32\Tasks\	C:\Windows\system32\pcalua.exe -a C:\Users\Vladimir\Downloads\zbot\zbot.exe -d C:\Users\Vladimir\Downloads\zbot
C:\Users\Vladimir\Downloads\zbot Скрипт: Kарантин, Удалить, Удалить через BC	{6DD35FE4-6670-4203-8D1B-E50BB9E8C0E9} Скрипт: Удалить				C:\Windows\system32\Tasks\	C:\Windows\system32\pcalua.exe -a C:\Users\Vladimir\Downloads\zbot\zbot.exe -d C:\Users\Vladimir\Downloads\zbot
F:\soft\1_просмотр картинок\432\irfanview_lang_russian.exe Скрипт: Kарантин, Удалить, Удалить через BC	{8ABB1C38-B246-4BF4-B5A2-AFF5221FF362} Скрипт: Удалить				C:\Windows\system32\Tasks\	C:\Windows\system32\pcalua.exe -a "F:\soft\1_просмотр картинок\432\irfanview_lang_russian.exe" -d "F:\soft\1_просмотр картинок\432"
F:\soft\1_просмотр картинок\432 Скрипт: Kарантин, Удалить, Удалить через BC	{8ABB1C38-B246-4BF4-B5A2-AFF5221FF362} Скрипт: Удалить				C:\Windows\system32\Tasks\	C:\Windows\system32\pcalua.exe -a "F:\soft\1_просмотр картинок\432\irfanview_lang_russian.exe" -d "F:\soft\1_просмотр картинок\432"
"c:\program files\google\chrome\application\chrome.exe" http://www.skype.com/go/downloading?source=lightinstaller&ver=5.10.66.116&LastError=2 Скрипт: Kарантин, Удалить, Удалить через BC	{E2B6CC88-BF91-4ED6-B386-B924C3011AC2} Скрипт: Удалить				C:\Windows\system32\Tasks\	"c:\program files\google\chrome\application\chrome.exe" http://www.skype.com/go/downloading?source=lightinstaller&ver=5.10.66.116&LastError=2
D:\Program Files\by Decepticon\South Park The Stick of Truth\South Park - The Stick of Truth.exe Скрипт: Kарантин, Удалить, Удалить через BC	{EEFFFB7F-8617-4E3F-99F7-C1C5F2C5CA53} Скрипт: Удалить		South Park - The Stick of Truth	Copyright (C) 2014 Obsidian Entertainment, Inc.	C:\Windows\system32\Tasks\	D:\Program Files\by Decepticon\South Park The Stick of Truth\South Park - The Stick of Truth.exe
Обнаружено элементов - 77, опознано как безопасные - 63

Настройки SPI/LSP

Поставщики пространства имен (NSP)

Поставщик	Статус	Исп. файл	Описание	GUID
Обнаружено - 7, опознано как безопасные - 7

Поставщики транспортных протоколов (TSP, LSP)

Поставщик Исп. файл Описание
Обнаружено - 49, опознано как безопасные - 49
Результаты автоматического анализа настроек SPI
Настройки LSP проверены. Ошибок не обнаружено

Порты TCP/UDP

Порт Статус Remote Host Remote Port Приложение Примечания
Порты TCP
139 LISTENING 0.0.0.0 0 [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445 LISTENING 0.0.0.0 0 [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
2869 LISTENING 0.0.0.0 0 [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
9937 LISTENING 0.0.0.0 0 [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
10243 LISTENING 0.0.0.0 0 [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
12372 LISTENING 0.0.0.0 0 [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
Порты UDP
137 LISTENING -- -- [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138 LISTENING -- -- [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить

Downloaded Program Files (DPF)

Имя файла Описание Производитель CLSID URL загрузки
Обнаружено элементов - 1, опознано как безопасные - 1

Апплеты панели управления (CPL)

Имя файла Описание Производитель
Обнаружено элементов - 22, опознано как безопасные - 22

Active Setup

Имя файла Описание Производитель CLSID
Обнаружено элементов - 9, опознано как безопасные - 9

Файл HOSTS

Запись файла Hosts

Протоколы и обработчики

Имя файла Тип Описание Производитель CLSID
Обнаружено элементов - 16, опознано как безопасные - 16

Общие ресурсы

Сетевое имя Путь Примечания
3D Инструктор 2.2.7 D:\Users\Vladimir\Downloads\3D Инструктор 2.2.7
ADMIN$ C:\Windows Удаленный Admin
C$ C:\ Стандартный общий ресурс
D$ D:\ Стандартный общий ресурс
IPC$ Удаленный IPC
Minidump C:\Windows\Minidump
Users C:\Users

Подозрительные объекты

Файл Описание Тип
C:\Windows\system32\DRIVERS\ehdrv.sys
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit Перехватчик KernelMode

Протокол антивирусной утилиты AVZ версии 4.43
Сканирование запущено в 25.10.2014 13:20:42
Загружена база: сигнатуры - 297605, нейропрофили - 2, микропрограммы лечения - 56, база от 24.10.2014 16:00
Загружены микропрограммы эвристики: 407
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 692833
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 6.1.7601, Service Pack 1 "Windows 7 Ultimate" ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=169B00)
 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 82E13000
   SDT = 82F7CB00
   KiST = 82E9143C (401)
Функция NtCreateThread (57) перехвачена (830EFFE2->8FDB47F0), перехватчик C:\Windows\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtLoadDriver (9B) перехвачена (82FD9C44->8FDB48B0), перехватчик C:\Windows\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtSetSystemInformation (15E) перехвачена (8306238A->8FDB4870), перехватчик C:\Windows\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtSystemDebugControl (170) перехвачена (83099812->8FDB4830), перехватчик C:\Windows\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Проверено функций: 401, перехвачено: 4, восстановлено: 0
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Анализ для процессора 2
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
 Драйвер успешно загружен
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 72
 Количество загруженных модулей: 648
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Обнаружен вызов интерпретатора командной строки в автозапуске [DR=1] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\HotKeysCmds = ["C:\Windows\system32\hkcmd.exe"]
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 720, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 25.10.2014 13:21:59
Сканирование длилось 00:01:23
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ 
можно использовать сервис http://virusdetector.ru/
Выполняется исследование системы
Диагностика сети
 DNS and Ping test
Host="yandex.ru", IP="213.180.204.11,213.180.193.11,93.158.134.11", Ping=OK (0,3,213.180.204.11)
Host="google.ru", IP="64.233.164.94", Ping=OK (0,19,64.233.164.94)
Host="google.com", IP="173.194.71.102,173.194.71.113,173.194.71.138,173.194.71.139,173.194.71.100,173.194.71.101", Ping=OK (0,25,173.194.71.102)
Host="www.kaspersky.com", IP="212.5.89.20", Ping=OK (0,4,212.5.89.20)
Host="www.kaspersky.ru", IP="212.5.89.229", Ping=OK (0,4,212.5.89.229)
Host="dnl-03.geo.kaspersky.com", IP="93.191.13.103", Ping=OK (0,3,93.191.13.103)
Host="dnl-11.geo.kaspersky.com", IP="95.167.139.6", Ping=OK (0,3,95.167.139.6)
Host="activation-v2.kaspersky.com", IP="212.5.89.37", Ping=OK (0,4,212.5.89.37)
Host="odnoklassniki.ru", IP="217.20.147.94", Ping=OK (0,5,217.20.147.94)
Host="vk.com", IP="87.240.131.120,87.240.131.97,87.240.131.99", Ping=OK (0,11,87.240.131.120)
Host="vkontakte.ru", IP="95.213.4.245,95.213.4.246,95.213.4.247", Ping=OK (0,11,95.213.4.245)
Host="twitter.com", IP="199.59.149.230,199.16.156.230,199.59.150.39,199.16.156.38,199.59.148.82,199.59.148.10,199.16.156.198,199.59.149.198,199.16.156.102,199.16.156.70,199.59.150.7,199.16.156.6", Ping=OK (0,217,199.59.149.230)
Host="facebook.com", IP="173.252.120.6", Ping=OK (0,149,173.252.120.6)
Host="ru-ru.facebook.com", IP="31.13.93.193", Ping=OK (0,52,31.13.93.193)
Network IE settings
 IE setting AutoConfigURL=
 IE setting AutoConfigProxy=wininet.dll
 IE setting ProxyOverride=
 IE setting ProxyServer=
 IE setting Internet\ManualProxies=
Network TCP/IP settings

 Исследование системы завершено


Команды скрипта 
Добавить в скрипт команды:
Нейтрализация перехватов функций при помощи антируткита
Включить AVZGuard
Управление AVZPM (true-включить,false-отключить)
BootCleaner - импорт списка удаленных файлов
BootCleaner - импортировать все
Чистка реестра после удаления файлов
ExecuteWizard ('TSW',2,3,true) - Выполнение мастера поиска и устранения проблем
BootCleaner - активация
Перезагрузка
Вставить заготовку для QuarantineFile() - помещение файла в карантин
Вставить заготовку для BC_QrFile() - помещение файла в карантин через BC
Вставить заготовку для DeleteFile() - удаление файла
Вставить заготовку для DelCLSID() - удаление CLSID класса из реестра
Дополнительные операции:Оптимизация - отключить службу TermService (Службы удаленных рабочих столов)
Оптимизация - отключить службу SSDPSRV (Обнаружение SSDP)
Оптимизация - отключить службу Schedule (Планировщик заданий)
Оптимизация - безопасность - отключить автозапуск программ с CD
Оптимизация - безопасность - отключить административный доступ к локальным дискам
Оптимизация - безопасность - блокировать возможность подключения анонимных пользователей
Безопасность - запретить отправку приглашений удаленному помощнику

Список файлов

Порт	Статус	Remote Host	Remote Port	Приложение	Примечания
Порты TCP
139	LISTENING	0.0.0.0	0	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445	LISTENING	0.0.0.0	0	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
2869	LISTENING	0.0.0.0	0	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
9937	LISTENING	0.0.0.0	0	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
10243	LISTENING	0.0.0.0	0	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
12372	LISTENING	0.0.0.0	0	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
Порты UDP
137	LISTENING	--	--	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138	LISTENING	--	--	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить

Сетевое имя	Путь	Примечания
3D Инструктор 2.2.7	D:\Users\Vladimir\Downloads\3D Инструктор 2.2.7
ADMIN$	C:\Windows	Удаленный Admin
C$	C:\	Стандартный общий ресурс
D$	D:\	Стандартный общий ресурс
IPC$		Удаленный IPC
Minidump	C:\Windows\Minidump
Users	C:\Users