Протокол исследования системы

Список процессов

Имя файла	PID	Описание	Copyright	MD5	Информация
Обнаружено:61, из них опознаны как безопасные 61

Имя модуля	Handle	Описание	Copyright	MD5	Используется процессами
Обнаружено модулей:470, из них опознаны как безопасные 470

Модули пространства ядра

Модуль	Базовый адрес	Размер в памяти	Описание	Производитель
C:\Windows\System32\Drivers\dump_atapi.sys Скрипт: Kарантин, Удалить, Удалить через BC	9B749000	009000 (36864)
C:\Windows\System32\Drivers\dump_dumpata.sys Скрипт: Kарантин, Удалить, Удалить через BC	9B73E000	00B000 (45056)
C:\Windows\System32\Drivers\dump_dumpfve.sys Скрипт: Kарантин, Удалить, Удалить через BC	9B752000	011000 (69632)
C:\Windows\system32\DRIVERS\oem-drv86.sys Скрипт: Kарантин, Удалить, Удалить через BC	83FC4000	00E000 (57344)	oem-drv.sys is used to privode SLIC2.1 support for OEM activation of WindowsNT6.1 based systems.	Copyright © secr9tos
Обнаружено модулей - 203, опознано как безопасные - 199

Службы

Служба	Описание	Статус	Файл	Группа	Зависимости
DesignSpooler Служба: Стоп, Удалить, Отключить, Удалить через BC	Pulse Design Spooler	Не запущен	C:\Program Files\Tajima\DGML By Pulse\DesignSpooler.exe Скрипт: Kарантин, Удалить, Удалить через BC
Обнаружено - 161, опознано как безопасные - 160

Драйверы

Служба	Описание	Статус	Файл	Группа	Зависимости
oem-drv86 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	OEM-SLP2.1 Driver (HPD86)	Работает	C:\Windows\system32\DRIVERS\oem-drv86.sys Скрипт: Kарантин, Удалить, Удалить через BC	WdfLoadGroup
fdrawcmd Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Low-level Floppy Driver	Не запущен	C:\Windows\system32\drivers\fdrawcmd.sys Скрипт: Kарантин, Удалить, Удалить через BC
VGPU Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	VGPU	Не запущен	C:\Windows\system32\drivers\rdvgkmd.sys Скрипт: Kарантин, Удалить, Удалить через BC
Обнаружено - 264, опознано как безопасные - 261

Автозапуск

Имя файла	Статус	Метод запуска	Описание
C:\PROGRA~1\EMBIRD32\EMBIRDCH.DLL Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved, {18D7FD25-4D7C-11D6-AB9F-8FE66DD3F034} Удалить
C:\PROGRA~1\EMBIRD32\EMBIRDCP.DLL Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved, {DB8853E3-33CC-447E-84AA-FC319381A97B} Удалить
C:\PROGRA~1\EMBIRD32\EMBIRDIH.DLL Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved, {6B44F8C0-6D93-11D5-A405-0040C72E0001} Удалить
C:\PROGRA~1\EMBIRD32\EMBIRDPS.DLL Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved, {BE0E21B1-AA13-4786-BCB3-0A97F641F23E} Удалить
C:\PROGRA~1\EMBIRD32\EMBIRDTH.DLL Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved, {A81E778C-14EF-49B0-BC12-E7980ECC51EF} Удалить
C:\Program Files\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnTBMon, command Удалить
C:\Program Files\Google\Chrome\Application\chrome.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ярлык в папке автозагрузки	C:\Users\Ольга\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Ольга\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk,
C:\Program Files\xexe\engine.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\progrmma, command Удалить
C:\Users\Ольга\AppData\Local\Amigo\Application\amigo.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo, command Удалить
C:\Users\Ольга\AppData\Local\Mail.Ru\MailRuUpdater.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MailRuUpdater, command Удалить
C:\Windows\System32\MsSpellCheckingFacility.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Microsoft-Windows-Spell-Checking, EventMessageFile
C:\Windows\System32\MsSpellCheckingFacility.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Microsoft-Windows-SpellChecker, EventMessageFile
C:\Windows\System32\MsSpellCheckingFacility.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\Microsoft-Windows-Spell-Checking, EventMessageFile
C:\Windows\System32\MsSpellCheckingFacility.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\Microsoft-Windows-SpellChecker, EventMessageFile
C:\Windows\system32\psxss.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix
c:\users\ольга\appdata\local\temp\9AB97E2-178AE6FD-519EEEFE-25521795\lg0iiSuNaH8j.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Doctor Web\Dr.Web Engine, EventMessageFile
c:\users\ольга\appdata\local\temp\9AB97E2-178AE6FD-519EEEFE-25521795\ptLS42n1.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Doctor Web\DrWebARKDaemon, EventMessageFile
progman.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, shell Удалить
Обнаружено элементов автозапуска - 722, опознано как безопасные - 704

Модули расширения Internet Explorer (BHO, панели ...)

Имя файла	Тип	Описание	Производитель	CLSID
	BHO			{8984B388-A5BB-4DF7-B274-77B879E179DB} Удалить
Обнаружено элементов - 6, опознано как безопасные - 5

Модули расширения проводника

Имя файла	Назначение	Описание	Производитель	CLSID
	WebCheck			{E6FB5E20-DE35-11CF-9C87-00AA005127ED} Удалить
C:\PROGRA~1\EMBIRD32\EMBIRDIH.DLL Скрипт: Kарантин, Удалить, Удалить через BC	Embird Icon Handler Interface			{6B44F8C0-6D93-11D5-A405-0040C72E0001} Удалить
C:\PROGRA~1\EMBIRD32\EMBIRDCH.DLL Скрипт: Kарантин, Удалить, Удалить через BC	Embird Context Menu Handler Interface			{18D7FD25-4D7C-11D6-AB9F-8FE66DD3F034} Удалить
C:\PROGRA~1\EMBIRD32\EMBIRDTH.DLL Скрипт: Kарантин, Удалить, Удалить через BC	Embird Thumbnails Handler Interface			{A81E778C-14EF-49B0-BC12-E7980ECC51EF} Удалить
C:\PROGRA~1\EMBIRD32\EMBIRDPS.DLL Скрипт: Kарантин, Удалить, Удалить через BC	Embird Property Sheet Handler Interface			{BE0E21B1-AA13-4786-BCB3-0A97F641F23E} Удалить
C:\PROGRA~1\EMBIRD32\EMBIRDCP.DLL Скрипт: Kарантин, Удалить, Удалить через BC	Embird Column Handler Interface			{DB8853E3-33CC-447E-84AA-FC319381A97B} Удалить
	CorelDRAW Shell Extension Component
C:\PROGRA~1\EMBIRD32\EMBIRDCP.DLL Скрипт: Kарантин, Удалить, Удалить через BC	ColumnHandler			{DB8853E3-33CC-447E-84AA-FC319381A97B} Удалить
Обнаружено элементов - 35, опознано как безопасные - 27

Модули расширения системы печати (мониторы печати, провайдеры)

Имя файла	Тип	Наименование	Описание	Производитель
Обнаружено элементов - 9, опознано как безопасные - 9

Задания планировщика задач Task Scheduler

Имя файла	Имя задания	Состояние задания	Описание	Производитель	Путь	Командная строка
C:\Users\Ольга\AppData\Local\Mail.Ru\MailRuUpdater.exe Скрипт: Kарантин, Удалить, Удалить через BC	MailRuUpdateTask Скрипт: Удалить				C:\Windows\system32\Tasks\	C:\Users\Ольга\AppData\Local\Mail.Ru\MailRuUpdater.exe --scheduler
aitagent Скрипт: Kарантин, Удалить, Удалить через BC	AitAgent Скрипт: Удалить				C:\Windows\system32\Tasks\Microsoft\Windows\Application Experience\	aitagent
C:\Windows\ehome\mcupdate Скрипт: Kарантин, Удалить, Удалить через BC	mcupdate Скрипт: Удалить				C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\	%SystemRoot%\ehome\mcupdate $(Arg0)
C:\Windows\ehome\ehrec Скрипт: Kарантин, Удалить, Удалить через BC	RecordingRestart Скрипт: Удалить				C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\	%SystemRoot%\ehome\ehrec /RestartRecording
C:\Налогоплательщик ЮЛ\4331\idw4331.exe Скрипт: Kарантин, Удалить, Удалить через BC	{1B9B8F4A-23F5-4E17-931B-3ACC85742559} Скрипт: Удалить				C:\Windows\system32\Tasks\	C:\Windows\system32\pcalua.exe -a "C:\Налогоплательщик ЮЛ\4331\idw4331.exe" -d "C:\Налогоплательщик ЮЛ\4331"
C:\Налогоплательщик ЮЛ\4331 Скрипт: Kарантин, Удалить, Удалить через BC	{1B9B8F4A-23F5-4E17-931B-3ACC85742559} Скрипт: Удалить				C:\Windows\system32\Tasks\	C:\Windows\system32\pcalua.exe -a "C:\Налогоплательщик ЮЛ\4331\idw4331.exe" -d "C:\Налогоплательщик ЮЛ\4331"
K:\27_03_14_15_44_48\Налогоплательщик ЮЛ\438\idw438.exe Скрипт: Kарантин, Удалить, Удалить через BC	{1D9D6819-479E-4CF7-8B94-7360A42C4AC1} Скрипт: Удалить				C:\Windows\system32\Tasks\	C:\Windows\system32\pcalua.exe -a "K:\27_03_14_15_44_48\Налогоплательщик ЮЛ\438\idw438.exe" -d "K:\27_03_14_15_44_48\Налогоплательщик ЮЛ\438"
K:\27_03_14_15_44_48\Налогоплательщик ЮЛ\438 Скрипт: Kарантин, Удалить, Удалить через BC	{1D9D6819-479E-4CF7-8B94-7360A42C4AC1} Скрипт: Удалить				C:\Windows\system32\Tasks\	C:\Windows\system32\pcalua.exe -a "K:\27_03_14_15_44_48\Налогоплательщик ЮЛ\438\idw438.exe" -d "K:\27_03_14_15_44_48\Налогоплательщик ЮЛ\438"
L:\Налогоплательщик\Налогоплательщик_ЮЛ\428_1\idw4281.exe Скрипт: Kарантин, Удалить, Удалить через BC	{2DC94582-5123-4FB3-863A-347E6EFE775B} Скрипт: Удалить				C:\Windows\system32\Tasks\	C:\Windows\system32\pcalua.exe -a L:\Налогоплательщик\Налогоплательщик_ЮЛ\428_1\idw4281.exe -d L:\Налогоплательщик\Налогоплательщик_ЮЛ\428_1
L:\Налогоплательщик\Налогоплательщик_ЮЛ\428_1 Скрипт: Kарантин, Удалить, Удалить через BC	{2DC94582-5123-4FB3-863A-347E6EFE775B} Скрипт: Удалить				C:\Windows\system32\Tasks\	C:\Windows\system32\pcalua.exe -a L:\Налогоплательщик\Налогоплательщик_ЮЛ\428_1\idw4281.exe -d L:\Налогоплательщик\Налогоплательщик_ЮЛ\428_1
Обнаружено элементов - 74, опознано как безопасные - 64

Настройки SPI/LSP

Поставщики пространства имен (NSP)

Поставщик	Статус	Исп. файл	Описание	GUID
Обнаружено - 6, опознано как безопасные - 6

Поставщики транспортных протоколов (TSP, LSP)

Поставщик Исп. файл Описание
Обнаружено - 22, опознано как безопасные - 22
Результаты автоматического анализа настроек SPI
Настройки LSP проверены. Ошибок не обнаружено

Порты TCP/UDP

Порт Статус Remote Host Remote Port Приложение Примечания
Порты TCP
139 LISTENING 0.0.0.0 0 [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445 LISTENING 0.0.0.0 0 [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
Порты UDP
137 LISTENING -- -- [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138 LISTENING -- -- [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить

Downloaded Program Files (DPF)

Имя файла Описание Производитель CLSID URL загрузки
Обнаружено элементов - 1, опознано как безопасные - 1

Апплеты панели управления (CPL)

Имя файла Описание Производитель
Обнаружено элементов - 22, опознано как безопасные - 22

Active Setup

Имя файла Описание Производитель CLSID
C:\Program Files\Google\Chrome\Application\41.0.2272.101\Installer\chrmstp.exe
Скрипт: Kарантин, Удалить, Удалить через BC Google Chrome Installer Copyright 2012 Google Inc. All rights reserved. {8A69D345-D564-463c-AFF1-A69D9E530F96}
Удалить
Обнаружено элементов - 9, опознано как безопасные - 8

Файл HOSTS

Запись файла Hosts

Протоколы и обработчики

Имя файла Тип Описание Производитель CLSID
Обнаружено элементов - 15, опознано как безопасные - 15

Общие ресурсы

Сетевое имя Путь Примечания
ADMIN$ C:\Windows Удаленный Admin
C$ C:\ Стандартный общий ресурс
IPC$ Удаленный IPC
J$ J:\ Стандартный общий ресурс
K K:\
З.П L:\Оленька\З.П

Подозрительные объекты

Файл Описание Тип
C:\Windows\system32\ntkrnlpa.exe
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit Перехватчик KernelMode

Протокол антивирусной утилиты AVZ версии 4.43
Сканирование запущено в 24.03.2015 10:10:34
Загружена база: сигнатуры - 297605, нейропрофили - 2, микропрограммы лечения - 56, база от 23.03.2015 04:00
Загружены микропрограммы эвристики: 410
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 728301
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 6.1.7601, Service Pack 1 "Windows 7 Ultimate" ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=169B00)
 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 83839000
   SDT = 839A2B00
   KiST = 838B73EC (401)
Функция NtCreateKey (46) перехвачена (83A3AFFB->83839FE2), перехватчик C:\Windows\system32\ntkrnlpa.exe, драйвер опознан как безопасный
Функция NtOpenKey (B6) перехвачена (83A858D2->83839FE7), перехватчик C:\Windows\system32\ntkrnlpa.exe, драйвер опознан как безопасный
Функция MmGetPhysicalAddress (838A8757) - модификация машинного кода. Метод не определен.
Функция MmMapIoSpace (838A8C83) - модификация машинного кода. Метод не определен.
Проверено функций: 401, перехвачено: 2, восстановлено: 0
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Анализ для процессора 2
 Анализ для процессора 3
 Анализ для процессора 4
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
 Драйвер успешно загружен
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 59
 Количество загруженных модулей: 461
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 520, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 24.03.2015 10:11:05
Сканирование длилось 00:00:33
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ 
можно использовать сервис http://virusdetector.ru/
Выполняется исследование системы
Диагностика сети
 DNS and Ping test
  Host="yandex.ru", IP="", Ping=Error (11010,0,0.0.0.0)
  Host="google.ru", IP="", Ping=Error (11010,0,0.0.0.0)
  Host="google.com", IP="", Ping=Error (11010,0,0.0.0.0)
  Host="www.kaspersky.com", IP="", Ping=Error (11010,0,0.0.0.0)
  Host="www.kaspersky.ru", IP="", Ping=Error (11010,0,0.0.0.0)
  Host="dnl-03.geo.kaspersky.com", IP="", Ping=Error (11010,0,0.0.0.0)
  Host="dnl-11.geo.kaspersky.com", IP="", Ping=Error (11010,0,0.0.0.0)
  Host="activation-v2.kaspersky.com", IP="", Ping=Error (11010,0,0.0.0.0)
  Host="odnoklassniki.ru", IP="", Ping=Error (11010,0,0.0.0.0)
  Host="vk.com", IP="", Ping=Error (11010,0,0.0.0.0)
  Host="vkontakte.ru", IP="", Ping=Error (11010,0,0.0.0.0)
  Host="twitter.com", IP="", Ping=Error (11010,0,0.0.0.0)
  Host="facebook.com", IP="", Ping=Error (11010,0,0.0.0.0)
  Host="ru-ru.facebook.com", IP="", Ping=Error (11010,0,0.0.0.0)
 Network IE settings
  IE setting AutoConfigURL=
  IE setting AutoConfigProxy=wininet.dll
  IE setting ProxyOverride=
  IE setting ProxyServer=
  IE setting Internet\ManualProxies=
 Network TCP/IP settings
 Network Persistent Routes

 Исследование системы завершено


Команды скрипта 
Добавить в скрипт команды:
Нейтрализация перехватов функций при помощи антируткита
Включить AVZGuard
Управление AVZPM (true-включить,false-отключить)
BootCleaner - импорт списка удаленных файлов
BootCleaner - импортировать все
Чистка реестра после удаления файлов
ExecuteWizard ('TSW',2,3,true) - Выполнение мастера поиска и устранения проблем
BootCleaner - активация
Перезагрузка
Вставить заготовку для QuarantineFile() - помещение файла в карантин
Вставить заготовку для BC_QrFile() - помещение файла в карантин через BC
Вставить заготовку для DeleteFile() - удаление файла
Вставить заготовку для DelCLSID() - удаление CLSID класса из реестра
Дополнительные операции:Оптимизация - отключить службу TermService (Службы удаленных рабочих столов)
Оптимизация - отключить службу SSDPSRV (Обнаружение SSDP)
Оптимизация - отключить службу Schedule (Планировщик заданий)
Оптимизация - безопасность - отключить автозапуск программ с CD
Оптимизация - безопасность - отключить административный доступ к локальным дискам
Оптимизация - безопасность - блокировать возможность подключения анонимных пользователей
Безопасность - запретить отправку приглашений удаленному помощнику

Список файлов

Порт	Статус	Remote Host	Remote Port	Приложение	Примечания
Порты TCP
139	LISTENING	0.0.0.0	0	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445	LISTENING	0.0.0.0	0	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
Порты UDP
137	LISTENING	--	--	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138	LISTENING	--	--	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить

Сетевое имя	Путь	Примечания
ADMIN$	C:\Windows	Удаленный Admin
C$	C:\	Стандартный общий ресурс
IPC$		Удаленный IPC
J$	J:\	Стандартный общий ресурс
K	K:\
З.П	L:\Оленька\З.П