Протокол исследования системы

Список процессов

Имя файла	PID	Описание	Copyright	MD5	Информация
c:\autologger\autologger.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	3820	Автоматический сборщик логов	Все права на AutoLogger принадлежат regist & Drongo © Copyright 2013 - 2015	F5650A07B6BA2E9194F6915390096D46	10901.38 кб, rsAh, создан: 02.08.2015 12:27:12, изменен: 02.08.2015 04:33:04 Командная строка: "C:\AutoLogger\AutoLogger.exe"
c:\windows\explorer.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1956	Проводник	© Корпорация Майкрософт. Все права защищены.	847C01CA71883702CC7445364DD9D097	1010.00 кб, rsAh, создан: 15.04.2008 14:00:00, изменен: 15.04.2008 14:00:00 Командная строка: C:\WINDOWS\Explorer.EXE
c:\program files\bluestacks\hd-logrotatorservice.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	236	BlueStacks Log Rotator Service	Copyright 2011 BlueStack Systems, Inc. All Rights Reserved.	6F283166909004EF930CCEA18C74C2EF	376.77 кб, rsAh, создан: 21.05.2014 21:02:22, изменен: 21.05.2014 21:02:22 Командная строка: "C:\Program Files\BlueStacks\HD-LogRotatorService.exe"
c:\program files\bluestacks\hd-updaterservice.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	268	BlueStacks Updater Service	Copyright 2011 BlueStack Systems, Inc. All Rights Reserved.	3A8A1A2AE57F4FB1E6E53B09F9F57540	756.77 кб, rsAh, создан: 21.05.2014 21:04:14, изменен: 21.05.2014 21:04:14 Командная строка: "C:\Program Files\BlueStacks\HD-UpdaterService.exe"
c:\program files\sony\readerdesktop\apphelper\readerapphelper.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	528	Reader Application Helper	Copyright 2006-2010 Sony Corporation	3C5856F5D8F6438A3F4651B10F60BF3B	878.32 кб, rsAh, создан: 13.03.2014 10:24:16, изменен: 13.03.2014 10:24:16 Командная строка: "C:\Program Files\Sony\ReaderDesktop\appHelper\ReaderAppHelper.exe"
c:\windows\system32\spoolsv.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1692	Spooler SubSystem App	© Microsoft Corporation. All rights reserved.	258DD5D4283FD9F9A7166BE9AE45CE73	57.50 кб, rsAh, создан: 15.04.2008 14:00:00, изменен: 15.04.2008 14:00:00 Командная строка: C:\WINDOWS\system32\spoolsv.exe
Обнаружено:46, из них опознаны как безопасные 45

Имя модуля	Handle	Описание	Copyright	MD5	Используется процессами
C:\Program Files\Sony\ReaderDesktop\appHelper\ebookDeviceNotifier.dll Скрипт: Kарантин, Удалить, Удалить через BC	23003136			022C52CB273999503C49254ED52F569C	528
C:\Program Files\Sony\ReaderDesktop\appHelper\ebookUsb.dll Скрипт: Kарантин, Удалить, Удалить через BC	23068672			4567540F62C79F5CC18781B21E2659FE	528
C:\Program Files\Sony\ReaderDesktop\appHelper\fsk.dll Скрипт: Kарантин, Удалить, Удалить через BC	268435456			3A8BADEE19B95C6F00AF2537FAC1628D	528
C:\Program Files\Sony\ReaderDesktop\appHelper\FskDocumentViewer.dll Скрипт: Kарантин, Удалить, Удалить через BC	20054016			0541EFC8A7226D7CB2B0A5B19D980FCD	528
C:\Program Files\Sony\ReaderDesktop\appHelper\FskDocumentViewerAdobe.dll Скрипт: Kарантин, Удалить, Удалить через BC	24182784	Embedded PDF/EPUB Viewer 9.1	Copyright	3FF2BCB2B992845ADB8DE4F5F81ACB74	528
C:\Program Files\Sony\ReaderDesktop\appHelper\Fskin.dll Скрипт: Kарантин, Удалить, Удалить через BC	16842752			3AC67BDC70235AF9FDD64B64004747FC	528
C:\Program Files\Sony\ReaderDesktop\appHelper\FskinLocalize.dll Скрипт: Kарантин, Удалить, Удалить через BC	12517376			E47C543B2D69D2D8DA0E5931BC75A1BE	528
C:\Program Files\Sony\ReaderDesktop\appHelper\FskMediaPlayers.dll Скрипт: Kарантин, Удалить, Удалить через BC	12451840			AE2235D2724F47EA1F4BC948A264163C	528
C:\Program Files\Sony\ReaderDesktop\appHelper\FskMobileMediaDevice.dll Скрипт: Kарантин, Удалить, Удалить через BC	21757952			C0E0AD1A411F50E4FCDF57BB049289E7	528
C:\Program Files\Sony\ReaderDesktop\appHelper\FskNetInterface.dll Скрипт: Kарантин, Удалить, Удалить через BC	20643840			DB438912036014835786983C671A66DD	528
C:\Program Files\Sony\ReaderDesktop\appHelper\FskPower.dll Скрипт: Kарантин, Удалить, Удалить через BC	20578304			405BF1AFD71E11847271059918120482	528
C:\Program Files\Sony\ReaderDesktop\appHelper\FskTimeHardware.dll Скрипт: Kарантин, Удалить, Удалить через BC	21823488			C7F9FC4951A81A7D11E6B856725819EC	528
C:\Program Files\Sony\ReaderDesktop\appHelper\LIBEAY32.dll Скрипт: Kарантин, Удалить, Удалить через BC	5111808	OpenSSL Shared Library	Copyright © 1998-2007 The OpenSSL Project. Copyright © 1995-1998 Eric A. Young, Tim J. Hudson. All rights reserved.	4501D23EA224C1484146B28AC3CCB90D	528
C:\Program Files\Sony\ReaderDesktop\appHelper\PRSCTR.dll Скрипт: Kарантин, Удалить, Удалить через BC	23199744	prsctr	Copyright 2006 Sony Corporation	E9EB688A52A10CFACDF75C6533B5B6C3	528
C:\Program Files\Sony\ReaderDesktop\appHelper\readerAppHelper.dll Скрипт: Kарантин, Удалить, Удалить через BC	23330816			CA00324C1A771602A82804D74263E3E4	528
C:\Program Files\Sony\ReaderDesktop\appHelper\SSLEAY32.dll Скрипт: Kарантин, Удалить, Удалить через BC	3342336	OpenSSL Shared Library	Copyright © 1998-2007 The OpenSSL Project. Copyright © 1995-1998 Eric A. Young, Tim J. Hudson. All rights reserved.	853FE21813F6AECBD9D8D760632AB271	528
C:\Program Files\Sony\ReaderDesktop\appHelper\ticket.dll Скрипт: Kарантин, Удалить, Удалить через BC	21889024			D4BEDB657CAB1FF431ED79F8B8CAE3E1	528
C:\Program Files\Sony\ReaderDesktop\appHelper\USBDetector.dll Скрипт: Kарантин, Удалить, Удалить через BC	32112640			E90B9E243D06AE8C4E30E48597B7104F	528
C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\HD-LogRotatorService\3dbe52700d43330e6d48a4a273cf8316\HD-LogRotatorService.ni.exe Скрипт: Kарантин, Удалить, Удалить через BC	805306368	BlueStacks Log Rotator Service	Copyright 2011 BlueStack Systems, Inc. All Rights Reserved.	42334141D09AE1DAD98C05DDB41310B4	236
C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\HD-UpdaterService\024a803d743992adcb6cd2aff3911e4f\HD-UpdaterService.ni.exe Скрипт: Kарантин, Удалить, Удалить через BC	805306368	BlueStacks Updater Service	Copyright 2011 BlueStack Systems, Inc. All Rights Reserved.	55DAC7E63BFE2E0D89B802DF190C7E3F	268
C:\WINDOWS\system32\msi.dll Скрипт: Kарантин, Удалить, Удалить через BC	1071513600			AD8F0D976162886B931CA3D0C264D67D	1956, 1692
Обнаружено модулей:363, из них опознаны как безопасные 342

Модули пространства ядра

Модуль	Базовый адрес	Размер в памяти	Описание	Производитель
C:\WINDOWS\System32\Drivers\dump_IaStor.sys Скрипт: Kарантин, Удалить, Удалить через BC	A4AF8000	2B5000 (2838528)
Обнаружено модулей - 127, опознано как безопасные - 126

Службы

Служба	Описание	Статус	Файл	Группа	Зависимости
Обнаружено - 100, опознано как безопасные - 100

Драйверы

Служба	Описание	Статус	Файл	Группа	Зависимости
Abiosdsk Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Abiosdsk	Не запущен	Abiosdsk.sys Скрипт: Kарантин, Удалить, Удалить через BC	Primary disk
abp480n5 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	abp480n5	Не запущен	abp480n5.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
adpu160m Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	adpu160m	Не запущен	adpu160m.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
Aha154x Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Aha154x	Не запущен	Aha154x.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
aic78u2 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	aic78u2	Не запущен	aic78u2.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
aic78xx Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	aic78xx	Не запущен	aic78xx.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
AliIde Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	AliIde	Не запущен	AliIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
amsint Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	amsint	Не запущен	amsint.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
asc Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	asc	Не запущен	asc.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
asc3350p Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	asc3350p	Не запущен	asc3350p.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
asc3550 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	asc3550	Не запущен	asc3550.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
Atdisk Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Atdisk	Не запущен	Atdisk.sys Скрипт: Kарантин, Удалить, Удалить через BC	Primary disk
cd20xrnt Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	cd20xrnt	Не запущен	cd20xrnt.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
Changer Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Changer	Не запущен	Changer.sys Скрипт: Kарантин, Удалить, Удалить через BC	Filter
CmdIde Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	CmdIde	Не запущен	CmdIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
Cpqarray Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Cpqarray	Не запущен	Cpqarray.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
dac960nt Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	dac960nt	Не запущен	dac960nt.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
dpti2o Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	dpti2o	Не запущен	dpti2o.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
hpn Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	hpn	Не запущен	hpn.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
i2omgmt Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	i2omgmt	Не запущен	i2omgmt.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI Class
i2omp Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	i2omp	Не запущен	i2omp.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
ini910u Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ini910u	Не запущен	ini910u.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
IntelIde Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	IntelIde	Не запущен	IntelIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
lbrtfdc Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	lbrtfdc	Не запущен	lbrtfdc.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
mraid35x Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	mraid35x	Не запущен	mraid35x.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
PCIDump Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	PCIDump	Не запущен	PCIDump.sys Скрипт: Kарантин, Удалить, Удалить через BC	PCI Configuration
PDCOMP Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	PDCOMP	Не запущен	PDCOMP.sys Скрипт: Kарантин, Удалить, Удалить через BC
PDFRAME Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	PDFRAME	Не запущен	PDFRAME.sys Скрипт: Kарантин, Удалить, Удалить через BC
PDRELI Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	PDRELI	Не запущен	PDRELI.sys Скрипт: Kарантин, Удалить, Удалить через BC
PDRFRAME Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	PDRFRAME	Не запущен	PDRFRAME.sys Скрипт: Kарантин, Удалить, Удалить через BC
perc2 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	perc2	Не запущен	perc2.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
perc2hib Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	perc2hib	Не запущен	perc2hib.sys Скрипт: Kарантин, Удалить, Удалить через BC	Filter
ql1080 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ql1080	Не запущен	ql1080.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
Ql10wnt Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Ql10wnt	Не запущен	Ql10wnt.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
ql12160 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ql12160	Не запущен	ql12160.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
ql1240 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ql1240	Не запущен	ql1240.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
ql1280 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ql1280	Не запущен	ql1280.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
Simbad Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Simbad	Не запущен	Simbad.sys Скрипт: Kарантин, Удалить, Удалить через BC	Filter
Sparrow Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Sparrow	Не запущен	Sparrow.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
sym_hi Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	sym_hi	Не запущен	sym_hi.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
sym_u3 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	sym_u3	Не запущен	sym_u3.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
symc810 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	symc810	Не запущен	symc810.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
symc8xx Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	symc8xx	Не запущен	symc8xx.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
TosIde Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	TosIde	Не запущен	TosIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
ultra Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ultra	Не запущен	ultra.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
ViaIde Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ViaIde	Не запущен	ViaIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
WDICA Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	WDICA	Не запущен	WDICA.sys Скрипт: Kарантин, Удалить, Удалить через BC
Обнаружено - 187, опознано как безопасные - 140

Автозапуск

Имя файла	Статус	Метод запуска	Описание
C:\AutoLogger\AutoLogger\AVZ\Script2.txt Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\RunOnce, AVZ Удалить
C:\Documents and Settings\Admin\Application Data\UID Craft\UID Craft 1.6.2 (1.2) (R162.2)\UID Craft 1.6.2 (R162.2).exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ярлык в папке автозагрузки	C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\, C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\UID Craft 1.6.2 (R162.2).lnk,
C:\Program Files\Internet Explorer\IEXPLORE.EXE http://start.webalta.ru/?zip&s=edfc949a Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ярлык в папке автозагрузки	C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\, C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\Запустить обозреватель Internet Explorer.lnk,
C:\Program Files\Internet Explorer\IEXPLORE.EXE http://www.mail.ru/cnt/8136 Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ярлык в папке автозагрузки	C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\, C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk,
C:\WINDOWS\System32\Drivers\AliIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\aliide, EventMessageFile
C:\WINDOWS\System32\Drivers\CmdIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\cmdide, EventMessageFile
C:\WINDOWS\System32\Drivers\IntelIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\intelide, EventMessageFile
C:\WINDOWS\System32\Drivers\TosIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\toside, EventMessageFile
C:\WINDOWS\System32\Drivers\ViaIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\viaide, EventMessageFile
C:\WINDOWS\System32\Drivers\lbrtfdc.sys Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\lbrtfdc, EventMessageFile
C:\WINDOWS\System32\PrintFilterPipelineSvc.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\PrintFilterPipelineSvc, EventMessageFile
C:\WINDOWS\System32\igmpv2.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IGMPv2, EventMessageFile
C:\WINDOWS\System32\ipbootp.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IPBOOTP, EventMessageFile
C:\WINDOWS\System32\iprip2.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IPRIP2, EventMessageFile
C:\WINDOWS\System32\ospf.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\OSPF, EventMessageFile
C:\WINDOWS\System32\ospfmib.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\OSPFMib, EventMessageFile
C:\WINDOWS\System32\perfOS.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\PerfOS, EventMessageFile
C:\WINDOWS\System32\perfctrs.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Perfctrs, EventMessageFile
C:\WINDOWS\System32\perfdisk.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\PerfDisk, EventMessageFile
C:\WINDOWS\System32\perfnet.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\PerfNet, EventMessageFile
C:\WINDOWS\System32\perfproc.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\PerfProc, EventMessageFile
C:\WINDOWS\System32\polagent.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\PolicyAgent, EventMessageFile
C:\WINDOWS\System32\tssdis.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\TermServSessDir, EventMessageFile
C:\WINDOWS\system32\MsSip1.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\MS Subjects 1, $DLL Удалить
C:\WINDOWS\system32\MsSip2.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\MS Subjects 2, $DLL Удалить
C:\WINDOWS\system32\MsSip3.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\MS Subjects 3, $DLL Удалить
C:\WINDOWS\system32\Perfctrs.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Tcpip\Performance, Library Удалить
C:\WINDOWS\system32\perfdisk.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\PerfDisk\Performance, Library Удалить
C:\WINDOWS\system32\perfnet.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\PerfNet\Performance, Library Удалить
C:\WINDOWS\system32\perfos.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\PerfOS\Performance, Library Удалить
C:\WINDOWS\system32\perfproc.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\PerfProc\Performance, Library Удалить
C:\WINDOWS\system32\psxss.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix
C:\WINDOWS\system32\stisvc.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System, EventMessageFile
c:\documents and settings\admin\local settings\temp\BDE46C14-B91DE942-9B01116D-9C2CC378\UDYj75pcc6uW1.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Doctor Web\Dr.Web Engine, EventMessageFile
kbd101.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\i8042prt\Parameters, LayerDriver JPN Удалить
kbd101a.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\i8042prt\Parameters, LayerDriver KOR Удалить
mvfs32.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_CURRENT_USER, Control Panel\IOProcs, MVB Удалить
mvfs32.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, .DEFAULT\Control Panel\IOProcs, MVB Удалить
mvfs32.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-19\Control Panel\IOProcs, MVB Удалить
mvfs32.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-20\Control Panel\IOProcs, MVB Удалить
mvfs32.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-18\Control Panel\IOProcs, MVB Удалить
Обнаружено элементов автозапуска - 877, опознано как безопасные - 836

Модули расширения Internet Explorer (BHO, панели ...)

Имя файла	Тип	Описание	Производитель	CLSID
Обнаружено элементов - 11, опознано как безопасные - 11

Модули расширения проводника

Имя файла	Назначение	Описание	Производитель	CLSID
	Расширение CPL панорамирования дисплея			{42071714-76d4-11d1-8b24-00a0c9068ff3} Удалить
	Расширения оболочки для сжатия файлов			{764BF0E1-F219-11ce-972D-00AA00A14F56} Удалить
	Контекстное меню шифрования			{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} Удалить
	Панель задач и меню ''Пуск''			{0DF44EAA-FF21-4412-828E-260A8728E7F1} Удалить
	Учетные записи пользователей			{7A9D77BD-5403-11d2-8785-2E0420524153} Удалить
Обнаружено элементов - 188, опознано как безопасные - 183

Модули расширения системы печати (мониторы печати, провайдеры)

Имя файла	Тип	Наименование	Описание	Производитель
Обнаружено элементов - 12, опознано как безопасные - 12

Задания планировщика задач Task Scheduler

Имя файла	Имя задания	Состояние задания	Описание	Производитель	Путь	Командная строка
C:\Documents and Settings\Admin\Application Data\SwvUpdater\Updater.exe Скрипт: Kарантин, Удалить, Удалить через BC	AmiUpdXp.job Скрипт: Удалить	The task is ready to run at its next scheduled time.	Updater	(c) 2012-2014, All rights reserved.		C:\Documents and Settings\Admin\Application Data\SwvUpdater\Updater.exe
C:\WINDOWS\ERDNT\#Date# Скрипт: Kарантин, Удалить, Удалить через BC	Резервная копия реестра.job Скрипт: Удалить	The task is ready to run at its next scheduled time.				C:\WINDOWS\ERDNT\backup.exe C:\WINDOWS\ERDNT\#Date# sysreg curuser otherusers /noprogresswindow /days:3
Обнаружено элементов - 3, опознано как безопасные - 1

Настройки SPI/LSP

Поставщики пространства имен (NSP)

Поставщик	Статус	Исп. файл	Описание	GUID
Обнаружено - 3, опознано как безопасные - 3

Поставщики транспортных протоколов (TSP, LSP)

Поставщик Исп. файл Описание
Обнаружено - 17, опознано как безопасные - 17
Результаты автоматического анализа настроек SPI
Настройки LSP проверены. Ошибок не обнаружено

Порты TCP/UDP

Порт Статус Remote Host Remote Port Приложение Примечания
Порты TCP
445 LISTENING 0.0.0.0 93 [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
Порты UDP
445 LISTENING -- -- [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить

Downloaded Program Files (DPF)

Имя файла Описание Производитель CLSID URL загрузки
Обнаружено элементов - 0, опознано как безопасные - 0

Апплеты панели управления (CPL)

Имя файла Описание Производитель
Обнаружено элементов - 28, опознано как безопасные - 28

Active Setup

Имя файла Описание Производитель CLSID
Обнаружено элементов - 12, опознано как безопасные - 12

Файл HOSTS

Запись файла Hosts
127.0.0.1 localhost
Очистка файла Hosts

Протоколы и обработчики

Имя файла Тип Описание Производитель CLSID
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
Обнаружено элементов - 32, опознано как безопасные - 29

Общие ресурсы

Сетевое имя Путь Примечания
ADMIN$ C:\WINDOWS Удаленный Admin
C$ C:\ Стандартный общий ресурс
D$ D:\ Стандартный общий ресурс
IPC$ Удаленный IPC

Подозрительные объекты

Файл Описание Тип

Протокол антивирусной утилиты AVZ версии 4.43
Сканирование запущено в 02.08.2015 12:30:51
Загружена база: сигнатуры - 297605, нейропрофили - 2, микропрограммы лечения - 56, база от 02.08.2015 04:00
Загружены микропрограммы эвристики: 394
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 749467
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 3 "Microsoft Windows XP" ; AVZ работает с правами администратора
Восстановление системы: Отключено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=085700)
 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
   SDT = 8055C700
   KiST = 80504570 (284)
Проверено функций: 284, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Анализ для процессора 2
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
 Драйвер успешно загружен
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 46
 Количество загруженных модулей: 338
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 384, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 02.08.2015 12:31:31
Сканирование длилось 00:00:41
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ 
можно использовать сервис http://virusdetector.ru/
Создание архива с файлами из карантина
Создание архива с файлами из карантина завершено
Выполняется исследование системы
Диагностика сети
 DNS and Ping test
  Host="yandex.ru", IP="", Ping=Error (11018,2097172,0.0.0.0)
  Host="google.ru", IP="", Ping=Error (11018,2097172,0.0.0.0)
  Host="google.com", IP="", Ping=Error (11018,2097172,0.0.0.0)
  Host="www.kaspersky.com", IP="", Ping=Error (11018,2097172,0.0.0.0)
  Host="www.kaspersky.ru", IP="", Ping=Error (11018,2097172,0.0.0.0)
  Host="dnl-03.geo.kaspersky.com", IP="", Ping=Error (11018,2097172,0.0.0.0)
  Host="dnl-11.geo.kaspersky.com", IP="", Ping=Error (11018,2097172,0.0.0.0)
  Host="activation-v2.kaspersky.com", IP="", Ping=Error (11018,2097172,0.0.0.0)
  Host="odnoklassniki.ru", IP="", Ping=Error (11018,2097172,0.0.0.0)
  Host="vk.com", IP="", Ping=Error (11018,2097172,0.0.0.0)
  Host="vkontakte.ru", IP="", Ping=Error (11018,2097172,0.0.0.0)
  Host="twitter.com", IP="", Ping=Error (11018,2097172,0.0.0.0)
  Host="facebook.com", IP="", Ping=Error (11018,2097172,0.0.0.0)
  Host="ru-ru.facebook.com", IP="", Ping=Error (11018,2097172,0.0.0.0)
 Network IE settings
  IE setting AutoConfigURL=
  IE setting AutoConfigProxy=wininet.dll
  IE setting ProxyOverride=
  IE setting ProxyServer=
  IE setting Internet\ManualProxies=
 Network TCP/IP settings
  Interface: "Подключение по локальной сети 2"
   IPAddress = "0.0.0.0"
   SubnetMask = "0.0.0.0"
   DefaultGateway = ""
   NameServer = ""
   Domain = ""
   DhcpServer = "192.168.1.1"
  Interface: "Беспроводное сетевое соединение"
   IPAddress = "0.0.0.0"
   SubnetMask = "0.0.0.0"
   DefaultGateway = ""
   NameServer = ""
   Domain = ""
   DhcpServer = "255.255.255.255"
 Network Persistent Routes

 Исследование системы завершено


Команды скрипта 
Добавить в скрипт команды:
Нейтрализация перехватов функций при помощи антируткита
Включить AVZGuard
Управление AVZPM (true-включить,false-отключить)
BootCleaner - импорт списка удаленных файлов
BootCleaner - импортировать все
Чистка реестра после удаления файлов
ExecuteWizard ('TSW',2,3,true) - Выполнение мастера поиска и устранения проблем
BootCleaner - активация
Перезагрузка
Вставить заготовку для QuarantineFile() - помещение файла в карантин
Вставить заготовку для BC_QrFile() - помещение файла в карантин через BC
Вставить заготовку для DeleteFile() - удаление файла
Вставить заготовку для DelCLSID() - удаление CLSID класса из реестра
Дополнительные операции:Оптимизация - отключить службу RemoteRegistry (Удаленный реестр)
Оптимизация - отключить службу TermService (Службы терминалов)
Оптимизация - отключить службу SSDPSRV (Служба обнаружения SSDP)
Оптимизация - отключить службу Schedule (Планировщик заданий)
Оптимизация - отключить службу mnmsrvc (NetMeeting Remote Desktop Sharing)
Оптимизация - отключить службу RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
Оптимизация - безопасность - отключить автозапуск программ с CD
Оптимизация - безопасность - отключить административный доступ к локальным дискам
Оптимизация - безопасность - блокировать возможность подключения анонимных пользователей

Список файлов

Порт	Статус	Remote Host	Remote Port	Приложение	Примечания
Порты TCP
445	LISTENING	0.0.0.0	93	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
Порты UDP
445	LISTENING	--	--	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить

Сетевое имя	Путь	Примечания
ADMIN$	C:\WINDOWS	Удаленный Admin
C$	C:\	Стандартный общий ресурс
D$	D:\	Стандартный общий ресурс
IPC$		Удаленный IPC