Протокол исследования системы

Список процессов

Имя файла	PID	Описание	Copyright	MD5	Информация
c:\documents and settings\buh18\Рабочий стол\Новая папка\autologger.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	2472	Автоматический сборщик логов	Все права на AutoLogger принадлежат regist & Drongo © Copyright 2013 - 2015	D6FB8ECE3E07A6E92F6C15631F176AC8	11733.86 кб, rsAh,создан: 21.04.2016 13:15:36,изменен: 21.04.2016 04:33:04,имя содержит национальные символы Командная строка: "C:\Documents and Settings\buh18\Рабочий стол\Новая папка\AutoLogger.exe"
Обнаружено:27, из них опознаны как безопасные 26

Имя модуля	Handle	Описание	Copyright	AVZ0311	Используется процессами
Обнаружено модулей:286, из них опознаны как безопасные 286

Модули пространства ядра

Модуль	Базовый адрес	Размер в памяти	Описание	Производитель
C:\WINDOWS\System32\Drivers\dump_atapi.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	A9AB0000	018000 (98304)
C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	BADCA000	002000 (8192)
Обнаружено модулей - 116, опознано как безопасные - 114

Службы

Служба	Описание	Статус	Файл	Группа	Зависимости
MozillaMaintenance Служба: Стоп, Удалить, Отключить, Удалить через BC	Mozilla Maintenance Service	Не запущен	C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe 143.45 кб, rsAh, создан: 05.05.2012 12:10:43, изменен: 15.04.2016 15:31:24 Скрипт: Kарантин, Удалить, Удалить через BC
Обнаружено - 85, опознано как безопасные - 84

Драйверы

Служба	Описание	Статус	Файл	Группа	Зависимости
Abiosdsk Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Abiosdsk	Не запущен	Abiosdsk.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	Primary disk
abp480n5 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	abp480n5	Не запущен	abp480n5.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
adpu160m Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	adpu160m	Не запущен	adpu160m.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
Aha154x Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Aha154x	Не запущен	Aha154x.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
aic78u2 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	aic78u2	Не запущен	aic78u2.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
aic78xx Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	aic78xx	Не запущен	aic78xx.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
AliIde Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	AliIde	Не запущен	AliIde.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
amsint Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	amsint	Не запущен	amsint.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
asc Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	asc	Не запущен	asc.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
asc3350p Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	asc3350p	Не запущен	asc3350p.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
asc3550 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	asc3550	Не запущен	asc3550.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
Atdisk Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Atdisk	Не запущен	Atdisk.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	Primary disk
cd20xrnt Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	cd20xrnt	Не запущен	cd20xrnt.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
Changer Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Changer	Не запущен	Changer.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	Filter
CmdIde Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	CmdIde	Не запущен	CmdIde.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
Cpqarray Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Cpqarray	Не запущен	Cpqarray.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
dac960nt Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	dac960nt	Не запущен	dac960nt.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
DgiVecp Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	DgiVecp	Не запущен	C:\WINDOWS\system32\Drivers\DgiVecp.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC
dpti2o Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	dpti2o	Не запущен	dpti2o.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
GMSIPCI Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	GMSIPCI	Не запущен	D:\INSTALL\GMSIPCI.SYS ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC
hpn Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	hpn	Не запущен	hpn.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
i2omgmt Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	i2omgmt	Не запущен	i2omgmt.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	SCSI Class
i2omp Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	i2omp	Не запущен	i2omp.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
ini910u Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ini910u	Не запущен	ini910u.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
IntelIde Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	IntelIde	Не запущен	IntelIde.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
lbrtfdc Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	lbrtfdc	Не запущен	lbrtfdc.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
mraid35x Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	mraid35x	Не запущен	mraid35x.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
NTACCESS Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	NTACCESS	Не запущен	D:\NTACCESS.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC
PCIDump Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	PCIDump	Не запущен	PCIDump.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	PCI Configuration
PDCOMP Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	PDCOMP	Не запущен	PDCOMP.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC
PDFRAME Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	PDFRAME	Не запущен	PDFRAME.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC
PDRELI Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	PDRELI	Не запущен	PDRELI.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC
PDRFRAME Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	PDRFRAME	Не запущен	PDRFRAME.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC
perc2 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	perc2	Не запущен	perc2.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
perc2hib Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	perc2hib	Не запущен	perc2hib.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	Filter
ql1080 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ql1080	Не запущен	ql1080.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
Ql10wnt Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Ql10wnt	Не запущен	Ql10wnt.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
ql12160 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ql12160	Не запущен	ql12160.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
ql1240 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ql1240	Не запущен	ql1240.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
ql1280 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ql1280	Не запущен	ql1280.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
SetupNTGLM7X Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	SetupNTGLM7X	Не запущен	D:\NTGLM7X.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC
Simbad Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Simbad	Не запущен	Simbad.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	Filter
Sparrow Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Sparrow	Не запущен	Sparrow.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
SSPORT Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	SSPORT	Не запущен	C:\WINDOWS\system32\Drivers\SSPORT.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC
sym_hi Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	sym_hi	Не запущен	sym_hi.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
sym_u3 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	sym_u3	Не запущен	sym_u3.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
symc810 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	symc810	Не запущен	symc810.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
symc8xx Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	symc8xx	Не запущен	symc8xx.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
TosIde Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	TosIde	Не запущен	TosIde.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
ultra Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ultra	Не запущен	ultra.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
USB680x Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Genius USB Scanner	Не запущен	C:\WINDOWS\system32\DRIVERS\GT680x.SYS 17.51 кб, rsAh, создан: 19.05.2008 10:18:38, изменен: 03.10.2002 11:32:48 Скрипт: Kарантин, Удалить, Удалить через BC	Base
ViaIde Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ViaIde	Не запущен	ViaIde.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
WDICA Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	WDICA	Не запущен	WDICA.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC
Обнаружено - 178, опознано как безопасные - 125

Автозапуск

Имя файла	Статус	Метод запуска	Описание
C:\Documents and Settings\buh18\Рабочий стол\Новая папка\AutoLogger\AVZ\Script2.txt 18.13 кб, rsAh, создан: 21.04.2016 13:15:49, изменен: 24.03.2016 16:05:32, имя содержит национальные символы Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\RunOnce, AVZ Удалить
C:\WINDOWS\system32\psxss.exe ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix
C:\DOCUME~1\buh18\LOCALS~1\Temp\Rar$EX00.500\Christmas.exe ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ChristmasTree, command Удалить
C:\WINDOWS\system32\stisvc.exe ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System, EventMessageFile
C:\WINDOWS\System32\Drivers\AliIde.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\aliide, EventMessageFile
C:\WINDOWS\System32\Drivers\CmdIde.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\cmdide, EventMessageFile
C:\WINDOWS\System32\igmpv2.dll ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IGMPv2, EventMessageFile
C:\WINDOWS\System32\Drivers\IntelIde.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\intelide, EventMessageFile
C:\WINDOWS\System32\ipbootp.dll ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IPBOOTP, EventMessageFile
C:\WINDOWS\System32\iprip2.dll ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IPRIP2, EventMessageFile
C:\WINDOWS\System32\Drivers\lbrtfdc.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\lbrtfdc, EventMessageFile
C:\WINDOWS\System32\ospf.dll ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\OSPF, EventMessageFile
C:\WINDOWS\System32\ospfmib.dll ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\OSPFMib, EventMessageFile
C:\WINDOWS\System32\polagent.dll ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\PolicyAgent, EventMessageFile
C:\WINDOWS\System32\tssdis.exe ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\TermServSessDir, EventMessageFile
C:\WINDOWS\System32\Drivers\TosIde.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\toside, EventMessageFile
C:\WINDOWS\System32\Drivers\ViaIde.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\viaide, EventMessageFile
kbd101.dll ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\i8042prt\Parameters, LayerDriver JPN Удалить
kbd101a.dll ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\i8042prt\Parameters, LayerDriver KOR Удалить
mvfs32.dll ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_CURRENT_USER, Control Panel\IOProcs, MVB Удалить
deskpan.dll ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved, {42071714-76d4-11d1-8b24-00a0c9068ff3} Удалить
mvfs32.dll ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, .DEFAULT\Control Panel\IOProcs, MVB Удалить
mvfs32.dll ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-19\Control Panel\IOProcs, MVB Удалить
mvfs32.dll ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-20\Control Panel\IOProcs, MVB Удалить
mvfs32.dll ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-18\Control Panel\IOProcs, MVB Удалить
C:\Documents and Settings\buh18\Application Data\Microsoft\Internet Explorer\Quick Launch\Свернуть все окна.scf 0.08 кб, rsAh, создан: 17.08.2007 10:53:32, изменен: 17.08.2007 10:53:32, имя содержит национальные символы Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Файл в папке автозагрузки	C:\Documents and Settings\buh18\Application Data\Microsoft\Internet Explorer\Quick Launch\, C:\Documents and Settings\buh18\Application Data\Microsoft\Internet Explorer\Quick Launch\Свернуть все окна.scf,
Обнаружено элементов автозапуска - 732, опознано как безопасные - 706

Модули расширения Internet Explorer (BHO, панели ...)

Имя файла	Тип	Описание	Производитель	CLSID
ошибка получения информации о файле	Панель			{710EB7A1-45ED-11D0-924A-0020AFC7AC4D} Удалить
Обнаружено элементов - 11, опознано как безопасные - 10

Модули расширения проводника

Имя файла	Назначение	Описание	Производитель	CLSID
deskpan.dll ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	Расширение CPL панорамирования дисплея			{42071714-76d4-11d1-8b24-00a0c9068ff3} Удалить
ошибка получения информации о файле	Расширения оболочки для сжатия файлов			{764BF0E1-F219-11ce-972D-00AA00A14F56} Удалить
ошибка получения информации о файле	Контекстное меню шифрования			{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} Удалить
ошибка получения информации о файле	Панель задач и меню ''Пуск''			{0DF44EAA-FF21-4412-828E-260A8728E7F1} Удалить
ошибка получения информации о файле	Учетные записи пользователей			{7A9D77BD-5403-11d2-8785-2E0420524153} Удалить
Обнаружено элементов - 181, опознано как безопасные - 176

Модули расширения системы печати (мониторы печати, провайдеры)

Имя файла	Тип	Наименование	Описание	Производитель
Обнаружено элементов - 12, опознано как безопасные - 12

Задания планировщика задач Task Scheduler

Имя файла	Имя задания	Состояние задания	Описание	Производитель	Путь	Командная строка	Тип
Обнаружено элементов - 0, опознано как безопасные - 0

Настройки SPI/LSP

Поставщики пространства имен (NSP)

Поставщик	Статус	Исп. файл	Описание	GUID
Обнаружено - 3, опознано как безопасные - 3

Поставщики транспортных протоколов (TSP, LSP)

Поставщик Исп. файл Описание
Обнаружено - 11, опознано как безопасные - 11
Результаты автоматического анализа настроек SPI
Настройки LSP проверены. Ошибок не обнаружено

Порты TCP/UDP

Порт Статус Remote Host Remote Port Приложение Примечания
Порты TCP
139 LISTENING 0.0.0.0 55480 System.exe [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445 LISTENING 0.0.0.0 28826 System.exe [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1113 ESTABLISHED 192.168.0.204 445 System.exe [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1116 ESTABLISHED 192.168.0.16 139 System.exe [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1124 TIME_WAIT 127.0.0.1 30606 [0]
ошибка получения информации о файле
1125 TIME_WAIT 173.194.73.94 443 [0]
ошибка получения информации о файле
1134 TIME_WAIT 54.68.159.67 443 [0]
ошибка получения информации о файле
1140 TIME_WAIT 127.0.0.1 30606 [0]
ошибка получения информации о файле
1141 TIME_WAIT 93.184.220.29 80 [0]
ошибка получения информации о файле
1144 TIME_WAIT 52.85.239.229 443 [0]
ошибка получения информации о файле
1151 TIME_WAIT 54.149.32.37 443 [0]
ошибка получения информации о файле
1157 TIME_WAIT 63.245.213.48 443 [0]
ошибка получения информации о файле
30606 TIME_WAIT 127.0.0.1 1138 [0]
ошибка получения информации о файле
30606 TIME_WAIT 127.0.0.1 1142 [0]
ошибка получения информации о файле
30606 TIME_WAIT 127.0.0.1 1152 [0]
ошибка получения информации о файле
30606 TIME_WAIT 127.0.0.1 1155 [0]
ошибка получения информации о файле
30606 TIME_WAIT 127.0.0.1 1132 [0]
ошибка получения информации о файле
Порты UDP
137 LISTENING -- -- System.exe [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138 LISTENING -- -- System.exe [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445 LISTENING -- -- System.exe [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить

Downloaded Program Files (DPF)

Имя файла Описание Производитель CLSID URL загрузки

ошибка получения информации о файле {D27CD9B6-0000-0000-0000-000000000000}
Удалить http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Обнаружено элементов - 3, опознано как безопасные - 2

Апплеты панели управления (CPL)

Имя файла Описание Производитель
Обнаружено элементов - 27, опознано как безопасные - 27

Active Setup

Имя файла Описание Производитель CLSID
Обнаружено элементов - 12, опознано как безопасные - 12

Файл HOSTS

Запись файла Hosts

Протоколы и обработчики

Имя файла Тип Описание Производитель CLSID
Обнаружено элементов - 27, опознано как безопасные - 27

Общие ресурсы

Сетевое имя Путь Примечания
ADMIN$ C:\WINDOWS Удаленный Admin
C$ C:\ Стандартный общий ресурс
HP601 HP LaserJet 600,LocalsplOnly HP LaserJet 600
HPLaserJ HP LaserJet 3150,LocalsplOnly HP LaserJet 3150
IPC$ Удаленный IPC
KyoceraF Kyocera FS-1350,LocalsplOnly Kyocera FS-1350
print$ C:\WINDOWS\system32\spool\drivers Драйверы принтеров

Подозрительные объекты

Файл Описание Тип
C:\WINDOWS\system32\DRIVERS\ehdrv.sys
112.31 кб, rsAh, создан: 07.04.2010 20:07:08, изменен: 21.12.2010 14:04:06
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit Перехватчик KernelMode
C:\WINDOWS\system32\drivers\Haspnt.sys
46.50 кб, rsAh, создан: 08.08.2013 10:40:56, изменен: 08.08.2013 10:40:56
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit >>> Перехватчик KernelMode - ЦП[1].IDT[06]

Протокол антивирусной утилиты AVZ версии 4.46
Сканирование запущено в 21.04.2016 13:16:43
Загружена база: сигнатуры - 297569, нейропрофили - 2, микропрограммы лечения - 56, база от 21.04.2016 04:00
Загружены микропрограммы эвристики: 408
Загружены микропрограммы ИПУ: 10
Загружены цифровые подписи системных файлов: 798356
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 2 "Microsoft Windows XP", дата инсталляции 16.08.2007 21:00:03 ; AVZ работает с правами администратора (+)
Восстановление системы: Отключено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=07B180)
 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
   SDT = 80552180
   KiST = 80501030 (284)
Функция NtAssignProcessToJobObject (13) перехвачена (805CB162->A9C9A610), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtDebugActiveProcess (39) перехвачена (80637AC4->A9C9AC10), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtDuplicateObject (44) перехвачена (805B21F0->A9C9A730), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtOpenProcess (7A) перехвачена (805BFB78->A9C9A4B0), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtOpenThread (80) перехвачена (805BFE04->A9C9A570), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtProtectVirtualMemory (89) перехвачена (805AC4E2->A9C9A6D0), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtQueueApcThread (B4) перехвачена (805C5D2E->A9C9A790), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtSetContextThread (D5) перехвачена (805C61F2->A9C9A690), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtSetInformationThread (E5) перехвачена (805C05F6->A9C9A650), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtSetSecurityObject (ED) перехвачена (805B4390->A9C9A7D0), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtSuspendProcess (FD) перехвачена (805C9588->A9C9A510), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtSuspendThread (FE) перехвачена (805C93FA->A9C9A590), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtTerminateProcess (101) перехвачена (805C74C8->A9C9A4D0), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtTerminateThread (102) перехвачена (805C76C2->A9C9A5D0), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtWriteVirtualMemory (115) перехвачена (805A82F6->A9C9A750), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Проверено функций: 284, перехвачено: 15, восстановлено: 0
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [A986C16D] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [A986BFC2] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
 Драйвер успешно загружен
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 26
 Количество загруженных модулей: 288
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Обнаружен вызов интерпретатора командной строки в автозапуске [DR=1] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\igfxhkcmd = [C:\WINDOWS\system32\hkcmd.exe]
Обратите внимание: в настройках IE задан прокси-сервер S-1-5-21-1873267016-2628792968-1668680342-1279\Software\Microsoft\Windows\CurrentVersion\Internet Settings, ProxyServer="http=192.168.0.1:3128;https=192.168.0.1:3128;ftp=192.168.0.1:3128;gopher=192.168.0.1:3128;socks=192.168.0.1:3128"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
>> Проводник - включить отображение расширений для файлов известных системе типов
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 314, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 21.04.2016 13:17:58
Сканирование длилось 00:01:20
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ 
можно использовать сервис http://virusdetector.ru/
Создание архива с файлами из карантина
Создание архива с файлами из карантина завершено
Выполняется исследование системы
Диагностика сети
 DNS and Ping test
  Host="yandex.ru", IP="5.255.255.55,77.88.55.55,77.88.55.66,5.255.255.5", Ping=OK (0,8,5.255.255.55)
  Host="google.ru", IP="85.112.116.181,85.112.116.185,85.112.116.187,85.112.116.143,85.112.116.147,85.112.116.151,85.112.116.155,85.112.116.157,85.112.116.158,85.112.116.162,85.112.116.166,85.112.116.170,85.112.116.172,85.112.116.173,85.112.116.177", Ping=OK (0,9,85.112.116.181)
  Host="google.com", IP="85.112.121.99,85.112.121.103,85.112.121.104,85.112.121.108,85.112.121.109,85.112.121.113,85.112.121.114,85.112.121.118,85.112.121.119,85.112.121.123,85.112.121.84,85.112.121.88,85.112.121.89,85.112.121.93,85.112.121.94,85.112.121.98", Ping=OK (0,9,85.112.121.99)
  Host="www.kaspersky.com", IP="77.74.178.16", Ping=OK (0,11,77.74.178.16)
  Host="www.kaspersky.ru", IP="93.159.228.17", Ping=OK (0,10,93.159.228.17)
  Host="dnl-03.geo.kaspersky.com", IP="95.167.139.6", Ping=OK (0,9,95.167.139.6)
  Host="dnl-11.geo.kaspersky.com", IP="62.128.100.79", Ping=OK (0,8,62.128.100.79)
  Host="activation-v2.kaspersky.com", IP="212.5.89.37", Ping=OK (0,9,212.5.89.37)
  Host="odnoklassniki.ru", IP="5.61.23.5,217.20.155.58,217.20.156.159", Ping=OK (0,9,5.61.23.5)
  Host="vk.com", IP="87.240.131.118,87.240.131.119,87.240.131.120", Ping=OK (0,2,87.240.131.118)
  Host="vkontakte.ru", IP="95.213.4.248,95.213.4.246,95.213.4.247", Ping=OK (0,1,95.213.4.248)
  Host="twitter.com", IP="199.16.156.198,199.16.156.230,199.16.156.6,199.16.156.102", Ping=OK (0,151,199.16.156.198)
  Host="facebook.com", IP="31.13.76.68", Ping=OK (0,197,31.13.76.68)
  Host="ru-ru.facebook.com", IP="66.220.158.19", Ping=OK (0,152,66.220.158.19)
 Network IE settings
  IE setting AutoConfigURL=
  IE setting AutoConfigProxy=wininet.dll
  IE setting ProxyOverride=<local>
  IE setting ProxyServer=http=192.168.0.1:3128;https=192.168.0.1:3128;ftp=192.168.0.1:3128;gopher=192.168.0.1:3128;socks=192.168.0.1:3128
  IE setting Internet\ManualProxies=
 Network TCP/IP settings
  Interface: "Подключение по локальной сети"
   IPAddress = "192.168.0.177"
   SubnetMask = "255.255.255.0"
   DefaultGateway = "192.168.0.201"
   NameServer = "192.168.0.1"
   Domain = ""
   DhcpServer = "255.255.255.255"
 Network Persistent Routes

 Исследование системы завершено


Команды скрипта 
Добавить в скрипт команды:
Нейтрализация перехватов функций при помощи антируткита
Включить AVZGuard
Управление AVZPM (true-включить,false-отключить)
BootCleaner - импорт списка удаленных файлов
BootCleaner - импортировать все
Чистка реестра после удаления файлов
ExecuteWizard ('TSW',2,3,true) - Выполнение мастера поиска и устранения проблем
BootCleaner - активация
Перезагрузка
Вставить заготовку для QuarantineFile() - помещение файла в карантин
Вставить заготовку для BC_QrFile() - помещение файла в карантин через BC
Вставить заготовку для DeleteFile() - удаление файла
Вставить заготовку для DelCLSID() - удаление CLSID класса из реестра
Дополнительные операции:Оптимизация - отключить службу RemoteRegistry (Удаленный реестр)
Оптимизация - отключить службу TermService (Службы терминалов)
Оптимизация - отключить службу SSDPSRV (Служба обнаружения SSDP)
Оптимизация - отключить службу mnmsrvc (NetMeeting Remote Desktop Sharing)
Оптимизация - отключить службу RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
Оптимизация - безопасность - отключить автозапуск программ с CD
Оптимизация - безопасность - отключить административный доступ к локальным дискам
Оптимизация - безопасность - блокировать возможность подключения анонимных пользователей
Безопасность - запретить терминальные подключения к ПК
Безопасность - запретить отправку приглашений удаленному помощнику
Проводник - включить отображение расширений для файлов известных системе типов

Список файлов

Порт	Статус	Remote Host	Remote Port	Приложение	Примечания
Порты TCP
139	LISTENING	0.0.0.0	55480	System.exe [4] ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445	LISTENING	0.0.0.0	28826	System.exe [4] ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1113	ESTABLISHED	192.168.0.204	445	System.exe [4] ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1116	ESTABLISHED	192.168.0.16	139	System.exe [4] ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1124	TIME_WAIT	127.0.0.1	30606	[0] ошибка получения информации о файле
1125	TIME_WAIT	173.194.73.94	443	[0] ошибка получения информации о файле
1134	TIME_WAIT	54.68.159.67	443	[0] ошибка получения информации о файле
1140	TIME_WAIT	127.0.0.1	30606	[0] ошибка получения информации о файле
1141	TIME_WAIT	93.184.220.29	80	[0] ошибка получения информации о файле
1144	TIME_WAIT	52.85.239.229	443	[0] ошибка получения информации о файле
1151	TIME_WAIT	54.149.32.37	443	[0] ошибка получения информации о файле
1157	TIME_WAIT	63.245.213.48	443	[0] ошибка получения информации о файле
30606	TIME_WAIT	127.0.0.1	1138	[0] ошибка получения информации о файле
30606	TIME_WAIT	127.0.0.1	1142	[0] ошибка получения информации о файле
30606	TIME_WAIT	127.0.0.1	1152	[0] ошибка получения информации о файле
30606	TIME_WAIT	127.0.0.1	1155	[0] ошибка получения информации о файле
30606	TIME_WAIT	127.0.0.1	1132	[0] ошибка получения информации о файле
Порты UDP
137	LISTENING	--	--	System.exe [4] ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138	LISTENING	--	--	System.exe [4] ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445	LISTENING	--	--	System.exe [4] ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить

Сетевое имя	Путь	Примечания
ADMIN$	C:\WINDOWS	Удаленный Admin
C$	C:\	Стандартный общий ресурс
HP601	HP LaserJet 600,LocalsplOnly	HP LaserJet 600
HPLaserJ	HP LaserJet 3150,LocalsplOnly	HP LaserJet 3150
IPC$		Удаленный IPC
KyoceraF	Kyocera FS-1350,LocalsplOnly	Kyocera FS-1350
print$	C:\WINDOWS\system32\spool\drivers	Драйверы принтеров