Протокол исследования системы

Список процессов

Имя файла	PID	Описание	Copyright	MD5	Информация
c:\users\superuser\desktop\autologger\autologger.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	2408	Автоматический сборщик логов	Все права на AutoLogger принадлежат regist & Drongo © Copyright 2013 - 2015	9ED2738732E7350ECE1CE9B53E7CA4EF	14359.24 кб, rsAh,создан: 03.12.2018 13:13:07,изменен: 03.12.2018 06:35:07 Командная строка: "C:\Users\SuperUser\Desktop\AutoLogger\AutoLogger.exe"
c:\program files\google\chrome\application\chrome.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	2260	Google Chrome	Copyright 2017 Google Inc. All rights reserved.	6FC0AD96E65C34EA643F007149E7E21F	1392.84 кб, rsAh,создан: 05.02.2017 19:15:43,изменен: 16.11.2018 09:33:53 Командная строка: "C:\Program Files\Google\Chrome\Application\chrome.exe" --type=watcher --main-thread-id=3912 --on-initialized-event-handle=356 --parent-handle=360 /prefetch:6
c:\windows\microsoft.net\framework\v4.0.30319\smsvchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1820	SMSvcHost.exe	© Microsoft Corporation. All rights reserved.	C986B84B68DDA3EECB65F4C330175522	133.09 кб, rsAh,создан: 26.03.2018 16:24:54,изменен: 26.03.2018 16:24:54 Командная строка: C:\Windows\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe
c:\program files\windscribe\windscribeservice.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	2092	Manages the firewall and controls the VPN tunnel	Copyright (C) 2018 Windscribe Limited	1070B517DABC552E8A6483CD877C4202	391.67 кб, rsAh,создан: 30.11.2018 11:55:25,изменен: 07.09.2018 15:21:42 Командная строка: "C:\Program Files\Windscribe\WindscribeService.exe"
c:\program files\zemana antilogger\zam.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	2328	ZAM	Copyright 2017. All rights reserved.	D872FAD6992B9AE289B1758C0ED3615F	15406.14 кб, rsAh,создан: 19.11.2018 20:23:33,изменен: 19.11.2018 21:33:45 Командная строка: "C:\Program Files\Zemana AntiLogger\ZAM.exe" /service
Обнаружено:52, из них опознаны как безопасные 49

Имя модуля	Handle	Описание	Copyright	AVZ0311	Используется процессами
C:\Program Files\Google\Chrome\Application\70.0.3538.110\chrome_watcher.dll Скрипт: Kарантин, Удалить, Удалить через BC	1842675712	Google Chrome	Copyright 2017 Google Inc. All rights reserved.	MD5=22F3E4808C7BFE939489ED695ACB3888 601.34 кб, rsAh, создан: 28.11.2018 14:15:07, изменен: 16.11.2018 09:34:09	2260
C:\Windows\assembly\NativeImages_v4.0.30319_32\SMSvcHost\a96227e17a2e63ddf1bbcb2189f3eb04\SMSvcHost.ni.exe Скрипт: Kарантин, Удалить, Удалить через BC	1825177600	SMSvcHost.exe	© Microsoft Corporation. All rights reserved.	MD5=0D7D91F62E3C6DE5BD70C7D5840E392C 352.50 кб, rsAh, создан: 21.11.2018 08:11:19, изменен: 21.11.2018 08:11:19	1820
C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Configuration\35f8b5cc8f49e6c2c9d5497c225474ff\System.Configuration.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1721892864	System.Configuration.dll	© Microsoft Corporation. All rights reserved.	MD5=6FB7E84551E667B0AE9FE29218F6D46D 997.00 кб, rsAh, создан: 21.11.2018 02:59:24, изменен: 21.11.2018 02:59:24	1820
Обнаружено модулей:486, из них опознаны как безопасные 483

Модули пространства ядра

Модуль	Базовый адрес	Размер в памяти	Описание	Производитель
C:\Windows\System32\Drivers\dump_diskdump.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	927DF000	00A000 (40960)
C:\Windows\System32\Drivers\dump_dumpfve.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	927E9000	011000 (69632)
C:\Windows\System32\Drivers\dump_nvstor32.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	91C71000	038000 (229376)
C:\Windows\system32\DRIVERS\gsInetSecurity.sys 88.82 кб, rsAh, создан: 20.11.2018 17:51:22, изменен: 20.11.2018 17:51:22 Скрипт: Kарантин, Удалить, Удалить через BC	AA279000	013000 (77824)	GridinSoft Internet Security Driver	Copyright © 2003-2018, GridinSoft LLC. All rights reserved.
C:\Windows\system32\DRIVERS\gtkdrv.sys 35.32 кб, rsAh, создан: 20.11.2018 17:51:22, изменен: 20.11.2018 17:51:22 Скрипт: Kарантин, Удалить, Удалить через BC	AA271000	008000 (32768)	GridinSoft Anti-Malware Mini-Filter Driver	Copyright © 2003-2018, GridinSoft LLC. All rights reserved."
C:\Windows\system32\DRIVERS\KeyCrypt32.sys 141.03 кб, rsAh, создан: 25.04.2018 14:40:42, изменен: 22.03.2017 12:44:22 Скрипт: Kарантин, Удалить, Удалить через BC	8FDA9000	036000 (221184)	Zemana AntiLogger Free	Zemana Ltd. All rights reserved.
C:\Windows\system32\DRIVERS\verigio_x86.sys 519.22 кб, rsAh, создан: 26.11.2017 10:09:14, изменен: 26.11.2017 10:09:14 Скрипт: Kарантин, Удалить, Удалить через BC	8FA39000	083000 (536576)	Verigio network driver	© Verigio Communications Inc. All rights reserved.
Обнаружено модулей - 169, опознано как безопасные - 162

Службы

Служба	Описание	Статус	Файл	Группа	Зависимости
WindscribeService Служба: Стоп, Удалить, Отключить, Удалить через BC	WindscribeService	Работает	C:\Program Files\Windscribe\WindscribeService.exe 391.67 кб, rsAh, создан: 30.11.2018 11:55:25, изменен: 07.09.2018 15:21:42 Скрипт: Kарантин, Удалить, Удалить через BC
MBAMService Служба: Стоп, Удалить, Отключить, Удалить через BC	Malwarebytes Service	Не запущен	C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe 4954.47 кб, rsAh, создан: 27.11.2018 09:11:49, изменен: 19.09.2018 07:00:10 Скрипт: Kарантин, Удалить, Удалить через BC		RPCSS
MxService Служба: Стоп, Удалить, Отключить, Удалить через BC	MxService	Не запущен	C:\Program Files\Maxthon5\Bin\MxService.exe 140.28 кб, rsAh, создан: 28.03.2017 02:50:41, изменен: 08.01.2018 09:05:31 Скрипт: Kарантин, Удалить, Удалить через BC
Обнаружено - 164, опознано как безопасные - 161

Драйверы

Служба	Описание	Статус	Файл	Группа	Зависимости
GridinSoftInetSecurityDriver Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	GridinSoft Internet Security Driver	Работает	C:\Windows\system32\DRIVERS\gsInetSecurity.sys 88.82 кб, rsAh, создан: 20.11.2018 17:51:22, изменен: 20.11.2018 17:51:22 Скрипт: Kарантин, Удалить, Удалить через BC	PNP_TDI
keycrypt Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	keycrypt	Работает	C:\Windows\system32\DRIVERS\KeyCrypt32.sys 141.03 кб, rsAh, создан: 25.04.2018 14:40:42, изменен: 22.03.2017 12:44:22 Скрипт: Kарантин, Удалить, Удалить через BC	Keyboard Class	kbdclass
TrojanKillerDriver Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	GridinSoft Trojan Killer Driver	Работает	C:\Windows\system32\DRIVERS\gtkdrv.sys 35.32 кб, rsAh, создан: 20.11.2018 17:51:22, изменен: 20.11.2018 17:51:22 Скрипт: Kарантин, Удалить, Удалить через BC	FSFilter Anti-Virus	FltMgr
Verigio Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Verigio Filter	Работает	C:\Windows\system32\DRIVERS\verigio_x86.sys 519.22 кб, rsAh, создан: 26.11.2017 10:09:14, изменен: 26.11.2017 10:09:14 Скрипт: Kарантин, Удалить, Удалить через BC	NDIS
DriverSA Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Stronghold Antivirus Monitor	Не запущен	DriverSA.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC
DriverSAFirewall Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Stronghold Antivirus Firewall	Не запущен	DriverSAFirewall.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC
EncDisk Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	EncDisk	Не запущен	EncDisk.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC
IMFMBRProtect Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	IMFMBRProtect	Не запущен	IMFMBRProtect.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	FSFilter Activity Monitor	FltMgr
IMFSafeBox Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	IMFSafeBox	Не запущен	IMFSafeBox.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	FSFilter Activity Monitor	FltMgr
iobit_monitor_server Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	iobit_monitor_server	Не запущен	C:\Program Files\IObit\Advanced SystemCare Ultimate\drivers\Monitor_x86.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC
phantomtap Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Phantom TAP-Windows Adapter V9	Не запущен	C:\Windows\system32\DRIVERS\phantomtap.sys 30.30 кб, rsAh, создан: 19.04.2018 14:13:26, изменен: 19.04.2018 14:13:26 Скрипт: Kарантин, Удалить, Удалить через BC	NDIS
Обнаружено - 285, опознано как безопасные - 274

Автозапуск

Имя файла	Статус	Метод запуска	Описание
C:\Program Files\Windscribe\Windscribe.exe 9861.17 кб, rsAh, создан: 30.11.2018 11:55:23, изменен: 07.09.2018 15:21:36 Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, Windscribe Удалить
C:\Users\SuperUser\Desktop\AutoLogger\AutoLogger\AVZ\Script2.txt 20.48 кб, rsAh, создан: 03.12.2018 13:14:22, изменен: 02.08.2018 22:39:24 Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\RunOnce, AVZ Удалить
C:\Program Files\Windscribe\Windscribe.exe 9861.17 кб, rsAh, создан: 30.11.2018 11:55:23, изменен: 07.09.2018 15:21:36 Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, Windscribe Удалить
progman.exe ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, shell Удалить
C:\Program Files\Zemana AntiLogger\ZAM.exe 15406.14 кб, rsAh, создан: 19.11.2018 20:23:33, изменен: 19.11.2018 21:33:45 Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZAM, command Удалить
C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe 4954.47 кб, rsAh, создан: 27.11.2018 09:11:49, изменен: 19.09.2018 07:00:10 Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\MBAMService, EventMessageFile
SDEvents.dll ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Spybot - Search & Destroy 2, EventMessageFile
C:\Windows\system32\drivers\verigio_x86.sys 519.22 кб, rsAh, создан: 26.11.2017 10:09:14, изменен: 26.11.2017 10:09:14 Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\Verigio, EventMessageFile
C:\PROGRA~1\GridinSoft Anti-Malware\shellext.dll 1070.00 кб, rsAh, создан: 20.11.2018 17:51:40, изменен: 20.11.2018 17:51:40 Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved, {F77F27A6-89F3-471A-AFA8-3B280940A10C} Удалить
C:\Users\SuperUser\AppData\Roaming\BitTorrent\BitTorrent.exe 1701.69 кб, rsAh, создан: 09.03.2018 08:58:15, изменен: 23.11.2018 11:09:58 Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ярлык в папке автозагрузки	C:\Users\SuperUser\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\SuperUser\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\BitTorrent.lnk,
Обнаружено элементов автозапуска - 789, опознано как безопасные - 779

Модули расширения Internet Explorer (BHO, панели ...)

Имя файла	Тип	Описание	Производитель	CLSID
ошибка получения информации о файле	URLSearchHook			{472734EA-242A-422b-ADF8-83D1E48CC825} Удалить
Обнаружено элементов - 2, опознано как безопасные - 1

Модули расширения проводника

Имя файла	Назначение	Описание	Производитель	CLSID
ошибка получения информации о файле	Trojan Remover Shell Extension			{52B87208-9CCF-42C9-B88E-069281105805} Удалить
ошибка получения информации о файле	TrustPort Disk Protection Shell Extension DLL			{EB5A819A-C4E9-49B3-B3E8-5488ACD25EAA} Удалить
C:\PROGRA~1\GridinSoft Anti-Malware\shellext.dll 1070.00 кб, rsAh, создан: 20.11.2018 17:51:40, изменен: 20.11.2018 17:51:40 Скрипт: Kарантин, Удалить, Удалить через BC	GridinSoft Anti-Malware			{F77F27A6-89F3-471A-AFA8-3B280940A10C} Удалить
Обнаружено элементов - 27, опознано как безопасные - 24

Модули расширения системы печати (мониторы печати, провайдеры)

Имя файла	Тип	Наименование	Описание	Производитель
Обнаружено элементов - 7, опознано как безопасные - 7

Задания планировщика задач Task Scheduler

Имя файла	Имя задания	Состояние задания	Описание	Производитель	Путь	Командная строка	Тип
C:\Program Files\GridinSoft Anti-Malware\gsam.exe 14671.39 кб, rsAh, создан: 20.11.2018 17:52:30, изменен: 30.11.2018 14:55:54 Скрипт: Kарантин, Удалить, Удалить через BC	GridinSoft Anti-Malware Скрипт: Удалить		GridinSoft Anti-Malwar	Copyright © 2003-2018, Gridinsoft LLC. All rights reserved	C:\Windows\system32\Tasks\	"C:\Program Files\GridinSoft Anti-Malware\gsam.exe" -protect -startupusbscan -firewall -startupscan	32
aitagent ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	AitAgent Скрипт: Удалить				C:\Windows\system32\Tasks\Microsoft\Windows\Application Experience\	aitagent	32
C:\Windows\ehome\mcupdate ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	mcupdate Скрипт: Удалить				C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\	%SystemRoot%\ehome\mcupdate $(Arg0)	32
C:\Windows\ehome\ehrec ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	RecordingRestart Скрипт: Удалить				C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\	%SystemRoot%\ehome\ehrec /RestartRecording	32
C:\Windows\ehome\ehrec ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	StartRecording Скрипт: Удалить				C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\	%SystemRoot%\ehome\ehrec /StartRecording	32
C:\Windows\system32\rundll32.exe url.dll,FileProtocolHandler "https://www.roboform.com/uninstall.html?aaa=KICMOJJJOMMMNMLJJJGMCNMJLJKMHMCNLMKMLMOJCNOJIMMJPMCNHMOJMJNJPMNJOMPMGMJMNJLMJNJICMHMCNKMCNLMFMOMOMCNPMCNGMJMPMPMFMJMCNOMCNIMJMPMOMCNNMJNPICMPMFMFMPMJNHICMEKMICNJJCKJNBJCMMKKIPIKJNIKKMIKJNIJNKJCMJNNICMJNDJCMNIKIJNMJCMPMFMPMFMPMJNFICMNIJJIIGJPIKJAJKILIBNKJHIKJ" ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	Open URL by RoboForm Скрипт: Удалить				C:\Windows\system32\Tasks\	C:\Windows\system32\rundll32.exe url.dll,FileProtocolHandler "https://www.roboform.com/uninstall.html?aaa=KICMOJJJOMMMNMLJJJGMCNMJLJKMHMCNLMKMLMOJCNOJIMMJPMCNHMOJMJNJPMNJOMPMGMJMNJLMJNJICMHMCNKMCNLMFMOMOMCNPMCNGMJMPMPMFMJMCNOMCNIMJMPMOMCNNMJNPICMPMFMFMPMJNHICMEKMICNJJCKJNBJCMMKKIPIKJNIKKMIKJNIJNKJCMJNNICMJNDJCMNIKIJNMJCMPMFMPMFMPMJNFICMNIJJIIGJPIKJAJKILIBNKJHIKJ"	32
C:\Program Files\USB-модем Билайн\Huawei\uninst.exe ошибка получения информации о файле, имя содержит национальные символы Скрипт: Kарантин, Удалить, Удалить через BC	{CCA8C0AA-C764-46C2-B277-A0CD0895657C} Скрипт: Удалить				C:\Windows\system32\Tasks\	C:\Windows\system32\pcalua.exe -a "C:\Program Files\USB-модем Билайн\Huawei\uninst.exe" -d "C:\Program Files\USB-модем Билайн\Huawei"	32
C:\Program Files\USB-модем Билайн\Huawei ошибка получения информации о файле, имя содержит национальные символы Скрипт: Kарантин, Удалить, Удалить через BC	{CCA8C0AA-C764-46C2-B277-A0CD0895657C} Скрипт: Удалить				C:\Windows\system32\Tasks\	C:\Windows\system32\pcalua.exe -a "C:\Program Files\USB-модем Билайн\Huawei\uninst.exe" -d "C:\Program Files\USB-модем Билайн\Huawei"	32
Обнаружено элементов - 71, опознано как безопасные - 63

Настройки SPI/LSP

Поставщики пространства имен (NSP)

Поставщик	Статус	Исп. файл	Описание	GUID
Обнаружено - 8, опознано как безопасные - 8

Поставщики транспортных протоколов (TSP, LSP)

Поставщик Исп. файл Описание
Обнаружено - 41, опознано как безопасные - 41
Результаты автоматического анализа настроек SPI
Настройки LSP проверены. Ошибок не обнаружено

Порты TCP/UDP

Порт Статус Remote Host Remote Port Приложение Примечания
Порты TCP
80 LISTENING 0.0.0.0 0 System.exe [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
139 LISTENING 0.0.0.0 0 System.exe [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445 LISTENING 0.0.0.0 0 System.exe [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
Порты UDP
137 LISTENING -- -- System.exe [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138 LISTENING -- -- System.exe [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить

Downloaded Program Files (DPF)

Имя файла Описание Производитель CLSID URL загрузки
Обнаружено элементов - 0, опознано как безопасные - 0

Апплеты панели управления (CPL)

Имя файла Описание Производитель
Обнаружено элементов - 21, опознано как безопасные - 21

Active Setup

Имя файла Описание Производитель CLSID
C:\Program Files\Google\Chrome\Application\70.0.3538.110\Installer\chrmstp.exe
2049.34 кб, rsAh, создан: 28.11.2018 14:15:09, изменен: 28.11.2018 11:36:00
Скрипт: Kарантин, Удалить, Удалить через BC Google Chrome Installer Copyright 2017 Google Inc. All rights reserved. {8A69D345-D564-463c-AFF1-A69D9E530F96}
Удалить
Обнаружено элементов - 11, опознано как безопасные - 10

Файл HOSTS

Запись файла Hosts

Протоколы и обработчики

Имя файла Тип Описание Производитель CLSID
Обнаружено элементов - 15, опознано как безопасные - 15

Общие ресурсы

Сетевое имя Путь Примечания
IPC$ Удаленный IPC

Подозрительные объекты

Файл Описание Тип
C:\Windows\System32\drivers\zamguard32.sys
177.24 кб, rsAh, создан: 19.11.2018 21:04:33, изменен: 19.11.2018 21:04:33
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit Перехватчик KernelMode
C:\Windows\system32\ntkrnlpa.exe
3959.23 кб, rsAh, создан: 14.11.2018 01:18:02, изменен: 14.11.2018 01:18:02
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit >>> Перехватчик KernelMode - SYSENTER

Протокол антивирусной утилиты AVZ версии 4.46
Сканирование запущено в 03.12.2018 13:15:19
Загружена база: сигнатуры - 297569, нейропрофили - 2, микропрограммы лечения - 56, база от 03.12.2018 04:00
Загружены микропрограммы эвристики: 402
Загружены микропрограммы ИПУ: 10
Загружены цифровые подписи системных файлов: 1032755
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 6.1.7601, Service Pack 1 "Windows 7 Ultimate", дата инсталляции 05.02.2017 18:07:59 ; AVZ работает с правами администратора (+)
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:GetMessageW (1858) перехвачена, метод APICodeHijack.PushAndRet
Функция user32.dll:IsDialogMessageW (1970) перехвачена, метод APICodeHijack.PushAndRet
Функция user32.dll:PeekMessageA (2075) перехвачена, метод APICodeHijack.PushAndRet
Функция user32.dll:PeekMessageW (2076) перехвачена, метод APICodeHijack.PushAndRet
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=175B00)
 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 83641000
   SDT = 837B6B00
   KiST = 836ACD1C (401)
Функция NtOpenProcess (BE) перехвачена (83860C51->8FAF5104), перехватчик C:\Windows\System32\drivers\zamguard32.sys, драйвер опознан как безопасный
Функция NtTerminateProcess (172) перехвачена (838AAA13->8FAF5252), перехватчик C:\Windows\System32\drivers\zamguard32.sys, драйвер опознан как безопасный
Проверено функций: 401, перехвачено: 2, восстановлено: 0
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
>>> Опасно - подозрение на подмену адреса ЦП[1].SYSENTER=83681790 C:\Windows\system32\ntkrnlpa.exe, драйвер опознан как безопасный
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
 Драйвер успешно загружен
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 56
 Количество загруженных модулей: 495
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\KEYCRY~1\KeyCrypt32(4).dll"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Таймаут завершения процессов находится за пределами допустимых значений
Проверка завершена
Просканировано файлов: 551, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 03.12.2018 13:16:40
Сканирование длилось 00:01:24
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ 
можно использовать сервис http://virusdetector.ru/
Создание архива с файлами из карантина
Создание архива с файлами из карантина завершено
Выполняется исследование системы
Диагностика сети
 DNS and Ping test
  Host="yandex.ru", IP="5.255.255.80,5.255.255.77,77.88.55.80,77.88.55.77", Ping=OK (0,243,5.255.255.80)
  Host="google.ru", IP="216.58.212.227", Ping=OK (0,296,216.58.212.227)
  Host="google.com", IP="216.58.204.238", Ping=OK (0,349,216.58.204.238)
  Host="www.kaspersky.com", IP="68.142.68.28,68.142.70.28", Ping=OK (0,277,68.142.68.28)
  Host="www.kaspersky.ru", IP="68.142.68.28,68.142.70.28", Ping=OK (0,270,68.142.68.28)
  Host="dnl-03.geo.kaspersky.com", IP="4.28.136.54", Ping=OK (0,394,4.28.136.54)
  Host="dnl-11.geo.kaspersky.com", IP="4.28.136.42", Ping=OK (0,369,4.28.136.42)
  Host="activation-v2.kaspersky.com", IP="4.59.181.141", Ping=OK (0,391,4.59.181.141)
  Host="odnoklassniki.ru", IP="5.61.23.11,217.20.147.1,217.20.155.13", Ping=OK (0,251,5.61.23.11)
  Host="vk.com", IP="87.240.129.71,87.240.129.133,87.240.180.136,87.240.182.224", Ping=OK (0,254,87.240.129.71)
  Host="vkontakte.ru", IP="95.213.4.228,95.213.4.229", Ping=OK (0,248,95.213.4.228)
  Host="twitter.com", IP="104.244.42.1,104.244.42.65", Ping=OK (0,281,104.244.42.1)
  Host="facebook.com", IP="157.240.1.35", Ping=OK (0,304,157.240.1.35)
  Host="ru-ru.facebook.com", IP="157.240.1.18", Ping=OK (0,307,157.240.1.18)
 Network IE settings
  IE setting AutoConfigURL=
  IE setting AutoConfigProxy=wininet.dll
  IE setting ProxyOverride=
  IE setting ProxyServer=
  IE setting Internet\ManualProxies=
 Network TCP/IP settings
 Network Persistent Routes

 Исследование системы завершено


Команды скрипта 
Добавить в скрипт команды:
Нейтрализация перехватов функций при помощи антируткита
Включить AVZGuard
Управление AVZPM (true-включить,false-отключить)
BootCleaner - импорт списка удаленных файлов
BootCleaner - импортировать все
Чистка реестра после удаления файлов
ExecuteWizard ('TSW',2,3,true) - Выполнение мастера поиска и устранения проблем
BootCleaner - активация
Перезагрузка
Вставить заготовку для QuarantineFile() - помещение файла в карантин
Вставить заготовку для BC_QrFile() - помещение файла в карантин через BC
Вставить заготовку для DeleteFile() - удаление файла
Вставить заготовку для DelCLSID() - удаление CLSID класса из реестра
Дополнительные операции:Оптимизация - отключить службу TermService (Службы удаленных рабочих столов)

Список файлов

Порт	Статус	Remote Host	Remote Port	Приложение	Примечания
Порты TCP
80	LISTENING	0.0.0.0	0	System.exe [4] ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
139	LISTENING	0.0.0.0	0	System.exe [4] ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445	LISTENING	0.0.0.0	0	System.exe [4] ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
Порты UDP
137	LISTENING	--	--	System.exe [4] ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138	LISTENING	--	--	System.exe [4] ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить

Сетевое имя	Путь	Примечания
IPC$		Удаленный IPC