AVZ 4.39 http://z-oleg.com/secur/avz/
| Имя файла | PID | Описание | Copyright | MD5 | Информация
| c:\windows\system32\supportappxl\autodect.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2416 | AutoDect | | ?? | 126.83 кб, rsAh, | создан: 20.03.2013 01:38:29, изменен: 15.03.2010 14:51:10 Командная строка: "C:\Windows\System32\SupportAppXL\AutoDect.exe" c:\users\natalya\documents\Папка2 чистки\Проги\avz4\avz.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 196 | Антивирусная утилита AVZ | Антивирусная утилита AVZ | ?? | 747.00 кб, rsAh, | создан: 21.03.2013 12:46:01, изменен: 20.05.2012 10:51:48, имя содержит национальные символы Командная строка: "C:\Users\Natalya\Documents\Папка2 чистки\Проги\avz4\avz.exe" c:\program files\comodo\comodo internet security\cavwp.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1964 | COMODO Internet Security | 2005-2012 COMODO. All rights reserved. | ?? | 395.20 кб, rsAh, | создан: 14.12.2012 21:45:06, изменен: 25.01.2013 02:42:39 Командная строка: "C:\Program Files\COMODO\COMODO Internet Security\cavwp.exe" /ModeAvMonitor -Embedding c:\program files\comodo\comodo internet security\cis.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 3268 | COMODO Internet Security | 2005-2012 COMODO. All rights reserved. | ?? | 7447.70 кб, rsAh, | создан: 14.12.2012 21:45:06, изменен: 25.01.2013 02:42:40 Командная строка: "C:\Program Files\COMODO\COMODO Internet Security\cis.exe" --alertsUI c:\program files\comodo\comodo internet security\cistray.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2380 | COMODO Internet Security | 2005-2012 COMODO. All rights reserved. | ?? | 1397.20 кб, rsAh, | создан: 14.12.2012 21:45:06, изменен: 25.01.2013 02:42:40 Командная строка: "C:\Program Files\COMODO\COMODO Internet Security\cistray.exe" c:\program files\comodo\comodo internet security\cmdagent.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 884 | COMODO Internet Security | 2005-2012 COMODO. All rights reserved. | ?? | 2265.14 кб, rsAh, | создан: 14.12.2012 21:45:32, изменен: 25.01.2013 02:43:03 Командная строка: "C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe" c:\windows\system32\csrss.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 388 | Процесс исполнения клиент-сервер | © Корпорация Майкрософт. Все права защищены. | ?? | 6.00 кб, rsAh, | создан: 14.07.2009 03:11:09, изменен: 14.07.2009 05:14:16 Командная строка: %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16 c:\windows\system32\csrss.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 496 | Процесс исполнения клиент-сервер | © Корпорация Майкрософт. Все права защищены. | ?? | 6.00 кб, rsAh, | создан: 14.07.2009 03:11:09, изменен: 14.07.2009 05:14:16 Командная строка: %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16 c:\windows\system32\dwm.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1884 | Диспетчер окон рабочего стола | © Корпорация Майкрософт. все права защищены. | ?? | 90.50 кб, rsAh, | создан: 14.07.2009 03:24:23, изменен: 14.07.2009 05:14:19 Командная строка: "C:\Windows\system32\Dwm.exe" c:\windows\explorer.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1872 | Проводник | © Корпорация Майкрософт. Все права защищены. | ?? | 2555.00 кб, rsAh, | создан: 17.03.2013 01:15:59, изменен: 25.02.2011 09:30:54 Командная строка: C:\Windows\Explorer.EXE c:\windows\system32\hkcmd.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2224 | hkcmd Module | Copyright 1999-2006, Intel Corporation | ?? | 170.02 кб, rsAh, | создан: 23.01.2013 23:04:59, изменен: 12.07.2009 12:23:18 Командная строка: "C:\Windows\System32\hkcmd.exe" c:\windows\system32\igfxpers.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2236 | persistence Module | Copyright 1999-2006, Intel Corporation | ?? | 147.02 кб, rsAh, | создан: 23.01.2013 23:05:04, изменен: 12.07.2009 12:23:22 Командная строка: "C:\Windows\System32\igfxpers.exe" c:\windows\system32\igfxsrvc.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2276 | igfxsrvc Module | Copyright 1999-2006, Intel Corporation | ?? | 247.02 кб, rsAh, | создан: 23.01.2013 23:05:07, изменен: 12.07.2009 12:23:24 Командная строка: C:\Windows\system32\igfxsrvc.exe -Embedding c:\windows\system32\igfxtray.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2200 | igfxTray Module | Copyright 1999-2006, Intel Corporation | ?? | 138.52 кб, rsAh, | создан: 23.01.2013 23:05:07, изменен: 12.07.2009 12:23:26 Командная строка: "C:\Windows\System32\igfxtray.exe" c:\windows\system32\lsass.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 572 | Local Security Authority Process | © Microsoft Corporation. All rights reserved. | ?? | 22.00 кб, rsAh, | создан: 24.01.2013 13:07:40, изменен: 17.11.2011 09:29:50 Командная строка: C:\Windows\system32\lsass.exe c:\windows\system32\lsm.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 580 | Служба диспетчера локальных сеансов | © Корпорация Майкрософт. Все права защищены. | ?? | 261.50 кб, rsAh, | создан: 21.11.2010 01:29:11, изменен: 21.11.2010 01:29:11 Командная строка: C:\Windows\system32\lsm.exe c:\program files\realtek\audio\hda\rthdvcpl.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2244 | HD Audio Control Panel | 2009 (c) Realtek Semiconductor. All rights reserved. | ?? | 7338.53 кб, rsah, | создан: 24.01.2013 00:44:51, изменен: 23.05.2009 01:22:10 Командная строка: "C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe" C:\Windows\System32\SearchFilterHost.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1428 | Microsoft Windows Search Filter Host | © Microsoft Corporation. All rights reserved. | ?? | есть (User Mode RootKit),84.50 кб, rsAh, | создан: 17.03.2013 01:16:09, изменен: 04.05.2011 08:28:31 Командная строка: "C:\Windows\system32\SearchFilterHost.exe" 0 584 588 596 65536 592 c:\windows\system32\searchindexer.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2976 | Индексатор службы Microsoft Windows Search | © Корпорация Майкрософт. Все права защищены. | ?? | 417.50 кб, rsAh, | создан: 17.03.2013 01:16:09, изменен: 04.05.2011 08:28:31 Командная строка: C:\Windows\system32\SearchIndexer.exe /Embedding c:\windows\system32\searchprotocolhost.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1132 | Microsoft Windows Search Protocol Host | © Microsoft Corporation. All rights reserved. | ?? | 160.50 кб, rsAh, | создан: 17.03.2013 01:16:09, изменен: 04.05.2011 08:28:31 Командная строка: "C:\Windows\system32\SearchProtocolHost.exe" Global\UsGthrFltPipeMssGthrPipe23_ Global\UsGthrCtrlFltPipeMssGthrPipe23 1 -2147483646 "Software\Microsoft\Windows Search" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT; MS Search 4.0 Robot)" "C:\ProgramData\Microsoft\Search\Data\Temp\usgthrsvc" "DownLevelDaemon" c:\windows\system32\services.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 556 | Приложение служб и контроллеров | © Корпорация Майкрософт. Все права защищены. | ?? | 253.00 кб, rsAh, | создан: 14.07.2009 03:11:26, изменен: 14.07.2009 05:14:36 Командная строка: C:\Windows\system32\services.exe c:\windows\system32\spoolsv.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1504 | Диспетчер очереди печати | © Корпорация Майкрософт. Все права защищены. | ?? | 310.00 кб, rsAh, | создан: 17.03.2013 01:16:02, изменен: 11.02.2012 09:37:49 Командная строка: C:\Windows\System32\spoolsv.exe c:\windows\system32\svchost.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1096 | Хост-процесс для служб Windows | © Корпорация Майкрософт. Все права защищены. | ?? | 20.50 кб, rsAh, | создан: 14.07.2009 03:19:28, изменен: 14.07.2009 05:14:41 Командная строка: C:\Windows\system32\svchost.exe -k netsvcs c:\windows\system32\svchost.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 804 | Хост-процесс для служб Windows | © Корпорация Майкрософт. Все права защищены. | ?? | 20.50 кб, rsAh, | создан: 14.07.2009 03:19:28, изменен: 14.07.2009 05:14:41 Командная строка: C:\Windows\system32\svchost.exe -k RPCSS c:\windows\system32\svchost.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1592 | Хост-процесс для служб Windows | © Корпорация Майкрософт. Все права защищены. | ?? | 20.50 кб, rsAh, | создан: 14.07.2009 03:19:28, изменен: 14.07.2009 05:14:41 Командная строка: C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork c:\windows\system32\svchost.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1784 | Хост-процесс для служб Windows | © Корпорация Майкрософт. Все права защищены. | ?? | 20.50 кб, rsAh, | создан: 14.07.2009 03:19:28, изменен: 14.07.2009 05:14:41 Командная строка: C:\Windows\system32\svchost.exe -k imgsvc c:\windows\system32\svchost.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 728 | Хост-процесс для служб Windows | © Корпорация Майкрософт. Все права защищены. | ?? | 20.50 кб, rsAh, | создан: 14.07.2009 03:19:28, изменен: 14.07.2009 05:14:41 Командная строка: C:\Windows\system32\svchost.exe -k DcomLaunch c:\windows\system32\svchost.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 928 | Хост-процесс для служб Windows | © Корпорация Майкрософт. Все права защищены. | ?? | 20.50 кб, rsAh, | создан: 14.07.2009 03:19:28, изменен: 14.07.2009 05:14:41 Командная строка: C:\Windows\system32\svchost.exe -k NetworkService c:\windows\system32\svchost.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 3764 | Хост-процесс для служб Windows | © Корпорация Майкрософт. Все права защищены. | ?? | 20.50 кб, rsAh, | создан: 14.07.2009 03:19:28, изменен: 14.07.2009 05:14:41 Командная строка: C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation c:\windows\system32\svchost.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1176 | Хост-процесс для служб Windows | © Корпорация Майкрософт. Все права защищены. | ?? | 20.50 кб, rsAh, | создан: 14.07.2009 03:19:28, изменен: 14.07.2009 05:14:41 Командная строка: C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted c:\windows\system32\svchost.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 984 | Хост-процесс для служб Windows | © Корпорация Майкрософт. Все права защищены. | ?? | 20.50 кб, rsAh, | создан: 14.07.2009 03:19:28, изменен: 14.07.2009 05:14:41 Командная строка: C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted c:\windows\system32\svchost.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1036 | Хост-процесс для служб Windows | © Корпорация Майкрософт. Все права защищены. | ?? | 20.50 кб, rsAh, | создан: 14.07.2009 03:19:28, изменен: 14.07.2009 05:14:41 Командная строка: C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted c:\windows\system32\svchost.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1064 | Хост-процесс для служб Windows | © Корпорация Майкрософт. Все права защищены. | ?? | 20.50 кб, rsAh, | создан: 14.07.2009 03:19:28, изменен: 14.07.2009 05:14:41 Командная строка: C:\Windows\system32\svchost.exe -k LocalService c:\windows\system32\taskhost.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1584 | Хост-процесс для задач Windows | © Корпорация Майкрософт. Все права защищены. | ?? | 48.00 кб, rsAh, | создан: 24.01.2013 13:00:37, изменен: 23.11.2012 06:48:41 Командная строка: "taskhost.exe" c:\program files\usb-модем Билайн\uimain_full.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 3572 | | ZTE?? | ?? | 10130.84 кб, rsAh, | создан: 20.03.2013 01:38:28, изменен: 30.08.2010 10:45:38, имя содержит национальные символы Командная строка: "C:\Program Files\USB-модем Билайн\UIMain_Full.exe" c:\windows\system32\wininit.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 508 | Автозагрузка приложений Windows | © Корпорация Майкрософт. Все права защищены. | ?? | 94.00 кб, rsAh, | создан: 14.07.2009 03:36:49, изменен: 14.07.2009 05:14:45 Командная строка: wininit.exe c:\windows\system32\wuauclt.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2524 | Windows Update | © Microsoft Corporation. All rights reserved. | ?? | 52.52 кб, rsAh, | создан: 24.01.2013 01:43:57, изменен: 03.06.2012 02:19:33 Командная строка: "C:\Windows\system32\wuauclt.exe" Обнаружено:40, из них опознаны как безопасные 36
| | |||||
| Имя модуля | Handle | Описание | Copyright | MD5 | Используется процессами
| C:\Program Files\COMODO\COMODO Internet Security\cavshell.dll | Скрипт: Kарантин, Удалить, Удалить через BC 1777598464 | COMODO Internet Security | 2005-2012 COMODO. All rights reserved. | -- | 1872
| C:\Program Files\COMODO\COMODO Internet Security\cavwpps.dll | Скрипт: Kарантин, Удалить, Удалить через BC 1931280384 | COMODO Internet Security | 2005-2012 COMODO. All rights reserved. | -- | 1964, 884
| C:\Program Files\COMODO\COMODO Internet Security\cmdavcen.dll | Скрипт: Kарантин, Удалить, Удалить через BC 34209792 | COMODO Internet Security | 2005-2012 COMODO. All rights reserved. | -- | 884
| C:\Program Files\COMODO\COMODO Internet Security\cmdboost.dll | Скрипт: Kарантин, Удалить, Удалить через BC 1875771392 | COMODO Internet Security | 2005-2012 COMODO. All rights reserved. | -- | 884
| C:\Program Files\COMODO\COMODO Internet Security\cmdcfg.dll | Скрипт: Kарантин, Удалить, Удалить через BC 1868431360 | COMODO Internet Security | 2005-2012 COMODO. All rights reserved. | -- | 3268, 2380, 884
| C:\Program Files\COMODO\COMODO Internet Security\cmdcloud.dll | Скрипт: Kарантин, Удалить, Удалить через BC 1867841536 | COMODO Internet Security | 2005-2012 COMODO. All rights reserved. | -- | 884
| C:\Program Files\COMODO\COMODO Internet Security\cmdcomps.dll | Скрипт: Kарантин, Удалить, Удалить через BC 1946877952 | COMODO Internet Security | 2005-2012 COMODO. All rights reserved. | -- | 3268, 2380, 884
| C:\Program Files\COMODO\COMODO Internet Security\cmdhtml.dll | Скрипт: Kарантин, Удалить, Удалить через BC 1809580032 | sciter-x.dll - embeddable Sciter engine | Copyright © 2002-2010, Terra Informatica Software, Inc., http://terrainformatica.com | -- | 3268
| C:\Program Files\COMODO\COMODO Internet Security\cmdtrust.dll | Скрипт: Kарантин, Удалить, Удалить через BC 1874657280 | COMODO Internet Security | 2005-2012 COMODO. All rights reserved. | -- | 884
| C:\Program Files\COMODO\COMODO Internet Security\cmdupdps.dll | Скрипт: Kарантин, Удалить, Удалить через BC 1941700608 | COMODO Internet Security | 2005-2012 COMODO. All rights reserved. | -- | 884
| C:\Program Files\COMODO\COMODO Internet Security\Themes\default.theme | Скрипт: Kарантин, Удалить, Удалить через BC 1814953984 | COMODO Internet Security | 2005-2012 COMODO. All rights reserved. | -- | 3268
| C:\Windows\system32\cmdcsr.dll | Скрипт: Kарантин, Удалить, Удалить через BC 1976369152 | COMODO Internet Security | 2005-2012 COMODO. All rights reserved. | -- | 388, 496
| C:\Windows\system32\guard32.dll | Скрипт: Kарантин, Удалить, Удалить через BC 268435456 | COMODO Internet Security | 2005-2012 COMODO. All rights reserved. | -- | 2416, 196, 1884, 1872, 2224, 2236, 2276, 2200, 572, 580, 2244, 1428, 2976, 1132, 556, 1504, 1096, 804, 1592, 1784, 728, 928, 3764, 1176, 984, 1036, 1064, 1584, 3572, 508, 2524
| Обнаружено модулей:495, из них опознаны как безопасные 482
| | |||||
| Модуль | Базовый адрес | Размер в памяти | Описание | Производитель
| C:\Windows\System32\DRIVERS\cmderd.sys | Скрипт: Kарантин, Удалить, Удалить через BC 8AE11000 | 008000 (32768) | COMODO Internet Security Eradication Driver | 2005-2012 COMODO. All rights reserved.
| C:\Windows\system32\DRIVERS\cmdguard.sys | Скрипт: Kарантин, Удалить, Удалить через BC 8F018000 | 091000 (593920) | COMODO Internet Security Sandbox Driver | 2005-2012 COMODO. All rights reserved.
| C:\Windows\System32\Drivers\dump_dumpata.sys | Скрипт: Kарантин, Удалить, Удалить через BC 966D0000 | 00B000 (45056) |
| C:\Windows\System32\Drivers\dump_dumpfve.sys | Скрипт: Kарантин, Удалить, Удалить через BC 966E5000 | 011000 (69632) |
| C:\Windows\System32\Drivers\dump_msahci.sys | Скрипт: Kарантин, Удалить, Удалить через BC 966DB000 | 00A000 (40960) |
| Обнаружено модулей - 198, опознано как безопасные - 193
| | |||||||
| Служба | Описание | Статус | Файл | Группа | Зависимости
| cmdAgent | Служба: Стоп, Удалить, Отключить, Удалить через BC COMODO Internet Security Helper Service | Работает | C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe | Скрипт: Kарантин, Удалить, Удалить через BC COM Infrastructure | RpcSs
| cmdvirth | Служба: Стоп, Удалить, Отключить, Удалить через BC COMODO Virtual Service Manager | Не запущен | C:\Program Files\COMODO\COMODO Internet Security\cmdvirth.exe | Скрипт: Kарантин, Удалить, Удалить через BC | cmdAgent
| Обнаружено - 147, опознано как безопасные - 145
| | ||||||
| Имя файла | Статус | Метод запуска | Описание
| C:\Program Files\COMODO\COMODO Internet Security\cavshell.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved, {4255A182-CAD9-4214-A19B-7BA7FB633BBD} | Удалить C:\Program Files\COMODO\COMODO Internet Security\cistray.exe | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, COMODO Internet Security | Удалить C:\Program Files\Google\Chrome\Application\chrome.exe | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ярлык в папке автозагрузки | C:\Users\Natalya\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Natalya\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk,
| C:\Program Files\Skype\Updater\Updater.exe | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\SkypeUpdate, EventMessageFile
| C:\Users\Natalya\AppData\Local\Temp\9FF57F9F-EFFF0907-B9E80936-DDB06390\f6nfqeuy.exe | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Doctor Web\DrWebARKDaemon, EventMessageFile
| C:\Users\Natalya\AppData\Local\Temp\9FF57F9F-EFFF0907-B9E80936-DDB06390\p5ex7kks.exe | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Doctor Web\Dr.Web Engine, EventMessageFile
| C:\Windows\System32\MsSpellCheckingFacility.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Microsoft-Windows-Spell-Checking, EventMessageFile
| C:\Windows\System32\MsSpellCheckingFacility.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Microsoft-Windows-SpellChecker, EventMessageFile
| C:\Windows\System32\MsSpellCheckingFacility.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\Microsoft-Windows-Spell-Checking, EventMessageFile
| C:\Windows\System32\MsSpellCheckingFacility.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\Microsoft-Windows-SpellChecker, EventMessageFile
| C:\Windows\system32\psxss.exe | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix
| progman.exe | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, shell | Удалить vgafix.fon | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fixedfon.fon | Удалить vgaoem.fon | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, oemfonts.fon | Удалить vgasys.fon | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fonts.fon | Удалить Обнаружено элементов автозапуска - 692, опознано как безопасные - 677
| | ||||||
| Имя файла | Тип | Описание | Производитель | CLSID
| Обнаружено элементов - 1, опознано как безопасные - 1
| | ||||||
| Имя файла | Назначение | Описание | Производитель | CLSID
| C:\Program Files\COMODO\COMODO Internet Security\cavshell.dll | Скрипт: Kарантин, Удалить, Удалить через BC Comodo Antivirus | COMODO Internet Security | 2005-2012 COMODO. All rights reserved. | {4255A182-CAD9-4214-A19B-7BA7FB633BBD} | Удалить WebCheck | {E6FB5E20-DE35-11CF-9C87-00AA005127ED} | Удалить Обнаружено элементов - 14, опознано как безопасные - 12
| | |||||||||
| Имя файла | Тип | Наименование | Описание | Производитель
| Обнаружено элементов - 7, опознано как безопасные - 7
| | ||||||
| Имя файла | Имя задания | Состояние задания | Описание | Производитель
| Обнаружено элементов - 2, опознано как безопасные - 2
| | ||||||
| Поставщик | Статус | Исп. файл | Описание | GUID
| Обнаружено - 6, опознано как безопасные - 6
| | ||||||
| Поставщик | Исп. файл | Описание
| Обнаружено - 26, опознано как безопасные - 26
| | ||||||
| Имя файла | Описание | Производитель | CLSID | URL загрузки
| Обнаружено элементов - 0, опознано как безопасные - 0
| | ||||||
| Имя файла | Описание | Производитель
| C:\Windows\system32\FlashPlayerCPLApp.cpl | Скрипт: Kарантин, Удалить, Удалить через BC Adobe Flash Player Control Panel Applet | Copyright © 1996 Adobe Systems Incorporated. All Rights Reserved. Adobe and Flash are either trademarks or registered trademarks in the United States and/or other countries.
| Обнаружено элементов - 23, опознано как безопасные - 22
| | ||||||
| Имя файла | Описание | Производитель | CLSID
| C:\Program Files\Google\Chrome\Application\25.0.1364.172\Installer\chrmstp.exe | Скрипт: Kарантин, Удалить, Удалить через BC Google Chrome | Copyright 2012 Google Inc. All rights reserved. | {8A69D345-D564-463c-AFF1-A69D9E530F96} | Удалить Обнаружено элементов - 9, опознано как безопасные - 8
| | ||||||
| Запись файла Hosts |
| Имя файла | Тип | Описание | Производитель | CLSID
| mscoree.dll | Скрипт: Kарантин, Удалить, Удалить через BC Protocol | Microsoft .NET Runtime Execution Engine () | © Microsoft Corporation. All rights reserved. | {1E66F26B-79EE-11D2-8710-00C04F79ED0D} | Удалить mscoree.dll | Скрипт: Kарантин, Удалить, Удалить через BC Protocol | Microsoft .NET Runtime Execution Engine () | © Microsoft Corporation. All rights reserved. | {1E66F26B-79EE-11D2-8710-00C04F79ED0D} | Удалить mscoree.dll | Скрипт: Kарантин, Удалить, Удалить через BC Protocol | Microsoft .NET Runtime Execution Engine () | © Microsoft Corporation. All rights reserved. | {1E66F26B-79EE-11D2-8710-00C04F79ED0D} | Удалить Обнаружено элементов - 15, опознано как безопасные - 12
| | ||||||
| Файл | Описание | Тип
| C:\Windows\system32\DRIVERS\cmdguard.sys | Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit | Перехватчик KernelMode
| |
Внимание !!! База поcледний раз обновлялась 30.01.2013 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) Протокол антивирусной утилиты AVZ версии 4.39 Сканирование запущено в 21.03.2013 12:46:50 Загружена база: сигнатуры - 297614, нейропрофили - 2, микропрограммы лечения - 56, база от 30.01.2013 18:40 Загружены микропрограммы эвристики: 399 Загружены микропрограммы ИПУ: 9 Загружены цифровые подписи системных файлов: 506902 Режим эвристического анализатора: Средний уровень эвристики Режим лечения: включено Версия Windows: 6.1.7601, Service Pack 1 ; AVZ работает с правами администратора Восстановление системы: включено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Функция kernel32.dll:CreateProcessA (167) перехвачена, метод APICodeHijack.JmpTo[75FE2082] Функция kernel32.dll:CreateProcessW (171) перехвачена, метод APICodeHijack.JmpTo[75FE204D] Анализ ntdll.dll, таблица экспорта найдена в секции .text Функция ntdll.dll:LdrUnloadDll (161) перехвачена, метод APICodeHijack.JmpTo[77C8C86E] Функция ntdll.dll:NtAlpcSendWaitReceivePort (216) перехвачена, метод APICodeHijack.JmpTo[77C75418] Функция ntdll.dll:NtClose (227) перехвачена, метод APICodeHijack.JmpTo[77C754C8] Функция ntdll.dll:ZwAlpcSendWaitReceivePort (1446) перехвачена, метод APICodeHijack.JmpTo[77C75418] Функция ntdll.dll:ZwClose (1457) перехвачена, метод APICodeHijack.JmpTo[77C754C8] Анализ user32.dll, таблица экспорта найдена в секции .text Функция user32.dll:SetWinEventHook (2216) перехвачена, метод APICodeHijack.JmpTo[769624DC] Функция user32.dll:SetWindowsHookExA (2231) перехвачена, метод APICodeHijack.JmpTo[76986D0C] Функция user32.dll:SetWindowsHookExW (2232) перехвачена, метод APICodeHijack.JmpTo[7695E30C] Анализ advapi32.dll, таблица экспорта найдена в секции .text Функция advapi32.dll:CreateProcessAsUserA (1125) перехвачена, метод APICodeHijack.JmpTo[76A62538] Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=169B00) Ядро ntkrnlpa.exe обнаружено в памяти по адресу 82C04000 SDT = 82D6DB00 KiST = 82C821BC (401) Функция NtAdjustPrivilegesToken (0C) перехвачена (82E89CB3->8F028230), перехватчик C:\Windows\system32\DRIVERS\cmdguard.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtAlpcConnectPort (16) перехвачена (82E7A37E->8F02841C), перехватчик C:\Windows\system32\DRIVERS\cmdguard.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtConnectPort (3B) перехвачена (82E7CE80->8F027590), перехватчик C:\Windows\system32\DRIVERS\cmdguard.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtCreateFile (42) перехвачена (82E54332->8F027E96), перехватчик C:\Windows\system32\DRIVERS\cmdguard.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtCreateSection (54) перехвачена (82E2803D->8F027C4A), перехватчик C:\Windows\system32\DRIVERS\cmdguard.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtCreateSymbolicLinkObject (56) перехвачена (82E068F4->8F028F94), перехватчик C:\Windows\system32\DRIVERS\cmdguard.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtCreateThread (57) перехвачена (82EE0DC6->8F026F7C), перехватчик C:\Windows\system32\DRIVERS\cmdguard.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtCreateThreadEx (58) перехвачена (82E752AB->8F02864A), перехватчик C:\Windows\system32\DRIVERS\cmdguard.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtLoadDriver (9B) перехвачена (82DCAC14->8F0289C6), перехватчик C:\Windows\system32\DRIVERS\cmdguard.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtMakeTemporaryObject (A4) перехвачена (82E10950->8F027858), перехватчик C:\Windows\system32\DRIVERS\cmdguard.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtOpenFile (B3) перехвачена (82E36C6A->8F028072), перехватчик C:\Windows\system32\DRIVERS\cmdguard.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtOpenSection (C2) перехвачена (82E6E7FB->8F027AF2), перехватчик C:\Windows\system32\DRIVERS\cmdguard.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSetSystemInformation (15E) перехвачена (82E5323C->8F028CB2), перехватчик C:\Windows\system32\DRIVERS\cmdguard.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtShutdownSystem (168) перехвачена (82F078D3->8F0277C2), перехватчик C:\Windows\system32\DRIVERS\cmdguard.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSystemDebugControl (170) перехвачена (82E8A5E2->8F0279DE), перехватчик C:\Windows\system32\DRIVERS\cmdguard.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtTerminateProcess (172) перехвачена (82E5FB9D->8F027392), перехватчик C:\Windows\system32\DRIVERS\cmdguard.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtTerminateThread (173) перехвачена (82E7D4AB->8F027180), перехватчик C:\Windows\system32\DRIVERS\cmdguard.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Проверено функций: 401, перехвачено: 17, восстановлено: 17 1.3 Проверка IDT и SYSENTER Анализ для процессора 1 Анализ для процессора 2 CmpCallCallBacks = 00000000 Проверка IDT и SYSENTER завершена 1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM 1.5 Проверка обработчиков IRP Драйвер успешно загружен Проверка завершена 2. Проверка памяти Количество найденных процессов: 40 Количество загруженных модулей: 500 Проверка памяти завершена 3. Сканирование дисков Прямое чтение C:\Program Files\COMODO\COMODO Internet Security\database\vendor.h Прямое чтение C:\Users\Natalya\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.tmp 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) Проверка отключена пользователем 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами Проверка отключена пользователем 7. Эвристичеcкая проверка системы Проверка завершена 8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помощнику Проверка завершена 9. Мастер поиска и устранения проблем Проверка завершена Просканировано файлов: 52913, извлечено из архивов: 35052, найдено вредоносных программ 0, подозрений - 0 Сканирование завершено в 21.03.2013 12:52:28 !!! Внимание !!! Восстановлено 17 функций KiST в ходе работы антируткита Это может нарушить нормальную работу ряда программ, поэтому настоятельно рекомендуется перезагрузить компьютер Сканирование длилось 00:05:40 Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам, то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18 Создание архива с файлами из карантина Создание архива с файлами из карантина завершено Выполняется исследование системыДобавить в скрипт команды:
Исследование системы завершено
Команды скрипта