Протокол исследования системы

Список процессов

Имя файла	PID	Описание	Copyright	MD5	Информация
c:\windows\system32\atieclxx.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1300	AMD External Events Client Module	Copyright © 2008-2009 AMD	??	443.00 кб, rsAh, создан: 04.07.2012 10:21:18, изменен: 04.07.2012 10:21:18 Командная строка: atieclxx
c:\windows\system32\atiesrxx.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	972	AMD External Events Service Module	Copyright © 2008-2009 AMD	??	212.00 кб, rsAh, создан: 04.07.2012 10:20:42, изменен: 04.07.2012 10:20:42 Командная строка: C:\Windows\system32\atiesrxx.exe
c:\windows\system32\supportappxl\autodect.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	252	AutoDect	Copyright (C) 2008	??	119.50 кб, rsAh, создан: 11.04.2011 14:08:22, изменен: 26.05.2009 15:35:24 Командная строка: "C:\Windows\System32\SupportAppXL\AutoDect.exe"
c:\users\a4f7~1\appdata\local\temp\rar$exa0.492\avz4\avz.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1940	Антивирусная утилита AVZ	Антивирусная утилита AVZ	??	747.00 кб, rsAh, создан: 02.05.2013 09:00:03, изменен: 20.05.2012 10:51:48 Командная строка: "C:\Users\A4F7~1\AppData\Local\Temp\Rar$EXa0.492\avz4\avz.exe"
d:\program files\auslogics\auslogics boostspeed\boostspeed.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1672	Boost Speed	2007-2010@Auslogics Software Pty Ltd	??	705.16 кб, rsAh, создан: 16.01.2011 20:22:44, изменен: 14.06.2010 14:10:58 Командная строка: "D:\Program Files\Auslogics\Auslogics BoostSpeed\BoostSpeed.exe" -UseTray
c:\program files\ati technologies\ati.ace\core-static\ccc.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	2372	Catalyst Control Center: Host application	2002-2012	??	292.00 кб, rsAh, создан: 25.01.2012 15:32:42, изменен: 25.01.2012 15:32:42 Командная строка: "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe" 0
c:\program files\odindoma\bin\a\childgui.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	2204			??	4403.50 кб, rsAh, создан: 16.09.2011 12:34:24, изменен: 16.09.2011 12:34:24 Командная строка: "C:\Program Files\OdinDoma\bin\a\ChildGUI.exe"
c:\users\Андрей\appdata\local\google\chrome\application\chrome.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	4692	Google Chrome	Copyright 2012 Google Inc. All rights reserved.	??	1281.95 кб, rsAh, создан: 23.08.2011 22:33:26, изменен: 09.04.2013 12:57:09, имя содержит национальные символы Командная строка: "C:\Users\Андрей\AppData\Local\Google\Chrome\Application\chrome.exe"
c:\users\Андрей\appdata\local\google\chrome\application\chrome.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	4824	Google Chrome	Copyright 2012 Google Inc. All rights reserved.	??	1281.95 кб, rsAh, создан: 23.08.2011 22:33:26, изменен: 09.04.2013 12:57:09, имя содержит национальные символы Командная строка: "C:\Users\Андрей\AppData\Local\Google\Chrome\Application\chrome.exe" --type=gpu-process --channel="4692.0.1002393383\729379317" --supports-dual-gpus=false --gpu-vendor-id=0x1002 --gpu-device-id=0x95c5 --gpu-driver-vendor="Advanced Micro Devices, Inc." --gpu-driver-version=8.970.100.3000 --ignored=" --type=renderer " /prefetch:12
c:\users\Андрей\appdata\local\google\chrome\application\chrome.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	4896	Google Chrome	Copyright 2012 Google Inc. All rights reserved.	??	1281.95 кб, rsAh, создан: 23.08.2011 22:33:26, изменен: 09.04.2013 12:57:09, имя содержит национальные символы Командная строка: "C:\Users\Андрей\AppData\Local\Google\Chrome\Application\chrome.exe" --type=renderer --lang=ru --force-fieldtrials=AutocompleteDynamicTrial_0/LiveSpellingExperiment/ForceCompositingMode/thread/InfiniteCache/No/NewMenuStyle/NewStyle/OmniboxHQPReplaceHUPProhibitTrumpingInlineableResult/Standard/OmniboxHQPUseCursorPosition/Standard/OmniboxSearchSuggestTrialStarted2013Q1/9/OneClickSignIn/Standard/OverlappedReadImpact/OverlappedReadDisabled/Prerender/PrerenderEnabled/PrerenderLocalPredictor/Disabled/Test0PercentDefault/group_01/UMA-Dynamic-Binary-Uniformity-Trial/default/UMA-Session-Randomized-Uniformity-Trial-5-Percent/group_11/UMA-Uniformity-Trial-1-Percent/group_14/UMA-Uniformity-Trial-10-Percent/group_01/UMA-Uniformity-Trial-20-Percent/group_01/UMA-Uniformity-Trial-5-Percent/group_13/UMA-Uniformity-Trial-50-Percent/default/ --renderer-print-preview --enable-threaded-compositing --channel="4692.1.1423076118\1741410032" /prefetch:3
c:\users\Андрей\appdata\local\google\chrome\application\chrome.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	5464	Google Chrome	Copyright 2012 Google Inc. All rights reserved.	??	1281.95 кб, rsAh, создан: 23.08.2011 22:33:26, изменен: 09.04.2013 12:57:09, имя содержит национальные символы Командная строка: "C:\Users\Андрей\AppData\Local\Google\Chrome\Application\chrome.exe" --type=renderer --lang=ru --force-fieldtrials=AutocompleteDynamicTrial_0/LiveSpellingExperiment/ForceCompositingMode/thread/InfiniteCache/No/NewMenuStyle/NewStyle/NewTabButton/default/OmniboxHQPReplaceHUPProhibitTrumpingInlineableResult/Standard/OmniboxHQPUseCursorPosition/Standard/OmniboxSearchSuggestTrialStarted2013Q1/9/OneClickSignIn/Standard/OverlappedReadImpact/OverlappedReadDisabled/Prerender/PrerenderEnabled/PrerenderLocalPredictor/Disabled/Test0PercentDefault/group_01/UMA-Dynamic-Binary-Uniformity-Trial/default/UMA-Session-Randomized-Uniformity-Trial-5-Percent/group_11/UMA-Uniformity-Trial-1-Percent/group_14/UMA-Uniformity-Trial-10-Percent/group_01/UMA-Uniformity-Trial-20-Percent/group_01/UMA-Uniformity-Trial-5-Percent/group_13/UMA-Uniformity-Trial-50-Percent/default/ --renderer-print-preview --enable-threaded-compositing --channel="4692.4.981835609\1741576460" /prefetch:3
c:\users\Андрей\appdata\local\google\chrome\application\chrome.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	5668	Google Chrome	Copyright 2012 Google Inc. All rights reserved.	??	1281.95 кб, rsAh, создан: 23.08.2011 22:33:26, изменен: 09.04.2013 12:57:09, имя содержит национальные символы Командная строка: "C:\Users\Андрей\AppData\Local\Google\Chrome\Application\chrome.exe" --type=ppapi --channel="4692.5.1861889731\531752100" --lang=ru --ignored=" --type=renderer " /prefetch:13
c:\programdata\datacardservice\dcservice.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1176	DCSHOST	Copyright (C) 2008	??	224.00 кб, rsAh, создан: 08.05.2010 15:48:36, изменен: 08.05.2010 15:48:36 Командная строка: C:\ProgramData\DatacardService\DCService.exe
c:\programdata\datacardservice\dcshelper.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1820	DataCardMonitor MFC Application	Copyright (C) Huawei Technologies Co., Ltd. 2004-2006. All rights reserved.	??	236.00 кб, rsAh, создан: 08.05.2010 15:48:26, изменен: 08.05.2010 15:48:26 Командная строка: "C:\ProgramData\DatacardService\DCSHelper.exe"
c:\windows\system32\dwm.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1708	Диспетчер окон рабочего стола	© Корпорация Майкрософт. все права защищены.	??	90.50 кб, rsAh, создан: 14.07.2009 03:24:23, изменен: 14.07.2009 05:14:19 Командная строка: "C:\Windows\system32\Dwm.exe"
c:\program files\eset\eset smart security\egui.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1028	ESET GUI	Copyright (c) ESET, spol. s r.o. 1992-2012. All rights reserved.	??	3044.28 кб, rsAh, создан: 07.03.2012 15:40:28, изменен: 07.03.2012 15:40:28 Командная строка: "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
c:\program files\eset\eset smart security\ekrn.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1836	ESET Service	Copyright (c) ESET, spol. s r.o. 1992-2012. All rights reserved.	??	891.74 кб, rsAh, создан: 07.03.2012 15:40:34, изменен: 07.03.2012 15:40:34 Командная строка: "C:\Program Files\ESET\ESET Smart Security\ekrn.exe"
c:\windows\explorer.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1740	Проводник	© Корпорация Майкрософт. Все права защищены.	??	2553.50 кб, rsAh, создан: 06.05.2012 14:48:15, изменен: 26.02.2011 09:33:07 Командная строка: C:\Windows\Explorer.EXE
c:\program files\ati technologies\ati.ace\fuel\fuel.service.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	820	Служба Fusion Utility Service	Copyright © 2009-2010 Advanced Micro Devices, Inc. All Rights Reserved.	??	285.00 кб, rsAh, создан: 04.07.2012 01:34:42, изменен: 04.07.2012 01:34:42 Командная строка: "C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe" /launchService
c:\windows\system32\hotfixq0306270.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	372	HotFix Q0306270	Copyright c 2003 Prolific Technology Inc.	??	44.00 кб, rsAh, создан: 01.06.2011 15:29:52, изменен: 05.08.2003 10:32:12 Командная строка: "C:\Windows\System32\HotFixQ0306270.exe"
c:\program files\hp\hp software update\hpwuschd2.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1444	hpwuSchd Application	Copyright (C) Hewlett-Packard 2007	??	53.30 кб, rsAh, создан: 08.12.2008 15:50:04, изменен: 08.12.2008 15:50:04 Командная строка: "C:\Program Files\HP\HP Software Update\hpwuschd2.exe"
c:\windows\system32\lsass.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	684	Local Security Authority Process	© Microsoft Corporation. All rights reserved.	??	22.00 кб, rsAh, создан: 06.05.2012 14:51:43, изменен: 17.11.2011 09:36:26 Командная строка: C:\Windows\system32\lsass.exe
c:\program files\ati technologies\ati.ace\core-static\mom.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	2272	Catalyst Control Center: Monitoring program	2002-2012	??	292.00 кб, rsAh, создан: 25.01.2012 15:32:42, изменен: 25.01.2012 15:32:42 Командная строка: "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM" PriorityLow
c:\program files\odindoma\bin\a\odindomasrv.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	2096	OdinDomaSRV Активная фильтрация трафика		??	667.00 кб, rsAh, создан: 12.09.2012 14:53:40, изменен: 12.09.2012 14:53:40 Командная строка: "C:\Program Files\OdinDoma\bin\a\OdinDomaSRV.exe"
c:\windows\microsoft.net\framework\v3.0\wpf\presentationfontcache.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	2216	PresentationFontCache.exe	© Microsoft Corporation. All rights reserved.	??	41.85 кб, rsAh, создан: 14.07.2009 04:35:50, изменен: 11.06.2009 01:14:51 Командная строка: C:\Windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
c:\program files\quicktime\qttask.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1556		© Apple Computer, Inc. 2001-2004	??	96.00 кб, rsAh, создан: 24.02.2011 16:26:03, изменен: 24.02.2011 16:26:03 Командная строка: "C:\Program Files\QuickTime\qttask.exe" -atboottime
c:\program files\rocketdock\rocketdock.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	2648			??	484.00 кб, rsAh, создан: 02.06.2011 00:26:13, изменен: 02.09.2007 13:58:52 Командная строка: "C:\Program Files\RocketDock\RocketDock.exe"
c:\program files\realtek\audio\hda\rthdvcpl.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1552	Диспетчер Realtek HD	2011 (c) Realtek Semiconductor. All rights reserved.	??	9846.60 кб, rsah, создан: 07.06.2011 16:23:25, изменен: 31.05.2011 14:02:40 Командная строка: "C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe" -s
c:\windows\system32\searchfilterhost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	5376	Microsoft Windows Search Filter Host	© Microsoft Corporation. All rights reserved.	??	84.50 кб, rsAh, создан: 06.05.2012 14:59:50, изменен: 04.05.2011 08:52:12 Командная строка: "C:\Windows\system32\SearchFilterHost.exe" 0 508 512 520 65536 516
c:\windows\system32\searchindexer.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	3216	Индексатор службы Microsoft Windows Search	© Корпорация Майкрософт. Все права защищены.	??	418.00 кб, rsAh, создан: 06.05.2012 14:59:51, изменен: 04.05.2011 08:52:12 Командная строка: C:\Windows\system32\SearchIndexer.exe /Embedding
c:\windows\system32\searchprotocolhost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	5448	Microsoft Windows Search Protocol Host	© Microsoft Corporation. All rights reserved.	??	160.50 кб, rsAh, создан: 06.05.2012 14:59:50, изменен: 04.05.2011 08:52:12 Командная строка: "C:\Windows\system32\SearchProtocolHost.exe" Global\UsGthrFltPipeMssGthrPipe2_ Global\UsGthrCtrlFltPipeMssGthrPipe2 1 -2147483646 "Software\Microsoft\Windows Search" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT; MS Search 4.0 Robot)" "C:\ProgramData\Microsoft\Search\Data\Temp\usgthrsvc" "DownLevelDaemon"
c:\windows\system32\searchprotocolhost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	968	Microsoft Windows Search Protocol Host	© Microsoft Corporation. All rights reserved.	??	160.50 кб, rsAh, создан: 06.05.2012 14:59:50, изменен: 04.05.2011 08:52:12 Командная строка: "C:\Windows\system32\SearchProtocolHost.exe" Global\UsGthrFltPipeMssGthrPipe_S-1-5-21-1741688597-986822383-1107422506-10001_ Global\UsGthrCtrlFltPipeMssGthrPipe_S-1-5-21-1741688597-986822383-1107422506-10001 1 -2147483646 "Software\Microsoft\Windows Search" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT; MS Search 4.0 Robot)" "C:\ProgramData\Microsoft\Search\Data\Temp\usgthrsvc" "DownLevelDaemon" "1"
c:\windows\system32\services.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	660	Приложение служб и контроллеров	© Корпорация Майкрософт. Все права защищены.	??	253.00 кб, rsAh, создан: 14.07.2009 03:11:26, изменен: 14.07.2009 05:14:36 Командная строка: C:\Windows\system32\services.exe
c:\program files\windows sidebar\sidebar.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	2432	Гаджеты рабочего стола Windows	© Корпорация Майкрософт. Все права защищены.	??	1146.00 кб, rsAh, создан: 14.07.2009 03:41:21, изменен: 14.07.2009 05:14:38 Командная строка: "C:\Program Files\Windows Sidebar\sidebar.exe" /autoRun
c:\windows\system32\spoolsv.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1892	Диспетчер очереди печати	© Корпорация Майкрософт. Все права защищены.	??	309.50 кб, rsAh, создан: 06.05.2012 14:53:31, изменен: 21.08.2010 09:32:37 Командная строка: C:\Windows\System32\spoolsv.exe
c:\program files\alcohol soft\alcohol 120\starwind\starwindserviceae.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	2264	StarWind iSCSI Target (Alcohol Edition)	Copyright (c) Rocket Division Software 2003-2007. All rights reserved.	??	269.50 кб, rsAh, создан: 28.05.2007 20:57:54, изменен: 28.05.2007 20:57:54 Командная строка: "C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe"
c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1020	Хост-процесс для служб Windows	© Корпорация Майкрософт. Все права защищены.	??	20.50 кб, rsAh, создан: 14.07.2009 03:19:28, изменен: 14.07.2009 05:14:41 Командная строка: C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	200	Хост-процесс для служб Windows	© Корпорация Майкрософт. Все права защищены.	??	20.50 кб, rsAh, создан: 14.07.2009 03:19:28, изменен: 14.07.2009 05:14:41 Командная строка: C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1068	Хост-процесс для служб Windows	© Корпорация Майкрософт. Все права защищены.	??	20.50 кб, rsAh, создан: 14.07.2009 03:19:28, изменен: 14.07.2009 05:14:41 Командная строка: C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	2348	Хост-процесс для служб Windows	© Корпорация Майкрософт. Все права защищены.	??	20.50 кб, rsAh, создан: 14.07.2009 03:19:28, изменен: 14.07.2009 05:14:41 Командная строка: C:\Windows\system32\svchost.exe -k imgsvc
c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	3964	Хост-процесс для служб Windows	© Корпорация Майкрософт. Все права защищены.	??	20.50 кб, rsAh, создан: 14.07.2009 03:19:28, изменен: 14.07.2009 05:14:41 Командная строка: C:\Windows\System32\svchost.exe -k secsvcs
c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1112	Хост-процесс для служб Windows	© Корпорация Майкрософт. Все права защищены.	??	20.50 кб, rsAh, создан: 14.07.2009 03:19:28, изменен: 14.07.2009 05:14:41 Командная строка: C:\Windows\system32\svchost.exe -k netsvcs
c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1260	Хост-процесс для служб Windows	© Корпорация Майкрософт. Все права защищены.	??	20.50 кб, rsAh, создан: 14.07.2009 03:19:28, изменен: 14.07.2009 05:14:41 Командная строка: C:\Windows\system32\svchost.exe -k LocalService
c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	884	Хост-процесс для служб Windows	© Корпорация Майкрософт. Все права защищены.	??	20.50 кб, rsAh, создан: 14.07.2009 03:19:28, изменен: 14.07.2009 05:14:41 Командная строка: C:\Windows\system32\svchost.exe -k RPCSS
c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1416	Хост-процесс для служб Windows	© Корпорация Майкрософт. Все права защищены.	??	20.50 кб, rsAh, создан: 14.07.2009 03:19:28, изменен: 14.07.2009 05:14:41 Командная строка: C:\Windows\system32\svchost.exe -k NetworkService
c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1664	Хост-процесс для служб Windows	© Корпорация Майкрософт. Все права защищены.	??	20.50 кб, rsAh, создан: 14.07.2009 03:19:28, изменен: 14.07.2009 05:14:41 Командная строка: C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	800	Хост-процесс для служб Windows	© Корпорация Майкрософт. Все права защищены.	??	20.50 кб, rsAh, создан: 14.07.2009 03:19:28, изменен: 14.07.2009 05:14:41 Командная строка: C:\Windows\system32\svchost.exe -k DcomLaunch
c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	3808	Хост-процесс для служб Windows	© Корпорация Майкрософт. Все права защищены.	??	20.50 кб, rsAh, создан: 14.07.2009 03:19:28, изменен: 14.07.2009 05:14:41 Командная строка: C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted
c:\windows\system32\taskeng.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1868	Обработчик планировщика заданий	© Корпорация Майкрософт. Все права защищены.	??	187.50 кб, rsAh, создан: 06.05.2012 17:48:30, изменен: 02.11.2010 08:34:44 Командная строка: taskeng.exe {A2B7462D-C3D0-407D-BFC6-C66750EBEDBA}S-1-5-18:NT AUTHORITY\System:Service:
c:\windows\system32\taskeng.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	988	Обработчик планировщика заданий	© Корпорация Майкрософт. Все права защищены.	??	187.50 кб, rsAh, создан: 06.05.2012 17:48:30, изменен: 02.11.2010 08:34:44 Командная строка: taskeng.exe {82459F66-69B1-46D4-896E-E544029ED74A}S-1-5-21-1741688597-986822383-1107422506-1000:Андрей-ПК\Андрей:Interactive:[1]
c:\windows\system32\taskhost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	3884	Хост-процесс для задач Windows	© Корпорация Майкрософт. Все права защищены.	??	48.00 кб, rsAh, создан: 14.07.2009 03:19:25, изменен: 14.07.2009 05:14:42 Командная строка: "taskhost.exe"
c:\windows\system32\taskhost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	2024	Хост-процесс для задач Windows	© Корпорация Майкрософт. Все права защищены.	??	48.00 кб, rsAh, создан: 14.07.2009 03:19:25, изменен: 14.07.2009 05:14:42 Командная строка: "taskhost.exe"
c:\programdata\vksaver\vksaver.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	2004	VKSaver tray proxy for saving music from vkontakte.ru	Copyright (C) 2009 AudioVkontakte.ru	??	219.50 кб, rsAh, создан: 13.04.2011 19:08:05, изменен: 03.02.2013 17:50:09 Командная строка: C:\ProgramData\VKSaver\VKSaver.exe -autoupdate
c:\programdata\vksaver\vksaver.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1628	VKSaver tray proxy for saving music from vkontakte.ru	Copyright (C) 2009 AudioVkontakte.ru	??	219.50 кб, rsAh, создан: 13.04.2011 19:08:05, изменен: 03.02.2013 17:50:09 Командная строка: "C:\ProgramData\VKSaver\VKSaver.exe"
c:\windows\system32\wininit.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	572	Автозагрузка приложений Windows	© Корпорация Майкрософт. Все права защищены.	??	94.00 кб, rsAh, создан: 14.07.2009 03:36:49, изменен: 14.07.2009 05:14:45 Командная строка: wininit.exe
c:\windows\system32\winlogon.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	608	Программа входа в систему Windows	© Корпорация Майкрософт. Все права защищены.	??	279.00 кб, rsAh, создан: 06.05.2012 14:51:23, изменен: 28.10.2009 10:17:59 Командная строка: winlogon.exe
c:\program files\winrar\winrar.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	3516	WinRAR archiver	Copyright © Alexander Roshal 1993-2012	??	1132.50 кб, rsAh, создан: 16.01.2011 20:25:51, изменен: 13.07.2012 11:40:27 Командная строка: "C:\Program Files\WinRAR\WinRAR.exe" "C:\Users\Андрей\Downloads\Архивы\avz4.zip"
\\?\c:\windows\system32\wbem\wmiadap.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	5740	WMI Reverse Performance Adapter Maintenance Utility	© Microsoft Corporation. All rights reserved.	??	112.50 кб, rsAh, создан: 14.07.2009 03:30:41, изменен: 14.07.2009 05:14:46 Командная строка: wmiadap.exe /F /T /R
c:\windows\system32\wbem\wmiprvse.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	2176	WMI Provider Host	© Microsoft Corporation. All rights reserved.	??	249.00 кб, rsAh, создан: 14.07.2009 03:30:40, изменен: 14.07.2009 05:14:47 Командная строка: C:\Windows\system32\wbem\wmiprvse.exe-Embedding
c:\windows\system32\wbem\wmiprvse.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	5948	WMI Provider Host	© Microsoft Corporation. All rights reserved.	??	249.00 кб, rsAh, создан: 14.07.2009 03:30:40, изменен: 14.07.2009 05:14:47 Командная строка: C:\Windows\system32\wbem\wmiprvse.exe-secured-Embedding
c:\windows\system32\wudfhost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	3968	Windows Driver Foundation (WDF) - хост-процесс инфраструктуры драйверов пользовательского режима	© Корпорация Майкрософт. Все права защищены.	??	191.00 кб, rsAh, создан: 14.07.2009 03:50:16, изменен: 14.07.2009 05:14:50 Командная строка: "C:\Windows\system32\WUDFHost.exe" -HostGUID:{193a1820-d9ac-4997-8c55-be817523f6aa} -IoEventPortName:HostProcess-541db87c-a564-4d81-841e-5903ec8b8041 -SystemEventPortName:HostProcess-d35fde65-bb67-4c79-ad68-1963488dc7b8 -IoCancelEventPortName:HostProcess-4e37904e-77cd-4e6f-9545-ba0eae8570e5 -NonStateChangingEventPortName:HostProcess-1f325992-076e-4e17-9ace-9390f70ce19a -ServiceSID:S-1-5-80-2652678385-582572993-1835434367-1344795993-749280709 -LifetimeId:43f35fc7-f24a-4f46-bec2-5f6dbde90e43
Обнаружено:71, из них опознаны как безопасные 62

Имя модуля	Handle	Описание	Copyright	MD5	Используется процессами
C:\Program Files\OdinDoma\bin\a\chsdet.dll Скрипт: Kарантин, Удалить, Удалить через BC	1835008	Charset detector	Nick Yakowlew, ya_nick@users.sourceforge.net	--	2096
C:\Program Files\OdinDoma\bin\a\spi.dll Скрипт: Kарантин, Удалить, Удалить через BC	88342528			--	4692, 2096, 660, 1892, 2264, 1112, 884, 1664, 1628
C:\Program Files\OdinDoma\bin\a\sqlite3.dll Скрипт: Kарантин, Удалить, Удалить через BC	1620049920			--	2096
C:\Program Files\OdinDoma\spi.dll Скрипт: Kарантин, Удалить, Удалить через BC	47513600	spi controller		--	4692, 2096, 660, 1892, 2264, 1112, 884, 1664, 1628
C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{A57FCCB8-4094-446D-8981-224CFE1BCCE6}\mpengine.dll Скрипт: Kарантин, Удалить, Удалить через BC	1653604352	Microsoft Malware Protection Engine	© Microsoft Corporation. All rights reserved.	--	3964
C:\PROGRA~2\Mozilla\ztlrhia.dll Скрипт: Kарантин, Удалить, Удалить через BC	268435456			--	1300, 972, 252, 1940, 1672, 2372, 2204, 4692, 4824, 4896, 5464, 5668, 1176, 1820, 1708, 1028, 1836, 1740, 820, 372, 1444, 684, 2272, 2096, 2216, 1556, 2648, 1552, 5376, 3216, 5448, 968, 660, 2432, 1892, 2264, 1020, 200, 1068, 2348, 1112, 1260, 884, 1416, 1664, 800, 3808, 1868, 988, 3884, 2024, 2004, 1628, 572, 608, 3516, 5740, 2176, 5948, 3968
C:\Users\Андрей\AppData\Local\Google\Chrome\Application\26.0.1410.64\chrome.dll Скрипт: Kарантин, Удалить, Удалить через BC	1608777728	Google Chrome	Copyright 2012 Google Inc. All rights reserved.	--	4692, 4824, 4896, 5464, 5668
C:\Users\Андрей\AppData\Local\Google\Chrome\Application\26.0.1410.64\D3DCompiler_46.dll Скрипт: Kарантин, Удалить, Удалить через BC	1595473920	Direct3D HLSL Compiler	© Microsoft Corporation. All rights reserved.	--	4824
C:\Users\Андрей\AppData\Local\Google\Chrome\Application\26.0.1410.64\ffmpegsumo.dll Скрипт: Kарантин, Удалить, Удалить через BC	1592131584			--	4896, 5464, 5668
C:\Users\Андрей\AppData\Local\Google\Chrome\Application\26.0.1410.64\icudt.dll Скрипт: Kарантин, Удалить, Удалить через BC	1598750720	ICU Data DLL	Copyright (C) 2010, International Business Machines Corporation and others. All Rights Reserved.	--	4692, 4824, 4896, 5464, 5668
C:\Users\Андрей\AppData\Local\Google\Chrome\Application\26.0.1410.64\libegl.dll Скрипт: Kарантин, Удалить, Удалить через BC	1662648320	ANGLE libEGL Dynamic Link Library	Copyright (C) 2011 Google Inc.	--	4824
C:\Users\Андрей\AppData\Local\Google\Chrome\Application\26.0.1410.64\libglesv2.dll Скрипт: Kарантин, Удалить, Удалить через BC	1662844928	ANGLE libGLESv2 Dynamic Link Library	Copyright (C) 2011 Google Inc.	--	4824
C:\Users\Андрей\AppData\Local\Google\Chrome\Application\26.0.1410.64\pdf.dll Скрипт: Kарантин, Удалить, Удалить через BC	1587085312	Chrome PDF Viewer	Copyright (C) 2010	--	4896, 5464
C:\Users\Андрей\AppData\Local\Google\Chrome\Application\26.0.1410.64\PepperFlash\pepflashplayer.dll Скрипт: Kарантин, Удалить, Удалить через BC	1566900224			--	5668
C:\Users\Андрей\AppData\Local\Google\Chrome\Application\26.0.1410.64\ppGoogleNaClPluginChrome.dll Скрипт: Kарантин, Удалить, Удалить через BC	1595015168			--	4896, 5464
C:\Windows\assembly\NativeImages_v2.0.50727_32\PresentationCore\b6370d1903505abc171c968e357fe1bf\PresentationCore.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1718157312	PresentationCore.dll	© Microsoft Corporation. All rights reserved.	--	2372, 2216
C:\Windows\assembly\NativeImages_v2.0.50727_32\PresentationFramewo#\64e140108933b8090472da1a76b78c20\PresentationFramework.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1694564352	PresentationFramework.dll	© Microsoft Corporation. All rights reserved.	--	2372
C:\Windows\assembly\NativeImages_v2.0.50727_32\System.ServiceProce#\c06efd2e3e05e4e3231904d543240c20\System.ServiceProcess.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1681129472	.NET Framework	© Microsoft Corporation. All rights reserved.	--	2216
C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Web\fe88a64f62eb6afc6dfc945fc335b92b\System.Web.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1755185152	System.Web.dll	© Microsoft Corporation. All rights reserved.	--	2372, 2272
C:\Windows\assembly\NativeImages_v2.0.50727_32\WindowsFormsIntegra#\66e4d742316d29e9b28ef39c0aca5c6e\WindowsFormsIntegration.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1680080896	Windows Presentation Foundation WindowsForms Integration Library	© Microsoft Corporation. All rights reserved.	--	2372
Обнаружено модулей:753, из них опознаны как безопасные 733

Модули пространства ядра

Модуль	Базовый адрес	Размер в памяти	Описание	Производитель
C:\Windows\System32\Drivers\dump_diskdump.sys Скрипт: Kарантин, Удалить, Удалить через BC	81E00000	00A000 (40960)
C:\Windows\System32\Drivers\dump_dumpfve.sys Скрипт: Kарантин, Удалить, Удалить через BC	81E0A000	011000 (69632)
C:\Windows\System32\Drivers\dump_nvstor.sys Скрипт: Kарантин, Удалить, Удалить через BC	94000000	025000 (151552)
C:\Windows\System32\Drivers\spjn.sys Скрипт: Kарантин, Удалить, Удалить через BC	84024000	0F3000 (995328)
Обнаружено модулей - 206, опознано как безопасные - 202

Службы

Служба	Описание	Статус	Файл	Группа	Зависимости
AdobeFlashPlayerUpdateSvc Служба: Стоп, Удалить, Отключить, Удалить через BC	Adobe Flash Player Update Service	Не запущен	C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe Скрипт: Kарантин, Удалить, Удалить через BC
OdinDomaSRV Служба: Стоп, Удалить, Отключить, Удалить через BC	OdinDomaSRV	Не запущен	C:\Program Files\OdinDoma\OdinDomaSRV Скрипт: Kарантин, Удалить, Удалить через BC
Обнаружено - 153, опознано как безопасные - 151

Драйверы

Служба	Описание	Статус	Файл	Группа	Зависимости
sptd Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	sptd	Работает	C:\Windows\System32\Drivers\sptd.sys Скрипт: Kарантин, Удалить, Удалить через BC	Boot Bus Extender
Обнаружено - 268, опознано как безопасные - 267

Автозапуск

Имя файла	Статус	Метод запуска	Описание
C:\PROGRA~2\Mozilla\ztlrhia.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs
C:\Program Files\OdinDoma\OdinDomaGUI.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, Один дома Удалить
C:\ProgramData\VKSaver\VKSaver.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, VKSaver Удалить
C:\Users\Андрей\AppData\Roaming\BaltoStorage\BaltoStorage.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ярлык в папке автозагрузки	C:\Users\Андрей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Андрей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\BaltoStorage.lnk,
C:\Windows\system32\psxss.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix
progman.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, shell Удалить
start AMD Accelerated Video Transcoding device initialization Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, AMD AVT Удалить
vgafix.fon Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fixedfon.fon Удалить
vgaoem.fon Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, oemfonts.fon Удалить
vgasys.fon Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fonts.fon Удалить
Обнаружено элементов автозапуска - 720, опознано как безопасные - 710

Модули расширения Internet Explorer (BHO, панели ...)

Имя файла	Тип	Описание	Производитель	CLSID
	BHO			{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} Удалить
	BHO			{8984B388-A5BB-4DF7-B274-77B879E179DB} Удалить
	Панель			{09900DE8-1DCA-443F-9243-26FF581438AF} Удалить
	URLSearchHook			{09900DE8-1DCA-443F-9243-26FF581438AF} Удалить
Обнаружено элементов - 13, опознано как безопасные - 9

Модули расширения проводника

Имя файла	Назначение	Описание	Производитель	CLSID
Обнаружено элементов - 10, опознано как безопасные - 10

Модули расширения системы печати (мониторы печати, провайдеры)

Имя файла	Тип	Наименование	Описание	Производитель
Обнаружено элементов - 8, опознано как безопасные - 8

Задания планировщика задач Task Scheduler

Имя файла	Имя задания	Состояние задания	Описание	Производитель
C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe Скрипт: Kарантин, Удалить, Удалить через BC	Adobe Flash Player Updater.job Скрипт: Удалить	The task is ready to run at its next scheduled time.	Adobe® Flash® Player Update Service 11.6 r602	Copyright © 1996 Adobe Systems Incorporated
Обнаружено элементов - 5, опознано как безопасные - 4

Настройки SPI/LSP

Поставщики пространства имен (NSP)

Поставщик	Статус	Исп. файл	Описание	GUID
Обнаружено - 6, опознано как безопасные - 6

Поставщики транспортных протоколов (TSP, LSP)

Поставщик Исп. файл Описание
OdinDoma over [MSAFD Tcpip [TCP/IP]] C:\Program Files\OdinDoma\spi.dll
Скрипт: Kарантин, Удалить, Удалить через BC
OdinDoma C:\Program Files\OdinDoma\spi.dll
Скрипт: Kарантин, Удалить, Удалить через BC
Обнаружено - 38, опознано как безопасные - 36
Результаты автоматического анализа настроек SPI
Настройки LSP проверены. Ошибок не обнаружено

Порты TCP/UDP

Порт Статус Remote Host Remote Port Приложение Примечания
Порты TCP
135 LISTENING 0.0.0.0 0 [884] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
139 LISTENING 0.0.0.0 0 [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445 LISTENING 0.0.0.0 0 [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1380 LISTENING 0.0.0.0 0 [1628] c:\programdata\vksaver\vksaver.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
3260 LISTENING 0.0.0.0 0 [2264] c:\program files\alcohol soft\alcohol 120\starwind\starwindserviceae.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
3261 LISTENING 0.0.0.0 0 [2264] c:\program files\alcohol soft\alcohol 120\starwind\starwindserviceae.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
7219 LISTENING 0.0.0.0 0 [2096] c:\program files\odindoma\bin\a\odindomasrv.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
7219 ESTABLISHED 127.0.0.1 49207 [2096] c:\program files\odindoma\bin\a\odindomasrv.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
7219 ESTABLISHED 127.0.0.1 49208 [2096] c:\program files\odindoma\bin\a\odindomasrv.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
7219 ESTABLISHED 127.0.0.1 49247 [2096] c:\program files\odindoma\bin\a\odindomasrv.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
7219 ESTABLISHED 127.0.0.1 49248 [2096] c:\program files\odindoma\bin\a\odindomasrv.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
7219 ESTABLISHED 127.0.0.1 49249 [2096] c:\program files\odindoma\bin\a\odindomasrv.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
7219 ESTABLISHED 127.0.0.1 49250 [2096] c:\program files\odindoma\bin\a\odindomasrv.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49152 LISTENING 0.0.0.0 0 [572] c:\windows\system32\wininit.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49153 LISTENING 0.0.0.0 0 [1020] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49154 LISTENING 0.0.0.0 0 [684] c:\windows\system32\lsass.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49155 LISTENING 0.0.0.0 0 [1112] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49165 LISTENING 0.0.0.0 0 [660] c:\windows\system32\services.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49178 ESTABLISHED 74.125.143.95 443 [4692] c:\users\Андрей\appdata\local\google\chrome\application\chrome.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49179 ESTABLISHED 173.194.71.101 443 [4692] c:\users\Андрей\appdata\local\google\chrome\application\chrome.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49207 ESTABLISHED 127.0.0.1 7219 [4692] c:\users\Андрей\appdata\local\google\chrome\application\chrome.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49208 ESTABLISHED 127.0.0.1 7219 [4692] c:\users\Андрей\appdata\local\google\chrome\application\chrome.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49237 ESTABLISHED 173.194.71.100 80 [2096] c:\program files\odindoma\bin\a\odindomasrv.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49238 ESTABLISHED 74.125.143.120 443 [4692] c:\users\Андрей\appdata\local\google\chrome\application\chrome.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49241 ESTABLISHED 173.194.71.100 80 [2096] c:\program files\odindoma\bin\a\odindomasrv.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49247 ESTABLISHED 127.0.0.1 7219 [4692] c:\users\Андрей\appdata\local\google\chrome\application\chrome.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49248 ESTABLISHED 127.0.0.1 7219 [4692] c:\users\Андрей\appdata\local\google\chrome\application\chrome.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49249 ESTABLISHED 127.0.0.1 7219 [4692] c:\users\Андрей\appdata\local\google\chrome\application\chrome.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49250 ESTABLISHED 127.0.0.1 7219 [4692] c:\users\Андрей\appdata\local\google\chrome\application\chrome.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49256 ESTABLISHED 173.194.71.100 80 [2096] c:\program files\odindoma\bin\a\odindomasrv.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49258 ESTABLISHED 173.194.71.100 80 [2096] c:\program files\odindoma\bin\a\odindomasrv.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49260 ESTABLISHED 173.194.71.100 80 [2096] c:\program files\odindoma\bin\a\odindomasrv.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49261 ESTABLISHED 173.194.71.100 80 [2096] c:\program files\odindoma\bin\a\odindomasrv.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49407 TIME_WAIT 127.0.0.1 7219 [0]
49408 TIME_WAIT 217.16.18.213 80 [0]
49417 TIME_WAIT 89.108.72.68 80 [0]
49418 TIME_WAIT 89.108.72.68 80 [0]
49419 TIME_WAIT 89.108.72.68 80 [0]
49420 TIME_WAIT 89.108.72.68 80 [0]
49421 TIME_WAIT 89.108.72.68 80 [0]
49422 TIME_WAIT 89.108.72.68 80 [0]
49423 TIME_WAIT 89.108.72.68 80 [0]
49424 TIME_WAIT 89.108.72.68 80 [0]
49425 TIME_WAIT 89.108.72.68 80 [0]
49426 ESTABLISHED 89.108.72.68 80 [2096] c:\program files\odindoma\bin\a\odindomasrv.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
Порты UDP
137 LISTENING -- -- [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138 LISTENING -- -- [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
500 LISTENING -- -- [1112] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900 LISTENING -- -- [200] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900 LISTENING -- -- [200] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
4500 LISTENING -- -- [1112] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
5355 LISTENING -- -- [1416] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49152 LISTENING -- -- [2204] c:\program files\odindoma\bin\a\childgui.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49153 LISTENING -- -- [2432] c:\program files\windows sidebar\sidebar.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
55706 LISTENING -- -- [1416] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
61259 LISTENING -- -- [200] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
61260 LISTENING -- -- [200] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить

Downloaded Program Files (DPF)

Имя файла Описание Производитель CLSID URL загрузки
Обнаружено элементов - 0, опознано как безопасные - 0

Апплеты панели управления (CPL)

Имя файла Описание Производитель
C:\Windows\system32\FlashPlayerCPLApp.cpl
Скрипт: Kарантин, Удалить, Удалить через BC Adobe Flash Player Control Panel Applet Copyright © 1996 Adobe Systems Incorporated. All Rights Reserved. Adobe and Flash are either trademarks or registered trademarks in the United States and/or other countries.
Обнаружено элементов - 23, опознано как безопасные - 22

Active Setup

Имя файла Описание Производитель CLSID
Обнаружено элементов - 9, опознано как безопасные - 9

Файл HOSTS

Запись файла Hosts

Протоколы и обработчики

Имя файла Тип Описание Производитель CLSID
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
Обнаружено элементов - 21, опознано как безопасные - 18

Подозрительные объекты

Файл Описание Тип
C:\Windows\system32\DRIVERS\ehdrv.sys
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit Перехватчик KernelMode
c:\program files\odindoma\spi.dll
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение файлового сканера Подозрение на Monitor.Win32.KeyLogger.la ( 093B6DB3 0380C8BA 00245C76 0019BF44 45056)

Внимание !!! База поcледний раз обновлялась 30.01.2013 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.39
Сканирование запущено в 02.05.2013 10:28:29
Загружена база: сигнатуры - 297614, нейропрофили - 2, микропрограммы лечения - 56, база от 30.01.2013 18:40
Загружены микропрограммы эвристики: 399
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 506902
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 6.1.7600,  ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=1689C0)
 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 8344F000
   SDT = 835B79C0
   KiST = 834BE840 (401)
Функция NtCreateThread (57) перехвачена (8372A29A->8E71A7F0), перехватчик C:\Windows\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtLoadDriver (9B) перехвачена (835F0313->8E71A8B0), перехватчик C:\Windows\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtSetSystemInformation (15E) перехвачена (836DA4A3->8E71A870), перехватчик C:\Windows\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtSystemDebugControl (170) перехвачена (83658761->8E71A830), перехватчик C:\Windows\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Проверено функций: 401, перехвачено: 4, восстановлено: 0
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Анализ для процессора 2
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
 Драйвер успешно загружен
\FileSystem\ntfs[IRP_MJ_CREATE] = 8672B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8672B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8672B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8672B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8672B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8672B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8672B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8672B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8672B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8672B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8672B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8672B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8672B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8672B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8672B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8672B1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 88C631F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 88C631F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 88C631F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 88C631F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 88C631F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 88C631F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 88C631F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 88C631F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 88C631F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 88C631F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 88C631F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 88C631F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 88C631F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 88C631F8 -> перехватчик не определен
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 67
Анализатор - изучается процесс 2004 C:\ProgramData\VKSaver\VKSaver.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 1628 C:\ProgramData\VKSaver\VKSaver.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 2096 C:\Program Files\OdinDoma\bin\a\OdinDomaSRV.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Прослушивает порты, применяемые протоколом HTTP !
[ES]:Приложение не имеет видимых окон
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
 Количество загруженных модулей: 728
c:\program files\odindoma\spi.dll >>> подозрение на Monitor.Win32.KeyLogger.la ( 093B6DB3 0380C8BA 00245C76 0019BF44 45056)
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
 Проверка отключена пользователем
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~2\Mozilla\ztlrhia.dll"
Обнаружен вызов интерпретатора командной строки в автозапуске [DR=1] HKCU\Software\Microsoft\Windows\CurrentVersion\Run\AlcoholAutomount = ["C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount]
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Таймаут завершения процессов находится за пределами допустимых значений
 >>  Таймаут завершения служб находится за пределами допустимых значений
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 795, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 1
Сканирование завершено в 02.05.2013 10:29:40
Сканирование длилось 00:01:12
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Выполняется исследование системы

 Исследование системы завершено


Команды скрипта 
Добавить в скрипт команды:
Нейтрализация перехватов функций при помощи антируткита
Включить AVZGuard
Управление AVZPM (true-включить,false-отключить)
BootCleaner - импорт списка удаленных файлов
BootCleaner - импортировать все
Чистка реестра после удаления файлов
ExecuteWizard ('TSW',2,3,true) - Выполнение мастера поиска и устранения проблем
BootCleaner - активация
Перезагрузка
Вставить заготовку для QuarantineFile() - помещение файла в карантин
Вставить заготовку для BC_QrFile() - помещение файла в карантин через BC
Вставить заготовку для DeleteFile() - удаление файла
Вставить заготовку для DelCLSID() - удаление CLSID класса из реестра
Дополнительные операции:Оптимизация - отключить службу TermService (Службы удаленных рабочих столов)
Оптимизация - отключить службу SSDPSRV (Обнаружение SSDP)
Оптимизация - отключить службу Schedule (Планировщик заданий)
Оптимизация - безопасность - отключить автозапуск программ с CD
Оптимизация - безопасность - отключить административный доступ к локальным дискам
Оптимизация - безопасность - блокировать возможность подключения анонимных пользователей
Безопасность - запретить отправку приглашений удаленному помощнику

Список файлов

Порт	Статус	Remote Host	Remote Port	Приложение	Примечания
Порты TCP
135	LISTENING	0.0.0.0	0	[884] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
139	LISTENING	0.0.0.0	0	[4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445	LISTENING	0.0.0.0	0	[4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1380	LISTENING	0.0.0.0	0	[1628] c:\programdata\vksaver\vksaver.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
3260	LISTENING	0.0.0.0	0	[2264] c:\program files\alcohol soft\alcohol 120\starwind\starwindserviceae.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
3261	LISTENING	0.0.0.0	0	[2264] c:\program files\alcohol soft\alcohol 120\starwind\starwindserviceae.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
7219	LISTENING	0.0.0.0	0	[2096] c:\program files\odindoma\bin\a\odindomasrv.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
7219	ESTABLISHED	127.0.0.1	49207	[2096] c:\program files\odindoma\bin\a\odindomasrv.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
7219	ESTABLISHED	127.0.0.1	49208	[2096] c:\program files\odindoma\bin\a\odindomasrv.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
7219	ESTABLISHED	127.0.0.1	49247	[2096] c:\program files\odindoma\bin\a\odindomasrv.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
7219	ESTABLISHED	127.0.0.1	49248	[2096] c:\program files\odindoma\bin\a\odindomasrv.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
7219	ESTABLISHED	127.0.0.1	49249	[2096] c:\program files\odindoma\bin\a\odindomasrv.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
7219	ESTABLISHED	127.0.0.1	49250	[2096] c:\program files\odindoma\bin\a\odindomasrv.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49152	LISTENING	0.0.0.0	0	[572] c:\windows\system32\wininit.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49153	LISTENING	0.0.0.0	0	[1020] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49154	LISTENING	0.0.0.0	0	[684] c:\windows\system32\lsass.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49155	LISTENING	0.0.0.0	0	[1112] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49165	LISTENING	0.0.0.0	0	[660] c:\windows\system32\services.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49178	ESTABLISHED	74.125.143.95	443	[4692] c:\users\Андрей\appdata\local\google\chrome\application\chrome.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49179	ESTABLISHED	173.194.71.101	443	[4692] c:\users\Андрей\appdata\local\google\chrome\application\chrome.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49207	ESTABLISHED	127.0.0.1	7219	[4692] c:\users\Андрей\appdata\local\google\chrome\application\chrome.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49208	ESTABLISHED	127.0.0.1	7219	[4692] c:\users\Андрей\appdata\local\google\chrome\application\chrome.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49237	ESTABLISHED	173.194.71.100	80	[2096] c:\program files\odindoma\bin\a\odindomasrv.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49238	ESTABLISHED	74.125.143.120	443	[4692] c:\users\Андрей\appdata\local\google\chrome\application\chrome.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49241	ESTABLISHED	173.194.71.100	80	[2096] c:\program files\odindoma\bin\a\odindomasrv.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49247	ESTABLISHED	127.0.0.1	7219	[4692] c:\users\Андрей\appdata\local\google\chrome\application\chrome.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49248	ESTABLISHED	127.0.0.1	7219	[4692] c:\users\Андрей\appdata\local\google\chrome\application\chrome.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49249	ESTABLISHED	127.0.0.1	7219	[4692] c:\users\Андрей\appdata\local\google\chrome\application\chrome.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49250	ESTABLISHED	127.0.0.1	7219	[4692] c:\users\Андрей\appdata\local\google\chrome\application\chrome.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49256	ESTABLISHED	173.194.71.100	80	[2096] c:\program files\odindoma\bin\a\odindomasrv.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49258	ESTABLISHED	173.194.71.100	80	[2096] c:\program files\odindoma\bin\a\odindomasrv.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49260	ESTABLISHED	173.194.71.100	80	[2096] c:\program files\odindoma\bin\a\odindomasrv.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49261	ESTABLISHED	173.194.71.100	80	[2096] c:\program files\odindoma\bin\a\odindomasrv.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49407	TIME_WAIT	127.0.0.1	7219	[0]
49408	TIME_WAIT	217.16.18.213	80	[0]
49417	TIME_WAIT	89.108.72.68	80	[0]
49418	TIME_WAIT	89.108.72.68	80	[0]
49419	TIME_WAIT	89.108.72.68	80	[0]
49420	TIME_WAIT	89.108.72.68	80	[0]
49421	TIME_WAIT	89.108.72.68	80	[0]
49422	TIME_WAIT	89.108.72.68	80	[0]
49423	TIME_WAIT	89.108.72.68	80	[0]
49424	TIME_WAIT	89.108.72.68	80	[0]
49425	TIME_WAIT	89.108.72.68	80	[0]
49426	ESTABLISHED	89.108.72.68	80	[2096] c:\program files\odindoma\bin\a\odindomasrv.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
Порты UDP
137	LISTENING	--	--	[4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138	LISTENING	--	--	[4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
500	LISTENING	--	--	[1112] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900	LISTENING	--	--	[200] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900	LISTENING	--	--	[200] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
4500	LISTENING	--	--	[1112] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
5355	LISTENING	--	--	[1416] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49152	LISTENING	--	--	[2204] c:\program files\odindoma\bin\a\childgui.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49153	LISTENING	--	--	[2432] c:\program files\windows sidebar\sidebar.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
55706	LISTENING	--	--	[1416] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
61259	LISTENING	--	--	[200] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
61260	LISTENING	--	--	[200] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить