Протокол исследования системы

Список процессов

Имя файла	PID	Описание	Copyright	MD5	Информация
c:\program files\avast software\avast\avastsvc.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1388	avast! Service	Copyright (c) 2013 AVAST Software	??	45.71 кб, rsAh, создан: 16.05.2013 07:45:40, изменен: 09.05.2013 14:58:30 Командная строка: "C:\Program Files\AVAST Software\Avast\AvastSvc.exe"
c:\program files\logmein hamachi\hamachi-2.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1888	Hamachi Client Tunneling Engine	Copyright (C) LogMeIn Inc. 2004-2011	??	1341.38 кб, rsAh, создан: 02.02.2012 13:22:40, изменен: 02.02.2012 13:22:40 Командная строка: "C:\Program Files\LogMeIn Hamachi\hamachi-2.exe" -s
c:\windows\system32\rundll32.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	3928	Хост-процесс Windows (Rundll32)	© Корпорация Майкрософт. Все права защищены.	??	43.50 кб, rsAh, создан: 14.07.2009 05:41:43, изменен: 14.07.2009 07:14:31 Командная строка: "C:\Windows\system32\rundll32.exe" "C:\Program Files\Garena Plus\ggspawn.dll",rundll_entry
c:\windows\system32\jmdp\stij.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	6140			??	17.80 кб, rsAh, создан: 12.06.2013 14:27:36, изменен: 12.06.2013 14:27:36 Командная строка: "C:\Windows\System32\jmdp\stij.exe"
Обнаружено:57, из них опознаны как безопасные 55

Имя модуля	Handle	Описание	Copyright	MD5	Используется процессами
C:\Program Files\AVAST Software\Avast\defs\13070100\algo.dll Скрипт: Kарантин, Удалить, Удалить через BC	1705508864			--	1388
C:\Program Files\Garena Plus\ggspawn.dll Скрипт: Kарантин, Удалить, Удалить через BC	1666646016			--	3928
C:\Windows\System32\jmdp\lmrn.dll Скрипт: Kарантин, Удалить, Удалить через BC	1740242944			--	6140
Обнаружено модулей:520, из них опознаны как безопасные 517

Модули пространства ядра

Модуль	Базовый адрес	Размер в памяти	Описание	Производитель
C:\Windows\System32\Drivers\dump_atapi.sys Скрипт: Kарантин, Удалить, Удалить через BC	986D4000	009000 (36864)
C:\Windows\System32\Drivers\dump_dumpata.sys Скрипт: Kарантин, Удалить, Удалить через BC	986C9000	00B000 (45056)
C:\Windows\System32\Drivers\dump_dumpfve.sys Скрипт: Kарантин, Удалить, Удалить через BC	986DD000	011000 (69632)
Обнаружено модулей - 201, опознано как безопасные - 198

Службы

Служба	Описание	Статус	Файл	Группа	Зависимости
Hamachi2Svc Служба: Стоп, Удалить, Отключить, Удалить через BC	LogMeIn Hamachi Tunneling Engine	Работает	C:\Program Files\LogMeIn Hamachi\hamachi-2.exe Скрипт: Kарантин, Удалить, Удалить через BC
BEService Служба: Стоп, Удалить, Отключить, Удалить через BC	BattlEye Service	Не запущен	C:\Program Files\Common Files\BattlEye\BEService.exe Скрипт: Kарантин, Удалить, Удалить через BC
TunngleService Служба: Стоп, Удалить, Отключить, Удалить через BC	TunngleService	Не запущен	C:\Program Files\Tunngle\TnglCtrl.exe Скрипт: Kарантин, Удалить, Удалить через BC		Dhcp
Обнаружено - 169, опознано как безопасные - 166

Драйверы

Служба	Описание	Статус	Файл	Группа	Зависимости
GGSAFERDriver Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	GGSAFER Driver	Не запущен	C:\Program Files\Garena Plus\Room\safedrv.sys Скрипт: Kарантин, Удалить, Удалить через BC
MSICDSetup Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	MSICDSetup	Не запущен	D:\CDriver.sys Скрипт: Kарантин, Удалить, Удалить через BC
VGPU Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	VGPU	Не запущен	C:\Windows\system32\drivers\rdvgkmd.sys Скрипт: Kарантин, Удалить, Удалить через BC
Обнаружено - 273, опознано как безопасные - 270

Автозапуск

Имя файла	Статус	Метод запуска	Описание
C:\228f0069bc11033b091ca1\DW\DW20.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\VSSetup, EventMessageFile
C:\Program Files\Advanced File Fixer 2013\AdvancedFileFixer.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ярлык в папке автозагрузки	C:\Users\Ichi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Ichi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Advanced File Fixer 2013.lnk,
C:\Program Files\Garena Plus\GarenaMessenger.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, GarenaPlus Удалить
C:\Windows\system32\psxss.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix
progman.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, shell Удалить
vgafix.fon Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fixedfon.fon Удалить
vgaoem.fon Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, oemfonts.fon Удалить
vgasys.fon Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fonts.fon Удалить
Обнаружено элементов автозапуска - 739, опознано как безопасные - 731

Модули расширения Internet Explorer (BHO, панели ...)

Имя файла	Тип	Описание	Производитель	CLSID
	BHO			{8984B388-A5BB-4DF7-B274-77B879E179DB} Удалить
Обнаружено элементов - 10, опознано как безопасные - 9

Модули расширения проводника

Имя файла	Назначение	Описание	Производитель	CLSID
	WebCheck			{E6FB5E20-DE35-11CF-9C87-00AA005127ED} Удалить
Обнаружено элементов - 20, опознано как безопасные - 19

Модули расширения системы печати (мониторы печати, провайдеры)

Имя файла	Тип	Наименование	Описание	Производитель
Обнаружено элементов - 8, опознано как безопасные - 8

Задания планировщика задач Task Scheduler

Имя файла	Имя задания	Состояние задания	Описание	Производитель
Обнаружено элементов - 5, опознано как безопасные - 5

Настройки SPI/LSP

Поставщики пространства имен (NSP)

Поставщик	Статус	Исп. файл	Описание	GUID
Обнаружено - 8, опознано как безопасные - 8

Поставщики транспортных протоколов (TSP, LSP)

Поставщик Исп. файл Описание
Обнаружено - 32, опознано как безопасные - 32
Результаты автоматического анализа настроек SPI
Настройки LSP проверены. Ошибок не обнаружено

Порты TCP/UDP

Порт Статус Remote Host Remote Port Приложение Примечания
Порты TCP
135 LISTENING 0.0.0.0 0 [896] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
139 LISTENING 0.0.0.0 0 [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
139 LISTENING 0.0.0.0 0 [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445 LISTENING 0.0.0.0 0 [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
12080 ESTABLISHED 127.0.0.1 52866 [1388] c:\program files\avast software\avast\avastsvc.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
27275 LISTENING 0.0.0.0 0 [1388] c:\program files\avast software\avast\avastsvc.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
27275 LISTENING 0.0.0.0 0 [1388] c:\program files\avast software\avast\avastsvc.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49152 LISTENING 0.0.0.0 0 [520] c:\windows\system32\wininit.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49153 LISTENING 0.0.0.0 0 [968] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49154 LISTENING 0.0.0.0 0 [1072] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49155 LISTENING 0.0.0.0 0 [596] c:\windows\system32\lsass.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49156 LISTENING 0.0.0.0 0 [580] c:\windows\system32\services.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49157 LISTENING 0.0.0.0 0 [3196] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
52866 ESTABLISHED 127.0.0.1 12080 [4276] c:\users\ichi\desktop\avz4\avz.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
Порты UDP
68 LISTENING -- -- [968] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
137 LISTENING -- -- [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
137 LISTENING -- -- [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138 LISTENING -- -- [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138 LISTENING -- -- [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
500 LISTENING -- -- [1072] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900 LISTENING -- -- [2956] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900 LISTENING -- -- [2956] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900 LISTENING -- -- [2956] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
4500 LISTENING -- -- [1072] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
5355 LISTENING -- -- [1316] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
44301 LISTENING -- -- [2000] c:\windows\system32\pnkbstra.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
53227 LISTENING -- -- [2956] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
53228 LISTENING -- -- [2956] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
53229 LISTENING -- -- [2956] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
62553 LISTENING -- -- [3928] c:\windows\system32\rundll32.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
65405 LISTENING -- -- [344] c:\windows\system32\dmwu.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить

Downloaded Program Files (DPF)

Имя файла Описание Производитель CLSID URL загрузки
Обнаружено элементов - 0, опознано как безопасные - 0

Апплеты панели управления (CPL)

Имя файла Описание Производитель
Обнаружено элементов - 22, опознано как безопасные - 22

Active Setup

Имя файла Описание Производитель CLSID
Обнаружено элементов - 9, опознано как безопасные - 9

Файл HOSTS

Запись файла Hosts

Протоколы и обработчики

Имя файла Тип Описание Производитель CLSID
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
Обнаружено элементов - 19, опознано как безопасные - 16

Подозрительные объекты

Файл Описание Тип
C:\Windows\System32\Drivers\aswSnx.SYS
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit Перехватчик KernelMode
C:\Windows\System32\Drivers\aswSP.SYS
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit Перехватчик KernelMode
\SystemRoot\System32\Drivers\aswSP.SYS
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit Перехватчик KernelMode
C:\Users\Ichi\appdata\local\temp\kb2656351_10.0.30301\taskmgn.exe
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение эвристического анализа ЭПС: подозрение на Файл с подозрительным именем (CH)

Протокол антивирусной утилиты AVZ версии 4.39
Сканирование запущено в 01.07.2013 19:19:16
Загружена база: сигнатуры - 297614, нейропрофили - 2, микропрограммы лечения - 56, база от 01.07.2013 04:00
Загружены микропрограммы эвристики: 403
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 565705
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 6.1.7601, Service Pack 1 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:LdrLoadDll (137) перехвачена, метод APICodeHijack.JmpTo[000E01EE]
Функция ntdll.dll:LdrUnloadDll (161) перехвачена, метод APICodeHijack.JmpTo[000E03F2]
 Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:SetWinEventHook (2216) перехвачена, метод APICodeHijack.JmpTo[001001EE]
Функция user32.dll:SetWindowsHookExA (2231) перехвачена, метод APICodeHijack.JmpTo[001005F6]
Функция user32.dll:SetWindowsHookExW (2232) перехвачена, метод APICodeHijack.JmpTo[001007FA]
Функция user32.dll:UnhookWinEvent (2279) перехвачена, метод APICodeHijack.JmpTo[001003F2]
Функция user32.dll:UnhookWindowsHookEx (2281) перехвачена, метод APICodeHijack.JmpTo[001009FE]
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=169B00)
 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 82E4C000
   SDT = 82FB5B00
   KiST = 82ECAD5C (401)
Функция NtAddBootEntry (09) перехвачена (831517C2->8E68E610), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtAllocateVirtualMemory (13) перехвачена (83076BCC->912CA5FA), перехватчик C:\Windows\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtAssignProcessToJobObject (2B) перехвачена (8304BFCA->8E68F0E6), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateEvent (40) перехвачена (8308D7EF->8E69AF18), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateEventPair (41) перехвачена (831574D0->8E69AF64), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateIoCompletion (43) перехвачена (830A7875->8E69B0FE), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateMutant (4A) перехвачена (8305D28E->8E69AE86), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateProcessEx (50) - модификация машинного кода. Метод JmpTo. jmp 912E3E04\SystemRoot\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
Функция NtCreateSection (54) перехвачена (8307004D->912CA992), перехватчик C:\Windows\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateSemaphore (55) перехвачена (83052A85->8E69AECE), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateThread (57) перехвачена (83128ED6->8E68F5E4), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateThreadEx (58) перехвачена (830BD34B->8E68F800), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateTimer (59) перехвачена (8304B3FD->8E69B0B8), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDebugActiveProcess (60) перехвачена (830FADB0->8E68FE9C), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDeleteBootEntry (64) перехвачена (831517F3->8E68E676), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDuplicateObject (6F) перехвачена (8307E65A->8E693596), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtFreeVirtualMemory (83) перехвачена (82F0647A->912CA6C2), перехватчик C:\Windows\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtLoadDriver (9B) перехвачена (83012BFC->912C8C12), перехватчик C:\Windows\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtModifyBootEntry (A9) перехвачена (831519C4->8E68E6DC), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtNotifyChangeKey (AC) перехвачена (83046F09->8E69398C), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtNotifyChangeMultipleKeys (AD) перехвачена (8304602B->8E69092C), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenEvent (B1) перехвачена (8305CC8A->8E69AF42), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenEventPair (B2) перехвачена (831575D1->8E69AF86), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenIoCompletion (B4) перехвачена (83103F53->8E69B122), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenMutant (BB) перехвачена (830AE2F0->8E69AEAC), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenProcess (BE) перехвачена (8305EAD4->8E692E78), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenSection (C2) перехвачена (830B689B->8E69B036), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenSemaphore (C3) перехвачена (830321B8->8E69AEF6), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenThread (C6) перехвачена (830AAF95->8E69326E), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenTimer (C9) перехвачена (83157277->8E69B0DC), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtProtectVirtualMemory (D7) перехвачена (8308F581->912CA822), перехватчик C:\Windows\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryObject (F8) перехвачена (8304DFCE->8E6907F8), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueueApcThreadEx (10E) перехвачена (83044F59->8E690506), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetBootEntryOrder (13A) перехвачена (831520D5->8E68E742), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetBootOptions (13B) перехвачена (831525C1->8E68E7A8), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetContextThread (13C) перехвачена (8312A755->8E68FD16), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetSystemInformation (15E) перехвачена (8309B26C->8E68E2F8), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetSystemPowerState (15F) перехвачена (8316EE4A->8E68E4CE), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtShutdownSystem (168) перехвачена (8314F9F7->8E68E45C), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSuspendProcess (16E) перехвачена (8312ABE3->8E690066), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSuspendThread (16F) перехвачена (830E2085->8E6901C8), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSystemDebugControl (170) перехвачена (830D26BC->8E68E556), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtTerminateProcess (172) перехвачена (830A7BCD->912CA8EA), перехватчик C:\Windows\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtTerminateThread (173) перехвачена (830C5584->8E68FCF6), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtUnloadDriver (17B) перехвачена (83106487->912C8C42), перехватчик C:\Windows\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtVdmControl (182) перехвачена (83144BAF->8E68E80E), перехватчик C:\Windows\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtWriteVirtualMemory (18F) перехвачена (830AC92A->912CA76E), перехватчик C:\Windows\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ObMakeTemporaryObject (83057C64) - модификация машинного кода. Метод JmpTo. jmp 912E0C9A \SystemRoot\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
Проверено функций: 401, перехвачено: 46, восстановлено: 48
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Анализ для процессора 2
CmpCallCallBacks = 00000000
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
 Драйвер успешно загружен
\FileSystem\ntfs[IRP_MJ_CREATE] = 912E3918 -> C:\Windows\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
\FileSystem\ntfs[IRP_MJ_CLOSE] = 912E3958 -> C:\Windows\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
\FileSystem\ntfs[IRP_MJ_WRITE] = 912E3A20 -> C:\Windows\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 912E3A60 -> C:\Windows\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 56
 Количество загруженных модулей: 515
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\BUTTON.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\CHECKBOX.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\COMBOBOX.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\DIVWRAPPER.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\EXTERNALWRAPPER.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\HIPUSER.HTM
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\IMAGE.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\LINK.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\LOCALIZATION.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\MULTIUSERSSO.HTM
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\NEWUSER.HTM
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\NEWUSERCOMM.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\NEWUSERFED.HTM
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\SAVEDUSER.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\SAVEDUSERS.HTM
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\TEXT.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\TEXTBOX.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\TILEBOX.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\UICORE.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\UIRESOURCE.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\USERTILE.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\WAITPAGE.HTM
Прямое чтение C:\Users\Ichi\AppData\Local\Temp\KB2656351_10.0.30301\taskmgn.exe
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
 Проверка отключена пользователем
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
>>> C:\Users\Ichi\appdata\local\temp\kb2656351_10.0.30301\taskmgn.exe ЭПС: подозрение на Файл с подозрительным именем (CH)
Ошибка карантина файла, попытка прямого чтения (C:\Users\Ichi\appdata\local\temp\kb2656351_10.0.30301\taskmgn.exe)
 Карантин с использованием прямого чтения - ОК
Файл успешно помещен в карантин (C:\Users\Ichi\appdata\local\temp\kb2656351_10.0.30301\taskmgn.exe)
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 174962, извлечено из архивов: 115378, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 01.07.2013 19:46:51
!!! Внимание !!! Восстановлено 48 функций KiST в ходе работы антируткита
Это может нарушить нормальную работу ряда программ, поэтому настоятельно рекомендуется перезагрузить компьютер
Сканирование длилось 00:27:37
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Создание архива с файлами из карантина
Создание архива с файлами из карантина завершено
Выполняется исследование системы

 Исследование системы завершено


Команды скрипта 
Добавить в скрипт команды:
Нейтрализация перехватов функций при помощи антируткита
Включить AVZGuard
Управление AVZPM (true-включить,false-отключить)
BootCleaner - импорт списка удаленных файлов
BootCleaner - импортировать все
Чистка реестра после удаления файлов
ExecuteWizard ('TSW',2,3,true) - Выполнение мастера поиска и устранения проблем
BootCleaner - активация
Перезагрузка
Вставить заготовку для QuarantineFile() - помещение файла в карантин
Вставить заготовку для BC_QrFile() - помещение файла в карантин через BC
Вставить заготовку для DeleteFile() - удаление файла
Вставить заготовку для DelCLSID() - удаление CLSID класса из реестра
Дополнительные операции:Оптимизация - отключить службу TermService (Службы удаленных рабочих столов)
Оптимизация - отключить службу SSDPSRV (Обнаружение SSDP)
Оптимизация - отключить службу Schedule (Планировщик заданий)
Оптимизация - безопасность - отключить автозапуск программ с CD
Оптимизация - безопасность - отключить административный доступ к локальным дискам
Оптимизация - безопасность - блокировать возможность подключения анонимных пользователей
Безопасность - запретить отправку приглашений удаленному помощнику

Список файлов

Порт	Статус	Remote Host	Remote Port	Приложение	Примечания
Порты TCP
135	LISTENING	0.0.0.0	0	[896] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
139	LISTENING	0.0.0.0	0	[4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
139	LISTENING	0.0.0.0	0	[4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445	LISTENING	0.0.0.0	0	[4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
12080	ESTABLISHED	127.0.0.1	52866	[1388] c:\program files\avast software\avast\avastsvc.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
27275	LISTENING	0.0.0.0	0	[1388] c:\program files\avast software\avast\avastsvc.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
27275	LISTENING	0.0.0.0	0	[1388] c:\program files\avast software\avast\avastsvc.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49152	LISTENING	0.0.0.0	0	[520] c:\windows\system32\wininit.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49153	LISTENING	0.0.0.0	0	[968] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49154	LISTENING	0.0.0.0	0	[1072] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49155	LISTENING	0.0.0.0	0	[596] c:\windows\system32\lsass.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49156	LISTENING	0.0.0.0	0	[580] c:\windows\system32\services.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49157	LISTENING	0.0.0.0	0	[3196] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
52866	ESTABLISHED	127.0.0.1	12080	[4276] c:\users\ichi\desktop\avz4\avz.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
Порты UDP
68	LISTENING	--	--	[968] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
137	LISTENING	--	--	[4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
137	LISTENING	--	--	[4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138	LISTENING	--	--	[4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138	LISTENING	--	--	[4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
500	LISTENING	--	--	[1072] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900	LISTENING	--	--	[2956] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900	LISTENING	--	--	[2956] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900	LISTENING	--	--	[2956] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
4500	LISTENING	--	--	[1072] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
5355	LISTENING	--	--	[1316] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
44301	LISTENING	--	--	[2000] c:\windows\system32\pnkbstra.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
53227	LISTENING	--	--	[2956] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
53228	LISTENING	--	--	[2956] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
53229	LISTENING	--	--	[2956] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
62553	LISTENING	--	--	[3928] c:\windows\system32\rundll32.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
65405	LISTENING	--	--	[344] c:\windows\system32\dmwu.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить