Протокол исследования системы

Список процессов

Имя файла	PID	Описание	Copyright	MD5	Информация
c:\documents and settings\admin\Рабочий стол\Новая папка\autologger.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	2388	Автоматический сборщик логов	Все права на AutoLogger принадлежат regist & Drongo © Copyright 2013	4D227D88ECABABB8FDE40EA4C137B011	11107.77 кб, rsAh, создан: 21.05.2014 20:57:37, изменен: 21.05.2014 00:10:04, имя содержит национальные символы Командная строка: "C:\Documents and Settings\Admin\Рабочий стол\Новая папка\AutoLogger.exe"
c:\program files\mozilla firefox\firefox.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	4000	Firefox	©Firefox and Mozilla Developers; available under the MPL 2 license.	0DA891CB0703D912CEAFA072F54D002B	269.11 кб, rsAh, создан: 21.05.2014 19:21:16, изменен: 07.05.2014 06:26:43 Командная строка: "C:\Program Files\Mozilla Firefox\firefox.exe" -osint -url "http://google.ru/"
c:\documents and settings\all users\application data\handsetservice\huaweihisuiteservice.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	620	DCSHOST	Copyright (C) 2008	B4B53C640B675AAA75B1294F15B45289	154.50 кб, rsAh, создан: 31.01.2014 14:29:52, изменен: 02.05.2013 06:15:14 Командная строка: "C:\Documents and Settings\All Users\Application Data\HandSetService\HuaweiHiSuiteService.exe" -/service
c:\program files\internet explorer\iexplore.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	840	Internet Explorer	© Корпорация Майкрософт. Все права защищены.	952AEA9D5B503B42FF95891522D8EA05	314.50 кб, rsAh, создан: 12.11.2011 23:09:22, изменен: 12.12.2009 19:51:48 Командная строка: "C:\Program Files\Internet Explorer\iexplore.exe" http://google.ru
c:\program files\mozilla firefox\plugin-container.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	488	Plugin Container for Firefox	License: MPL 2	28B02EA673489A4EFBB20A9B302D523C	18.11 кб, rsAh, создан: 21.05.2014 19:21:16, изменен: 07.05.2014 06:27:15 Командная строка: "C:\Program Files\Mozilla Firefox\plugin-container.exe" --channel=4000.134a5bc0.1764530567 "C:\WINDOWS\system32\Macromed\Flash\NPSWF32_13_0_0_214.dll" -greomni "C:\Program Files\Mozilla Firefox\omni.ja" -appomni "C:\Program Files\Mozilla Firefox\browser\omni.ja" -appdir "C:\Program Files\Mozilla Firefox\browser" - 4000 "\\.\pipe\gecko-crash-server-pipe.4000" plugin
c:\program files\webget\updatewebget.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	544			B3781B6D110B7FA05F316383DA66F373	310.27 кб, rsAh, создан: 14.05.2014 16:47:00, изменен: 21.05.2014 20:15:39 Командная строка: "C:\Program Files\webget\updatewebget.exe"
c:\program files\webget\bin\utilwebget.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1764			B3781B6D110B7FA05F316383DA66F373	310.27 кб, rsAh, создан: 14.05.2014 20:20:28, изменен: 21.05.2014 19:40:44 Командная строка: "C:\Program Files\webget\bin\utilwebget.exe"
c:\program files\webget\bin\webget.browseradapter.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	3120			C7EDA8D79AC1E4FB68EA0FB16F72D27B	94.27 кб, rsAh, создан: 14.05.2014 20:51:25, изменен: 21.05.2014 05:12:35 Командная строка: /c 5d7aeca3-d0d5-45d6-87a5-44b70871639b /i 9b1afdad-ae3e-4ef3-b02d-7d59cbd843f5 /f 2dcf1145-a18a-4261-945e-106134287856 /s /z "n=webget&is=isgiwhRU&dpt=21"
c:\program files\webget\bin\webget.purbrowse.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	2944			FCC7ED8E8E9F45049EBD60A499EBC1D5	233.77 кб, rsAh, создан: 14.05.2014 20:51:16, изменен: 19.05.2014 13:30:16 Командная строка: "C:\Program Files\webget\bin\webget.PurBrowse.exe" /l false /s false /c "webget" /t "C:\Program Files\webget\bin\TEMP" /i "http://apiwebwebgetcom-a.akamaihd.net/gsrs?is=isgiwhRU&bp=PB&g=00000000-0000-0000-0000-000000000000" /d {9edd0ea8-2819-47c2-8320-b007d5996f8a}t /p 2dcf1145-a18a-4261-945e-106134287856:firefox /p 5d7aeca3-d0d5-45d6-87a5-44b70871639b:chrome /p 9b1afdad-ae3e-4ef3-b02d-7d59cbd843f5:iexplore /p 9008f17e-b07c-4fa1-b13a-20e823d57ce3:opera /p 2cbd6970-a43c-479f-b3a3-cf2c7ea599dc:amigo
Обнаружено:45, из них опознаны как безопасные 37

Имя модуля	Handle	Описание	Copyright	MD5	Используется процессами
C:\Program Files\HP\Digital Imaging\Smart Web Printing\ClipBookDBComponent.dll Скрипт: Kарантин, Удалить, Удалить через BC	75431936	HP Smart Web Printing add-on for Internet Explorer	Copyright (C) Hewlett-Packard Co. 1995-2007	7CCA0C80A27BECED1AD58E79C66F26F9	840
C:\Program Files\HP\Digital Imaging\Smart Web Printing\NeoLoggingLib.dll Скрипт: Kарантин, Удалить, Удалить через BC	73859072			C5DDB4F8C439FBAA16AEEF676CA0805C	840
C:\Program Files\HP\Digital Imaging\Smart Web Printing\RsrcLoaderLib.dll Скрипт: Kарантин, Удалить, Удалить через BC	73728000			5C2C8856D6ACBA3DF25D2F9C5F9A66B6	840
C:\Program Files\HP\Digital Imaging\Smart Web Printing\UtilityLib.dll Скрипт: Kарантин, Удалить, Удалить через BC	73531392			B875AD03A2E7048DB49285F475BFE1A5	840
C:\Program Files\MediaViewV1\MediaViewV1alpha985\ie\MediaViewV1alpha985.dll Скрипт: Kарантин, Удалить, Удалить через BC	46333952	Media View	(c) 2012-2014. All rights reserved.	6FA51D8175C959B7AF05F0A33B623B6B	840
C:\Program Files\Mozilla Firefox\browser\components\browsercomps.dll Скрипт: Kарантин, Удалить, Удалить через BC	109379584		License: MPL 2	6EEDF7C7209189C6CE0EFE0958C6A85B	4000
C:\Program Files\Mozilla Firefox\freebl3.dll Скрипт: Kарантин, Удалить, Удалить через BC	189923328	NSS freebl Library		9055DB4DC34BE6892E6602B25E142D6D	4000
C:\Program Files\Mozilla Firefox\gkmedias.dll Скрипт: Kарантин, Удалить, Удалить через BC	17235968		License: MPL 2	9365C228DF4A979A8A93FA47111EA458	4000, 488
C:\Program Files\Mozilla Firefox\icudt52.dll Скрипт: Kарантин, Удалить, Удалить через BC	1255145472	ICU Data DLL	Copyright (C) 2013, International Business Machines Corporation and others. All Rights Reserved.	62D19DEB04EA4F5130D72D0257067EB0	4000, 488
C:\Program Files\Mozilla Firefox\icuin52.dll Скрипт: Kарантин, Удалить, Удалить через BC	1250951168	ICU I18N DLL	Copyright (C) 2013, International Business Machines Corporation and others. All Rights Reserved.	5B40488571FDA3D134C0FB066D2FEE56	4000, 488
C:\Program Files\Mozilla Firefox\icuuc52.dll Скрипт: Kарантин, Удалить, Удалить через BC	1249902592	ICU Common DLL	Copyright (C) 2013, International Business Machines Corporation and others. All Rights Reserved.	09914BEA36F191FBEA08B093914EF90E	4000, 488
C:\Program Files\Mozilla Firefox\mozalloc.dll Скрипт: Kарантин, Удалить, Удалить через BC	4063232		License: MPL 2	C654C82E48082964C2B9296B86ACB146	4000, 488
C:\Program Files\Mozilla Firefox\mozglue.dll Скрипт: Kарантин, Удалить, Удалить через BC	268435456		License: MPL 2	6EE61E8C16460D93F1CA1CD53F7E1731	4000, 488
C:\Program Files\Mozilla Firefox\mozjs.dll Скрипт: Kарантин, Удалить, Удалить через BC	13303808			D14310E1A49C84E1BFC8851FE5AA5D13	4000, 488
C:\Program Files\Mozilla Firefox\nss3.dll Скрипт: Kарантин, Удалить, Удалить через BC	5570560		License: MPL 2	59025CFCEC86FCCE6119C564108A424B	4000, 488
C:\Program Files\Mozilla Firefox\nssckbi.dll Скрипт: Kарантин, Удалить, Удалить через BC	190251008	NSS Builtin Trusted Root CAs		A7A1877FA8C608B0B3BA5E2AA2CF1F8E	4000
C:\Program Files\Mozilla Firefox\nssdbm3.dll Скрипт: Kарантин, Удалить, Удалить через BC	189792256	Legacy Database Driver		EF3700747FC2A131673F90310C1564EC	4000
C:\Program Files\Mozilla Firefox\softokn3.dll Скрипт: Kарантин, Удалить, Удалить через BC	189595648	NSS PKCS #11 Library		F1EF5F259C665D04D8909750E8D4134E	4000
C:\Program Files\Mozilla Firefox\xul.dll Скрипт: Kарантин, Удалить, Удалить через BC	24117248		License: MPL 2	DB7768B13A9EEF3504EB912C96B39A8C	4000, 488
C:\Program Files\SupTab\SupTab.dll Скрипт: Kарантин, Удалить, Удалить через BC	33292288	SupTab setup package	Copyright (C) 2013	5624258B2B99C0A0FA6CC5559380453C	840
C:\Program Files\webget\bin\webgetBAApp.dll Скрипт: Kарантин, Удалить, Удалить через BC	187432960			5360749101525FE6C51B6D1906AAE0D8	4000
C:\Program Files\webget\bin\{9edd0ea8-2819-47c2-8320-b007d5996f8a}.dll Скрипт: Kарантин, Удалить, Удалить через BC	186974208	TODO:	TODO: (c) . All rights reserved.	B1CB99FDF8DC6CBC43F5D0A1589586B1	4000, 3120
C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\mscorlib\99767cac9006a842bea9588ca88811f9\mscorlib.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	2030829568	Microsoft Common Language Runtime Class Library	© Microsoft Corporation. All rights reserved.	4058E11DDAA8A10A3C5F619DA0C562BD	544, 1764
C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Configuration\999373be7ed05b4c925c554cbf53174d\System.Configuration.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1686700032	System.Configuration.dll	© Microsoft Corporation. All rights reserved.	BA7B319AA6941A451E148606CF034A39	544, 1764
C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Drawing\cb7059a3692c684386b757fcb1e3b0f9\System.Drawing.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	2061369344	.NET Framework	© Microsoft Corporation. All rights reserved.	27A8A7753153641333238D28BB3E0AD3	544, 1764
C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Windows.Forms\663481f088ee144f849fd190a8074e56\System.Windows.Forms.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	2063400960	.NET Framework	© Microsoft Corporation. All rights reserved.	06AE7C86486A117413C8AA0B22FAA7DA	544, 1764
C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Xml\74999512b1d02e408b377ee6ae4714d6\System.Xml.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1774059520	.NET Framework	© Microsoft Corporation. All rights reserved.	EFFCAC0461F16BC86E8B2C57902A6927	544, 1764
C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System\00112264da0eee4588250e27ed4c132f\System.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	2051276800	.NET Framework	© Microsoft Corporation. All rights reserved.	BD03CD3C2623982E0E1D9AA12F070D14	544, 1764
C:\WINDOWS\system32\Macromed\Flash\NPSWF32_13_0_0_214.dll Скрипт: Kарантин, Удалить, Удалить через BC	40173568			A58DE0A570148AF5FF3512B2A340D09F	488
Обнаружено модулей:452, из них опознаны как безопасные 423

Модули пространства ядра

Модуль	Базовый адрес	Размер в памяти	Описание	Производитель
C:\WINDOWS\System32\Drivers\dump_atapi.sys Скрипт: Kарантин, Удалить, Удалить через BC	B79A4000	018000 (98304)
C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS Скрипт: Kарантин, Удалить, Удалить через BC	F79A9000	002000 (8192)
C:\WINDOWS\system32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gt.sys Скрипт: Kарантин, Удалить, Удалить через BC	BAF50000	00C000 (49152)	StdLib	Copyright © 2013 StdLib
C:\WINDOWS\system32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}t.sys Скрипт: Kарантин, Удалить, Удалить через BC	BAF70000	00C000 (49152)	StdLib	Copyright © 2013 StdLib
Обнаружено модулей - 136, опознано как безопасные - 132

Службы

Служба	Описание	Статус	Файл	Группа	Зависимости
HuaweiHiSuiteService.exe Служба: Стоп, Удалить, Отключить, Удалить через BC	HuaweiHiSuiteService.exe	Работает	C:\Documents and Settings\All Users\Application Data\HandSetService\HuaweiHiSuiteService.exe Скрипт: Kарантин, Удалить, Удалить через BC		RPCSS
Update webget Служба: Стоп, Удалить, Отключить, Удалить через BC	Update webget	Работает	C:\Program Files\webget\updatewebget.exe Скрипт: Kарантин, Удалить, Удалить через BC
Util webget Служба: Стоп, Удалить, Отключить, Удалить через BC	Util webget	Работает	C:\Program Files\webget\bin\utilwebget.exe Скрипт: Kарантин, Удалить, Удалить через BC
AdobeFlashPlayerUpdateSvc Служба: Стоп, Удалить, Отключить, Удалить через BC	Adobe Flash Player Update Service	Не запущен	C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe Скрипт: Kарантин, Удалить, Удалить через BC
Обнаружено - 113, опознано как безопасные - 109

Драйверы

Служба	Описание	Статус	Файл	Группа	Зависимости
{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gt Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gt	Работает	C:\WINDOWS\system32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gt.sys Скрипт: Kарантин, Удалить, Удалить через BC	PNP_TDI
{9edd0ea8-2819-47c2-8320-b007d5996f8a}t Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	{9edd0ea8-2819-47c2-8320-b007d5996f8a}t	Работает	C:\WINDOWS\system32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}t.sys Скрипт: Kарантин, Удалить, Удалить через BC	PNP_TDI
Abiosdsk Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Abiosdsk	Не запущен	Abiosdsk.sys Скрипт: Kарантин, Удалить, Удалить через BC	Primary disk
abp480n5 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	abp480n5	Не запущен	abp480n5.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
adpu160m Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	adpu160m	Не запущен	adpu160m.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
Aha154x Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Aha154x	Не запущен	Aha154x.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
aic78u2 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	aic78u2	Не запущен	aic78u2.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
aic78xx Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	aic78xx	Не запущен	aic78xx.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
AliIde Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	AliIde	Не запущен	AliIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
amsint Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	amsint	Не запущен	amsint.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
asc Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	asc	Не запущен	asc.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
asc3350p Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	asc3350p	Не запущен	asc3350p.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
asc3550 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	asc3550	Не запущен	asc3550.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
Atdisk Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Atdisk	Не запущен	Atdisk.sys Скрипт: Kарантин, Удалить, Удалить через BC	Primary disk
cd20xrnt Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	cd20xrnt	Не запущен	cd20xrnt.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
Changer Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Changer	Не запущен	Changer.sys Скрипт: Kарантин, Удалить, Удалить через BC	Filter
CmdIde Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	CmdIde	Не запущен	CmdIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
Cpqarray Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Cpqarray	Не запущен	Cpqarray.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
dac960nt Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	dac960nt	Не запущен	dac960nt.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
dpti2o Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	dpti2o	Не запущен	dpti2o.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
hpn Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	hpn	Не запущен	hpn.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
i2omgmt Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	i2omgmt	Не запущен	i2omgmt.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI Class
i2omp Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	i2omp	Не запущен	i2omp.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
ini910u Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ini910u	Не запущен	ini910u.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
IntelIde Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	IntelIde	Не запущен	IntelIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
lbrtfdc Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	lbrtfdc	Не запущен	lbrtfdc.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
mnmdd Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	mnmdd	Не запущен	mnmdd.sys Скрипт: Kарантин, Удалить, Удалить через BC	Video Save
mraid35x Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	mraid35x	Не запущен	mraid35x.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
PCIDump Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	PCIDump	Не запущен	PCIDump.sys Скрипт: Kарантин, Удалить, Удалить через BC	PCI Configuration
PDCOMP Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	PDCOMP	Не запущен	PDCOMP.sys Скрипт: Kарантин, Удалить, Удалить через BC
PDFRAME Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	PDFRAME	Не запущен	PDFRAME.sys Скрипт: Kарантин, Удалить, Удалить через BC
PDRELI Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	PDRELI	Не запущен	PDRELI.sys Скрипт: Kарантин, Удалить, Удалить через BC
PDRFRAME Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	PDRFRAME	Не запущен	PDRFRAME.sys Скрипт: Kарантин, Удалить, Удалить через BC
perc2 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	perc2	Не запущен	perc2.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
perc2hib Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	perc2hib	Не запущен	perc2hib.sys Скрипт: Kарантин, Удалить, Удалить через BC	Filter
ql1080 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ql1080	Не запущен	ql1080.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
Ql10wnt Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Ql10wnt	Не запущен	Ql10wnt.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
ql12160 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ql12160	Не запущен	ql12160.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
ql1240 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ql1240	Не запущен	ql1240.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
ql1280 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ql1280	Не запущен	ql1280.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
Simbad Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Simbad	Не запущен	Simbad.sys Скрипт: Kарантин, Удалить, Удалить через BC	Filter
Sparrow Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Sparrow	Не запущен	Sparrow.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
sym_hi Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	sym_hi	Не запущен	sym_hi.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
sym_u3 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	sym_u3	Не запущен	sym_u3.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
symc810 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	symc810	Не запущен	symc810.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
symc8xx Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	symc8xx	Не запущен	symc8xx.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
TosIde Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	TosIde	Не запущен	TosIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
ultra Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ultra	Не запущен	ultra.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
ViaIde Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ViaIde	Не запущен	ViaIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
WDICA Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	WDICA	Не запущен	WDICA.sys Скрипт: Kарантин, Удалить, Удалить через BC
Обнаружено - 207, опознано как безопасные - 157

Автозапуск

Имя файла	Статус	Метод запуска	Описание
ACDV.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Drivers32, VIDC.ACDV Удалить
C:\Documents and Settings\Admin\Application Data\newnext.me\nengine.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NextLive, command Удалить
C:\Documents and Settings\Admin\Local Settings\Application Data\Yandex\Updater\praetorian.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Praetorian, command Удалить
C:\Documents and Settings\Admin\Рабочий стол\Новая папка\AutoLogger\AVZ\Script2.txt Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\RunOnce, AVZ Удалить
C:\Documents and Settings\All Users\Ap Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Wpm, EventMessageFile
C:\Documents and Settings\All Users\Applica Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\IePluginService, EventMessageFile
C:\Documents and Settings\All Users\Application Data\VKSaver\VKSaver.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VKSaver, command Удалить
C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}, command Удалить
C:\Program Files\ICQ7.7\ICQ.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ICQ, command Удалить
C:\Program Files\Mobogenie\DaemonProcess.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon, command Удалить
C:\Program Files\Mozilla Firefox\firefox.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ярлык в папке автозагрузки	C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\, C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk,
C:\Program Files\Opera\launcher.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ярлык в папке автозагрузки	C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\, C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\Opera.lnk,
C:\WINDOWS\INF\custom.inf Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce, ZZZZ2_FirstLogonSetting Удалить
C:\WINDOWS\INF\custom.inf Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce, ZZZZ1_FirstLogonSetting Удалить
C:\WINDOWS\INF\custom.inf Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce, ZZZZ2_FirstLogonSetting Удалить
C:\WINDOWS\INF\custom.inf Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce, ZZZZ1_FirstLogonSetting Удалить
C:\WINDOWS\INF\custom.inf Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce, ZZZZ2_FirstLogonSetting Удалить
C:\WINDOWS\INF\custom.inf Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce, ZZZZ2_FirstLogonSetting Удалить
C:\WINDOWS\System32\Drivers\AliIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\aliide, EventMessageFile
C:\WINDOWS\System32\Drivers\CmdIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\cmdide, EventMessageFile
C:\WINDOWS\System32\Drivers\IntelIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\intelide, EventMessageFile
C:\WINDOWS\System32\Drivers\TosIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\toside, EventMessageFile
C:\WINDOWS\System32\Drivers\ViaIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\viaide, EventMessageFile
C:\WINDOWS\System32\Drivers\lbrtfdc.sys Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\lbrtfdc, EventMessageFile
C:\WINDOWS\System32\igmpv2.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IGMPv2, EventMessageFile
C:\WINDOWS\System32\ipbootp.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IPBOOTP, EventMessageFile
C:\WINDOWS\System32\iprip2.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IPRIP2, EventMessageFile
C:\WINDOWS\System32\logon.scr Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-19\Control Panel\Desktop, scrnsave.exe Удалить
C:\WINDOWS\System32\logon.scr Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-20\Control Panel\Desktop, scrnsave.exe Удалить
C:\WINDOWS\System32\ospf.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\OSPF, EventMessageFile
C:\WINDOWS\System32\ospfmib.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\OSPFMib, EventMessageFile
C:\WINDOWS\System32\polagent.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\PolicyAgent, EventMessageFile
C:\WINDOWS\System32\spmsg.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\Wudf01000, EventMessageFile
C:\WINDOWS\System32\tssdis.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\TermServSessDir, EventMessageFile
C:\WINDOWS\system32\MsSip1.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\MS Subjects 1, $DLL Удалить
C:\WINDOWS\system32\MsSip2.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\MS Subjects 2, $DLL Удалить
C:\WINDOWS\system32\MsSip3.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\MS Subjects 3, $DLL Удалить
C:\WINDOWS\system32\logonui.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, UIHost
C:\WINDOWS\system32\psxss.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix
C:\WINDOWS\system32\stisvc.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System, EventMessageFile
deskpan.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved, {42071714-76d4-11d1-8b24-00a0c9068ff3} Удалить
kbd101.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\i8042prt\Parameters, LayerDriver JPN Удалить
kbd101a.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\i8042prt\Parameters, LayerDriver KOR Удалить
mvfs32.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_CURRENT_USER, Control Panel\IOProcs, MVB Удалить
mvfs32.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, .DEFAULT\Control Panel\IOProcs, MVB Удалить
mvfs32.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-19\Control Panel\IOProcs, MVB Удалить
mvfs32.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-20\Control Panel\IOProcs, MVB Удалить
mvfs32.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-18\Control Panel\IOProcs, MVB Удалить
Обнаружено элементов автозапуска - 910, опознано как безопасные - 862

Модули расширения Internet Explorer (BHO, панели ...)

Имя файла	Тип	Описание	Производитель	CLSID
	BHO			{02478D38-C3F9-4efb-9B51-7695ECA05670} Удалить
C:\Program Files\SupTab\SupTab.dll Скрипт: Kарантин, Удалить, Удалить через BC	BHO	SupTab setup package	Copyright (C) 2013	{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} Удалить
C:\Program Files\MediaViewV1\MediaViewV1alpha985\ie\MediaViewV1alpha985.dll Скрипт: Kарантин, Удалить, Удалить через BC	BHO	Media View	(c) 2012-2014. All rights reserved.	{a3382eab-78f1-4c13-9ea0-12a5f48d3f16} Удалить
	Модуль расширения			{0C4CC089-D306-440D-9772-464E226F6539} Удалить
	Модуль расширения			{2670000A-7350-4f3c-8081-5663EE0C6C49} Удалить
	Модуль расширения			{92780B25-18CC-41C8-B9BE-3C9C571A8263} Удалить
Обнаружено элементов - 29, опознано как безопасные - 23

Модули расширения проводника

Имя файла	Назначение	Описание	Производитель	CLSID
deskpan.dll Скрипт: Kарантин, Удалить, Удалить через BC	Расширение CPL панорамирования дисплея			{42071714-76d4-11d1-8b24-00a0c9068ff3} Удалить
	Расширения оболочки для сжатия файлов			{764BF0E1-F219-11ce-972D-00AA00A14F56} Удалить
	Контекстное меню шифрования			{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} Удалить
	Панель задач и меню ''Пуск''			{0DF44EAA-FF21-4412-828E-260A8728E7F1} Удалить
	Учетные записи пользователей			{7A9D77BD-5403-11d2-8785-2E0420524153} Удалить
	AIMP2: Shell Extention			{1F77B17B-F531-44DB-ACA4-76ABB5010A28} Удалить
Обнаружено элементов - 214, опознано как безопасные - 208

Модули расширения системы печати (мониторы печати, провайдеры)

Имя файла	Тип	Наименование	Описание	Производитель
Обнаружено элементов - 10, опознано как безопасные - 10

Задания планировщика задач Task Scheduler

Имя файла	Имя задания	Состояние задания	Описание	Производитель	Путь	Командная строка
C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe Скрипт: Kарантин, Удалить, Удалить через BC	Adobe Flash Player Updater.job Скрипт: Удалить	The task is ready to run at its next scheduled time.	Adobe® Flash® Player Update Service 13.0 r0	Copyright © 1996 Adobe Systems Incorporated		C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
C:\Documents and Settings\Admin\Application Data\SwvUpdater\Updater.exe Скрипт: Kарантин, Удалить, Удалить через BC	AmiUpdXp.job Скрипт: Удалить	The task is ready to run at its next scheduled time.				C:\Documents and Settings\Admin\Application Data\SwvUpdater\Updater.exe
C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe Скрипт: Kарантин, Удалить, Удалить через BC	avast! Emergency Update.job Скрипт: Удалить	The task is ready to run at its next scheduled time.				C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe
Обнаружено элементов - 6, опознано как безопасные - 3

Настройки SPI/LSP

Поставщики пространства имен (NSP)

Поставщик	Статус	Исп. файл	Описание	GUID
Обнаружено - 4, опознано как безопасные - 4

Поставщики транспортных протоколов (TSP, LSP)

Поставщик Исп. файл Описание
Обнаружено - 17, опознано как безопасные - 17
Результаты автоматического анализа настроек SPI
Настройки LSP проверены. Ошибок не обнаружено

Порты TCP/UDP

Порт Статус Remote Host Remote Port Приложение Примечания
Порты TCP
139 LISTENING 0.0.0.0 37066 [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445 LISTENING 0.0.0.0 24696 [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1084 TIME_WAIT 93.158.134.25 443 [0]
1085 TIME_WAIT 70.186.131.11 80 [0]
1089 ESTABLISHED 173.194.32.132 443 [4000] c:\program files\mozilla firefox\firefox.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1093 TIME_WAIT 217.20.147.94 80 [0]
4778 ESTABLISHED 127.0.0.1 4779 [4000] c:\program files\mozilla firefox\firefox.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
4778 LISTENING 0.0.0.0 2224 [4000] c:\program files\mozilla firefox\firefox.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
4779 ESTABLISHED 127.0.0.1 4778 [4000] c:\program files\mozilla firefox\firefox.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
4874 ESTABLISHED 87.250.251.179 443 [4000] c:\program files\mozilla firefox\firefox.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
Порты UDP
137 LISTENING -- -- [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138 LISTENING -- -- [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445 LISTENING -- -- [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1114 LISTENING -- -- [3120] c:\program files\webget\bin\webget.browseradapter.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить

Downloaded Program Files (DPF)

Имя файла Описание Производитель CLSID URL загрузки
Обнаружено элементов - 3, опознано как безопасные - 3

Апплеты панели управления (CPL)

Имя файла Описание Производитель
C:\WINDOWS\system32\FlashPlayerCPLApp.cpl
Скрипт: Kарантин, Удалить, Удалить через BC Adobe Flash Player Control Panel Applet Copyright © 1996 Adobe Systems Incorporated. All Rights Reserved. Adobe and Flash are either trademarks or registered trademarks in the United States and/or other countries.
Обнаружено элементов - 31, опознано как безопасные - 30

Active Setup

Имя файла Описание Производитель CLSID
Обнаружено элементов - 12, опознано как безопасные - 12

Файл HOSTS

Запись файла Hosts
127.0.0.1 localhost
Очистка файла Hosts

Протоколы и обработчики

Имя файла Тип Описание Производитель CLSID
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
Обнаружено элементов - 32, опознано как безопасные - 29

Общие ресурсы

Сетевое имя Путь Примечания
ADMIN$ C:\WINDOWS Удаленный Admin
C$ C:\ Стандартный общий ресурс
E$ E:\ Стандартный общий ресурс
F$ F:\ Стандартный общий ресурс
G$ G:\ Стандартный общий ресурс
H$ H:\ Стандартный общий ресурс
IPC$ Удаленный IPC

Подозрительные объекты

Файл Описание Тип
C:\WINDOWS\system32\DRIVERS\klif.sys
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit Перехватчик KernelMode

Протокол антивирусной утилиты AVZ версии 4.43
Сканирование запущено в 21.05.2014 21:00:21
Загружена база: сигнатуры - 297612, нейропрофили - 2, микропрограммы лечения - 56, база от 20.05.2014 16:00
Загружены микропрограммы эвристики: 405
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 660730
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 3 "Microsoft Windows XP" ; AVZ работает с правами администратора
Восстановление системы: Отключено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=08B520)
 Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
   SDT = 80562520
   KiST = 804E48B0 (284)
Функция NtAdjustPrivilegesToken (0B) перехвачена (805E07AF->B502B55C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtClose (19) перехвачена (8056FA48->B4FC7A82), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtConnectPort (1F) перехвачена (80585565->B4FDE962), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateEvent (23) перехвачена (8057CD25->B4FC7FFA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateMutant (2B) перехвачена (8057F3B8->B4FC7EE0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreatePort (2E) перехвачена (8059902A->B4FDEC88), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateProcess (2F) перехвачена (805B0490->B502D4D6), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateProcessEx (30) перехвачена (8058B7CD->B502D6F2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateSection (32) перехвачена (8056DB66->B502E5B2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateSemaphore (33) перехвачена (8057A9DC->B4FC811A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateSymbolicLinkObject (34) перехвачена (805E6E82->B4FEEAC0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateThread (35) перехвачена (80586C45->B502DBB6), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateWaitablePort (38) перехвачена (805AA56E->B4FDED56), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDebugActiveProcess (39) перехвачена (806625AD->B502D37C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDeleteKey (3F) перехвачена (80593334->B4FD89E2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDeleteValueKey (41) перехвачена (80591F8B->B4FDA1CA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDeviceIoControlFile (42) перехвачена (805889A8->B4FC7AC6), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDuplicateObject (44) перехвачена (80581216->B502B69E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtEnumerateKey (47) перехвачена (80578E14->B4FD99D6), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtEnumerateValueKey (49) перехвачена (80587693->B4FDA36A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtLoadDriver (61) перехвачена (805A8FB2->B502B306), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtLoadKey (62) перехвачена (805CE80D->B4FD951A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtLoadKey2 (63) перехвачена (805CE96C->B4FD9772), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtMapViewOfSection (6C) перехвачена (8057E369->B4FEEB00), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtNotifyChangeKey (6F) перехвачена (805E21B7->B4FDD126), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenEvent (72) перехвачена (80589A51->B4FC8090), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenMutant (78) перехвачена (8057F466->B4FC7F70), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenProcess (7A) перехвачена (80581702->B502CF24), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenSection (7D) перехвачена (8057A8AD->B502E85E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenSemaphore (7E) перехвачена (805E71F6->B4FC81B0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenThread (80) перехвачена (805E1961->B502D912), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtPlugPlayControl (84) перехвачена (80596C5D->B4FEEAD0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueryKey (A0) перехвачена (80578A14->B4FD8816), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueryMultipleValueKey (A1) перехвачена (80655768->B4FD9FD8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueryObject (A3) перехвачена (8058A270->B4FDD332), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueryValueKey (B1) перехвачена (80573037->B4FD9DCC), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueueApcThread (B4) перехвачена (805E3BB5->B502E260), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtRenameKey (C0) перехвачена (80655BE4->B4FD8AF6), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtReplaceKey (C1) перехвачена (80656544->B4FD9168), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtReplyPort (C2) перехвачена (80583142->B4FDEF96), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtReplyWaitReceivePort (C3) перехвачена (80575C24->B4FDEE24), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtReplyWaitReceivePortEx (C4) перехвачена (8057573C->B4FDEEDA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtRequestWaitReplyPort (C8) перехвачена (80579485->B4FDF006), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtRestoreKey (CC) перехвачена (806560D9->B4FD936E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtResumeThread (CE) перехвачена (805872BC->B502DF8C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSaveKey (CF) перехвачена (806561DA->B4FD8C9A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSaveKeyEx (D0) перехвачена (806562C5->B4FD8E30), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSaveMergedKeys (D1) перехвачена (806563F2->B4FD8FCC), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSecureConnectPort (D2) перехвачена (80590431->B4FDEAF0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetContextThread (D5) перехвачена (806359D3->B502E0E8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetInformationToken (E6) перехвачена (805A618E->B4FC823A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetSystemInformation (F0) перехвачена (805AABE4->B502B410), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetValueKey (F7) перехвачена (8058228C->B4FD9B96), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSuspendProcess (FD) перехвачена (8063776B->B502D0C4), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSuspendThread (FE) перехвачена (80637687->B502DE34), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSystemDebugControl (FF) перехвачена (80650E21->B4FC824C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtTerminateProcess (101) перехвачена (8058E695->B502D224), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtTerminateThread (102) перехвачена (805838E7->B502DAB2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtUnmapViewOfSection (10B) перехвачена (8057DEF1->B502E9C6), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtWriteVirtualMemory (115) перехвачена (805885C4->B502E6F0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Проверено функций: 284, перехвачено: 60, восстановлено: 0
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Анализ для процессора 2
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
 Драйвер успешно загружен
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 45
 Количество загруженных модулей: 452
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Подозрение на скрытый автозапуск -  HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NvCplDaemon="RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup"
Подозрение на скрытый автозапуск -  HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NvMediaCenter="RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Обнаружены опасные расширения в списке типов файлов, не представляющих угрозы
Проверка завершена
Просканировано файлов: 497, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 21.05.2014 21:02:59
Сканирование длилось 00:02:41
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ 
можно использовать сервис http://virusdetector.ru/
Создание архива с файлами из карантина
Создание архива с файлами из карантина завершено
Выполняется исследование системы
Диагностика сети
 DNS & Ping
  Host "yandex.ru", IP="213.180.204.11,93.158.134.11,213.180.193.11", Ping=OK (0,19,213.180.204.11)
  Host "google.ru", IP="173.194.32.152,173.194.32.151,173.194.32.159", Ping=OK (0,113,173.194.32.152)
  Host "google.com", IP="173.194.32.136,173.194.32.135,173.194.32.129,173.194.32.132,173.194.32.131,173.194.32.133,173.194.32.130,173.194.32.128,173.194.32.134,173.194.32.137,173.194.32.142", Ping=OK (0,97,173.194.32.136)
  Host "www.kaspersky.com", IP="212.5.89.20", Ping=OK (0,99,212.5.89.20)
  Host "www.kaspersky.ru", IP="212.5.89.229", Ping=OK (0,99,212.5.89.229)
  Host "dnl-03.geo.kaspersky.com", IP="77.74.183.1", Ping=OK (0,103,77.74.183.1)
  Host "dnl-11.geo.kaspersky.com", IP="195.16.117.50", Ping=OK (0,107,195.16.117.50)
  Host "activation-v2.kaspersky.com", IP="212.5.89.37", Ping=OK (0,99,212.5.89.37)
  Host "odnoklassniki.ru", IP="217.20.147.94", Ping=OK (0,112,217.20.147.94)
  Host "vk.com", IP="87.240.131.120,87.240.131.118,87.240.131.119", Ping=OK (0,131,87.240.131.120)
  Host "vkontakte.ru", IP="87.240.156.167,87.240.156.161,87.240.156.168", Ping=OK (0,117,87.240.156.167)
  Host "twitter.com", IP="199.16.156.230,199.16.156.198,199.16.156.6,199.16.156.38", Ping=OK (0,248,199.16.156.230)
  Host "facebook.com", IP="173.252.110.27", Ping=OK (0,255,173.252.110.27)
  Host "ru-ru.facebook.com", IP="31.13.81.49", Ping=OK (0,162,31.13.81.49)
 IE Setup
  AutoConfigURL=""
  AutoConfigProxy="wininet.dll"
  ProxyOverride=""
  ProxyServer=""
Network TCP/IP settings
  Interface: "Подключение по локальной сети 3"
   IPAddress = "0.0.0.0"
   SubnetMask = "0.0.0.0"
   DefaultGateway = ""
   NameServer = ""
   Domain = ""
   DhcpServer = "255.255.255.255"
  Interface: "Подключение по локальной сети"
   IPAddress = "0.0.0.0"
   SubnetMask = "0.0.0.0"
   DefaultGateway = ""
   NameServer = ""
   Domain = ""
   DhcpServer = "192.168.66.1"

 Исследование системы завершено


Команды скрипта 
Добавить в скрипт команды:
Нейтрализация перехватов функций при помощи антируткита
Включить AVZGuard
Управление AVZPM (true-включить,false-отключить)
BootCleaner - импорт списка удаленных файлов
BootCleaner - импортировать все
Чистка реестра после удаления файлов
ExecuteWizard ('TSW',2,3,true) - Выполнение мастера поиска и устранения проблем
BootCleaner - активация
Перезагрузка
Вставить заготовку для QuarantineFile() - помещение файла в карантин
Вставить заготовку для BC_QrFile() - помещение файла в карантин через BC
Вставить заготовку для DeleteFile() - удаление файла
Вставить заготовку для DelCLSID() - удаление CLSID класса из реестра
Дополнительные операции:Оптимизация - отключить службу TermService (Службы терминалов)
Оптимизация - отключить службу SSDPSRV (Служба обнаружения SSDP)
Оптимизация - отключить службу Schedule (Планировщик заданий)
Оптимизация - отключить службу RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
Оптимизация - безопасность - отключить автозапуск программ с CD
Оптимизация - безопасность - отключить административный доступ к локальным дискам
Оптимизация - безопасность - блокировать возможность подключения анонимных пользователей
Безопасность - запретить отправку приглашений удаленному помощнику

Список файлов

Порт	Статус	Remote Host	Remote Port	Приложение	Примечания
Порты TCP
139	LISTENING	0.0.0.0	37066	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445	LISTENING	0.0.0.0	24696	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1084	TIME_WAIT	93.158.134.25	443	[0]
1085	TIME_WAIT	70.186.131.11	80	[0]
1089	ESTABLISHED	173.194.32.132	443	[4000] c:\program files\mozilla firefox\firefox.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1093	TIME_WAIT	217.20.147.94	80	[0]
4778	ESTABLISHED	127.0.0.1	4779	[4000] c:\program files\mozilla firefox\firefox.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
4778	LISTENING	0.0.0.0	2224	[4000] c:\program files\mozilla firefox\firefox.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
4779	ESTABLISHED	127.0.0.1	4778	[4000] c:\program files\mozilla firefox\firefox.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
4874	ESTABLISHED	87.250.251.179	443	[4000] c:\program files\mozilla firefox\firefox.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
Порты UDP
137	LISTENING	--	--	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138	LISTENING	--	--	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445	LISTENING	--	--	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1114	LISTENING	--	--	[3120] c:\program files\webget\bin\webget.browseradapter.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить

Сетевое имя	Путь	Примечания
ADMIN$	C:\WINDOWS	Удаленный Admin
C$	C:\	Стандартный общий ресурс
E$	E:\	Стандартный общий ресурс
F$	F:\	Стандартный общий ресурс
G$	G:\	Стандартный общий ресурс
H$	H:\	Стандартный общий ресурс
IPC$		Удаленный IPC