AVZ 4.39 http://z-oleg.com/secur/avz/
| Имя файла | PID | Описание | Copyright | MD5 | Информация
| c:\windows\system32\acs.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1768 | ACS | Copyright © 2003, Atheros Communications, Inc. All Rights Reserved. | ?? | 456.08 кб, rsAh, | создан: 08.09.2009 10:02:58, изменен: 07.07.2008 18:43:06 Командная строка: C:\WINDOWS\system32\acs.exe c:\program files\atheros wlan client\acu.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2336 | Atheros Client Utility | Copyright © 2003, Atheros Communications, Inc. All Rights Reserved. | ?? | 440.09 кб, rsAh, | создан: 08.09.2009 10:02:58, изменен: 07.07.2008 18:43:24 Командная строка: "C:\Program Files\Atheros WLAN Client\ACU.exe" -nogui c:\windows\system32\alg.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 444 | Application Layer Gateway Service | © Microsoft Corporation. All rights reserved. | ?? | 43.50 кб, rsAh, | создан: 15.04.2008 18:00:00, изменен: 15.04.2008 18:00:00 Командная строка: C:\WINDOWS\System32\alg.exe c:\program files\avira\antivir desktop\avgnt.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2540 | Avira System Tray Tool | © 2000 - 2013 Компания Avira Operations GmbH & Co. KG и ее лицензиар | ?? | 337.05 кб, rsAh, | создан: 25.06.2013 17:35:48, изменен: 01.07.2013 19:33:03 Командная строка: "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min c:\program files\avira\antivir desktop\avguard.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2032 | Avira On-Access Service | © 2000 - 2013 Компания Avira Operations GmbH & Co. KG и ее лицензиар | ?? | 105.55 кб, rsAh, | создан: 25.06.2013 17:35:48, изменен: 01.07.2013 19:33:04 Командная строка: "C:\Program Files\Avira\AntiVir Desktop\avguard.exe" c:\program files\avira\antivir desktop\avshadow.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1364 | Avira Shadow Copy Service | © 2000 - 2013 Компания Avira Operations GmbH & Co. KG и ее лицензиар | ?? | 75.05 кб, rsAh, | создан: 25.06.2013 17:35:48, изменен: 01.07.2013 19:33:11 Командная строка: "C:\Program Files\Avira\AntiVir Desktop\avshadow.exe" avshadowcontrol0_000007f0 c:\program files\avira\antivir desktop\avwebgrd.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2076 | Avira WebGuard Service | © 2000 - 2013 Компания Avira Operations GmbH & Co. KG и ее лицензиар | ?? | 575.55 кб, rsAh, | создан: 25.06.2013 17:35:48, изменен: 01.07.2013 19:33:13 Командная строка: "C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE" d:\avz4\avz.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2804 | Антивирусная утилита AVZ | Антивирусная утилита AVZ | ?? | 747.00 кб, rsAh, | создан: 08.07.2013 17:36:38, изменен: 20.05.2012 10:51:48 Командная строка: "D:\avz4\avz.exe" c:\windows\system32\ctfmon.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2560 | CTF Loader | © Microsoft Corporation. All rights reserved. | ?? | 15.00 кб, rsAh, | создан: 15.04.2008 18:00:00, изменен: 15.04.2008 18:00:00 Командная строка: "C:\WINDOWS\system32\ctfmon.exe" c:\windows\explorer.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2052 | Проводник | © Корпорация Майкрософт. Все права защищены. | ?? | 1010.00 кб, rsAh, | создан: 15.04.2008 18:00:00, изменен: 15.04.2008 18:00:00 Командная строка: C:\WINDOWS\Explorer.EXE c:\program files\google\update\googleupdate.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 404 | Установщик Google | (с) Google Inc., 2007-2009 гг. | ?? | 132.48 кб, rsAh, | создан: 31.01.2010 07:26:18, изменен: 31.01.2010 07:26:06 Командная строка: "C:\Program Files\Google\Update\GoogleUpdate.exe" /c c:\documents and settings\admin\local settings\application data\google\update\googleupdate.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2748 | Установщик Google | (с) Google Inc., 2007-2009 гг. | ?? | 132.98 кб, rsAh, | создан: 24.10.2011 20:42:08, изменен: 20.10.2011 10:08:54 Командная строка: "C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c c:\program files\java\jre6\bin\jqs.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 300 | Java(TM) Quick Starter Service | Copyright © 2011 | ?? | 149.78 кб, rsAh, | создан: 13.04.2010 11:30:13, изменен: 04.05.2011 04:52:36 Командная строка: "C:\Program Files\Java\jre6\bin\jqs.exe" -service -config "C:\Program Files\Java\jre6\lib\deploy\jqs\jqs.conf" c:\windows\system32\lsass.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 976 | LSA Shell (Export Version) | © Microsoft Corporation. All rights reserved. | ?? | 13.00 кб, rsAh, | создан: 15.04.2008 18:00:00, изменен: 15.04.2008 18:00:00 Командная строка: C:\WINDOWS\system32\lsass.exe c:\windows\system32\pnkbstra.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 448 | | | ?? | 73.38 кб, rsAh, | создан: 08.05.2011 17:12:12, изменен: 08.05.2011 17:12:12 Командная строка: C:\WINDOWS\system32\PnkBstrA.exe c:\windows\rthdcpl.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2368 | Realtek HD Audio Control Panel | Copyright (c) 2010 Realtek Semiconductor Corp. | ?? | 19557.10 кб, rsAh, | создан: 07.09.2009 13:42:54, изменен: 21.01.2011 21:27:38 Командная строка: "C:\WINDOWS\RTHDCPL.EXE" c:\program files\avira\antivir desktop\sched.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1848 | Avira Scheduler | © 2000 - 2013 Компания Avira Operations GmbH & Co. KG и ее лицензиар | ?? | 82.05 кб, rsAh, | создан: 25.06.2013 17:35:48, изменен: 01.07.2013 19:33:40 Командная строка: "C:\Program Files\Avira\AntiVir Desktop\sched.exe" c:\windows\system32\services.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 964 | Приложение служб и контроллеров | © Корпорация Майкрософт. Все права защищены. | ?? | 108.50 кб, rsAh, | создан: 15.04.2008 18:00:00, изменен: 15.04.2008 18:00:00 Командная строка: C:\WINDOWS\system32\services.exe c:\program files\ticno\shextmng\shextmng.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 3292 | Shell Extension Manager | Copyright (C) 2013 | ?? | 1071.50 кб, rsAh, | создан: 26.02.2013 15:24:56, изменен: 26.02.2013 15:24:56 Командная строка: "C:\Program Files\Ticno\ShExtMng\ShExtMng.exe" c:\program files\ticno\shextmng\shextmngservice.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 688 | Shell Extension Manager Service | Copyright (C) 2013 | ?? | 194.00 кб, rsAh, | создан: 26.02.2013 15:25:34, изменен: 26.02.2013 15:25:34 Командная строка: "C:\Program Files\Ticno\ShExtMng\shextmngservice.exe" c:\program files\srs labs\wowxt and tsxt driver\srs_postinstaller2.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 588 | Service to handle post-installation details | Copyright (C) 2005 SRS Labs, Inc. | ?? | 73.23 кб, rsAh, | создан: 24.03.2009 09:52:16, изменен: 24.03.2009 09:52:16 Командная строка: "C:\Program Files\SRS Labs\WOWXT and TSXT Driver\SRS_PostInstaller2.exe" c:\windows\system32\svchost.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1272 | Generic Host Process for Win32 Services | © Microsoft Corporation. All rights reserved. | ?? | 14.00 кб, rsAh, | создан: 15.04.2008 18:00:00, изменен: 15.04.2008 18:00:00 Командная строка: C:\WINDOWS\System32\svchost.exe -k netsvcs c:\windows\system32\svchost.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1312 | Generic Host Process for Win32 Services | © Microsoft Corporation. All rights reserved. | ?? | 14.00 кб, rsAh, | создан: 15.04.2008 18:00:00, изменен: 15.04.2008 18:00:00 Командная строка: C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup c:\windows\system32\svchost.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1552 | Generic Host Process for Win32 Services | © Microsoft Corporation. All rights reserved. | ?? | 14.00 кб, rsAh, | создан: 15.04.2008 18:00:00, изменен: 15.04.2008 18:00:00 Командная строка: C:\WINDOWS\system32\svchost.exe -k NetworkService c:\windows\system32\svchost.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1664 | Generic Host Process for Win32 Services | © Microsoft Corporation. All rights reserved. | ?? | 14.00 кб, rsAh, | создан: 15.04.2008 18:00:00, изменен: 15.04.2008 18:00:00 Командная строка: C:\WINDOWS\system32\svchost.exe -k LocalService c:\windows\system32\svchost.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1152 | Generic Host Process for Win32 Services | © Microsoft Corporation. All rights reserved. | ?? | 14.00 кб, rsAh, | создан: 15.04.2008 18:00:00, изменен: 15.04.2008 18:00:00 Командная строка: C:\WINDOWS\system32\svchost -k DcomLaunch c:\windows\system32\svchost.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1224 | Generic Host Process for Win32 Services | © Microsoft Corporation. All rights reserved. | ?? | 14.00 кб, rsAh, | создан: 15.04.2008 18:00:00, изменен: 15.04.2008 18:00:00 Командная строка: C:\WINDOWS\system32\svchost -k rpcss c:\windows\system32\svchost.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 636 | Generic Host Process for Win32 Services | © Microsoft Corporation. All rights reserved. | ?? | 14.00 кб, rsAh, | создан: 15.04.2008 18:00:00, изменен: 15.04.2008 18:00:00 Командная строка: C:\WINDOWS\system32\svchost.exe -k imgsvc c:\windows\system32\svchost.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1956 | Generic Host Process for Win32 Services | © Microsoft Corporation. All rights reserved. | ?? | 14.00 кб, rsAh, | создан: 15.04.2008 18:00:00, изменен: 15.04.2008 18:00:00 Командная строка: C:\WINDOWS\system32\svchost.exe -k LocalService c:\program files\sweetim\messenger\sweetim.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2328 | SweetIM Instant Messenger Enhancer | Copyright © 2008 SweetIM Technologies Ltd. | ?? | 112.30 кб, RsAh, | создан: 01.08.2011 14:35:42, изменен: 01.08.2011 14:35:42 Командная строка: "C:\Program Files\SweetIM\Messenger\SweetIM.exe" c:\windows\system32\wbem\unsecapp.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 3628 | WMI | © Microsoft Corporation. All rights reserved. | ?? | 16.50 кб, rsAh, | создан: 07.09.2009 13:20:22, изменен: 15.04.2008 18:00:00 Командная строка: C:\WINDOWS\system32\wbem\unsecapp.exe -Embedding c:\documents and settings\all users\application data\vksaver\vksaver.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2484 | VKSaver tray proxy for saving music from vk.com | Copyright (C) 2009-2013 AudioVkontakte.ru | ?? | 128.00 кб, rsAh, | создан: 13.10.2012 13:39:22, изменен: 07.07.2013 12:12:23 Командная строка: "C:\Documents and Settings\All Users\Application Data\VKSaver\VKSaver.exe" c:\documents and settings\all users\application data\vksaver\vksaver.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1784 | VKSaver tray proxy for saving music from vk.com | Copyright (C) 2009-2013 AudioVkontakte.ru | ?? | 128.00 кб, rsAh, | создан: 13.10.2012 13:39:22, изменен: 07.07.2013 12:12:23 Командная строка: "C:\Documents and Settings\All Users\Application Data\VKSaver\VKSaver.exe" -autoupdate c:\windows\system32\winlogon.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 916 | Программа входа в систему Windows NT | © Корпорация Майкрософт. Все права защищены. | ?? | 497.50 кб, rsAh, | создан: 15.04.2008 18:00:00, изменен: 15.04.2008 18:00:00 Командная строка: winlogon.exe c:\windows\system32\wbem\wmiapsrv.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 3108 | Служба адаптера производительности WMI | © Корпорация Майкрософт. Все права защищены. | ?? | 123.50 кб, rsAh, | создан: 07.09.2009 13:20:06, изменен: 15.04.2008 18:00:00 Командная строка: C:\WINDOWS\system32\wbem\wmiapsrv.exe c:\windows\system32\wbem\wmiprvse.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 3840 | WMI | © Microsoft Corporation. All rights reserved. | ?? | 222.50 кб, rsAh, | создан: 07.09.2009 13:20:07, изменен: 15.04.2008 18:00:00 Командная строка: C:\WINDOWS\system32\wbem\wmiprvse.exe�-Embedding c:\windows\system32\wuauclt.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1440 | Windows Update | © Microsoft Corporation. All rights reserved. | ?? | 52.52 кб, rsAh, | создан: 07.09.2009 13:22:35, изменен: 02.06.2012 16:19:34 Командная строка: "C:\WINDOWS\system32\wuauclt.exe" /RunStoreAsComServer Local\[4f8]SUSDS6a0875fe9241d34496db316a01e604d1 Обнаружено:48, из них опознаны как безопасные 39
| | |||||
| Имя модуля | Handle | Описание | Copyright | MD5 | Используется процессами
| C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Update\1.3.21.149\goopdate.dll | Скрипт: Kарантин, Удалить, Удалить через BC 402653184 | Google Update | Copyright 2007-2010 Google Inc. | -- | 2748
| C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\pzkmcka.dll | Скрипт: Kарантин, Удалить, Удалить через BC 7405568 | | | -- | 1768, 2336, 2804, 2560, 2052, 404, 2748, 300, 976, 2368, 964, 588, 1272, 1312, 1552, 1664, 1152, 1224, 636, 1956, 2328, 3628, 2484, 1784, 916, 3108, 3840, 1440
| C:\Program Files\Avira\AntiVir Desktop\aegen.dll | Скрипт: Kарантин, Удалить, Удалить через BC 32768000 | Avira Engine Module for Windows | Copyright © 2013 Avira Operations GmbH & Co. KG. All rights reserved. | -- | 2032
| C:\Program Files\Avira\AntiVir Desktop\aeheur.dll | Скрипт: Kарантин, Удалить, Удалить через BC 26279936 | Avira Engine Module for Windows | Copyright © 2013 Avira Operations GmbH & Co. KG. All rights reserved. | -- | 2032
| C:\Program Files\Avira\AntiVir Desktop\aescript.dll | Скрипт: Kарантин, Удалить, Удалить через BC 22740992 | Avira Engine Module for Windows | Copyright © 2013 Avira Operations GmbH & Co. KG. All rights reserved. | -- | 2032
| c:\program files\avira\antivir desktop\avesvc.dll | Скрипт: Kарантин, Удалить, Удалить через BC 40042496 | Avira Engine Service Library | © 2000 - 2013 Компания Avira Operations GmbH & Co. KG и ее лицензиар | -- | 2032
| c:\program files\avira\antivir desktop\avesvcr.dll | Скрипт: Kарантин, Удалить, Удалить через BC 40304640 | Avira Engine Service Library Resources | © 2000 - 2013 Компания Avira Operations GmbH & Co. KG и ее лицензиар | -- | 2032
| C:\Program Files\Avira\AntiVir Desktop\avevtlog.dll | Скрипт: Kарантин, Удалить, Удалить через BC 10485760 | Avira Event Logger | © 2000 - 2013 Компания Avira Operations GmbH & Co. KG и ее лицензиар | -- | 2032, 2076, 1848
| C:\Program Files\Avira\AntiVir Desktop\AVGIO.DLL | Скрипт: Kарантин, Удалить, Удалить через BC 20840448 | Avira On-Access Scan Library | © 2000 - 2013 Компания Avira Operations GmbH & Co. KG и ее лицензиар | -- | 2032
| C:\Program Files\Avira\AntiVir Desktop\avipc.dll | Скрипт: Kарантин, Удалить, Удалить через BC 19333120 | Avira IPC Library | © 2000 - 2013 Компания Avira Operations GmbH & Co. KG и ее лицензиар | -- | 2540, 2032, 1364, 2076, 1848
| c:\program files\avira\antivir desktop\avpref.dll | Скрипт: Kарантин, Удалить, Удалить через BC 22085632 | Avira Prefix Library | © 2000 - 2013 Компания Avira Operations GmbH & Co. KG и ее лицензиар | -- | 2032
| c:\program files\avira\antivir desktop\avreg.dll | Скрипт: Kарантин, Удалить, Удалить через BC 94568448 | Avira Registry Library | Copyright © 2000 - 2012 Avira Operations GmbH. All rights reserved. | -- | 2032
| C:\Program Files\Avira\AntiVir Desktop\avsda.dll | Скрипт: Kарантин, Удалить, Удалить через BC 268435456 | Avira Layered Service Provider | © 2000 - 2013 Компания Avira Operations GmbH & Co. KG и ее лицензиар | -- | 444, 2076, 300, 976, 448, 3292, 1272, 1664, 1224, 2328, 2484
| C:\Program Files\Avira\AntiVir Desktop\avwebgrc.dll | Скрипт: Kарантин, Удалить, Удалить через BC 17563648 | Avira WebGuard Resources | © 2000 - 2013 Компания Avira Operations GmbH & Co. KG и ее лицензиар | -- | 2076
| c:\program files\avira\antivir desktop\ccgen.dll | Скрипт: Kарантин, Удалить, Удалить через BC 20381696 | Avira CC General plugin | © 2000 - 2013 Компания Avira Operations GmbH & Co. KG и ее лицензиар | -- | 2540
| c:\program files\avira\antivir desktop\ccgenrc.dll | Скрипт: Kарантин, Удалить, Удалить через BC 21364736 | Avira CC General plugin resources | © 2000 - 2013 Компания Avira Operations GmbH & Co. KG и ее лицензиар | -- | 2540
| c:\program files\avira\antivir desktop\ccgrdw.dll | Скрипт: Kарантин, Удалить, Удалить через BC 16121856 | Avira CC Guard Worker plugin | © 2000 - 2013 Компания Avira Operations GmbH & Co. KG и ее лицензиар | -- | 2540
| c:\program files\avira\antivir desktop\ccguard.dll | Скрипт: Kарантин, Удалить, Удалить через BC 15532032 | Avira CC Guard plugin | © 2000 - 2013 Компания Avira Operations GmbH & Co. KG и ее лицензиар | -- | 2540
| c:\program files\avira\antivir desktop\cclic.dll | Скрипт: Kарантин, Удалить, Удалить через BC 22216704 | Avira CC License Status plugin | © 2000 - 2013 Компания Avira Operations GmbH & Co. KG и ее лицензиар | -- | 2540
| c:\program files\avira\antivir desktop\ccmsg.dll | Скрипт: Kарантин, Удалить, Удалить через BC 22544384 | Avira CC Message plugin | © 2000 - 2013 Компания Avira Operations GmbH & Co. KG и ее лицензиар | -- | 2540
| c:\program files\avira\antivir desktop\ccupdate.dll | Скрипт: Kарантин, Удалить, Удалить через BC 21757952 | Avira CC Updater Status plugin | © 2000 - 2013 Компания Avira Operations GmbH & Co. KG и ее лицензиар | -- | 2540
| C:\Program Files\Avira\AntiVir Desktop\ccupdw.dll | Скрипт: Kарантин, Удалить, Удалить через BC 34865152 | Avira CC Updater Worker plugin | © 2000 - 2013 Компания Avira Operations GmbH & Co. KG и ее лицензиар | -- | 2540, 2076
| c:\program files\avira\antivir desktop\ccwgrd.dll | Скрипт: Kарантин, Удалить, Удалить через BC 19464192 | Avira CC WebGuard plugin | © 2000 - 2013 Компания Avira Operations GmbH & Co. KG и ее лицензиар | -- | 2540
| c:\program files\avira\antivir desktop\ccwgrdw.dll | Скрипт: Kарантин, Удалить, Удалить через BC 20119552 | Avira CC WebGuard Worker plugin | © 2000 - 2013 Компания Avira Operations GmbH & Co. KG и ее лицензиар | -- | 2540
| C:\Program Files\Avira\AntiVir Desktop\ccwkrlib.dll | Скрипт: Kарантин, Удалить, Удалить через BC 268435456 | Avira CC Common Worker Library | © 2000 - 2013 Компания Avira Operations GmbH & Co. KG и ее лицензиар | -- | 2540, 2076
| c:\program files\avira\antivir desktop\cfglib.dll | Скрипт: Kарантин, Удалить, Удалить через BC 14942208 | Avira Configuration Library | © 2000 - 2013 Компания Avira Operations GmbH & Co. KG и ее лицензиар | -- | 2540, 2032, 2076, 1848
| c:\program files\avira\antivir desktop\gpavgio.dll | Скрипт: Kарантин, Удалить, Удалить через BC 16777216 | Avira Host Service AVGIO plugin | © 2000 - 2013 Компания Avira Operations GmbH & Co. KG и ее лицензиар | -- | 2032
| c:\program files\avira\antivir desktop\gpgen.dll | Скрипт: Kарантин, Удалить, Удалить через BC 13893632 | Avira Host Service General | © 2000 - 2013 Компания Avira Operations GmbH & Co. KG и ее лицензиар | -- | 2032, 1848
| c:\program files\avira\antivir desktop\gpgenrep.dll | Скрипт: Kарантин, Удалить, Удалить через BC 17825792 | Avira Host Service Generic Repair | © 2000 - 2013 Компания Avira Operations GmbH & Co. KG и ее лицензиар | -- | 2032
| c:\program files\avira\antivir desktop\gpgrd.dll | Скрипт: Kарантин, Удалить, Удалить через BC 14221312 | Avira Host Service On-Access plugin | © 2000 - 2013 Компания Avira Operations GmbH & Co. KG и ее лицензиар | -- | 2032
| c:\program files\avira\antivir desktop\gpgui.dll | Скрипт: Kарантин, Удалить, Удалить через BC 17235968 | Avira Host Service Gui plugin | © 2000 - 2013 Компания Avira Operations GmbH & Co. KG и ее лицензиар | -- | 2032
| c:\program files\avira\antivir desktop\gpipc.dll | Скрипт: Kарантин, Удалить, Удалить через BC 19005440 | Avira Host Service Ipc plugin | © 2000 - 2013 Компания Avira Operations GmbH & Co. KG и ее лицензиар | -- | 2540, 2032, 1848
| c:\program files\avira\antivir desktop\gplegacy.dll | Скрипт: Kарантин, Удалить, Удалить через BC 17432576 | Avira Host Service Legacy plugin | © 2000 - 2013 Компания Avira Operations GmbH & Co. KG и ее лицензиар | -- | 2032
| c:\program files\avira\antivir desktop\gpschd.dll | Скрипт: Kарантин, Удалить, Удалить через BC 14548992 | Avira Host Service Scheduler Plugin | © 2000 - 2013 Компания Avira Operations GmbH & Co. KG и ее лицензиар | -- | 1848
| C:\Program Files\Avira\AntiVir Desktop\grdcore.dll | Скрипт: Kарантин, Удалить, Удалить через BC 18546688 | Avira Host Framework Core Library | © 2000 - 2013 Компания Avira Operations GmbH & Co. KG и ее лицензиар | -- | 2540, 2032, 1848
| C:\Program Files\Avira\AntiVir Desktop\guardmsg.dll | Скрипт: Kарантин, Удалить, Удалить через BC 17694720 | Avira On-Access Library | © 2000 - 2013 Компания Avira Operations GmbH & Co. KG и ее лицензиар | -- | 2032
| C:\Program Files\Avira\AntiVir Desktop\msgclient.dll | Скрипт: Kарантин, Удалить, Удалить через BC 7471104 | Avira Message Client | © 2000 - 2013 Компания Avira Operations GmbH & Co. KG и ее лицензиар | -- | 2076
| c:\program files\avira\antivir desktop\onlcfg.dll | Скрипт: Kарантин, Удалить, Удалить через BC 18022400 | Avira Online Configuration plugin | © 2000 - 2013 Компания Avira Operations GmbH & Co. KG и ее лицензиар | -- | 2032
| C:\Program Files\Avira\AntiVir Desktop\schedr.dll | Скрипт: Kарантин, Удалить, Удалить через BC 16646144 | Avira Scheduler resources | © 2000 - 2013 Компания Avira Operations GmbH & Co. KG и ее лицензиар | -- | 1848
| C:\Program Files\Google\Update\1.3.21.149\goopdate.dll | Скрипт: Kарантин, Удалить, Удалить через BC 402653184 | Google Update | Copyright 2007-2010 Google Inc. | -- | 404
| C:\Program Files\Ticno\ShExtMng\lang.RU.dll | Скрипт: Kарантин, Удалить, Удалить через BC 268435456 | Ticno ShExtMng Localization File | Copyright 2011 Ticno | -- | 3292
| C:\Program Files\Ticno\ShExtMng\ShExtMng.dll | Скрипт: Kарантин, Удалить, Удалить через BC 20840448 | Shell Extension Manager | Copyright (C) 2012 | -- | 3292
| C:\Program Files\Ticno\ShExtMng\updater.dll | Скрипт: Kарантин, Удалить, Удалить через BC 20250624 | | | -- | 3292
| Обнаружено модулей:387, из них опознаны как безопасные 344
| | |||||
| Модуль | Базовый адрес | Размер в памяти | Описание | Производитель
| C:\WINDOWS\System32\Drivers\dump_atapi.sys | Скрипт: Kарантин, Удалить, Удалить через BC A8C76000 | 018000 (98304) |
| C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS | Скрипт: Kарантин, Удалить, Удалить через BC F79B9000 | 002000 (8192) |
| \Program Files\DAEMON Tools Lite\Engine.dll | Скрипт: Kарантин, Удалить, Удалить через BC 10000000 | 371000 (3608576) |
| C:\WINDOWS\system32\Drivers\sptd.sys | Скрипт: Kарантин, Удалить, Удалить через BC F74C6000 | 110000 (1114112) |
| Обнаружено модулей - 148, опознано как безопасные - 144
| | ||||||||
| Имя файла | Статус | Метод запуска | Описание
| C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\pzkmcka.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs
| C:\Documents and Settings\All Users\Application Data\VKSaver\VKSaver.exe | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, VKSaver | Удалить C:\Program Files\Avira\AntiVir Desktop\avgnt.exe | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, avgnt | Удалить C:\Program Files\Avira\AntiVir Desktop\shlext.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved, {45AC2688-0253-4ED8-97DE-B5370FA7D48A} | Удалить C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, Adobe ARM | Удалить C:\Program Files\Ticno\Ticno iO\iO.exe | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_USERS, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run, Ticno iO | Удалить C:\Program Files\Ticno\Ticno iO\iO.exe | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_USERS, S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run, Ticno iO | Удалить C:\WINDOWS\System32\Drivers\AliIde.sys | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\aliide, EventMessageFile
| C:\WINDOWS\System32\Drivers\CmdIde.sys | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\cmdide, EventMessageFile
| C:\WINDOWS\System32\Drivers\TosIde.sys | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\toside, EventMessageFile
| C:\WINDOWS\System32\Drivers\ViaIde.sys | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\viaide, EventMessageFile
| C:\WINDOWS\System32\Drivers\lbrtfdc.sys | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\lbrtfdc, EventMessageFile
| C:\WINDOWS\System32\PrintFilterPipelineSvc.exe | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\PrintFilterPipelineSvc, EventMessageFile
| C:\WINDOWS\System32\igmpv2.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IGMPv2, EventMessageFile
| C:\WINDOWS\System32\ipbootp.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IPBOOTP, EventMessageFile
| C:\WINDOWS\System32\iprip2.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IPRIP2, EventMessageFile
| C:\WINDOWS\System32\ospf.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\OSPF, EventMessageFile
| C:\WINDOWS\System32\ospfmib.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\OSPFMib, EventMessageFile
| C:\WINDOWS\System32\polagent.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\PolicyAgent, EventMessageFile
| C:\WINDOWS\System32\tssdis.exe | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\TermServSessDir, EventMessageFile
| C:\WINDOWS\Temp\NEventMessages.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Nokia M Platform, EventMessageFile
| C:\WINDOWS\Temp\NEventMessages.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Nokia Software Installer, EventMessageFile
| C:\WINDOWS\system32\KB905474\wgasetup.exe | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\WgaSetup, EventMessageFile
| C:\WINDOWS\system32\MsSip1.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\MS Subjects 1, $DLL | Удалить C:\WINDOWS\system32\MsSip2.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\MS Subjects 2, $DLL | Удалить C:\WINDOWS\system32\MsSip3.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\MS Subjects 3, $DLL | Удалить C:\WINDOWS\system32\athgina.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\ACS\NetworkProvider, ProviderPath | Удалить C:\WINDOWS\system32\psxss.exe | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix
| C:\WINDOWS\system32\stisvc.exe | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System, EventMessageFile
| C:\ЦИТ\EcoReport. 2-ТП\EcoReport. 2-ТП (воздух)(Demo)\EcoReport-2ТП (воздух)(Demo).exe | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ярлык в папке автозагрузки | C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\, C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\EcoReport. 2-ТП (воздух)(Demo).lnk,
| C:\ЦИТ\EcoReport. 2-ТП\EcoReport. 2-ТП (отходы)(Demo)\EcoReport-2ТП (отходы)(Demo).exe | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ярлык в папке автозагрузки | C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\, C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\EcoReport. 2-ТП (отходы)(Demo).lnk,
| D:\RigNRoll\Bin\protect.exe | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Дальнобойщики 3. Покорение Америки, EventMessageFile
| kbd101.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\i8042prt\Parameters, LayerDriver JPN | Удалить kbd101a.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\i8042prt\Parameters, LayerDriver KOR | Удалить mvfs32.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_USERS, .DEFAULT\Control Panel\IOProcs, MVB | Удалить mvfs32.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_USERS, S-1-5-19\Control Panel\IOProcs, MVB | Удалить mvfs32.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_USERS, S-1-5-20\Control Panel\IOProcs, MVB | Удалить mvfs32.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_USERS, S-1-5-18\Control Panel\IOProcs, MVB | Удалить mvfs32.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_CURRENT_USER, Control Panel\IOProcs, MVB | Удалить vgafix.fon | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fixedfon.fon | Удалить vgaoem.fon | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, oemfonts.fon | Удалить vgasys.fon | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fonts.fon | Удалить Обнаружено элементов автозапуска - 942, опознано как безопасные - 900
| | ||||||
| Имя файла | Тип | Описание | Производитель | CLSID
| C:\PROGRA~1\IMESHA~1\MediaBar\ToolBar\imeshdtxmltbpi.dll | Скрипт: Kарантин, Удалить, Удалить через BC BHO | {28387537-e3f9-4ed7-860c-11e69af4a8a0} | Удалить C:\PROGRA~1\BEARSH~1\MediaBar\ToolBar\bsdtxmltbpi.dll | Скрипт: Kарантин, Удалить, Удалить через BC BHO | {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} | Удалить C:\PROGRA~1\IMESHA~1\MediaBar\ToolBar\imeshdtxmltbpi.dll | Скрипт: Kарантин, Удалить, Удалить через BC Панель | {28387537-e3f9-4ed7-860c-11e69af4a8a0} | Удалить C:\PROGRA~1\BEARSH~1\MediaBar\ToolBar\bsdtxmltbpi.dll | Скрипт: Kарантин, Удалить, Удалить через BC Панель | {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} | Удалить URLSearchHook | {CA3EB689-8F09-4026-AA10-B9534C691CE0} | Удалить Обнаружено элементов - 32, опознано как безопасные - 27
| | |||||||||||||||||
| Имя файла | Назначение | Описание | Производитель | CLSID
| Расширение CPL панорамирования дисплея | {42071714-76d4-11d1-8b24-00a0c9068ff3} | Удалить Расширения оболочки для сжатия файлов | {764BF0E1-F219-11ce-972D-00AA00A14F56} | Удалить Контекстное меню шифрования | {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} | Удалить Панель задач и меню ''Пуск'' | {0DF44EAA-FF21-4412-828E-260A8728E7F1} | Удалить Учетные записи пользователей | {7A9D77BD-5403-11d2-8785-2E0420524153} | Удалить Monitor | {7842554E-6BED-11D2-8CDB-B05550C10000} | Удалить IE User Assist | {FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} | Удалить CorelDRAW Shell Extension Component |
| Scan with Kaspersky Anti-Virus | {dd230880-495a-11d1-b064-008048ec2fc5} | Удалить C:\Program Files\Avira\AntiVir Desktop\shlext.dll | Скрипт: Kарантин, Удалить, Удалить через BC Shell Extension for Malware scanning | Avira Shell Extension Library | © 2000 - 2013 Компания Avira Operations GmbH & Co. KG и ее лицензиар | {45AC2688-0253-4ED8-97DE-B5370FA7D48A} | Удалить Обнаружено элементов - 214, опознано как безопасные - 204
| | |||||||||||||||||||||||||||||||||
| Имя файла | Тип | Наименование | Описание | Производитель
| Обнаружено элементов - 8, опознано как безопасные - 8
| | ||||||
| Имя файла | Имя задания | Состояние задания | Описание | Производитель
| C:\Program Files\Ask.com\UpdateTask.exe | Скрипт: Kарантин, Удалить, Удалить через BC Scheduled Update for Ask Toolbar.job | Скрипт: Удалить The task is ready to run at its next scheduled time. |
| C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\yzgsmia.exe | Скрипт: Kарантин, Удалить, Удалить через BC uayqtdd.job | Скрипт: Удалить The task is ready to run at its next scheduled time. | HyperTerminal Applet |
| C:\Documents and Settings\All Users\Application Data\VKSaver\VKSaver.exe | Скрипт: Kарантин, Удалить, Удалить через BC VKSaverUpdate.job | Скрипт: Удалить The task is currently running. | VKSaver tray proxy for saving music from vk.com | Copyright (C) 2009-2013 AudioVkontakte.ru
| Обнаружено элементов - 5, опознано как безопасные - 2
| | |||||||
| Поставщик | Статус | Исп. файл | Описание | GUID
| Обнаружено - 4, опознано как безопасные - 4
| | ||||||
| Поставщик | Исп. файл | Описание
| AVSDA over [MSAFD Tcpip [TCP/IP]] | C:\Program Files\Avira\AntiVir Desktop\avsda.dll | Скрипт: Kарантин, Удалить, Удалить через BC © 2000 - 2013 Компания Avira Operations GmbH & Co. KG и ее лицензиар
| AVSDA over [MSAFD Tcpip [UDP/IP]] | C:\Program Files\Avira\AntiVir Desktop\avsda.dll | Скрипт: Kарантин, Удалить, Удалить через BC © 2000 - 2013 Компания Avira Operations GmbH & Co. KG и ее лицензиар
| AVSDA | C:\Program Files\Avira\AntiVir Desktop\avsda.dll | Скрипт: Kарантин, Удалить, Удалить через BC © 2000 - 2013 Компания Avira Operations GmbH & Co. KG и ее лицензиар
| Обнаружено - 25, опознано как безопасные - 22
| | ||||||
| Имя файла | Описание | Производитель | CLSID | URL загрузки
| {E2883E8F-472F-4FB0-9522-AC9BF37916A7} | Удалить http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
| Обнаружено элементов - 5, опознано как безопасные - 4
| | |||||||||
| Имя файла | Описание | Производитель
| Обнаружено элементов - 31, опознано как безопасные - 31
| | ||||||
| Имя файла | Описание | Производитель | CLSID
| Обнаружено элементов - 15, опознано как безопасные - 15
| | ||||||
| Запись файла Hosts |
| Имя файла | Тип | Описание | Производитель | CLSID
| mscoree.dll | Скрипт: Kарантин, Удалить, Удалить через BC Protocol | Microsoft .NET Runtime Execution Engine () | © Microsoft Corporation. All rights reserved. | {1E66F26B-79EE-11D2-8710-00C04F79ED0D} | Удалить mscoree.dll | Скрипт: Kарантин, Удалить, Удалить через BC Protocol | Microsoft .NET Runtime Execution Engine () | © Microsoft Corporation. All rights reserved. | {1E66F26B-79EE-11D2-8710-00C04F79ED0D} | Удалить mscoree.dll | Скрипт: Kарантин, Удалить, Удалить через BC Protocol | Microsoft .NET Runtime Execution Engine () | © Microsoft Corporation. All rights reserved. | {1E66F26B-79EE-11D2-8710-00C04F79ED0D} | Удалить Обнаружено элементов - 32, опознано как безопасные - 29
| | ||||||
| Файл | Описание | Тип
| C:\WINDOWS\system32\Drivers\sptd.sys | Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit | Перехватчик KernelMode
| \SystemRoot\system32\DRIVERS\FStarForce.sys | Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit | Перехватчик KernelMode
| C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\pzkmcka.dll | Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на KeyLogger | Подозрение на Keylogger или троянскую DLL
| |
Протокол антивирусной утилиты AVZ версии 4.39 Сканирование запущено в 08.07.2013 19:20:42 Загружена база: сигнатуры - 297614, нейропрофили - 2, микропрограммы лечения - 56, база от 08.07.2013 16:00 Загружены микропрограммы эвристики: 403 Загружены микропрограммы ИПУ: 9 Загружены цифровые подписи системных файлов: 565705 Режим эвристического анализатора: Максимальный уровень эвристики Режим лечения: выключено Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора Восстановление системы: включено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=0833A0) Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000 SDT = 8055A3A0 KiST = 804E2620 (284) Функция NtClose (19) перехвачена (80567C07->F7AAF30C), перехватчик не определен Функция NtCreateKey (29) перехвачена (80573887->F7AAF2C6), перехватчик не определен Функция NtCreateSection (32) перехвачена (80565433->F7AAF316), перехватчик не определен Функция NtCreateThread (35) перехвачена (80578925->F7AAF2BC), перехватчик не определен Функция NtDeleteKey (3F) перехвачена (80595ABA->F7AAF2CB), перехватчик не определен Функция NtDeleteValueKey (41) перехвачена (805936DA->F7AAF2D5), перехватчик не определен Функция NtDuplicateObject (44) перехвачена (805749DA->F7AAF307), перехватчик не определен Функция NtEnumerateKey (47) перехвачена (80573F95->F7537698), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys Функция NtEnumerateValueKey (49) перехвачена (805819C3->F7537A26), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys Функция NtLoadKey (62) перехвачена (805ADCBB->F7AAF2DA), перехватчик не определен Функция NtOpenKey (77) перехвачена (80569080->F7503F80), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys Функция NtOpenProcess (7A) перехвачена (80574BC1->F7AAF2A8), перехватчик не определен Функция NtOpenThread (80) перехвачена (80590CFC->F7AAF2AD), перехватчик не определен Функция NtQueryKey (A0) перехвачена (80573C9E->F7537AFE), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys Функция NtQueryValueKey (B1) перехвачена (8056A531->F7AAF32F), перехватчик не определен Функция NtReplaceKey (C1) перехвачена (80650166->F7AAF2E4), перехватчик не определен Функция NtRequestWaitReplyPort (C8) перехвачена (8056DD9E->F7AAF320), перехватчик не определен Функция NtRestoreKey (CC) перехвачена (8064FCFD->F7AAF2DF), перехватчик не определен Функция NtSetContextThread (D5) перехвачена (8062E937->F7AAF31B), перехватчик не определен Функция NtSetSecurityObject (ED) перехвачена (80598227->F7AAF325), перехватчик не определен Функция NtSetValueKey (F7) перехвачена (8057DAF3->F7AAF2D0), перехватчик не определен Функция NtSystemDebugControl (FF) перехвачена (8064AD45->F7AAF32A), перехватчик не определен Функция NtTerminateProcess (101) перехвачена (80585851->F7AAF2B7), перехватчик не определен Функция KeInsertQueueDpc (804E3812) - модификация машинного кода. Метод JmpTo. jmp F7790F50 \SystemRoot\system32\DRIVERS\FStarForce.sys, драйвер опознан как безопасный Проверено функций: 284, перехвачено: 23, восстановлено: 0 1.3 Проверка IDT и SYSENTER Анализ для процессора 1 Проверка IDT и SYSENTER завершена 1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM 1.5 Проверка обработчиков IRP Драйвер успешно загружен \FileSystem\ntfs[IRP_MJ_CREATE] = 8A8101E8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_CLOSE] = 8A8101E8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_WRITE] = 8A8101E8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8A8101E8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8A8101E8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8A8101E8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_EA] = 8A8101E8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A8101E8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8A8101E8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8A8101E8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A8101E8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8A8101E8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8A8101E8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8A8101E8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8A8101E8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_PNP] = 8A8101E8 -> перехватчик не определен Проверка завершена 2. Проверка памяти Количество найденных процессов: 47 Анализатор - изучается процесс 1784 C:\Documents and Settings\All Users\Application Data\VKSaver\VKSaver.exe [ES]:Может работать с сетью [ES]:Приложение не имеет видимых окон [ES]:EXE упаковщик ? [ES]:Записан в автозапуск !! [ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ? Анализатор - изучается процесс 1848 C:\Program Files\Avira\AntiVir Desktop\sched.exe [ES]:Может работать с сетью [ES]:Приложение не имеет видимых окон [ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ? Анализатор - изучается процесс 2032 C:\Program Files\Avira\AntiVir Desktop\avguard.exe [ES]:Может работать с сетью [ES]:Приложение не имеет видимых окон Анализатор - изучается процесс 688 C:\Program Files\Ticno\ShExtMng\shextmngservice.exe [ES]:Может работать с сетью [ES]:Приложение не имеет видимых окон Анализатор - изучается процесс 1364 C:\Program Files\Avira\AntiVir Desktop\avshadow.exe [ES]:Приложение не имеет видимых окон Анализатор - изучается процесс 2076 C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE [ES]:Может работать с сетью [ES]:Прослушивает порты TCP ! [ES]:Приложение не имеет видимых окон Анализатор - изучается процесс 2484 C:\Documents and Settings\All Users\Application Data\VKSaver\VKSaver.exe [ES]:Может работать с сетью [ES]:Прослушивает порты TCP ! [ES]:Приложение не имеет видимых окон [ES]:EXE упаковщик ? [ES]:Записан в автозапуск !! Анализатор - изучается процесс 2540 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [ES]:Может работать с сетью [ES]:Приложение не имеет видимых окон [ES]:Записан в автозапуск !! Количество загруженных модулей: 387 Проверка памяти завершена 3. Сканирование дисков 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\pzkmcka.dll --> Подозрение на Keylogger или троянскую DLL C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\pzkmcka.dll>>> Поведенческий анализ Типичное для кейлоггеров поведение не зарегистрировано На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами Проверка отключена пользователем 7. Эвристичеcкая проверка системы Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\pzkmcka.dll" Обнаружен вызов интерпретатора командной строки в автозапуске [DR=1] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\HotKeysCmds = [C:\WINDOWS\system32\hkcmd.exe] Проверка завершена 8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя Проверка завершена 9. Мастер поиска и устранения проблем Проверка завершена Просканировано файлов: 434, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0 Сканирование завершено в 08.07.2013 19:21:36 Сканирование длилось 00:00:57 Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам, то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18 Выполняется исследование системыДобавить в скрипт команды:
Исследование системы завершено
Команды скрипта