AVZ 4.43 http://z-oleg.com/secur/avz/
| Имя файла | PID | Описание | Copyright | MD5 | Информация
| c:\windows\bcore.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 116 | | | 733A2BF77C516932AE4A79B1811EB66D | 1027,50 кб, rsAh, | создан: 07.02.2014 16:07:02, изменен: 07.02.2014 16:07:02 Командная строка: c:\windows\bcore.exe c:\windows\c1.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 440 | | | 939519650B8C6128C1EF6A91C8CF1B22 | 2904,00 кб, rsAh, | создан: 03.02.2014 21:45:50, изменен: 03.02.2014 21:45:50 Командная строка: "C:\windows\c1.exe" -o stratum+tcp://hot.wemineltc.com:3334 -u tchang.3 -p x Обнаружено:65, из них опознаны как безопасные 63
| | |||||
| Имя модуля | Handle | Описание | Copyright | MD5 | Используется процессами
| Обнаружено модулей:478, из них опознаны как безопасные 478
| | |||||
| Модуль | Базовый адрес | Размер в памяти | Описание | Производитель
| C:\Windows\System32\Drivers\dump_dumpata.sys | Скрипт: Kарантин, Удалить, Удалить через BC 97386000 | 00B000 (45056) |
| C:\Windows\System32\Drivers\dump_dumpfve.sys | Скрипт: Kарантин, Удалить, Удалить через BC 9739B000 | 011000 (69632) |
| C:\Windows\System32\Drivers\dump_msahci.sys | Скрипт: Kарантин, Удалить, Удалить через BC 97391000 | 00A000 (40960) |
| Обнаружено модулей - 194, опознано как безопасные - 191
| | |||||||
| Служба | Описание | Статус | Файл | Группа | Зависимости
| Обнаружено - 162, опознано как безопасные - 162
| | ||||||
| Служба | Описание | Статус | Файл | Группа | Зависимости
| Обнаружено - 261, опознано как безопасные - 261
| | ||||||
| Имя файла | Статус | Метод запуска | Описание
| C:\Windows\system32\psxss.exe | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix
| D:\9e7d7a78b97065f7d1a03159ead8b0\DW\DW20.exe | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\VSSetup, EventMessageFile
| c:\users\Пользователь\appdata\local\temp\A9AF71EE-8DDBE6F4-AB971FC4-1457789C\i5bj4akj.exe | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Doctor Web\Dr.Web Engine, EventMessageFile
| c:\users\Пользователь\appdata\local\temp\A9AF71EE-8DDBE6F4-AB971FC4-1457789C\sm2bppyu.exe | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Doctor Web\DrWebARKDaemon, EventMessageFile
| progman.exe | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, shell | Удалить Обнаружено элементов автозапуска - 701, опознано как безопасные - 696
| | ||||||
| Имя файла | Тип | Описание | Производитель | CLSID
| BHO | {8984B388-A5BB-4DF7-B274-77B879E179DB} | Удалить Обнаружено элементов - 3, опознано как безопасные - 2
| | |||||||||
| Имя файла | Назначение | Описание | Производитель | CLSID
| Обнаружено элементов - 12, опознано как безопасные - 12
| | ||||||
| Имя файла | Тип | Наименование | Описание | Производитель
| Обнаружено элементов - 8, опознано как безопасные - 8
| | ||||||
| Имя файла | Имя задания | Состояние задания | Описание | Производитель | Путь | Командная строка
| C:\Users\Пользователь\AppData\Roaming\Injustice - Gods Among Us. Ultimate Edition\googleupd.exe | Скрипт: Kарантин, Удалить, Удалить через BC GoogleUpdateTaskUserS-1-5-21-1970835742GUI | Скрипт: Удалить Google Update | Copyright © 2013 | C:\Windows\system32\Tasks\ | C:\Users\Пользователь\AppData\Roaming\Injustice - Gods Among Us. Ultimate Edition\googleupd.exe
| aitagent | Скрипт: Kарантин, Удалить, Удалить через BC AitAgent | Скрипт: Удалить C:\Windows\system32\Tasks\Microsoft\Windows\Application Experience\ | aitagent
| C:\Windows\ehome\mcupdate | Скрипт: Kарантин, Удалить, Удалить через BC mcupdate | Скрипт: Удалить C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\ | %SystemRoot%\ehome\mcupdate $(Arg0)
| C:\Windows\ehome\ehrec | Скрипт: Kарантин, Удалить, Удалить через BC RecordingRestart | Скрипт: Удалить C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\ | %SystemRoot%\ehome\ehrec /RestartRecording
| c:\windows\bcore.exe | Скрипт: Kарантин, Удалить, Удалить через BC UpnCH | Скрипт: Удалить C:\Windows\system32\Tasks\ | c:\windows\bcore.exe
| Обнаружено элементов - 64, опознано как безопасные - 59
| | |||||||||||||||||||
| Поставщик | Статус | Исп. файл | Описание | GUID
| Обнаружено - 10, опознано как безопасные - 10
| | ||||||
| Поставщик | Исп. файл | Описание
| Обнаружено - 27, опознано как безопасные - 27
| | ||||||
| Порт | Статус | Remote Host | Remote Port | Приложение | Примечания
| Порты TCP
| 139 | LISTENING | 0.0.0.0 | 0 | [4] System.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
| 445 | LISTENING | 0.0.0.0 | 0 | [4] System.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
| 49219 | TIME_WAIT | 64.4.45.58 | 443 | [0] |
| 49233 | TIME_WAIT | 192.168.1.1 | 5431 | [0] |
| 49234 | TIME_WAIT | 192.168.1.1 | 5431 | [0] |
| 49235 | TIME_WAIT | 192.168.1.1 | 5431 | [0] |
| 49236 | TIME_WAIT | 192.168.1.1 | 5431 | [0] |
| 49238 | TIME_WAIT | 192.168.1.1 | 5431 | [0] |
| 49239 | TIME_WAIT | 192.168.1.1 | 5431 | [0] |
| 49246 | TIME_WAIT | 95.54.196.251 | 80 | [0] |
| 49251 | TIME_WAIT | 95.54.196.222 | 80 | [0] |
| 49254 | ESTABLISHED | 37.221.163.19 | 3334 | [440] c:\windows\c1.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
| Порты UDP
| 137 | LISTENING | -- | -- | [4] System.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
| 138 | LISTENING | -- | -- | [4] System.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
| | ||||||||||||
| Имя файла | Описание | Производитель | CLSID | URL загрузки
| Обнаружено элементов - 0, опознано как безопасные - 0
| | ||||||
| Имя файла | Описание | Производитель
| Обнаружено элементов - 20, опознано как безопасные - 20
| | ||||||
| Имя файла | Описание | Производитель | CLSID
| Обнаружено элементов - 10, опознано как безопасные - 10
| | ||||||
| Запись файла Hosts |
| Имя файла | Тип | Описание | Производитель | CLSID
| Обнаружено элементов - 18, опознано как безопасные - 18
| | ||||||
| Сетевое имя | Путь | Примечания
| ADMIN$ | C:\Windows | Удаленный Admin
| C$ | C:\ | Стандартный общий ресурс
| D$ | D:\ | Стандартный общий ресурс
| IPC$ | Удаленный IPC
| Users | C:\Users |
| |
| Файл | Описание | Тип
| C:\Windows\system32\DRIVERS\ehdrv.sys | Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit | Перехватчик KernelMode
| C:\Windows\c1.exe | Скрипт: Kарантин, Удалить, Удалить через BC Подозрение эвристического анализа | ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
| |
Протокол антивирусной утилиты AVZ версии 4.43 Сканирование запущено в 26.02.2014 17:23:19 Загружена база: сигнатуры - 297613, нейропрофили - 2, микропрограммы лечения - 56, база от 25.02.2014 16:00 Загружены микропрограммы эвристики: 405 Загружены микропрограммы ИПУ: 9 Загружены цифровые подписи системных файлов: 649447 Режим эвристического анализатора: Средний уровень эвристики Режим лечения: выключено Версия Windows: 6.1.7600, "Windows 7 Ultimate" ; AVZ работает с правами администратора Восстановление системы: включено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=1689C0) Ядро ntkrnlpa.exe обнаружено в памяти по адресу 82E45000 SDT = 82FAD9C0 KiST = 82EB46F0 (401) Функция NtCreateThread (57) перехвачена (8311FC0E->91718F80), перехватчик C:\Windows\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный Функция NtLoadDriver (9B) перехвачена (82FE6279->91719040), перехватчик C:\Windows\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный Функция NtSetSystemInformation (15E) перехвачена (830CFDF5->91719000), перехватчик C:\Windows\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный Функция NtSystemDebugControl (170) перехвачена (8304E2FC->91718FC0), перехватчик C:\Windows\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный Проверено функций: 401, перехвачено: 4, восстановлено: 0 1.3 Проверка IDT и SYSENTER Анализ для процессора 1 Анализ для процессора 2 Анализ для процессора 3 Анализ для процессора 4 Проверка IDT и SYSENTER завершена 1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM 1.5 Проверка обработчиков IRP Драйвер успешно загружен Проверка завершена 2. Проверка памяти Количество найденных процессов: 63 Количество загруженных модулей: 485 Проверка памяти завершена 3. Сканирование дисков 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами Проверка отключена пользователем 7. Эвристичеcкая проверка системы Подозрение на скрытый автозапуск - HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ShadowPlay="C:\Windows\system32\rundll32.exe C:\Windows\system32\nvspcap.dll,ShadowPlayOnSystemStart" >>> C:\Windows\c1.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности) Проверка завершена 8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помощнику Проверка завершена 9. Мастер поиска и устранения проблем >> Разрешен автозапуск с HDD >> Разрешен автозапуск с сетевых дисков >> Разрешен автозапуск со сменных носителей Проверка завершена Просканировано файлов: 548, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0 Сканирование завершено в 26.02.2014 17:23:59 Сканирование длилось 00:00:41 Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам, то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18 Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ можно использовать сервис http://virusdetector.ru/ Выполняется исследование системы Диагностика сети DNS & Ping Host "yandex.ru", IP="93.158.134.11,213.180.193.11,213.180.204.11", Ping=OK (0,46,93.158.134.11) Host "google.ru", IP="95.54.196.251,95.54.196.215,95.54.196.249,95.54.196.219,95.54.196.230,95.54.196.245,95.54.196.211,95.54.196.241,95.54.196.234,95.54.196.226,95.54.196.236,95.54.196.237,95.54.196.222,95.54.196.221,95.54.196.207", Ping=OK (0,8,95.54.196.251) Host "google.com", IP="95.54.196.251,95.54.196.207,95.54.196.237,95.54.196.230,95.54.196.222,95.54.196.215,95.54.196.221,95.54.196.234,95.54.196.245,95.54.196.226,95.54.196.219,95.54.196.241,95.54.196.249,95.54.196.236,95.54.196.211", Ping=OK (0,8,95.54.196.251) Host "www.kaspersky.com", IP="212.5.89.20", Ping=OK (0,51,212.5.89.20) Host "www.kaspersky.ru", IP="212.5.89.229", Ping=OK (0,53,212.5.89.229) Host "dnl-03.geo.kaspersky.com", IP="93.191.13.100", Ping=OK (0,45,93.191.13.100) Host "dnl-11.geo.kaspersky.com", IP="95.167.139.6", Ping=OK (0,91,95.167.139.6) Host "activation-v2.kaspersky.com", IP="212.5.89.37", Ping=OK (0,44,212.5.89.37) Host "odnoklassniki.ru", IP="217.20.147.94", Ping=OK (0,50,217.20.147.94) Host "vk.com", IP="87.240.131.117,87.240.131.118,87.240.131.119", Ping=OK (0,44,87.240.131.117) Host "vkontakte.ru", IP="87.240.156.163,87.240.156.164,87.240.156.165", Ping=OK (0,31,87.240.156.163) Host "twitter.com", IP="199.16.156.70,199.16.156.198,199.16.156.6", Ping=OK (0,192,199.16.156.70) Host "facebook.com", IP="173.252.110.27", Ping=OK (0,160,173.252.110.27) Host "ru-ru.facebook.com", IP="31.13.64.145", Ping=OK (0,60,31.13.64.145) IE Setup AutoConfigURL="" AutoConfigProxy="wininet.dll" ProxyOverride="*.local" ProxyServer="" Network TCP/IP settingsДобавить в скрипт команды:
Исследование системы завершено
Команды скрипта