Протокол исследования системы

Список процессов

Имя файла	PID	Описание	Copyright	MD5	Информация
c:\documents and settings\admin\local settings\application data\amigo\application\amigo.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1328	Amigo	Mail.Ru	32D70AB6DC51473D519551781405B8C7	857,50 кб, rsAh, создан: 16.04.2014 22:30:28, изменен: 11.04.2014 15:06:39 Командная строка: "C:\Documents and Settings\Admin\Local Settings\Application Data\Amigo\Application\amigo.exe" -- "http://google.ru/"
c:\program files\atlas v14\atliecom.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	764	ATLAS Web Translation	Copyright (C) 1985-2007 FUJITSU LIMITED All rights reserved	1175F0D1FA5DDF5341C186A317E62D62	185,34 кб, rsAh, создан: 04.10.2007 22:20:26, изменен: 04.10.2007 22:20:26 Командная строка: "C:\Program Files\ATLAS V14\ATLIECOM.exe" -Embedding
c:\documents and settings\admin\Рабочий стол\autologger\avz\avz.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1780	Антивирусная утилита AVZ	Антивирусная утилита AVZ	6497B6E363DCEBA3685AD960F8B84665	772,00 кб, rsAh, создан: 08.05.2014 20:50:58, изменен: 23.02.2014 22:07:14, имя содержит национальные символы Командная строка: "C:\Documents and Settings\Admin\Рабочий стол\AutoLogger\AVZ\avz.exe" Script="C:\Documents and Settings\Admin\Рабочий стол\AutoLogger\AVZ\Script2.txt" HiddenMode=0
c:\program files\pcdapp\dgen.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	3180			C7D96A006E2EEDF5C289FCABAC78F95E	169,01 кб, rsAh, создан: 04.04.2014 22:37:16, изменен: 04.04.2014 22:37:16 Командная строка: "C:\Program Files\PCDApp\dgen.exe" d14 6003
c:\windows\explorer.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1448	Проводник	© Корпорация Майкрософт. Все права защищены.	0A50E39F8B9DB9CB96FDFFABD77C2A0D	1008,50 кб, rsAh, создан: 14.04.2006 21:00:40, изменен: 14.04.2006 21:00:40 Командная строка: C:\WINDOWS\Explorer.EXE
c:\program files\internet explorer\iexplore.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	488	Internet Explorer	© Корпорация Майкрософт. Все права защищены.	1628DA648E989FB9575BA9DB0640F3FD	91,00 кб, rsAh, создан: 07.11.2013 14:23:38, изменен: 18.08.2004 19:00:00 Командная строка: "C:\Program Files\Internet Explorer\iexplore.exe" http://google.ru
c:\documents and settings\all users\application data\iepluginservice\pluginservice.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1504	IePlugin Service	Copyright (C) 2013	E91C669DB45EC0F1D18185A9B7006E44	688,61 кб, rsAh, создан: 26.04.2014 20:32:58, изменен: 11.04.2014 05:05:52 Командная строка: "C:\Documents and Settings\All Users\Application Data\IePluginService\PluginService.exe" -service
c:\windows\system32\rundll32.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1924	Запуск библиотеки DLL как приложения	© Корпорация Майкрософт. Все права защищены.	4E95E199CD4702006DBE7BFEEA9A4A8A	32,50 кб, rsAh, создан: 18.08.2004 19:00:00, изменен: 18.08.2004 19:00:00 Командная строка: "C:\WINDOWS\system32\RunDLL32.exe" NvMCTray.dll,NvTaskbarInit -login
c:\windows\system32\rundll32.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1976	Запуск библиотеки DLL как приложения	© Корпорация Майкрософт. Все права защищены.	4E95E199CD4702006DBE7BFEEA9A4A8A	32,50 кб, rsAh, создан: 18.08.2004 19:00:00, изменен: 18.08.2004 19:00:00 Командная строка: "C:\WINDOWS\system32\rundll32.exe" "C:\Documents and Settings\Admin\Application Data\newnext.me\nengine.dll",EntryPoint -m l
c:\windows\system32\rundll32.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	516	Запуск библиотеки DLL как приложения	© Корпорация Майкрософт. Все права защищены.	4E95E199CD4702006DBE7BFEEA9A4A8A	32,50 кб, rsAh, создан: 18.08.2004 19:00:00, изменен: 18.08.2004 19:00:00 Командная строка: "C:\WINDOWS\system32\rundll32.exe" "c:\progra~1\suppor~1\SupporterSvc.dll",service
c:\documents and settings\admin\application data\utorrent\utorrent.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1984	µTorrent	©2014 BitTorrent, Inc. All Rights Reserved.	723DB99F24FBDCC8DE746D5689B20E79	1236,84 кб, rsAh, создан: 06.12.2013 21:01:51, изменен: 26.04.2014 13:05:03 Командная строка: "C:\Documents and Settings\Admin\Application Data\uTorrent\uTorrent.exe" /MINIMIZED
c:\documents and settings\all users\application data\wpm\wprotectmanager.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1520	WPM Service	Copyright (C) 2013	92281751677E78270C8AE46C951AD7F5	553,00 кб, rsAh, создан: 26.04.2014 20:32:51, изменен: 26.04.2014 20:32:49 Командная строка: "C:\Documents and Settings\All Users\Application Data\WPM\wprotectmanager.exe" -service
Обнаружено:36, из них опознаны как безопасные 30

Имя модуля	Handle	Описание	Copyright	MD5	Используется процессами
C:\Documents and Settings\Admin\Local Settings\Application Data\Amigo\Application\32.0.1700.921\chrome.dll Скрипт: Kарантин, Удалить, Удалить через BC	29556736	Amigo	Mail.Ru	F003BF8AA6D810C42E00BEBEFD4F2A4A	1328
C:\Program Files\ATLAS V14\ATLCHECK.dll Скрипт: Kарантин, Удалить, Удалить через BC	13893632			4FF0F7150AEA3325C5EA90DD102536F7	764
C:\Program Files\ATLAS V14\AtlEcont.dll Скрипт: Kарантин, Удалить, Удалить через BC	268435456			9F32BEE01ADE2C9B9CB3A2F622FC9B19	764
C:\Program Files\ATLAS V14\AtlEngin.dll Скрипт: Kарантин, Удалить, Удалить через BC	10944512			65A1529E73083458964F6767A2ED1E7D	764
C:\Program Files\ATLAS V14\AtlGtdsn.dll Скрипт: Kарантин, Удалить, Удалить через BC	11927552			48FCB9EDC0719DCBE0252753D6898BE1	764
C:\Program Files\ATLAS V14\ATLMSAGT.dll Скрипт: Kарантин, Удалить, Удалить через BC	14876672	Speech support	Copyright (C) 1985-2007 FUJITSU LIMITED All rights reserved	698389CAFAC9AFE19AC541093975D7C6	764
C:\Program Files\ATLAS V14\ATLPROC.DLL Скрипт: Kарантин, Удалить, Удалить через BC	12124160	ATL Module	Copyright 2000	CC1D694E8C1CC0F45E3EE32AD97FBC83	764
C:\Program Files\ATLAS V14\ATLTR.dll Скрипт: Kарантин, Удалить, Удалить через BC	11599872			300868B365E9067849CE41D0A0239FE8	764
C:\Program Files\ATLAS V14\AtlUtil.dll Скрипт: Kарантин, Удалить, Удалить через BC	10289152			5E45FC2E903EDEE58A30537E586160DA	764
C:\Program Files\ATLAS V14\ATLWRAP.dll Скрипт: Kарантин, Удалить, Удалить через BC	13762560			5C7C5D3D9DB8682EB048037B2A712A2A	764
C:\Program Files\ATLAS V14\Awuenv.dll Скрипт: Kарантин, Удалить, Удалить через BC	15269888	ATLAS Library	Copyright (C) 1985-2007 FUJITSU LIMITED All rights reserved	ED63619EBC9E86FFE4FCB4B2B3B55B14	764
C:\Program Files\CostMin\wkRFfR.dll Скрипт: Kарантин, Удалить, Удалить через BC	28835840			807D3B08B6C3E883101E770B7D448E6D	488
C:\Program Files\PCDApp\libcurl-4.dll Скрипт: Kарантин, Удалить, Удалить через BC	1887436800			834854ABE308E563AE6C93E2D7B7A2DB	3180
C:\Program Files\WiseEnhance\WiseEnhanceBHO.dll Скрипт: Kарантин, Удалить, Удалить через BC	38141952	WiseEnhance	(c) WiseEnhance. All rights reserved.	135A4BBE180CE121D44EF95EB5BBEEED	488
c:\progra~1\suppor~1\SupporterSvc.dll Скрипт: Kарантин, Удалить, Удалить через BC	6356992			78714DE1D949B1750611F7860D5DD435	516
c:\progra~1\suppor~1\suppor~1.dll Скрипт: Kарантин, Удалить, Удалить через BC	268435456			1443CDCED9B103FB98313228125158BB	488, 1924, 1976, 516
C:\WINDOWS\system32\amvo0.dll Скрипт: Kарантин, Удалить, Удалить через BC	268435456				1780, 1448, 488
Обнаружено модулей:305, из них опознаны как безопасные 288

Модули пространства ядра

Модуль	Базовый адрес	Размер в памяти	Описание	Производитель
C:\WINDOWS\System32\Drivers\dump_diskdump.sys Скрипт: Kарантин, Удалить, Удалить через BC	ADAA5000	004000 (16384)
C:\WINDOWS\System32\Drivers\dump_nvgts.sys Скрипт: Kарантин, Удалить, Удалить через BC	ABF95000	02C000 (180224)
C:\WINDOWS\system32\Drivers\uphcleanhlp.sys Скрипт: Kарантин, Удалить, Удалить через BC	AA902000	003000 (12288)
C:\WINDOWS\system32\wincab.sys Скрипт: Kарантин, Удалить, Удалить через BC	B2EE1000	005000 (20480)
C:\WINDOWS\system32\drivers\{2c976a7f-dbdc-4756-870f-f6d183fe7a7e}Gt.sys Скрипт: Kарантин, Удалить, Удалить через BC	F755F000	00C000 (49152)	StdLib	Copyright © 2013 StdLib
Обнаружено модулей - 123, опознано как безопасные - 118

Службы

Служба	Описание	Статус	Файл	Группа	Зависимости
IePluginService Служба: Стоп, Удалить, Отключить, Удалить через BC	IePlugin Service	Работает	C:\Documents and Settings\All Users\Application Data\IePluginService\PluginService.exe Скрипт: Kарантин, Удалить, Удалить через BC	SchedulerGroup
Update WiseEnhance Служба: Стоп, Удалить, Отключить, Удалить через BC	Update WiseEnhance	Работает	C:\Program Files\WiseEnhance\updateWiseEnhance.exe Скрипт: Kарантин, Удалить, Удалить через BC
Util WiseEnhance Служба: Стоп, Удалить, Отключить, Удалить через BC	Util WiseEnhance	Работает	C:\Program Files\WiseEnhance\bin\utilWiseEnhance.exe Скрипт: Kарантин, Удалить, Удалить через BC
Wpm Служба: Стоп, Удалить, Отключить, Удалить через BC	Wpm Service	Работает	C:\Documents and Settings\All Users\Application Data\WPM\wprotectmanager.exe Скрипт: Kарантин, Удалить, Удалить через BC	SchedulerGroup
AdobeFlashPlayerUpdateSvc Служба: Стоп, Удалить, Отключить, Удалить через BC	Adobe Flash Player Update Service	Не запущен	C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe Скрипт: Kарантин, Удалить, Удалить через BC
MozillaMaintenance Служба: Стоп, Удалить, Отключить, Удалить через BC	Mozilla Maintenance Service	Не запущен	C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe Скрипт: Kарантин, Удалить, Удалить через BC
ProtectMonitor Служба: Стоп, Удалить, Отключить, Удалить через BC	Protect Monitor	Не запущен	C:\Program Files\PCDApp\StartHelp.exe Скрипт: Kарантин, Удалить, Удалить через BC
Обнаружено - 96, опознано как безопасные - 89

Драйверы

Служба	Описание	Статус	Файл	Группа	Зависимости
{2c976a7f-dbdc-4756-870f-f6d183fe7a7e}Gt Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	{2c976a7f-dbdc-4756-870f-f6d183fe7a7e}Gt	Работает	C:\WINDOWS\system32\drivers\{2c976a7f-dbdc-4756-870f-f6d183fe7a7e}Gt.sys Скрипт: Kарантин, Удалить, Удалить через BC	PNP_TDI
Abiosdsk Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Abiosdsk	Не запущен	Abiosdsk.sys Скрипт: Kарантин, Удалить, Удалить через BC	Primary disk
abp480n5 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	abp480n5	Не запущен	abp480n5.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
adpu160m Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	adpu160m	Не запущен	adpu160m.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
Aha154x Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Aha154x	Не запущен	Aha154x.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
aic78u2 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	aic78u2	Не запущен	aic78u2.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
aic78xx Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	aic78xx	Не запущен	aic78xx.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
AliIde Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	AliIde	Не запущен	AliIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
amsint Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	amsint	Не запущен	amsint.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
asc Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	asc	Не запущен	asc.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
asc3350p Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	asc3350p	Не запущен	asc3350p.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
asc3550 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	asc3550	Не запущен	asc3550.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
Atdisk Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Atdisk	Не запущен	Atdisk.sys Скрипт: Kарантин, Удалить, Удалить через BC	Primary disk
cd20xrnt Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	cd20xrnt	Не запущен	cd20xrnt.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
Changer Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Changer	Не запущен	Changer.sys Скрипт: Kарантин, Удалить, Удалить через BC	Filter
CmdIde Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	CmdIde	Не запущен	CmdIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
Cpqarray Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Cpqarray	Не запущен	Cpqarray.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
dac960nt Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	dac960nt	Не запущен	dac960nt.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
dpti2o Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	dpti2o	Не запущен	dpti2o.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
hpn Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	hpn	Не запущен	hpn.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
i2omgmt Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	i2omgmt	Не запущен	i2omgmt.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI Class
i2omp Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	i2omp	Не запущен	i2omp.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
ini910u Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ini910u	Не запущен	ini910u.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
IntelIde Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	IntelIde	Не запущен	IntelIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
lbrtfdc Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	lbrtfdc	Не запущен	lbrtfdc.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
mraid35x Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	mraid35x	Не запущен	mraid35x.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
PCIDump Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	PCIDump	Не запущен	PCIDump.sys Скрипт: Kарантин, Удалить, Удалить через BC	PCI Configuration
PDCOMP Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	PDCOMP	Не запущен	PDCOMP.sys Скрипт: Kарантин, Удалить, Удалить через BC
PDFRAME Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	PDFRAME	Не запущен	PDFRAME.sys Скрипт: Kарантин, Удалить, Удалить через BC
PDRELI Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	PDRELI	Не запущен	PDRELI.sys Скрипт: Kарантин, Удалить, Удалить через BC
PDRFRAME Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	PDRFRAME	Не запущен	PDRFRAME.sys Скрипт: Kарантин, Удалить, Удалить через BC
perc2 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	perc2	Не запущен	perc2.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
perc2hib Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	perc2hib	Не запущен	perc2hib.sys Скрипт: Kарантин, Удалить, Удалить через BC	Filter
ql1080 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ql1080	Не запущен	ql1080.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
Ql10wnt Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Ql10wnt	Не запущен	Ql10wnt.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
ql12160 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ql12160	Не запущен	ql12160.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
ql1240 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ql1240	Не запущен	ql1240.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
ql1280 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ql1280	Не запущен	ql1280.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
Simbad Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Simbad	Не запущен	Simbad.sys Скрипт: Kарантин, Удалить, Удалить через BC	Filter
Sparrow Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Sparrow	Не запущен	Sparrow.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
sym_hi Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	sym_hi	Не запущен	sym_hi.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
sym_u3 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	sym_u3	Не запущен	sym_u3.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
symc810 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	symc810	Не запущен	symc810.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
symc8xx Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	symc8xx	Не запущен	symc8xx.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
TosIde Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	TosIde	Не запущен	TosIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
ultra Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ultra	Не запущен	ultra.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
ViaIde Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ViaIde	Не запущен	ViaIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
WDICA Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	WDICA	Не запущен	WDICA.sys Скрипт: Kарантин, Удалить, Удалить через BC
Обнаружено - 175, опознано как безопасные - 127

Автозапуск

Имя файла	Статус	Метод запуска	Описание
C:\Documents and Settings\Admin\Application Data\uTorrent\uTorrent.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, uTorrent Удалить
C:\Documents and Settings\Admin\Application Data\uTorrent\uTorrent.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ярлык в папке автозагрузки	C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\, C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\µTorrent.lnk,
C:\Documents and Settings\Admin\Local Settings\Application Data\Amigo\Application\amigo.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ярлык в папке автозагрузки	C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\, C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk,
C:\Documents and Settings\All Users\Ap Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Wpm, EventMessageFile
C:\Documents and Settings\All Users\Applica Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\IePluginService, EventMessageFile
C:\Program Files\Google\Chrome\Application\chrome.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ярлык в папке автозагрузки	C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\, C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk,
C:\Program Files\Mobogenie\DaemonProcess.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, mobilegeni daemon Удалить
C:\WINDOWS\System32\Drivers\AliIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\aliide, EventMessageFile
C:\WINDOWS\System32\Drivers\CmdIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\cmdide, EventMessageFile
C:\WINDOWS\System32\Drivers\IntelIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\intelide, EventMessageFile
C:\WINDOWS\System32\Drivers\TosIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\toside, EventMessageFile
C:\WINDOWS\System32\Drivers\ViaIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\viaide, EventMessageFile
C:\WINDOWS\System32\Drivers\lbrtfdc.sys Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\lbrtfdc, EventMessageFile
C:\WINDOWS\System32\hidserv.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\HidServ\Parameters, ServiceDll Удалить
C:\WINDOWS\System32\igmpv2.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IGMPv2, EventMessageFile
C:\WINDOWS\System32\ipbootp.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IPBOOTP, EventMessageFile
C:\WINDOWS\System32\iprip2.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IPRIP2, EventMessageFile
C:\WINDOWS\System32\ospf.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\OSPF, EventMessageFile
C:\WINDOWS\System32\ospfmib.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\OSPFMib, EventMessageFile
C:\WINDOWS\System32\polagent.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\PolicyAgent, EventMessageFile
C:\WINDOWS\System32\tssdis.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\TermServSessDir, EventMessageFile
C:\WINDOWS\system32\MsSip1.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\MS Subjects 1, $DLL Удалить
C:\WINDOWS\system32\MsSip2.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\MS Subjects 2, $DLL Удалить
C:\WINDOWS\system32\MsSip3.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\MS Subjects 3, $DLL Удалить
C:\WINDOWS\system32\amvo.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, amva Удалить
C:\WINDOWS\system32\logonui.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, UIHost
C:\WINDOWS\system32\psxss.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix
C:\WINDOWS\system32\stisvc.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System, EventMessageFile
c:\progra~1\suppor~1\suppor~1.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs
deskpan.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved, {42071714-76d4-11d1-8b24-00a0c9068ff3} Удалить
kbd101.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\i8042prt\Parameters, LayerDriver JPN Удалить
kbd101a.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\i8042prt\Parameters, LayerDriver KOR Удалить
mvfs32.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_CURRENT_USER, Control Panel\IOProcs, MVB Удалить
mvfs32.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, .DEFAULT\Control Panel\IOProcs, MVB Удалить
mvfs32.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-19\Control Panel\IOProcs, MVB Удалить
mvfs32.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-20\Control Panel\IOProcs, MVB Удалить
mvfs32.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-21-2000478354-1844237615-725345543-1004\Control Panel\IOProcs, MVB Удалить
mvfs32.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-18\Control Panel\IOProcs, MVB Удалить
Обнаружено элементов автозапуска - 776, опознано как безопасные - 738

Модули расширения Internet Explorer (BHO, панели ...)

Имя файла	Тип	Описание	Производитель	CLSID
C:\Program Files\CostMin\wkRFfR.dll Скрипт: Kарантин, Удалить, Удалить через BC	BHO			{55E4BDE0-D3AF-FDB9-0526-CA512B986818} Удалить
	BHO			{8984B388-A5BB-4DF7-B274-77B879E179DB} Удалить
C:\Program Files\WiseEnhance\WiseEnhanceBHO.dll Скрипт: Kарантин, Удалить, Удалить через BC	BHO	WiseEnhance	(c) WiseEnhance. All rights reserved.	{bc8c4384-d19c-474b-a298-c90b7e5c5204} Удалить
C:\Program Files\ATLAS V14\Atlscript.html Скрипт: Kарантин, Удалить, Удалить через BC	Модуль расширения			{B7707A72-4355-11D4-82BD-00000EBBEF8D} Удалить
Обнаружено элементов - 9, опознано как безопасные - 5

Модули расширения проводника

Имя файла	Назначение	Описание	Производитель	CLSID
deskpan.dll Скрипт: Kарантин, Удалить, Удалить через BC	Расширение CPL панорамирования дисплея			{42071714-76d4-11d1-8b24-00a0c9068ff3} Удалить
	Расширения оболочки для сжатия файлов			{764BF0E1-F219-11ce-972D-00AA00A14F56} Удалить
	Контекстное меню шифрования			{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} Удалить
	Панель задач и меню ''Пуск''			{0DF44EAA-FF21-4412-828E-260A8728E7F1} Удалить
	Учетные записи пользователей			{7A9D77BD-5403-11d2-8785-2E0420524153} Удалить
Обнаружено элементов - 196, опознано как безопасные - 191

Модули расширения системы печати (мониторы печати, провайдеры)

Имя файла	Тип	Наименование	Описание	Производитель
Обнаружено элементов - 7, опознано как безопасные - 7

Задания планировщика задач Task Scheduler

Имя файла	Имя задания	Состояние задания	Описание	Производитель	Путь	Командная строка
C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe Скрипт: Kарантин, Удалить, Удалить через BC	Adobe Flash Player Updater.job Скрипт: Удалить	The task is ready to run at its next scheduled time.	Adobe® Flash® Player Update Service 13.0 r0	Copyright © 1996 Adobe Systems Incorporated		C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
Обнаружено элементов - 3, опознано как безопасные - 2

Настройки SPI/LSP

Поставщики пространства имен (NSP)

Поставщик	Статус	Исп. файл	Описание	GUID
Обнаружено - 3, опознано как безопасные - 3

Поставщики транспортных протоколов (TSP, LSP)

Поставщик Исп. файл Описание
Обнаружено - 17, опознано как безопасные - 17
Результаты автоматического анализа настроек SPI
Настройки LSP проверены. Ошибок не обнаружено

Порты TCP/UDP

Порт Статус Remote Host Remote Port Приложение Примечания
Порты TCP
139 LISTENING 0.0.0.0 43154 [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445 LISTENING 0.0.0.0 22770 [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1631 ESTABLISHED 173.194.71.102 80 [1328] c:\documents and settings\admin\local settings\application data\amigo\application\amigo.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1638 TIME_WAIT 78.140.184.167 80 [0]
1647 TIME_WAIT 78.140.184.167 80 [0]
1652 TIME_WAIT 78.140.184.167 80 [0]
1655 TIME_WAIT 62.122.180.232 13114 [0]
1656 TIME_WAIT 88.85.71.176 80 [0]
1657 TIME_WAIT 88.85.71.165 80 [0]
1660 TIME_WAIT 88.85.71.165 80 [0]
1666 SYN_SENT 46.201.22.126 6858 [1984] c:\documents and settings\admin\application data\utorrent\utorrent.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1667 SYN_SENT 128.68.177.252 142 [1984] c:\documents and settings\admin\application data\utorrent\utorrent.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1668 SYN_SENT 80.251.112.194 35691 [1984] c:\documents and settings\admin\application data\utorrent\utorrent.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1669 SYN_SENT 46.158.162.146 52072 [1984] c:\documents and settings\admin\application data\utorrent\utorrent.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1670 SYN_SENT 212.21.31.38 58341 [1984] c:\documents and settings\admin\application data\utorrent\utorrent.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1671 SYN_SENT 10.32.52.142 35692 [1984] c:\documents and settings\admin\application data\utorrent\utorrent.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1672 SYN_SENT 109.185.160.228 12332 [1984] c:\documents and settings\admin\application data\utorrent\utorrent.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1673 SYN_SENT 10.32.31.190 46209 [1984] c:\documents and settings\admin\application data\utorrent\utorrent.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
2559 TIME_WAIT 127.0.0.1 1343 [0]
2559 TIME_WAIT 127.0.0.1 1344 [0]
2559 TIME_WAIT 127.0.0.1 1345 [0]
10000 LISTENING 0.0.0.0 41139 [1984] c:\documents and settings\admin\application data\utorrent\utorrent.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
35691 LISTENING 0.0.0.0 51217 [1984] c:\documents and settings\admin\application data\utorrent\utorrent.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
35691 TIME_WAIT 10.32.52.142 1628 [0]
35691 TIME_WAIT 10.32.52.142 1636 [0]
35691 TIME_WAIT 10.32.52.142 1648 [0]
35691 TIME_WAIT 169.254.230.10 1396 [0]
35691 TIME_WAIT 169.254.230.10 1472 [0]
35691 TIME_WAIT 169.254.230.10 1506 [0]
35691 TIME_WAIT 169.254.230.10 1520 [0]
35691 TIME_WAIT 169.254.230.10 1563 [0]
35691 TIME_WAIT 169.254.230.10 1567 [0]
35691 TIME_WAIT 169.254.230.10 1571 [0]
35691 TIME_WAIT 169.254.230.10 1578 [0]
35691 TIME_WAIT 169.254.230.10 1585 [0]
35691 TIME_WAIT 169.254.230.10 1594 [0]
35691 TIME_WAIT 169.254.230.10 1599 [0]
35691 TIME_WAIT 169.254.230.10 1603 [0]
35691 TIME_WAIT 169.254.230.10 1607 [0]
35691 TIME_WAIT 169.254.230.10 1611 [0]
35691 TIME_WAIT 169.254.230.10 1627 [0]
35691 TIME_WAIT 169.254.230.10 1634 [0]
35691 TIME_WAIT 169.254.230.10 1642 [0]
35691 TIME_WAIT 169.254.230.10 1649 [0]
35691 TIME_WAIT 169.254.230.10 1658 [0]
Порты UDP
137 LISTENING -- -- [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138 LISTENING -- -- [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445 LISTENING -- -- [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1027 LISTENING -- -- [1984] c:\documents and settings\admin\application data\utorrent\utorrent.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1510 LISTENING -- -- [1984] c:\documents and settings\admin\application data\utorrent\utorrent.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1511 LISTENING -- -- [1984] c:\documents and settings\admin\application data\utorrent\utorrent.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900 LISTENING -- -- [1984] c:\documents and settings\admin\application data\utorrent\utorrent.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
6771 LISTENING -- -- [1984] c:\documents and settings\admin\application data\utorrent\utorrent.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
35691 LISTENING -- -- [1984] c:\documents and settings\admin\application data\utorrent\utorrent.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить

Downloaded Program Files (DPF)

Имя файла Описание Производитель CLSID URL загрузки
Обнаружено элементов - 0, опознано как безопасные - 0

Апплеты панели управления (CPL)

Имя файла Описание Производитель
C:\WINDOWS\system32\FlashPlayerCPLApp.cpl
Скрипт: Kарантин, Удалить, Удалить через BC Adobe Flash Player Control Panel Applet Copyright © 1996 Adobe Systems Incorporated. All Rights Reserved. Adobe and Flash are either trademarks or registered trademarks in the United States and/or other countries.
Обнаружено элементов - 26, опознано как безопасные - 25

Active Setup

Имя файла Описание Производитель CLSID
C:\Program Files\Google\Chrome\Application\34.0.1847.131\Installer\chrmstp.exe
Скрипт: Kарантин, Удалить, Удалить через BC Google Chrome Copyright 2012 Google Inc. All rights reserved. {8A69D345-D564-463c-AFF1-A69D9E530F96}
Удалить
Обнаружено элементов - 13, опознано как безопасные - 12

Файл HOSTS

Запись файла Hosts
127.0.0.1 localhost
Очистка файла Hosts

Протоколы и обработчики

Имя файла Тип Описание Производитель CLSID
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
Обнаружено элементов - 30, опознано как безопасные - 27

Общие ресурсы

Сетевое имя Путь Примечания
ADMIN$ C:\WINDOWS Удаленный Admin
C$ C:\ Стандартный общий ресурс
IPC$ Удаленный IPC

Подозрительные объекты

Файл Описание Тип
C:\WINDOWS\system32\Drivers\a347bus.sys
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit Перехватчик KernelMode
C:\WINDOWS\system32\Drivers\uphcleanhlp.sys
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit Перехватчик KernelMode
C:\WINDOWS\system32\amvo0.dll
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на KeyLogger Подозрение на троянскую DLL. Обнаружена маскировка реального имени DLL
C:\WINDOWS\system32\amvo.exe
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение эвристического анализа ЭПС: подозрение на Файл с подозрительным именем (высокая степень вероятности)
C:\2ifetri.cmd
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение эвристического анализа ЭПС: подозрение на Файл с подозрительным именем (высокая степень вероятности)
C:\autorun.inf
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение эвристического анализа ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)
C:\WINDOWS\system32\amvo0.bak
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение эвристического анализа ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
C:\Documents and Settings\All Users\Application Data\IePluginService\PluginService.exe
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение эвристического анализа ЭПС: подозрение на Файл с подозрительным именем (CH - Service) (высокая степень вероятности)
C:\Documents and Settings\All Users\Application Data\WPM\wprotectmanager.exe
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение эвристического анализа ЭПС: подозрение на Файл с подозрительным именем (CH - Service) (высокая степень вероятности)

Протокол антивирусной утилиты AVZ версии 4.43
Сканирование запущено в 08.05.2014 21:06:03
Загружена база: сигнатуры - 297612, нейропрофили - 2, микропрограммы лечения - 56, база от 07.05.2014 16:00
Загружены микропрограммы эвристики: 405
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 660730
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, Service Pack 2 "Microsoft Windows XP" ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=082780)
 Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
   SDT = 80559780
   KiST = 804E26A8 (284)
Функция NtCreatePagingFile (2D) перехвачена (805BB060->F75AFB00), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
Функция NtSetSystemPowerState (F1) перехвачена (80665A33->F75BB550), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
Функция NtUnloadKey (107) перехвачена (8064C4D7->AA9026D0), перехватчик C:\WINDOWS\system32\Drivers\uphcleanhlp.sys
Проверено функций: 284, перехвачено: 3, восстановлено: 0
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
 Драйвер успешно загружен
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 49
 Количество загруженных модулей: 332
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\system32\amvo0.dll --> Подозрение на троянскую DLL. Обнаружена маскировка реального имени DLL
C:\WINDOWS\system32\amvo0.dll>>> Поведенческий анализ 
  1. Реагирует на события: клавиатура
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "c:\progra~1\suppor~1\suppor~1.dll"
>>> C:\WINDOWS\system32\amvo.exe ЭПС: подозрение на Файл с подозрительным именем (высокая степень вероятности)
>>> C:\2ifetri.cmd ЭПС: подозрение на Файл с подозрительным именем (высокая степень вероятности)
>>> C:\autorun.inf ЭПС: подозрение на  скрытый автозапуск (высокая степень вероятности)
>>> C:\2ifetri.cmd ЭПС: подозрение на  скрытый автозапуск C:\autorun.inf [Autorun\Open]
>>> C:\2ifetri.cmd ЭПС: подозрение на  скрытый автозапуск C:\autorun.inf [Autorun\shell\open\command]
Подозрение на скрытый автозапуск -  HKCU\Software\Microsoft\Windows\CurrentVersion\Run\NextLive="C:\WINDOWS\system32\rundll32.exe "C:\Documents and Settings\Admin\Application Data\newnext.me\nengine.dll",EntryPoint -m l"
Подозрение на скрытый автозапуск -  HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NvCplDaemon="RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup"
Подозрение на скрытый автозапуск -  HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NvMediaCenter="RunDLL32.exe NvMCTray.dll,NvTaskbarInit -login"
>>> C:\WINDOWS\system32\amvo.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
>>> C:\WINDOWS\system32\amvo0.bak ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
>>> C:\2ifetri.cmd ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
>>> C:\WINDOWS\system32\amvo.exe ЭПС: подозрение на Файл с подозрительным именем (CH - Autorun) (высокая степень вероятности)
>>> C:\Documents and Settings\All Users\Application Data\IePluginService\PluginService.exe ЭПС: подозрение на Файл с подозрительным именем (CH - Service) (высокая степень вероятности)
>>> C:\Documents and Settings\All Users\Application Data\WPM\wprotectmanager.exe ЭПС: подозрение на Файл с подозрительным именем (CH - Service) (высокая степень вероятности)
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей
 >>  Повреждено меню настройки отображения папок
Проверка завершена
Просканировано файлов: 381, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 08.05.2014 21:06:35
Сканирование длилось 00:00:33
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ 
можно использовать сервис http://virusdetector.ru/
Диагностика сети
 DNS & Ping
  Host "yandex.ru", IP="213.180.193.11,213.180.204.11,93.158.134.11", Ping=OK (0,2,213.180.193.11)
  Host "google.ru", IP="173.194.32.183,173.194.32.184,173.194.32.191", Ping=OK (0,3,173.194.32.183)
  Host "google.com", IP="173.194.32.166,173.194.32.174,173.194.32.162,173.194.32.161,173.194.32.169,173.194.32.165,173.194.32.167,173.194.32.163,173.194.32.168,173.194.32.160,173.194.32.164", Ping=OK (0,3,173.194.32.166)
  Host "www.kaspersky.com", IP="212.5.89.20", Ping=OK (0,4,212.5.89.20)
  Host "www.kaspersky.ru", IP="212.5.89.229", Ping=OK (0,4,212.5.89.229)
  Host "dnl-03.geo.kaspersky.com", IP="77.74.183.1", Ping=OK (0,3,77.74.183.1)
  Host "dnl-11.geo.kaspersky.com", IP="195.16.117.50", Ping=OK (0,5,195.16.117.50)
  Host "activation-v2.kaspersky.com", IP="212.5.89.37", Ping=OK (0,4,212.5.89.37)
  Host "odnoklassniki.ru", IP="217.20.147.94", Ping=OK (0,3,217.20.147.94)
  Host "vk.com", IP="87.240.131.97,87.240.131.99,87.240.143.241", Ping=OK (0,11,87.240.131.97)
  Host "vkontakte.ru", IP="87.240.156.167,87.240.156.168,87.240.156.161", Ping=OK (0,11,87.240.156.167)
  Host "twitter.com", IP="199.16.156.230,199.16.156.38,199.16.156.6,199.16.156.102", Ping=OK (0,142,199.16.156.230)
  Host "facebook.com", IP="173.252.110.27", Ping=OK (0,133,173.252.110.27)
  Host "ru-ru.facebook.com", IP="31.13.64.81", Ping=OK (0,39,31.13.64.81)
 IE Setup
  AutoConfigURL=""
  AutoConfigProxy="wininet.dll"
  ProxyOverride=""
  ProxyServer=""
Network TCP/IP settings
  Interface: "Подключение по локальной сети 3"
   IPAddress = "0.0.0.0"
   SubnetMask = "0.0.0.0"
   DefaultGateway = ""
   NameServer = ""
   Domain = ""
   DhcpServer = "255.255.255.255"
  Interface: "Подключение по локальной сети 4"
   IPAddress = "0.0.0.0"
   SubnetMask = "0.0.0.0"
   DefaultGateway = ""
   NameServer = ""
   Domain = ""
   DhcpServer = "255.255.255.255"

 Исследование системы завершено


Команды скрипта 
Добавить в скрипт команды:
Нейтрализация перехватов функций при помощи антируткита
Включить AVZGuard
Управление AVZPM (true-включить,false-отключить)
BootCleaner - импорт списка удаленных файлов
BootCleaner - импортировать все
Чистка реестра после удаления файлов
ExecuteWizard ('TSW',2,3,true) - Выполнение мастера поиска и устранения проблем
BootCleaner - активация
Перезагрузка
Вставить заготовку для QuarantineFile() - помещение файла в карантин
Вставить заготовку для BC_QrFile() - помещение файла в карантин через BC
Вставить заготовку для DeleteFile() - удаление файла
Вставить заготовку для DelCLSID() - удаление CLSID класса из реестра
Дополнительные операции:Оптимизация - отключить службу RemoteRegistry (Удаленный реестр)
Оптимизация - отключить службу TermService (Службы терминалов)
Оптимизация - отключить службу SSDPSRV (Служба обнаружения SSDP)
Оптимизация - отключить службу Schedule (Планировщик заданий)
Оптимизация - отключить службу mnmsrvc (NetMeeting Remote Desktop Sharing)
Оптимизация - отключить службу RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
Оптимизация - безопасность - отключить автозапуск программ с CD
Оптимизация - безопасность - отключить административный доступ к локальным дискам
Оптимизация - безопасность - блокировать возможность подключения анонимных пользователей
Безопасность - запретить отправку приглашений удаленному помощнику

Список файлов

Порт	Статус	Remote Host	Remote Port	Приложение	Примечания
Порты TCP
139	LISTENING	0.0.0.0	43154	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445	LISTENING	0.0.0.0	22770	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1631	ESTABLISHED	173.194.71.102	80	[1328] c:\documents and settings\admin\local settings\application data\amigo\application\amigo.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1638	TIME_WAIT	78.140.184.167	80	[0]
1647	TIME_WAIT	78.140.184.167	80	[0]
1652	TIME_WAIT	78.140.184.167	80	[0]
1655	TIME_WAIT	62.122.180.232	13114	[0]
1656	TIME_WAIT	88.85.71.176	80	[0]
1657	TIME_WAIT	88.85.71.165	80	[0]
1660	TIME_WAIT	88.85.71.165	80	[0]
1666	SYN_SENT	46.201.22.126	6858	[1984] c:\documents and settings\admin\application data\utorrent\utorrent.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1667	SYN_SENT	128.68.177.252	142	[1984] c:\documents and settings\admin\application data\utorrent\utorrent.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1668	SYN_SENT	80.251.112.194	35691	[1984] c:\documents and settings\admin\application data\utorrent\utorrent.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1669	SYN_SENT	46.158.162.146	52072	[1984] c:\documents and settings\admin\application data\utorrent\utorrent.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1670	SYN_SENT	212.21.31.38	58341	[1984] c:\documents and settings\admin\application data\utorrent\utorrent.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1671	SYN_SENT	10.32.52.142	35692	[1984] c:\documents and settings\admin\application data\utorrent\utorrent.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1672	SYN_SENT	109.185.160.228	12332	[1984] c:\documents and settings\admin\application data\utorrent\utorrent.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1673	SYN_SENT	10.32.31.190	46209	[1984] c:\documents and settings\admin\application data\utorrent\utorrent.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
2559	TIME_WAIT	127.0.0.1	1343	[0]
2559	TIME_WAIT	127.0.0.1	1344	[0]
2559	TIME_WAIT	127.0.0.1	1345	[0]
10000	LISTENING	0.0.0.0	41139	[1984] c:\documents and settings\admin\application data\utorrent\utorrent.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
35691	LISTENING	0.0.0.0	51217	[1984] c:\documents and settings\admin\application data\utorrent\utorrent.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
35691	TIME_WAIT	10.32.52.142	1628	[0]
35691	TIME_WAIT	10.32.52.142	1636	[0]
35691	TIME_WAIT	10.32.52.142	1648	[0]
35691	TIME_WAIT	169.254.230.10	1396	[0]
35691	TIME_WAIT	169.254.230.10	1472	[0]
35691	TIME_WAIT	169.254.230.10	1506	[0]
35691	TIME_WAIT	169.254.230.10	1520	[0]
35691	TIME_WAIT	169.254.230.10	1563	[0]
35691	TIME_WAIT	169.254.230.10	1567	[0]
35691	TIME_WAIT	169.254.230.10	1571	[0]
35691	TIME_WAIT	169.254.230.10	1578	[0]
35691	TIME_WAIT	169.254.230.10	1585	[0]
35691	TIME_WAIT	169.254.230.10	1594	[0]
35691	TIME_WAIT	169.254.230.10	1599	[0]
35691	TIME_WAIT	169.254.230.10	1603	[0]
35691	TIME_WAIT	169.254.230.10	1607	[0]
35691	TIME_WAIT	169.254.230.10	1611	[0]
35691	TIME_WAIT	169.254.230.10	1627	[0]
35691	TIME_WAIT	169.254.230.10	1634	[0]
35691	TIME_WAIT	169.254.230.10	1642	[0]
35691	TIME_WAIT	169.254.230.10	1649	[0]
35691	TIME_WAIT	169.254.230.10	1658	[0]
Порты UDP
137	LISTENING	--	--	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138	LISTENING	--	--	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445	LISTENING	--	--	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1027	LISTENING	--	--	[1984] c:\documents and settings\admin\application data\utorrent\utorrent.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1510	LISTENING	--	--	[1984] c:\documents and settings\admin\application data\utorrent\utorrent.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1511	LISTENING	--	--	[1984] c:\documents and settings\admin\application data\utorrent\utorrent.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900	LISTENING	--	--	[1984] c:\documents and settings\admin\application data\utorrent\utorrent.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
6771	LISTENING	--	--	[1984] c:\documents and settings\admin\application data\utorrent\utorrent.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
35691	LISTENING	--	--	[1984] c:\documents and settings\admin\application data\utorrent\utorrent.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить

Сетевое имя	Путь	Примечания
ADMIN$	C:\WINDOWS	Удаленный Admin
C$	C:\	Стандартный общий ресурс
IPC$		Удаленный IPC