Протокол исследования системы

Список процессов

Имя файла	PID	Описание	Copyright	MD5	Информация
c:\windows\explorer.exe Скрипт: Kарантин, Удалить, Удалить через BC	1532	Проводник	© Корпорация Майкрософт. Все права защищены.	??	981.00 кб, rsAh, создан: 23.02.2003 16:04:08, изменен: 23.02.2003 16:04:08 Командная строка: C:\WINDOWS\Explorer.EXE
c:\windows\system32\lsass.exe Скрипт: Kарантин, Удалить, Удалить через BC	628	LSA Shell (Export Version)	© Microsoft Corporation. All rights reserved.	??	11.50 кб, rsAh, создан: 23.02.2003 16:04:18, изменен: 23.02.2003 16:04:18 Командная строка: C:\WINDOWS\system32\lsass.exe
f:\1\kaspersky lab tool\setup_7.0.0.180_18.05.2008_00-35.exe Скрипт: Kарантин, Удалить, Удалить через BC	1780	Kaspersky Anti-Virus	Copyright © Kaspersky Lab 1996-2007.	??	208.00 кб, rsAh, создан: 19.05.2008 11:03:21, изменен: 12.10.2007 16:29:52 Командная строка: "F:\1\Kaspersky Lab Tool\setup_7.0.0.180_18.05.2008_00-35.exe"
c:\windows\system32\winlogon.exe Скрипт: Kарантин, Удалить, Удалить через BC	572	Программа входа в систему Windows NT	© Корпорация Майкрософт. Все права защищены.	??	506.00 кб, rsAh, создан: 23.02.2003 16:04:58, изменен: 23.02.2003 16:04:58 Командная строка: winlogon.exe
Обнаружено:12, из них опознаны как безопасные 11

Имя модуля	Handle	Описание	Copyright	MD5	Используется процессами
C:\WINDOWS\System32\mlJBSmLC.dll Скрипт: Kарантин, Удалить, Удалить через BC	268435456			--	1532, 628
C:\WINDOWS\System32\NavLogon.dll Скрипт: Kарантин, Удалить, Удалить через BC	1365573632	Symantec AntiVirus Logon Notification	Copyright 1991 - 2005 Symantec Corporation. All rights reserved.	--	572
C:\WINDOWS\system32\pmnkHXon.dll Скрипт: Kарантин, Удалить, Удалить через BC	30539776			--	1532, 572
f:\1\kaspersky lab tool\avlib.ppl Скрипт: Kарантин, Удалить, Удалить через BC	1638924288	Anti-Virus functions library	Copyright © Kaspersky Lab 1996-2007.	--	1780
f:\1\kaspersky lab tool\avp3info.ppl Скрипт: Kарантин, Удалить, Удалить через BC	1642070016	AVP3 Info Library	Copyright © Kaspersky Lab 1996-2007.	--	1780
F:\1\Kaspersky Lab Tool\AVPGS.PPL Скрипт: Kарантин, Удалить, Удалить через BC	1643118592	Driver Communication Module	Copyright © Kaspersky Lab 1996-2007.	--	1780
f:\1\kaspersky lab tool\avpgui.ppl Скрипт: Kарантин, Удалить, Удалить через BC	57802752	Kaspersky Anti-Virus GUI Logic	Copyright © Kaspersky Lab 1996-2007.	--	1780
f:\1\kaspersky lab tool\avpmgr.ppl Скрипт: Kарантин, Удалить, Удалить через BC	1645215744	Anti-Virus processing manager	Copyright © Kaspersky Lab 1996-2007.	--	1780
f:\1\kaspersky lab tool\avs.ppl Скрипт: Kарантин, Удалить, Удалить через BC	54788096	AV Server	Copyright © Kaspersky Lab 1996-2007.	--	1780
f:\1\kaspersky lab tool\avspm.ppl Скрипт: Kарантин, Удалить, Удалить через BC	55443456	AV Server Performance Monitor	Copyright © Kaspersky Lab 1996-2007.	--	1780
F:\1\Kaspersky Lab Tool\avzkrnl.dll Скрипт: Kарантин, Удалить, Удалить через BC	72024064	Антивирусная утилита AVZ - Ядро		--	1780
f:\1\kaspersky lab tool\avzscan.ppl Скрипт: Kарантин, Удалить, Удалить через BC	53739520	AVZ Scanner	Copyright © Kaspersky Lab 1996-2007.	--	1780
f:\1\kaspersky lab tool\basegui.ppl Скрипт: Kарантин, Удалить, Удалить через BC	59375616	Kaspersky Anti-Virus GUI Windows part	Copyright © Kaspersky Lab 1996-2007.	--	1780
f:\1\kaspersky lab tool\bl.ppl Скрипт: Kарантин, Удалить, Удалить через BC	50593792	AVP2005 Product Business Logic	Copyright © Kaspersky Lab 1996-2007.	--	1780
f:\1\kaspersky lab tool\crpthlpr.ppl Скрипт: Kарантин, Удалить, Удалить через BC	51118080	CryptoHelper	Copyright © Kaspersky Lab 1996-2007.	--	1780
f:\1\kaspersky lab tool\dtreg.ppl Скрипт: Kарантин, Удалить, Удалить через BC	15204352	DTREG	Copyright © Kaspersky Lab 1996-2007.	--	1780
f:\1\kaspersky lab tool\fsdrvplg.ppl Скрипт: Kарантин, Удалить, Удалить через BC	1671430144	Plugin for FSDrv	Copyright © Kaspersky Lab 1996-2007.	--	1780
F:\1\Kaspersky Lab Tool\FSSync.dll Скрипт: Kарантин, Удалить, Удалить через BC	268435456	FSSYNC.DLL	Copyright © Kaspersky Lab 1996-2007.	--	1780
f:\1\kaspersky lab tool\mkavio.ppl Скрипт: Kарантин, Удалить, Удалить через BC	1701314560	64-bit IO wrapper	Copyright © Kaspersky Lab 1996-2007.	--	1780
f:\1\kaspersky lab tool\nfio.ppl Скрипт: Kарантин, Удалить, Удалить через BC	15335424	NFIO	Copyright © Kaspersky Lab 1996-2007.	--	1780
f:\1\kaspersky lab tool\params.ppl Скрипт: Kарантин, Удалить, Удалить через BC	14680064	Structure Serializer	Copyright © Kaspersky Lab 1996-2007.	--	1780
F:\1\Kaspersky Lab Tool\prkernel.ppl Скрипт: Kарантин, Удалить, Удалить через BC	1688207360	Prague kernel	Copyright © Kaspersky Lab 1996-2007.	--	1780
F:\1\Kaspersky Lab Tool\prloader.dll Скрипт: Kарантин, Удалить, Удалить через BC	11927552	Prague Loader	Copyright © Kaspersky Lab 1996-2007.	--	1780
F:\1\Kaspersky Lab Tool\prremote.dll Скрипт: Kарантин, Удалить, Удалить через BC	1717567488	PR_REMOTE	Copyright © Kaspersky Lab 1996-2007.	--	1780
f:\1\kaspersky lab tool\pxstub.ppl Скрипт: Kарантин, Удалить, Удалить через BC	14548992	Proxy Stubs	Copyright © Kaspersky Lab 1996-2007.	--	1780
f:\1\kaspersky lab tool\qb.ppl Скрипт: Kарантин, Удалить, Удалить через BC	66191360	QBStorage	Copyright © Kaspersky Lab 1996-2007.	--	1780
f:\1\kaspersky lab tool\regmap.ppl Скрипт: Kарантин, Удалить, Удалить через BC	1742733312	REGISTRY_MAPPER	Copyright © Kaspersky Lab 1996-2007.	--	1780
f:\1\kaspersky lab tool\report.ppl Скрипт: Kарантин, Удалить, Удалить через BC	51445760	Report System	Copyright © Kaspersky Lab 1996-2007.	--	1780
F:\1\Kaspersky Lab Tool\setup_7.0.0.180_18.05.2008_00-35.exe Скрипт: Kарантин, Удалить, Удалить через BC	4194304	Kaspersky Anti-Virus	Copyright © Kaspersky Lab 1996-2007.	??	1780
f:\1\kaspersky lab tool\tempfile.ppl Скрипт: Kарантин, Удалить, Удалить через BC	1743781888	Temporary IO	Copyright © Kaspersky Lab 1996-2007.	--	1780
f:\1\kaspersky lab tool\thpimpl.ppl Скрипт: Kарантин, Удалить, Удалить через BC	1744830464	Thread Pool	Copyright © Kaspersky Lab 1996-2007.	--	1780
f:\1\kaspersky lab tool\tm.ppl Скрипт: Kарантин, Удалить, Удалить через BC	50331648	Task Manager	Copyright © Kaspersky Lab 1996-2007.	--	1780
f:\1\kaspersky lab tool\vmarea.ppl Скрипт: Kарантин, Удалить, Удалить через BC	55312384	VM Area	Copyright © Kaspersky Lab 1996-2007.	--	1780
f:\1\kaspersky lab tool\wdiskio.ppl Скрипт: Kарантин, Удалить, Удалить через BC	55115776	WDiskIO.ppl	Copyright © Kaspersky Lab 1996-2007.	--	1780
f:\1\kaspersky lab tool\winreg.ppl Скрипт: Kарантин, Удалить, Удалить через BC	1766850560	WINREG	Copyright © Kaspersky Lab 1996-2007.	--	1780
f:\1\kaspersky lab tool\wmihlpr.ppl Скрипт: Kарантин, Удалить, Удалить через BC	50921472	wmi helper	Copyright © Kaspersky Lab 1996-2007.	--	1780
Обнаружено модулей:204, из них опознаны как безопасные 168

Модули пространства ядра

Модуль	Базовый адрес	Размер в памяти	Описание	Производитель
	F7DA2000	016000 (90112)
\??\C:\WINDOWS\System32\drivers\nltdi.sys Скрипт: Kарантин, Удалить, Удалить через BC	F79F0000	013000 (77824)	NetLimiter Driver	(c) Locktime Software. All rights reserved.
REGSYS701.SYS Скрипт: Kарантин, Удалить, Удалить через BC	F7EC3000	009000 (36864)	Windows Registry Monitor	Copyright (C) M. Russinovich and B. Cogswell 1996-2004
Обнаружено модулей - 95, опознано как безопасные - 92

Службы

Служба	Описание	Статус	Файл	Группа	Зависимости
Обнаружено - 18, опознано как безопасные - 18

Драйверы

Служба	Описание	Статус	Файл	Группа	Зависимости
nltdi	nltdi	Работает	\??\C:\WINDOWS\System32\drivers\nltdi.sys Скрипт: Kарантин, Удалить, Удалить через BC	PNP_TDI	tcpip
Обнаружено - 72, опознано как безопасные - 71

Автозапуск

Имя файла	Статус	Метод запуска	Описание
C:\PROGRA~1\SYMANT~1\VPTray.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, vptray
C:\Program Files\ABBYY Lingvo 12\Lvagent.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, Lingvo Launcher
C:\Program Files\Common Files\Symantec Shared\ccApp.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, ccApp
C:\Program Files\HFXP2\hfxp.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, hfxp
C:\Program Files\Hide Window Hotkey\HideWindow.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, Hide Window Hotkey
C:\Program Files\Total Commander\Totalcmd.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ярлык в папке автозагрузки	C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\, C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Total Commander.lnk,
C:\Program Files\Unlocker\UnlockerAssistant.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, UnlockerAssistant
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, Zone Labs Client
C:\WINDOWS\System32\NavLogon.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\NavLogon, DLLName
C:\WINDOWS\System32\lcnqkqji.dll Скрипт: Kарантин, Удалить, Удалить через BC	Отключен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run-, BM3ba177e9
C:\WINDOWS\system32\pmnkHXon.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks, {F7F6584C-864B-411D-A410-BB2DE0D33CA1}
C:\WINDOWS\system32\pmnkHXon.dll Скрипт: Kарантин, Удалить, Удалить через BC	Отключен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks-, {F7F6584C-864B-411D-A410-BB2DE0D33CA1}
C:\WINDOWS\system32\wgp.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, WinGuard Pro
F:\1\Kaspersky Lab Tool\setup_7.0.0.180_18.05.2008_00-35.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, AVP
pmnkHXon.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pmnkHXon, DLLName
Обнаружено элементов автозапуска - 70, опознано как безопасные - 55

Модули расширения Internet Explorer (BHO, панели ...)

Имя файла	Тип	Описание	Производитель	CLSID
C:\WINDOWS\System32\ycrwvvof.dll Скрипт: Kарантин, Удалить, Удалить через BC	BHO			{775e240a-27b0-425c-94c4-101c79eb8498}
C:\WINDOWS\System32\mlJBSmLC.dll Скрипт: Kарантин, Удалить, Удалить через BC	BHO			{77729F59-69F8-405F-9151-56E66B9C4CDD}
C:\WINDOWS\system32\pmnkHXon.dll Скрипт: Kарантин, Удалить, Удалить через BC	BHO			{F7F6584C-864B-411D-A410-BB2DE0D33CA1}
C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll Скрипт: Kарантин, Удалить, Удалить через BC	Панель	ExploreExt	Copyright (C) VoyagerSoft, LLC 2003	{259F616C-A300-44F5-B04A-ED001A26C85C}
C:\Program Files\Save Flash\SaveFlash.dll Скрипт: Kарантин, Удалить, Удалить через BC	Панель	TODO:	TODO: (c) . All rights reserved.	{4064EA35-578D-4073-A834-C96D82CBCF40}
C:\Program Files\Save Flash\SaveFlash.dll Скрипт: Kарантин, Удалить, Удалить через BC	Модуль расширения	TODO:	TODO: (c) . All rights reserved.	{92780B25-18CC-41C8-B9BE-3C9C571A8263}
C:\PROGRA~1\FlashGet\flashget.exe Скрипт: Kарантин, Удалить, Удалить через BC	Модуль расширения	FlashGet	Copyright (C) 1999-2004 by Amaze Soft	{D6E814A0-E0C5-11d4-8D29-0050BA6940E3}
Обнаружено элементов - 10, опознано как безопасные - 3

Модули расширения проводника

Имя файла	Назначение	Описание	Производитель	CLSID
deskpan.dll Скрипт: Kарантин, Удалить, Удалить через BC	Расширение CPL панорамирования дисплея			{42071714-76d4-11d1-8b24-00a0c9068ff3}
	Расширения оболочки для сжатия файлов			{764BF0E1-F219-11ce-972D-00AA00A14F56}
	Контекстное меню шифрования			{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}
	Панель задач и меню ''Пуск''			{0DF44EAA-FF21-4412-828E-260A8728E7F1}
	Учетные записи пользователей			{7A9D77BD-5403-11d2-8785-2E0420524153}
C:\Program Files\WinRAR\rarext.dll Скрипт: Kарантин, Удалить, Удалить через BC	WinRAR shell extension			{B41DB860-8EE4-11D2-9906-E49FADC173CA}
	{CAE3251E-9B15-4810-B268-852AD9792A59}			InCDShellExt extension
	CorelDRAW Shell Extension Component
C:\WINDOWS\System32\wodshellmenu.dll Скрипт: Kарантин, Удалить, Удалить через BC	wodShellMenu	Shell ContextMenu Component	Copyright 2001-2004 WeOnlyDo! COM	{E54B19BC-69B6-43B2-A1F2-15BBC1D72C93}
C:\Program Files\Common Files\Symantec Shared\SSC\vpshell2.dll Скрипт: Kарантин, Удалить, Удалить через BC	LDVP Shell Extensions	Symantec AntiVirus	Copyright 1991 - 2005 Symantec Corporation. All rights reserved.	{BDA77241-42F6-11d0-85E2-00AA001FE28C}
C:\WINDOWS\System32\mscoree.dll Скрипт: Kарантин, Удалить, Удалить через BC	Fusion Cache	Microsoft .NET Runtime Execution Engine	© Microsoft Corporation. All rights reserved.	{1D2680C9-0E2A-469d-B787-065558BC7D43}
C:\Program Files\Unlocker\UnlockerCOM.dll Скрипт: Kарантин, Удалить, Удалить через BC	UnlockerShellExtension			{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83}
Обнаружено элементов - 182, опознано как безопасные - 170

Модули расширения системы печати (мониторы печати, провайдеры)

Имя файла	Тип	Наименование	Описание	Производитель
C:\WINDOWS\System32\fppmon2.dll Скрипт: Kарантин, Удалить, Удалить через BC	Монитор	FPP2:	pdfFactory	Copyright (c) 2001-2005 FinePrint Software, LLC
Обнаружено элементов - 11, опознано как безопасные - 10

Задания планировщика задач Task Scheduler

Имя файла	Имя задания	Состояние задания	Описание	Производитель
Обнаружено элементов - 0, опознано как безопасные - 0

Настройки SPI/LSP

Поставщики пространства имен (NSP)

Поставщик	Статус	Исп. файл	Описание	GUID
Обнаружено - 3, опознано как безопасные - 3

Поставщики транспортных протоколов (TSP, LSP)

Поставщик Исп. файл Описание
Обнаружено - 11, опознано как безопасные - 11
Результаты автоматического анализа настроек SPI
Настройки LSP проверены. Ошибок не обнаружено

Порты TCP/UDP

Порт Статус Remote Host Remote Port Приложение Примечания
Порты TCP
135 LISTENING 0.0.0.0 0 [832] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC
139 LISTENING 0.0.0.0 45198 [4] System
Скрипт: Kарантин, Удалить, Удалить через BC
445 LISTENING 0.0.0.0 34871 [4] System
Скрипт: Kарантин, Удалить, Удалить через BC
Порты UDP
135 LISTENING -- -- [832] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC
137 LISTENING -- -- [4] System
Скрипт: Kарантин, Удалить, Удалить через BC
138 LISTENING -- -- [4] System
Скрипт: Kарантин, Удалить, Удалить через BC
445 LISTENING -- -- [4] System
Скрипт: Kарантин, Удалить, Удалить через BC
1025 LISTENING -- -- [924] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC

Downloaded Program Files (DPF)

Имя файла Описание Производитель CLSID URL загрузки
DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab
Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab
C:\WINDOWS\Downloaded Program Files\setup.dll
Скрипт: Kарантин, Удалить, Удалить через BC {1a26f07f-0d60-4835-91cf-1e1766a0ec56} http://scanner2.malware-scan.com/setup/webinst.cab
C:\WINDOWS\Downloaded Program Files\as2stubie.dll
Скрипт: Kарантин, Удалить, Удалить через BC {2d8ed06d-3c30-438b-96ae-4d110fdc1fb8} http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
{33564D57-0000-0010-8000-00AA00389B71} http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
{D27CDB6E-AE6D-11CF-96B8-444553540001} http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Обнаружено элементов - 6, опознано как безопасные - 0

Апплеты панели управления (CPL)

Имя файла Описание Производитель
Обнаружено элементов - 21, опознано как безопасные - 21

Active Setup

Имя файла Описание Производитель CLSID
Обнаружено элементов - 15, опознано как безопасные - 15

Файл HOSTS

Запись файла Hosts

Протоколы и обработчики

Имя файла Тип Описание Производитель CLSID
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Обнаружено элементов - 31, опознано как безопасные - 28

1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Функция kernel32.dll:FreeLibrary (234) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E7E68C->61F041FC Перехватчик kernel32.dll:FreeLibrary (234) нейтрализован Функция kernel32.dll:GetModuleFileNameA (365) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E7ADA9->61F040FB Перехватчик kernel32.dll:GetModuleFileNameA (365) нейтрализован Функция kernel32.dll:GetModuleFileNameW (366) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E7ACA9->61F041A0 Перехватчик kernel32.dll:GetModuleFileNameW (366) нейтрализован Функция kernel32.dll:GetProcAddress (401) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E7B332->61F04648 Перехватчик kernel32.dll:GetProcAddress (401) нейтрализован Функция kernel32.dll:LoadLibraryA (571) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E7D961->61F03C6F Перехватчик kernel32.dll:LoadLibraryA (571) нейтрализован >>> Функции LoadLibraryA - прививка процесса AVZ от перехвата подменой адреса !!) Функция kernel32.dll:LoadLibraryExW (573) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E7D839->61F03E5A Перехватчик kernel32.dll:LoadLibraryExW (573) нейтрализован Функция kernel32.dll:LoadLibraryW (574) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E73B38->61F03D0C Перехватчик kernel32.dll:LoadLibraryW (574) нейтрализован Детектирована модификация IAT: GetModuleFileNameW - 00DA0010<>77E7ACA9 Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text >> Опасно ! Обнаружена маскировка процессов 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен Ошибка обмена с драйвером [00000002] - [1] 1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM F:\1\Kaspersky Lab Tool\prremote.dll --> Подозрение на Keylogger или троянскую DLL F:\1\Kaspersky Lab Tool\prremote.dll>>> Поведенческий анализ: Типичное для кейлоггеров поведение не зарегистрировано F:\1\Kaspersky Lab Tool\FSSync.dll --> Подозрение на Keylogger или троянскую DLL F:\1\Kaspersky Lab Tool\FSSync.dll>>> Поведенческий анализ: Типичное для кейлоггеров поведение не зарегистрировано F:\1\Kaspersky Lab Tool\AVPGS.PPL --> Подозрение на Keylogger или троянскую DLL F:\1\Kaspersky Lab Tool\AVPGS.PPL>>> Поведенческий анализ: Типичное для кейлоггеров поведение не зарегистрировано F:\1\Kaspersky Lab Tool\prloader.dll --> Подозрение на Keylogger или троянскую DLL F:\1\Kaspersky Lab Tool\prloader.dll>>> Поведенческий анализ: Типичное для кейлоггеров поведение не зарегистрировано F:\1\Kaspersky Lab Tool\prkernel.ppl --> Подозрение на Keylogger или троянскую DLL F:\1\Kaspersky Lab Tool\prkernel.ppl>>> Поведенческий анализ: Типичное для кейлоггеров поведение не зарегистрировано f:\1\kaspersky lab tool\pxstub.ppl --> Подозрение на Keylogger или троянскую DLL f:\1\kaspersky lab tool\pxstub.ppl>>> Поведенческий анализ: Типичное для кейлоггеров поведение не зарегистрировано f:\1\kaspersky lab tool\params.ppl --> Подозрение на Keylogger или троянскую DLL f:\1\kaspersky lab tool\params.ppl>>> Поведенческий анализ: Типичное для кейлоггеров поведение не зарегистрировано f:\1\kaspersky lab tool\dtreg.ppl --> Подозрение на Keylogger или троянскую DLL f:\1\kaspersky lab tool\dtreg.ppl>>> Поведенческий анализ: Типичное для кейлоггеров поведение не зарегистрировано f:\1\kaspersky lab tool\nfio.ppl --> Подозрение на Keylogger или троянскую DLL f:\1\kaspersky lab tool\nfio.ppl>>> Поведенческий анализ: Типичное для кейлоггеров поведение не зарегистрировано f:\1\kaspersky lab tool\fsdrvplg.ppl --> Подозрение на Keylogger или троянскую DLL f:\1\kaspersky lab tool\fsdrvplg.ppl>>> Поведенческий анализ: Типичное для кейлоггеров поведение не зарегистрировано f:\1\kaspersky lab tool\mkavio.ppl --> Подозрение на Keylogger или троянскую DLL f:\1\kaspersky lab tool\mkavio.ppl>>> Поведенческий анализ: Типичное для кейлоггеров поведение не зарегистрировано f:\1\kaspersky lab tool\tempfile.ppl --> Подозрение на Keylogger или троянскую DLL f:\1\kaspersky lab tool\tempfile.ppl>>> Поведенческий анализ: Типичное для кейлоггеров поведение не зарегистрировано f:\1\kaspersky lab tool\tm.ppl --> Подозрение на Keylogger или троянскую DLL f:\1\kaspersky lab tool\tm.ppl>>> Поведенческий анализ: Типичное для кейлоггеров поведение не зарегистрировано f:\1\kaspersky lab tool\bl.ppl --> Подозрение на Keylogger или троянскую DLL f:\1\kaspersky lab tool\bl.ppl>>> Поведенческий анализ: Типичное для кейлоггеров поведение не зарегистрировано f:\1\kaspersky lab tool\wmihlpr.ppl --> Подозрение на Keylogger или троянскую DLL f:\1\kaspersky lab tool\wmihlpr.ppl>>> Поведенческий анализ: Типичное для кейлоггеров поведение не зарегистрировано f:\1\kaspersky lab tool\regmap.ppl --> Подозрение на Keylogger или троянскую DLL f:\1\kaspersky lab tool\regmap.ppl>>> Поведенческий анализ: Типичное для кейлоггеров поведение не зарегистрировано f:\1\kaspersky lab tool\crpthlpr.ppl --> Подозрение на Keylogger или троянскую DLL f:\1\kaspersky lab tool\crpthlpr.ppl>>> Поведенческий анализ: Типичное для кейлоггеров поведение не зарегистрировано f:\1\kaspersky lab tool\winreg.ppl --> Подозрение на Keylogger или троянскую DLL f:\1\kaspersky lab tool\winreg.ppl>>> Поведенческий анализ: Типичное для кейлоггеров поведение не зарегистрировано f:\1\kaspersky lab tool\report.ppl --> Подозрение на Keylogger или троянскую DLL f:\1\kaspersky lab tool\report.ppl>>> Поведенческий анализ: Типичное для кейлоггеров поведение не зарегистрировано f:\1\kaspersky lab tool\thpimpl.ppl --> Подозрение на Keylogger или троянскую DLL f:\1\kaspersky lab tool\thpimpl.ppl>>> Поведенческий анализ: Типичное для кейлоггеров поведение не зарегистрировано f:\1\kaspersky lab tool\avs.ppl --> Подозрение на Keylogger или троянскую DLL f:\1\kaspersky lab tool\avs.ppl>>> Поведенческий анализ: Типичное для кейлоггеров поведение не зарегистрировано f:\1\kaspersky lab tool\avpmgr.ppl --> Подозрение на Keylogger или троянскую DLL f:\1\kaspersky lab tool\avpmgr.ppl>>> Поведенческий анализ: Типичное для кейлоггеров поведение не зарегистрировано f:\1\kaspersky lab tool\wdiskio.ppl --> Подозрение на Keylogger или троянскую DLL f:\1\kaspersky lab tool\wdiskio.ppl>>> Поведенческий анализ: Типичное для кейлоггеров поведение не зарегистрировано f:\1\kaspersky lab tool\avlib.ppl --> Подозрение на Keylogger или троянскую DLL f:\1\kaspersky lab tool\avlib.ppl>>> Поведенческий анализ: Типичное для кейлоггеров поведение не зарегистрировано f:\1\kaspersky lab tool\vmarea.ppl --> Подозрение на Keylogger или троянскую DLL f:\1\kaspersky lab tool\vmarea.ppl>>> Поведенческий анализ: Типичное для кейлоггеров поведение не зарегистрировано f:\1\kaspersky lab tool\avspm.ppl --> Подозрение на Keylogger или троянскую DLL f:\1\kaspersky lab tool\avspm.ppl>>> Поведенческий анализ: Типичное для кейлоггеров поведение не зарегистрировано f:\1\kaspersky lab tool\avp3info.ppl --> Подозрение на Keylogger или троянскую DLL f:\1\kaspersky lab tool\avp3info.ppl>>> Поведенческий анализ: Типичное для кейлоггеров поведение не зарегистрировано f:\1\kaspersky lab tool\avpgui.ppl --> Подозрение на Keylogger или троянскую DLL f:\1\kaspersky lab tool\avpgui.ppl>>> Поведенческий анализ: Типичное для кейлоггеров поведение не зарегистрировано f:\1\kaspersky lab tool\basegui.ppl --> Подозрение на Keylogger или троянскую DLL f:\1\kaspersky lab tool\basegui.ppl>>> Поведенческий анализ: 1. Реагирует на события: клавиатура, мышь 2. Передает данные процессу: 1780 F:\1\Kaspersky Lab Tool\setup_7.0.0.180_18.05.2008_00-35.exe (окно = "v(eventlog,eventcritlog)") 3. Передает данные процессу: 1780 F:\1\Kaspersky Lab Tool\setup_7.0.0.180_18.05.2008_00-35.exe (окно = "") 4. Передает данные процессу: 1780 F:\1\Kaspersky Lab Tool\setup_7.0.0.180_18.05.2008_00-35.exe (окно = "") 5. Передает данные процессу: 1780 F:\1\Kaspersky Lab Tool\setup_7.0.0.180_18.05.2008_00-35.exe (окно = "") 6. Передает данные процессу: 1780 F:\1\Kaspersky Lab Tool\setup_7.0.0.180_18.05.2008_00-35.exe (окно = "Д&ействия...") 7. Передает данные процессу: 1780 F:\1\Kaspersky Lab Tool\setup_7.0.0.180_18.05.2008_00-35.exe (окно = "<<") 8. Передает данные процессу: 1780 F:\1\Kaspersky Lab Tool\setup_7.0.0.180_18.05.2008_00-35.exe (окно = "Отчеты...") 9. Передает данные процессу: 1780 F:\1\Kaspersky Lab Tool\setup_7.0.0.180_18.05.2008_00-35.exe (окно = ">>") 10. Передает данные процессу: 1780 F:\1\Kaspersky Lab Tool\setup_7.0.0.180_18.05.2008_00-35.exe (окно = "") 11. Передает данные процессу: 1780 F:\1\Kaspersky Lab Tool\setup_7.0.0.180_18.05.2008_00-35.exe (окно = "27% - : работает") 12. Передает данные процессу: 1780 F:\1\Kaspersky Lab Tool\setup_7.0.0.180_18.05.2008_00-35.exe (окно = "") 13. Передает данные процессу: 1780 F:\1\Kaspersky Lab Tool\setup_7.0.0.180_18.05.2008_00-35.exe (окно = "") Нейросеть: ошибка проверки f:\1\kaspersky lab tool\qb.ppl --> Подозрение на Keylogger или троянскую DLL f:\1\kaspersky lab tool\qb.ppl>>> Поведенческий анализ: Типичное для кейлоггеров поведение не зарегистрировано f:\1\kaspersky lab tool\avzscan.ppl --> Подозрение на Keylogger или троянскую DLL f:\1\kaspersky lab tool\avzscan.ppl>>> Поведенческий анализ: Типичное для кейлоггеров поведение не зарегистрировано F:\1\Kaspersky Lab Tool\avzkrnl.dll --> Подозрение на Keylogger или троянскую DLL F:\1\Kaspersky Lab Tool\avzkrnl.dll>>> Поведенческий анализ: 1. Реагирует на события: клавиатура, все события Нейросеть: ошибка проверки На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений) >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные >>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX Выполняется исследование системы
Команды скрипта

Добавить в скрипт команды:
Нейтрализация перехватов функций при помощи антируткита
Включить AVZGuard
BootCleaner - импорт списка удаленных файлов
Чистка реестра после удаления файлов
BootCleaner - активация
Перезагрузка
Вставить заготовку для QuarantineFile() - помещение файла в карантин
Вставить заготовку для BC_QrFile() - помещение файла в карантин через BC
Вставить заготовку для DeleteFile() - удаление файла
Вставить заготовку для DelCLSID() - удаление CLSID класса из реестра
Дополнительные операции:
Оптимизация - отключить службу RemoteRegistry (Удаленный реестр)
Оптимизация - отключить службу TermService (Службы терминалов)
Оптимизация - отключить службу SSDPSRV (Служба обнаружения SSDP)
Оптимизация - отключить службу Messenger (Служба сообщений)
Оптимизация - отключить службу Alerter (Оповещатель)
Оптимизация - отключить службу Schedule (Планировщик заданий)
Оптимизация - отключить службу RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
Оптимизация - безопасность - отключить автозапуск программ с CD
Оптимизация - безопасность - отключить административный доступ к локальным дискам
Оптимизация - безопасность - блокировать возможность подключения анонимных пользователей
Безопасность: IE - запретить использование ActiveX, не помеченных как безопасные
Безопасность: IE - запретить загрузку неподписанных элементов ActiveX
Безопасность: IE - запретить автоматические запросы элементов управления ActiveX
Список файлов

Порт	Статус	Remote Host	Remote Port	Приложение	Примечания
Порты TCP
135	LISTENING	0.0.0.0	0	[832] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC
139	LISTENING	0.0.0.0	45198	[4] System Скрипт: Kарантин, Удалить, Удалить через BC
445	LISTENING	0.0.0.0	34871	[4] System Скрипт: Kарантин, Удалить, Удалить через BC
Порты UDP
135	LISTENING	--	--	[832] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC
137	LISTENING	--	--	[4] System Скрипт: Kарантин, Удалить, Удалить через BC
138	LISTENING	--	--	[4] System Скрипт: Kарантин, Удалить, Удалить через BC
445	LISTENING	--	--	[4] System Скрипт: Kарантин, Удалить, Удалить через BC
1025	LISTENING	--	--	[924] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC