AVZ 4.46 http://z-oleg.com/secur/avz/
| Имя файла | PID | Описание | Copyright | MD5 | Информация
| c:\program files\avast software\avast\avastsvc.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1552 | avast! Service | Copyright (c) 2014 AVAST Software | 4956380A54B1C9E6BFDF3D80DACB9698 | 143,16 кб, rsAh,создан: 14.08.2015 23:21:49,изменен: 14.08.2015 23:21:49 | Командная строка: "C:\Program Files\AVAST Software\Avast\AvastSvc.exe" c:\program files\avast software\avast\avastui.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2304 | avast! Antivirus | Copyright (c) 2014 AVAST Software | 60E6FC4E478A1D65069A1C331603101C | 5968,08 кб, rsAh,создан: 09.11.2015 08:58:04,изменен: 09.11.2015 08:58:04 | Командная строка: "C:\Program Files\AVAST Software\Avast\avastui.exe" /nogui c:\users\СЕКР\appdata\roaming\sbislauncher\launcher.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1468 | SbisPlugin | Copyright © Tensor Company Ltd. All rights reserved. | A8CAF64AA679FAF62BA1702B4FE69871 | 589,04 кб, rsAh,создан: 22.08.2014 19:32:16,изменен: 24.03.2016 19:46:54,имя содержит национальные символы | Командная строка: "C:\Users\СЕКР\AppData\Roaming\SbisLauncher\Launcher.exe" c:\program files\mcafee security scan\3.11.309\ssscheduler.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2472 | McAfee Security Scanner Scheduler | Copyright © 2013 McAfee, Inc. | AE47C4AFF741811316837FBA2B9B6993 | 275,26 кб, rsAh,создан: 11.03.2016 15:32:44,изменен: 11.03.2016 15:32:44 | Командная строка: "C:\Program Files\McAfee Security Scan\3.11.309\SSScheduler.exe" Обнаружено:58, из них опознаны как безопасные 56
| | |||||
| Имя модуля | Handle | Описание | Copyright | AVZ0311 | Используется процессами
| C:\Program Files\AVAST Software\Avast\defs\16041301\algo.dll | Скрипт: Kарантин, Удалить, Удалить через BC 1863057408 | | | MD5=4F24E758BCC46527C950CFC00E361246 | 2819,50 кб, rsAh, создан: 14.04.2016 07:53:29, изменен: 14.04.2016 07:53:29 1552
| C:\Program Files\AVAST Software\Avast\defs\16041301\aswCleanerDLL.dll | Скрипт: Kарантин, Удалить, Удалить через BC 1866792960 | Virus/Worm Cleaner Application for avast! | Copyright (c) 2011 AVAST Software | MD5=1729A0BF42FB69B938A0459A2AFA2CA6 | 516,31 кб, rsAh, создан: 14.04.2016 07:53:29, изменен: 14.04.2016 07:53:29 1552
| C:\Program Files\AVAST Software\Avast\defs\16041301\aswCmnBS.dll | Скрипт: Kарантин, Удалить, Удалить через BC 1870725120 | Common functions | Copyright (c) 2014 AVAST Software | MD5=B83DACF4E6FE75CC96455CC7E6F1A021 | 467,94 кб, rsAh, создан: 14.04.2016 07:53:29, изменен: 14.04.2016 07:53:29 1552, 2304
| C:\Program Files\AVAST Software\Avast\defs\16041301\aswCmnOS.dll | Скрипт: Kарантин, Удалить, Удалить через BC 1871249408 | Antivirus HW dependent library | Copyright (c) 2014 AVAST Software | MD5=D74B51F4DABCA3FB7E3E47889564282E | 133,63 кб, rsAh, создан: 14.04.2016 07:53:29, изменен: 14.04.2016 07:53:29 1552, 2304
| C:\Program Files\AVAST Software\Avast\defs\16041301\aswEngin.dll | Скрипт: Kарантин, Удалить, Удалить через BC 1871904768 | High level antivirus engine | Copyright (c) 2014 AVAST Software | MD5=FF1A47501BD03D9D633D87BEB7BA1E5F | 1368,45 кб, rsAh, создан: 14.04.2016 07:53:29, изменен: 14.04.2016 07:53:29 1552
| C:\Program Files\AVAST Software\Avast\defs\16041301\aswScan.dll | Скрипт: Kарантин, Удалить, Удалить через BC 1870331904 | Low level antivirus engine | Copyright (c) 2014 AVAST Software | MD5=D13200E90C325D0E401360C2792CE544 | 192,01 кб, rsAh, создан: 14.04.2016 07:53:30, изменен: 14.04.2016 07:53:30 1552
| C:\Program Files\AVAST Software\Avast\defs\16041301\swhealthex2.dll | Скрипт: Kарантин, Удалить, Удалить через BC 1802502144 | Software Health extension library | Copyright (c) 2014 AVAST Software | MD5=C97D299BA13992D72C3A04EF9A0A7F52 | 1312,13 кб, rsAh, создан: 14.04.2016 07:53:30, изменен: 14.04.2016 07:53:30 1552
| Обнаружено модулей:632, из них опознаны как безопасные 625
| | |||||
| Модуль | Базовый адрес | Размер в памяти | Описание | Производитель
| C:\Windows\System32\Drivers\dump_atapi.sys | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC 89CD4000 | 009000 (36864) |
| C:\Windows\System32\Drivers\dump_dumpata.sys | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC 89CC9000 | 00B000 (45056) |
| C:\Windows\System32\Drivers\dump_dumpfve.sys | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC 89CDD000 | 011000 (69632) |
| Обнаружено модулей - 169, опознано как безопасные - 166
| | |||||||
| Служба | Описание | Статус | Файл | Группа | Зависимости
| AdobeFlashPlayerUpdateSvc | Служба: Стоп, Удалить, Отключить, Удалить через BC Adobe Flash Player Update Service | Не запущен | C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe | 263,19 кб, rsAh, создан: 05.11.2013 11:26:58, изменен: 08.04.2016 11:07:32 Скрипт: Kарантин, Удалить, Удалить через BC |
| McComponentHostService | Служба: Стоп, Удалить, Отключить, Удалить через BC McAfee Security Scan Component Host Service | Не запущен | C:\Program Files\McAfee Security Scan\3.11.309\McCHSvc.exe | 234,26 кб, rsAh, создан: 11.03.2016 15:32:32, изменен: 11.03.2016 15:32:32 Скрипт: Kарантин, Удалить, Удалить через BC | RPCSS
| MozillaMaintenance | Служба: Стоп, Удалить, Отключить, Удалить через BC Mozilla Maintenance Service | Не запущен | C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe | 143,45 кб, rsAh, создан: 19.09.2013 16:50:33, изменен: 12.04.2016 09:17:09 Скрипт: Kарантин, Удалить, Удалить через BC |
| Обнаружено - 158, опознано как безопасные - 155
| | ||||||
| Служба | Описание | Статус | Файл | Группа | Зависимости
| Обнаружено - 258, опознано как безопасные - 258
| | ||||||
| Имя файла | Статус | Метод запуска | Описание
| C:\Users\СЕКР\AppData\Roaming\SbisLauncher\Launcher.exe | 589,04 кб, rsAh, создан: 22.08.2014 19:32:16, изменен: 24.03.2016 19:46:54, имя содержит национальные символы Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, Sbis Launcher | Удалить C:\Windows\system32\psxss.exe | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix
| progman.exe | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, shell | Удалить C:\Program Files\McAfee Security Scan\3.11.309\SSScheduler.exe | 275,26 кб, rsAh, создан: 11.03.2016 15:32:44, изменен: 11.03.2016 15:32:44 Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ярлык в папке автозагрузки | C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\, C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk,
| C:\CheckUFA\CheckUFA\Check.exe | 2397,00 кб, rsAh, создан: 28.03.2016 10:11:30, изменен: 07.12.2015 14:08:58 Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ярлык в папке автозагрузки | C:\Users\СЕКР\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\СЕКР\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\CheckPfr.lnk,
| Обнаружено элементов автозапуска - 693, опознано как безопасные - 688
| | ||||||
| Имя файла | Тип | Описание | Производитель | CLSID
ошибка получения информации о файле BHO | {8984B388-A5BB-4DF7-B274-77B879E179DB} | Удалить Обнаружено элементов - 5, опознано как безопасные - 4
| | |||||||||
| Имя файла | Назначение | Описание | Производитель | CLSID
| Обнаружено элементов - 15, опознано как безопасные - 15
| | ||||||
| Имя файла | Тип | Наименование | Описание | Производитель
| Обнаружено элементов - 10, опознано как безопасные - 10
| | ||||||
| Имя файла | Имя задания | Состояние задания | Описание | Производитель | Путь | Командная строка | Тип
| C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe | 263,19 кб, rsAh, создан: 05.11.2013 11:26:58, изменен: 08.04.2016 11:07:32 Скрипт: Kарантин, Удалить, Удалить через BC Adobe Flash Player Updater.job | Скрипт: Удалить The task is ready to run at its next scheduled time. | Adobe® Flash® Player Update Service 21.0 r0 | Copyright © 1996-2016 Adobe Systems Incorporated | C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe | 32
| C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe | 263,19 кб, rsAh, создан: 05.11.2013 11:26:58, изменен: 08.04.2016 11:07:32 Скрипт: Kарантин, Удалить, Удалить через BC Adobe Flash Player Updater | Скрипт: Удалить The task is ready to run at its next scheduled time. | Adobe® Flash® Player Update Service 21.0 r0 | Copyright © 1996-2016 Adobe Systems Incorporated | C:\Windows\system32\Tasks\ | C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe | 32
| aitagent | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC AitAgent | Скрипт: Удалить The task is ready to run at its next scheduled time. | C:\Windows\system32\Tasks\Microsoft\Windows\Application Experience\ | aitagent | 32
| C:\Windows\ehome\mcupdate | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC mcupdate | Скрипт: Удалить The task is ready to run at its next scheduled time. | C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\ | %SystemRoot%\ehome\mcupdate $(Arg0) | 32
| C:\Windows\ehome\ehrec | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC RecordingRestart | Скрипт: Удалить The task is ready to run at its next scheduled time. | C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\ | %SystemRoot%\ehome\ehrec /RestartRecording | 32
| C:\Windows\ehome\ehrec | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC StartRecording | Скрипт: Удалить The task is ready to run at its next scheduled time. | C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\ | %SystemRoot%\ehome\ehrec /StartRecording | 32
| C:\Program Files\AVAST Software\Avast\Setup\setiface.dll | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC {DBEEE6EC-2996-414E-B5A8-1AD4DB91E38A} | Скрипт: Удалить The task is ready to run at its next scheduled time. | C:\Windows\system32\Tasks\ | C:\Windows\system32\pcalua.exe -a "C:\Program Files\AVAST Software\Avast\aswRunDll.exe" -c "C:\Program Files\AVAST Software\Avast\Setup\setiface.dll" RunSetup | 32
| Обнаружено элементов - 65, опознано как безопасные - 58
| | |||||||||||||||||
| Поставщик | Статус | Исп. файл | Описание | GUID
| Обнаружено - 6, опознано как безопасные - 6
| | ||||||
| Поставщик | Исп. файл | Описание
| Обнаружено - 266, опознано как безопасные - 266
| | ||||||
| Порт | Статус | Remote Host | Remote Port | Приложение | Примечания
| Порты TCP
| 445 | LISTENING | 0.0.0.0 | 0 | System.exe [4] | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
| 843 | LISTENING | 0.0.0.0 | 0 | c:\users\СЕКР\appdata\roaming\sbislauncher\launcher.exe [1468] | 589,04 кб, rsAh, создан: 22.08.2014 19:32:16, изменен: 24.03.2016 19:46:54, имя содержит национальные символы Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
| 8181 | LISTENING | 0.0.0.0 | 0 | c:\users\СЕКР\appdata\roaming\sbislauncher\launcher.exe [1468] | 589,04 кб, rsAh, создан: 22.08.2014 19:32:16, изменен: 24.03.2016 19:46:54, имя содержит национальные символы Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
| 49180 | ESTABLISHED | 91.213.144.173 | 443 | c:\users\СЕКР\appdata\roaming\sbislauncher\launcher.exe [1468] | 589,04 кб, rsAh, создан: 22.08.2014 19:32:16, изменен: 24.03.2016 19:46:54, имя содержит национальные символы Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
| 49181 | TIME_WAIT | 88.221.132.74 | 80 | [0] | ошибка получения информации о файле
| 49182 | ESTABLISHED | 91.213.144.173 | 443 | c:\users\СЕКР\appdata\roaming\sbislauncher\launcher.exe [1468] | 589,04 кб, rsAh, создан: 22.08.2014 19:32:16, изменен: 24.03.2016 19:46:54, имя содержит национальные символы Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
| 49183 | TIME_WAIT | 88.221.132.97 | 80 | [0] | ошибка получения информации о файле
| 49185 | TIME_WAIT | 88.221.132.82 | 80 | [0] | ошибка получения информации о файле
| 49187 | TIME_WAIT | 37.29.19.88 | 80 | [0] | ошибка получения информации о файле
| Порты UDP
| | ||||||||||||
| Имя файла | Описание | Производитель | CLSID | URL загрузки
| Обнаружено элементов - 1, опознано как безопасные - 1
| | ||||||
| Имя файла | Описание | Производитель
| C:\Windows\system32\FlashPlayerCPLApp.cpl | 139,19 кб, rsAh, создан: 05.11.2013 11:26:57, изменен: 08.04.2016 11:07:31 Скрипт: Kарантин, Удалить, Удалить через BC Adobe Flash Player Control Panel Applet | Copyright © 1996-2016 Adobe Systems Incorporated. All Rights Reserved. Adobe and Flash are either trademarks or registered trademarks in the United States and/or other countries.
| Обнаружено элементов - 26, опознано как безопасные - 25
| | ||||||
| Имя файла | Описание | Производитель | CLSID
| Обнаружено элементов - 9, опознано как безопасные - 9
| | ||||||
Запись файла Hosts
|
| Имя файла | Тип | Описание | Производитель | CLSID
| Обнаружено элементов - 19, опознано как безопасные - 19
| | ||||||
| Сетевое имя | Путь | Примечания
| ADMIN$ | C:\Windows | Удаленный Admin
| C$ | C:\ | Стандартный общий ресурс
| D$ | D:\ | Стандартный общий ресурс
| F$ | F:\ | Стандартный общий ресурс
| IPC$ | Удаленный IPC
| Kyocera FS-1035MFP KX | Kyocera FS-1035MFP KX,LocalsplOnly | Kyocera FS-1035MFP KX
| Kyocera TASKalfa 300ci | Kyocera TASKalfa 300ci,LocalsplOnly | Kyocera TASKalfa 300ci
| print$ | C:\Windows\system32\spool\drivers | Драйверы принтеров
| АРХИВ | F:\АРХИВ |
| |
| Файл | Описание | Тип
| C:\Windows\system32\drivers\aswSnx.sys | 776,32 кб, rsAh, создан: 23.07.2013 12:18:49, изменен: 09.11.2015 08:58:04 Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit | Перехватчик KernelMode
| C:\Windows\system32\drivers\aswSP.sys | 425,26 кб, rsAh, создан: 23.07.2013 12:18:51, изменен: 09.11.2015 08:58:04 Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit | Перехватчик KernelMode
| C:\Windows\system32\ntkrnlpa.exe | 3862,08 кб, rsAh, создан: 14.07.2009 03:15:58, изменен: 14.07.2009 05:20:44 Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit | Перехватчик KernelMode
| |
Протокол антивирусной утилиты AVZ версии 4.46 Сканирование запущено в 14.04.2016 13:39:02 Загружена база: сигнатуры - 297569, нейропрофили - 2, микропрограммы лечения - 56, база от 13.04.2016 04:00 Загружены микропрограммы эвристики: 412 Загружены микропрограммы ИПУ: 10 Загружены цифровые подписи системных файлов: 794873 Режим эвристического анализатора: Средний уровень эвристики Режим лечения: выключено Версия Windows: 6.1.7600, "Windows 7 Ultimate", дата инсталляции 23.07.2013 10:44:47 ; AVZ работает с правами администратора (+) Восстановление системы: включено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Функция wininet.dll:InternetAlgIdToStringA (214) перехвачена, метод APICodeHijack.JmpTo[61671068] Функция wininet.dll:InternetAlgIdToStringW (215) перехвачена, метод APICodeHijack.JmpTo[61671170] Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=1689C0) Ядро ntkrnlpa.exe обнаружено в памяти по адресу 83045000 SDT = 831AD9C0 KiST = 830B46F0 (401) Функция NtAddBootEntry (09) перехвачена (83348426->8F4563D4), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный Функция NtAllocateVirtualMemory (13) перехвачена (83290E0F->8F5139F4), перехватчик C:\Windows\system32\drivers\aswSP.sys, драйвер опознан как безопасный Функция NtAssignProcessToJobObject (2B) перехвачена (8323C70E->8F456EB2), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный Функция NtCreateEvent (40) перехвачена (832A65D9->8F46328A), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный Функция NtCreateEventPair (41) перехвачена (8334E134->8F4632D6), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный Функция NtCreateIoCompletion (43) перехвачена (832A9195->8F463470), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный Функция NtCreateKey (46) перехвачена (832539FF->83045FEC), перехватчик C:\Windows\system32\ntkrnlpa.exe, драйвер опознан как безопасный Функция NtCreateMutant (4A) перехвачена (832C3C15->8F4631F8), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный Функция NtCreateSection (54) перехвачена (83275CE3->8F513DCE), перехватчик C:\Windows\system32\drivers\aswSP.sys, драйвер опознан как безопасный Функция NtCreateSemaphore (55) перехвачена (832C6009->8F463240), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный Функция NtCreateThread (57) перехвачена (8331FC0E->8F51405E), перехватчик C:\Windows\system32\drivers\aswSP.sys, драйвер опознан как безопасный Функция NtCreateThreadEx (58) перехвачена (8327DD51->8F514148), перехватчик C:\Windows\system32\drivers\aswSP.sys, драйвер опознан как безопасный Функция NtCreateTimer (59) перехвачена (8323F145->8F46342A), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный Функция NtDebugActiveProcess (60) перехвачена (832F5150->8F457CA0), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный Функция NtDeleteBootEntry (64) перехвачена (83348457->8F45643A), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный Функция NtDuplicateObject (6F) перехвачена (832C10C2->8F51424C), перехватчик C:\Windows\system32\drivers\aswSP.sys, драйвер опознан как безопасный Функция NtFreeVirtualMemory (83) перехвачена (830F8821->8F513ACC), перехватчик C:\Windows\system32\drivers\aswSP.sys, драйвер опознан как безопасный Функция NtLoadDriver (9B) перехвачена (831E6279->8F510C5C), перехватчик C:\Windows\system32\drivers\aswSP.sys, драйвер опознан как безопасный Функция NtMapViewOfSection (A8) перехвачена (832C3ED7->8F513EAE), перехватчик C:\Windows\system32\drivers\aswSP.sys, драйвер опознан как безопасный Функция NtModifyBootEntry (A9) перехвачена (83348628->8F4564A0), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный Функция NtNotifyChangeKey (AC) перехвачена (8323ECE5->8F45B228), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный Функция NtNotifyChangeMultipleKeys (AD) перехвачена (8323E08F->8F4587E4), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный Функция NtOpenEvent (B1) перехвачена (832C6567->8F4632B4), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный Функция NtOpenEventPair (B2) перехвачена (8334E235->8F4632F8), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный Функция NtOpenIoCompletion (B4) перехвачена (832FE2FD->8F463494), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный Функция NtOpenKey (B6) перехвачена (83287704->83045FF1), перехватчик C:\Windows\system32\ntkrnlpa.exe, драйвер опознан как безопасный Функция NtOpenMutant (BB) перехвачена (832616E1->8F46321E), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный Функция NtOpenProcess (BE) перехвачена (832C6531->8F45A72A), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный Функция NtOpenSection (C2) перехвачена (832C41BA->8F4633A8), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный Функция NtOpenSemaphore (C3) перехвачена (832293CA->8F463268), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный Функция NtOpenThread (C6) перехвачена (832C4E88->8F45AB16), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный Функция NtOpenTimer (C9) перехвачена (8334DEDB->8F46344E), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный Функция NtProtectVirtualMemory (D7) перехвачена (832C4C41->8F513C4C), перехватчик C:\Windows\system32\drivers\aswSP.sys, драйвер опознан как безопасный Функция NtQueryObject (F8) перехвачена (83251CB1->8F4585FC), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный Функция NtQueueApcThreadEx (10E) перехвачена (83231B15->8F45830A), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный Функция NtSetBootEntryOrder (13A) перехвачена (83348D39->8F456506), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный Функция NtSetBootOptions (13B) перехвачена (83349225->8F45656C), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный Функция NtSetContextThread (13C) перехвачена (83320D13->8F513FAA), перехватчик C:\Windows\system32\drivers\aswSP.sys, драйвер опознан как безопасный Функция NtSetSystemInformation (15E) перехвачена (832CFDF5->8F4560C0), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный Функция NtSetSystemPowerState (15F) перехвачена (83366355->8F456292), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный Функция NtShutdownSystem (168) перехвачена (8334664B->8F456220), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный Функция NtSuspendProcess (16E) перехвачена (833218B3->8F457E6A), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный Функция NtSuspendThread (16F) перехвачена (832DE650->8F457FCC), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный Функция NtSystemDebugControl (170) перехвачена (8324E2FC->8F45631A), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный Функция NtTerminateProcess (172) перехвачена (832A6B3D->8F513D1A), перехватчик C:\Windows\system32\drivers\aswSP.sys, драйвер опознан как безопасный Функция NtTerminateThread (173) перехвачена (832B98E4->8F457AFA), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный Функция NtUnloadDriver (17B) перехвачена (83300827->8F510C8C), перехватчик C:\Windows\system32\drivers\aswSP.sys, драйвер опознан как безопасный Функция NtVdmControl (182) перехвачена (8333BA8F->8F4565D2), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный Функция NtWriteVirtualMemory (18F) перехвачена (832CC5B5->8F513B7E), перехватчик C:\Windows\system32\drivers\aswSP.sys, драйвер опознан как безопасный Проверено функций: 401, перехвачено: 49, восстановлено: 0 1.3 Проверка IDT и SYSENTER Анализ для процессора 1 Анализ для процессора 2 Проверка IDT и SYSENTER завершена 1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM 1.5 Проверка обработчиков IRP Драйвер успешно загружен Проверка завершена 2. Проверка памяти Количество найденных процессов: 57 Количество загруженных модулей: 612 Проверка памяти завершена 3. Сканирование дисков 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами Проверка отключена пользователем 7. Эвристичеcкая проверка системы Обнаружен вызов интерпретатора командной строки в автозапуске [DR=1] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\HotKeysCmds = [C:\Windows\system32\hkcmd.exe] Проверка завершена 8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX >> Безопасность: Разрешена отправка приглашений удаленному помощнику >> Проводник - включить отображение расширений для файлов известных системе типов Проверка завершена 9. Мастер поиска и устранения проблем >> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX >> Разрешен автозапуск с HDD >> Разрешен автозапуск с сетевых дисков >> Разрешен автозапуск со сменных носителей Проверка завершена Просканировано файлов: 669, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0 Сканирование завершено в 14.04.2016 13:39:50 Сканирование длилось 00:00:52 Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам, то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18 Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ можно использовать сервис http://virusdetector.ru/ Выполняется исследование системы Диагностика сети DNS and Ping test Host="yandex.ru", IP="77.88.55.66,5.255.255.5,5.255.255.55,77.88.55.55", Ping=OK (0,572,77.88.55.66) Host="google.ru", IP="173.194.32.159,173.194.32.152,173.194.32.143,173.194.32.151", Ping=OK (0,856,173.194.32.159) Host="google.com", IP="173.194.32.132,173.194.32.135,173.194.32.133,173.194.32.131,173.194.32.129,173.194.32.130,173.194.32.128,173.194.32.134,173.194.32.142,173.194.32.137,173.194.32.136", Ping=OK (0,576,173.194.32.132) Host="www.kaspersky.com", IP="93.159.228.16", Ping=OK (0,958,93.159.228.16) Host="www.kaspersky.ru", IP="93.159.228.17", Ping=OK (0,629,93.159.228.17) Host="dnl-03.geo.kaspersky.com", IP="95.167.139.6", Ping=OK (0,981,95.167.139.6) Host="dnl-11.geo.kaspersky.com", IP="62.128.100.81", Ping=OK (0,718,62.128.100.81) Host="activation-v2.kaspersky.com", IP="212.5.89.37", Ping=OK (0,1255,212.5.89.37) Host="odnoklassniki.ru", IP="5.61.23.5,217.20.155.58,217.20.156.159", Ping=OK (0,898,5.61.23.5) Host="vk.com", IP="87.240.131.118,87.240.131.119,87.240.131.120", Ping=Error (11010,0,0.0.0.0) Host="vkontakte.ru", IP="95.213.4.241,95.213.4.242,95.213.4.248", Ping=OK (0,501,95.213.4.241) Host="twitter.com", IP="199.16.156.102,199.16.156.70,199.16.156.198,199.16.156.6", Ping=Error (11010,0,0.0.0.0) Host="facebook.com", IP="31.13.76.68", Ping=Error (11010,0,0.0.0.0) Host="ru-ru.facebook.com", IP="31.13.72.8", Ping=Error (11010,0,0.0.0.0) Network IE settings IE setting AutoConfigURL= IE setting AutoConfigProxy=wininet.dll IE setting ProxyOverride= IE setting ProxyServer= IE setting Internet\ManualProxies= Network TCP/IP settings Network Persistent RoutesДобавить в скрипт команды:
Исследование системы завершено
Команды скрипта