Протокол исследования системы

AVZ 4.46 http://z-oleg.com/secur/avz/

Список процессов

Имя файлаPIDОписаниеCopyrightMD5Информация
c:\program files\avast software\avast\avastsvc.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1552avast! ServiceCopyright (c) 2014 AVAST Software4956380A54B1C9E6BFDF3D80DACB9698143,16 кб, rsAh,создан: 14.08.2015 23:21:49,изменен: 14.08.2015 23:21:49
Командная строка:
"C:\Program Files\AVAST Software\Avast\AvastSvc.exe"
c:\program files\avast software\avast\avastui.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
2304avast! AntivirusCopyright (c) 2014 AVAST Software60E6FC4E478A1D65069A1C331603101C5968,08 кб, rsAh,создан: 09.11.2015 08:58:04,изменен: 09.11.2015 08:58:04
Командная строка:
"C:\Program Files\AVAST Software\Avast\avastui.exe" /nogui
c:\users\СЕКР\appdata\roaming\sbislauncher\launcher.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1468SbisPluginCopyright © Tensor Company Ltd. All rights reserved.A8CAF64AA679FAF62BA1702B4FE69871589,04 кб, rsAh,создан: 22.08.2014 19:32:16,изменен: 24.03.2016 19:46:54,имя содержит национальные символы
Командная строка:
"C:\Users\СЕКР\AppData\Roaming\SbisLauncher\Launcher.exe"
c:\program files\mcafee security scan\3.11.309\ssscheduler.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
2472McAfee Security Scanner SchedulerCopyright © 2013 McAfee, Inc.AE47C4AFF741811316837FBA2B9B6993275,26 кб, rsAh,создан: 11.03.2016 15:32:44,изменен: 11.03.2016 15:32:44
Командная строка:
"C:\Program Files\McAfee Security Scan\3.11.309\SSScheduler.exe"
Обнаружено:58, из них опознаны как безопасные 56
Имя модуляHandleОписаниеCopyrightAVZ0311Используется процессами
C:\Program Files\AVAST Software\Avast\defs\16041301\algo.dll
Скрипт: Kарантин, Удалить, Удалить через BC
1863057408  MD5=4F24E758BCC46527C950CFC00E361246
2819,50 кб, rsAh, создан: 14.04.2016 07:53:29, изменен: 14.04.2016 07:53:29
1552
C:\Program Files\AVAST Software\Avast\defs\16041301\aswCleanerDLL.dll
Скрипт: Kарантин, Удалить, Удалить через BC
1866792960Virus/Worm Cleaner Application for avast!Copyright (c) 2011 AVAST SoftwareMD5=1729A0BF42FB69B938A0459A2AFA2CA6
516,31 кб, rsAh, создан: 14.04.2016 07:53:29, изменен: 14.04.2016 07:53:29
1552
C:\Program Files\AVAST Software\Avast\defs\16041301\aswCmnBS.dll
Скрипт: Kарантин, Удалить, Удалить через BC
1870725120Common functionsCopyright (c) 2014 AVAST SoftwareMD5=B83DACF4E6FE75CC96455CC7E6F1A021
467,94 кб, rsAh, создан: 14.04.2016 07:53:29, изменен: 14.04.2016 07:53:29
1552, 2304
C:\Program Files\AVAST Software\Avast\defs\16041301\aswCmnOS.dll
Скрипт: Kарантин, Удалить, Удалить через BC
1871249408Antivirus HW dependent libraryCopyright (c) 2014 AVAST SoftwareMD5=D74B51F4DABCA3FB7E3E47889564282E
133,63 кб, rsAh, создан: 14.04.2016 07:53:29, изменен: 14.04.2016 07:53:29
1552, 2304
C:\Program Files\AVAST Software\Avast\defs\16041301\aswEngin.dll
Скрипт: Kарантин, Удалить, Удалить через BC
1871904768High level antivirus engineCopyright (c) 2014 AVAST SoftwareMD5=FF1A47501BD03D9D633D87BEB7BA1E5F
1368,45 кб, rsAh, создан: 14.04.2016 07:53:29, изменен: 14.04.2016 07:53:29
1552
C:\Program Files\AVAST Software\Avast\defs\16041301\aswScan.dll
Скрипт: Kарантин, Удалить, Удалить через BC
1870331904Low level antivirus engineCopyright (c) 2014 AVAST SoftwareMD5=D13200E90C325D0E401360C2792CE544
192,01 кб, rsAh, создан: 14.04.2016 07:53:30, изменен: 14.04.2016 07:53:30
1552
C:\Program Files\AVAST Software\Avast\defs\16041301\swhealthex2.dll
Скрипт: Kарантин, Удалить, Удалить через BC
1802502144Software Health extension libraryCopyright (c) 2014 AVAST SoftwareMD5=C97D299BA13992D72C3A04EF9A0A7F52
1312,13 кб, rsAh, создан: 14.04.2016 07:53:30, изменен: 14.04.2016 07:53:30
1552
Обнаружено модулей:632, из них опознаны как безопасные 625

Модули пространства ядра

МодульБазовый адресРазмер в памятиОписаниеПроизводитель
C:\Windows\System32\Drivers\dump_atapi.sys
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
89CD4000009000 (36864)
C:\Windows\System32\Drivers\dump_dumpata.sys
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
89CC900000B000 (45056)
C:\Windows\System32\Drivers\dump_dumpfve.sys
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
89CDD000011000 (69632)
Обнаружено модулей - 169, опознано как безопасные - 166

Службы

СлужбаОписаниеСтатусФайлГруппаЗависимости
AdobeFlashPlayerUpdateSvc
Служба: Стоп, Удалить, Отключить, Удалить через BC
Adobe Flash Player Update ServiceНе запущенC:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
263,19 кб, rsAh, создан: 05.11.2013 11:26:58, изменен: 08.04.2016 11:07:32
Скрипт: Kарантин, Удалить, Удалить через BC
  
McComponentHostService
Служба: Стоп, Удалить, Отключить, Удалить через BC
McAfee Security Scan Component Host ServiceНе запущенC:\Program Files\McAfee Security Scan\3.11.309\McCHSvc.exe
234,26 кб, rsAh, создан: 11.03.2016 15:32:32, изменен: 11.03.2016 15:32:32
Скрипт: Kарантин, Удалить, Удалить через BC
 RPCSS
MozillaMaintenance
Служба: Стоп, Удалить, Отключить, Удалить через BC
Mozilla Maintenance ServiceНе запущенC:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
143,45 кб, rsAh, создан: 19.09.2013 16:50:33, изменен: 12.04.2016 09:17:09
Скрипт: Kарантин, Удалить, Удалить через BC
  
Обнаружено - 158, опознано как безопасные - 155

Драйверы

СлужбаОписаниеСтатусФайлГруппаЗависимости
Обнаружено - 258, опознано как безопасные - 258

Автозапуск

Имя файлаСтатусМетод запускаОписание
C:\Users\СЕКР\AppData\Roaming\SbisLauncher\Launcher.exe
589,04 кб, rsAh, создан: 22.08.2014 19:32:16, изменен: 24.03.2016 19:46:54, имя содержит национальные символы
Скрипт: Kарантин, Удалить, Удалить через BC
АктивенКлюч реестраHKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, Sbis Launcher
Удалить
C:\Windows\system32\psxss.exe
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
--Ключ реестраHKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix
progman.exe
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
АктивенКлюч реестраHKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, shell
Удалить
C:\Program Files\McAfee Security Scan\3.11.309\SSScheduler.exe
275,26 кб, rsAh, создан: 11.03.2016 15:32:44, изменен: 11.03.2016 15:32:44
Скрипт: Kарантин, Удалить, Удалить через BC
АктивенЯрлык в папке автозагрузкиC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\, C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk,
C:\CheckUFA\CheckUFA\Check.exe
2397,00 кб, rsAh, создан: 28.03.2016 10:11:30, изменен: 07.12.2015 14:08:58
Скрипт: Kарантин, Удалить, Удалить через BC
АктивенЯрлык в папке автозагрузкиC:\Users\СЕКР\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\СЕКР\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\CheckPfr.lnk,
Обнаружено элементов автозапуска - 693, опознано как безопасные - 688

Модули расширения Internet Explorer (BHO, панели ...)

Имя файлаТипОписаниеПроизводительCLSID

ошибка получения информации о файле
BHO{8984B388-A5BB-4DF7-B274-77B879E179DB}
Удалить
Обнаружено элементов - 5, опознано как безопасные - 4

Модули расширения проводника

Имя файлаНазначениеОписаниеПроизводительCLSID
Обнаружено элементов - 15, опознано как безопасные - 15

Модули расширения системы печати (мониторы печати, провайдеры)

Имя файлаТипНаименованиеОписаниеПроизводитель
Обнаружено элементов - 10, опознано как безопасные - 10

Задания планировщика задач Task Scheduler

Имя файлаИмя заданияСостояние заданияОписаниеПроизводительПутьКомандная строкаТип
C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
263,19 кб, rsAh, создан: 05.11.2013 11:26:58, изменен: 08.04.2016 11:07:32
Скрипт: Kарантин, Удалить, Удалить через BC
Adobe Flash Player Updater.job
Скрипт: Удалить
The task is ready to run at its next scheduled time.Adobe® Flash® Player Update Service 21.0 r0Copyright © 1996-2016 Adobe Systems IncorporatedC:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe 32
C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
263,19 кб, rsAh, создан: 05.11.2013 11:26:58, изменен: 08.04.2016 11:07:32
Скрипт: Kарантин, Удалить, Удалить через BC
Adobe Flash Player Updater
Скрипт: Удалить
The task is ready to run at its next scheduled time.Adobe® Flash® Player Update Service 21.0 r0Copyright © 1996-2016 Adobe Systems IncorporatedC:\Windows\system32\Tasks\ C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe 32
aitagent
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
AitAgent
Скрипт: Удалить
The task is ready to run at its next scheduled time.C:\Windows\system32\Tasks\Microsoft\Windows\Application Experience\ aitagent 32
C:\Windows\ehome\mcupdate
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
mcupdate
Скрипт: Удалить
The task is ready to run at its next scheduled time.C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\ %SystemRoot%\ehome\mcupdate $(Arg0)32
C:\Windows\ehome\ehrec
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
RecordingRestart
Скрипт: Удалить
The task is ready to run at its next scheduled time.C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\ %SystemRoot%\ehome\ehrec /RestartRecording32
C:\Windows\ehome\ehrec
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
StartRecording
Скрипт: Удалить
The task is ready to run at its next scheduled time.C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\ %SystemRoot%\ehome\ehrec /StartRecording32
C:\Program Files\AVAST Software\Avast\Setup\setiface.dll
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
{DBEEE6EC-2996-414E-B5A8-1AD4DB91E38A}
Скрипт: Удалить
The task is ready to run at its next scheduled time.C:\Windows\system32\Tasks\ C:\Windows\system32\pcalua.exe -a "C:\Program Files\AVAST Software\Avast\aswRunDll.exe" -c "C:\Program Files\AVAST Software\Avast\Setup\setiface.dll" RunSetup32
Обнаружено элементов - 65, опознано как безопасные - 58

Настройки SPI/LSP

Поставщики пространства имен (NSP)
ПоставщикСтатусИсп. файлОписаниеGUID
Обнаружено - 6, опознано как безопасные - 6
Поставщики транспортных протоколов (TSP, LSP)
ПоставщикИсп. файлОписание
Обнаружено - 266, опознано как безопасные - 266
Результаты автоматического анализа настроек SPI
Настройки LSP проверены. Ошибок не обнаружено

Порты TCP/UDP

ПортСтатусRemote HostRemote PortПриложениеПримечания
Порты TCP
445LISTENING0.0.0.00System.exe [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
 
843LISTENING0.0.0.00c:\users\СЕКР\appdata\roaming\sbislauncher\launcher.exe [1468]
589,04 кб, rsAh, создан: 22.08.2014 19:32:16, изменен: 24.03.2016 19:46:54, имя содержит национальные символы
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
 
8181LISTENING0.0.0.00c:\users\СЕКР\appdata\roaming\sbislauncher\launcher.exe [1468]
589,04 кб, rsAh, создан: 22.08.2014 19:32:16, изменен: 24.03.2016 19:46:54, имя содержит национальные символы
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
 
49180ESTABLISHED91.213.144.173443c:\users\СЕКР\appdata\roaming\sbislauncher\launcher.exe [1468]
589,04 кб, rsAh, создан: 22.08.2014 19:32:16, изменен: 24.03.2016 19:46:54, имя содержит национальные символы
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
 
49181TIME_WAIT88.221.132.7480  [0]
ошибка получения информации о файле
 
49182ESTABLISHED91.213.144.173443c:\users\СЕКР\appdata\roaming\sbislauncher\launcher.exe [1468]
589,04 кб, rsAh, создан: 22.08.2014 19:32:16, изменен: 24.03.2016 19:46:54, имя содержит национальные символы
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
 
49183TIME_WAIT88.221.132.9780  [0]
ошибка получения информации о файле
 
49185TIME_WAIT88.221.132.8280  [0]
ошибка получения информации о файле
 
49187TIME_WAIT37.29.19.8880  [0]
ошибка получения информации о файле
 
Порты UDP

Downloaded Program Files (DPF)

Имя файлаОписаниеПроизводительCLSIDURL загрузки
Обнаружено элементов - 1, опознано как безопасные - 1

Апплеты панели управления (CPL)

Имя файлаОписаниеПроизводитель
C:\Windows\system32\FlashPlayerCPLApp.cpl
139,19 кб, rsAh, создан: 05.11.2013 11:26:57, изменен: 08.04.2016 11:07:31
Скрипт: Kарантин, Удалить, Удалить через BC
Adobe Flash Player Control Panel AppletCopyright © 1996-2016 Adobe Systems Incorporated. All Rights Reserved. Adobe and Flash are either trademarks or registered trademarks in the United States and/or other countries.
Обнаружено элементов - 26, опознано как безопасные - 25

Active Setup

Имя файлаОписаниеПроизводительCLSID
Обнаружено элементов - 9, опознано как безопасные - 9

Файл HOSTS

Запись файла Hosts
0.0.0.1	mssplus.mcafee.com
Очистка файла Hosts

Протоколы и обработчики

Имя файлаТипОписаниеПроизводительCLSID
Обнаружено элементов - 19, опознано как безопасные - 19

Общие ресурсы

Сетевое имяПутьПримечания
ADMIN$C:\WindowsУдаленный Admin
C$C:\Стандартный общий ресурс
D$D:\Стандартный общий ресурс
F$F:\Стандартный общий ресурс
IPC$Удаленный IPC
Kyocera FS-1035MFP KXKyocera FS-1035MFP KX,LocalsplOnlyKyocera FS-1035MFP KX
Kyocera TASKalfa 300ciKyocera TASKalfa 300ci,LocalsplOnlyKyocera TASKalfa 300ci
print$C:\Windows\system32\spool\driversДрайверы принтеров
АРХИВF:\АРХИВ

Подозрительные объекты

ФайлОписаниеТип
C:\Windows\system32\drivers\aswSnx.sys
776,32 кб, rsAh, создан: 23.07.2013 12:18:49, изменен: 09.11.2015 08:58:04
Скрипт: Kарантин, Удалить, Удалить через BC
Подозрение на RootKitПерехватчик KernelMode
C:\Windows\system32\drivers\aswSP.sys
425,26 кб, rsAh, создан: 23.07.2013 12:18:51, изменен: 09.11.2015 08:58:04
Скрипт: Kарантин, Удалить, Удалить через BC
Подозрение на RootKitПерехватчик KernelMode
C:\Windows\system32\ntkrnlpa.exe
3862,08 кб, rsAh, создан: 14.07.2009 03:15:58, изменен: 14.07.2009 05:20:44
Скрипт: Kарантин, Удалить, Удалить через BC
Подозрение на RootKitПерехватчик KernelMode


Протокол антивирусной утилиты AVZ версии 4.46
Сканирование запущено в 14.04.2016 13:39:02
Загружена база: сигнатуры - 297569, нейропрофили - 2, микропрограммы лечения - 56, база от 13.04.2016 04:00
Загружены микропрограммы эвристики: 412
Загружены микропрограммы ИПУ: 10
Загружены цифровые подписи системных файлов: 794873
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 6.1.7600,  "Windows 7 Ultimate", дата инсталляции 23.07.2013 10:44:47 ; AVZ работает с правами администратора (+)
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
Функция wininet.dll:InternetAlgIdToStringA (214) перехвачена, метод APICodeHijack.JmpTo[61671068]
Функция wininet.dll:InternetAlgIdToStringW (215) перехвачена, метод APICodeHijack.JmpTo[61671170]
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=1689C0)
 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 83045000
   SDT = 831AD9C0
   KiST = 830B46F0 (401)
Функция NtAddBootEntry (09) перехвачена (83348426->8F4563D4), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtAllocateVirtualMemory (13) перехвачена (83290E0F->8F5139F4), перехватчик C:\Windows\system32\drivers\aswSP.sys, драйвер опознан как безопасный
Функция NtAssignProcessToJobObject (2B) перехвачена (8323C70E->8F456EB2), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtCreateEvent (40) перехвачена (832A65D9->8F46328A), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtCreateEventPair (41) перехвачена (8334E134->8F4632D6), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtCreateIoCompletion (43) перехвачена (832A9195->8F463470), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtCreateKey (46) перехвачена (832539FF->83045FEC), перехватчик C:\Windows\system32\ntkrnlpa.exe, драйвер опознан как безопасный
Функция NtCreateMutant (4A) перехвачена (832C3C15->8F4631F8), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtCreateSection (54) перехвачена (83275CE3->8F513DCE), перехватчик C:\Windows\system32\drivers\aswSP.sys, драйвер опознан как безопасный
Функция NtCreateSemaphore (55) перехвачена (832C6009->8F463240), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtCreateThread (57) перехвачена (8331FC0E->8F51405E), перехватчик C:\Windows\system32\drivers\aswSP.sys, драйвер опознан как безопасный
Функция NtCreateThreadEx (58) перехвачена (8327DD51->8F514148), перехватчик C:\Windows\system32\drivers\aswSP.sys, драйвер опознан как безопасный
Функция NtCreateTimer (59) перехвачена (8323F145->8F46342A), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtDebugActiveProcess (60) перехвачена (832F5150->8F457CA0), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtDeleteBootEntry (64) перехвачена (83348457->8F45643A), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtDuplicateObject (6F) перехвачена (832C10C2->8F51424C), перехватчик C:\Windows\system32\drivers\aswSP.sys, драйвер опознан как безопасный
Функция NtFreeVirtualMemory (83) перехвачена (830F8821->8F513ACC), перехватчик C:\Windows\system32\drivers\aswSP.sys, драйвер опознан как безопасный
Функция NtLoadDriver (9B) перехвачена (831E6279->8F510C5C), перехватчик C:\Windows\system32\drivers\aswSP.sys, драйвер опознан как безопасный
Функция NtMapViewOfSection (A8) перехвачена (832C3ED7->8F513EAE), перехватчик C:\Windows\system32\drivers\aswSP.sys, драйвер опознан как безопасный
Функция NtModifyBootEntry (A9) перехвачена (83348628->8F4564A0), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtNotifyChangeKey (AC) перехвачена (8323ECE5->8F45B228), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtNotifyChangeMultipleKeys (AD) перехвачена (8323E08F->8F4587E4), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtOpenEvent (B1) перехвачена (832C6567->8F4632B4), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtOpenEventPair (B2) перехвачена (8334E235->8F4632F8), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtOpenIoCompletion (B4) перехвачена (832FE2FD->8F463494), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtOpenKey (B6) перехвачена (83287704->83045FF1), перехватчик C:\Windows\system32\ntkrnlpa.exe, драйвер опознан как безопасный
Функция NtOpenMutant (BB) перехвачена (832616E1->8F46321E), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtOpenProcess (BE) перехвачена (832C6531->8F45A72A), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtOpenSection (C2) перехвачена (832C41BA->8F4633A8), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtOpenSemaphore (C3) перехвачена (832293CA->8F463268), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtOpenThread (C6) перехвачена (832C4E88->8F45AB16), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtOpenTimer (C9) перехвачена (8334DEDB->8F46344E), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtProtectVirtualMemory (D7) перехвачена (832C4C41->8F513C4C), перехватчик C:\Windows\system32\drivers\aswSP.sys, драйвер опознан как безопасный
Функция NtQueryObject (F8) перехвачена (83251CB1->8F4585FC), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtQueueApcThreadEx (10E) перехвачена (83231B15->8F45830A), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtSetBootEntryOrder (13A) перехвачена (83348D39->8F456506), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtSetBootOptions (13B) перехвачена (83349225->8F45656C), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtSetContextThread (13C) перехвачена (83320D13->8F513FAA), перехватчик C:\Windows\system32\drivers\aswSP.sys, драйвер опознан как безопасный
Функция NtSetSystemInformation (15E) перехвачена (832CFDF5->8F4560C0), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtSetSystemPowerState (15F) перехвачена (83366355->8F456292), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtShutdownSystem (168) перехвачена (8334664B->8F456220), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtSuspendProcess (16E) перехвачена (833218B3->8F457E6A), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtSuspendThread (16F) перехвачена (832DE650->8F457FCC), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtSystemDebugControl (170) перехвачена (8324E2FC->8F45631A), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtTerminateProcess (172) перехвачена (832A6B3D->8F513D1A), перехватчик C:\Windows\system32\drivers\aswSP.sys, драйвер опознан как безопасный
Функция NtTerminateThread (173) перехвачена (832B98E4->8F457AFA), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtUnloadDriver (17B) перехвачена (83300827->8F510C8C), перехватчик C:\Windows\system32\drivers\aswSP.sys, драйвер опознан как безопасный
Функция NtVdmControl (182) перехвачена (8333BA8F->8F4565D2), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtWriteVirtualMemory (18F) перехвачена (832CC5B5->8F513B7E), перехватчик C:\Windows\system32\drivers\aswSP.sys, драйвер опознан как безопасный
Проверено функций: 401, перехвачено: 49, восстановлено: 0
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Анализ для процессора 2
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
 Драйвер успешно загружен
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 57
 Количество загруженных модулей: 612
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Обнаружен вызов интерпретатора командной строки в автозапуске [DR=1] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\HotKeysCmds = [C:\Windows\system32\hkcmd.exe]
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
>> Проводник - включить отображение расширений для файлов известных системе типов
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 669, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 14.04.2016 13:39:50
Сканирование длилось 00:00:52
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ 
можно использовать сервис http://virusdetector.ru/
Выполняется исследование системы
Диагностика сети
 DNS and Ping test
  Host="yandex.ru", IP="77.88.55.66,5.255.255.5,5.255.255.55,77.88.55.55", Ping=OK (0,572,77.88.55.66)
  Host="google.ru", IP="173.194.32.159,173.194.32.152,173.194.32.143,173.194.32.151", Ping=OK (0,856,173.194.32.159)
  Host="google.com", IP="173.194.32.132,173.194.32.135,173.194.32.133,173.194.32.131,173.194.32.129,173.194.32.130,173.194.32.128,173.194.32.134,173.194.32.142,173.194.32.137,173.194.32.136", Ping=OK (0,576,173.194.32.132)
  Host="www.kaspersky.com", IP="93.159.228.16", Ping=OK (0,958,93.159.228.16)
  Host="www.kaspersky.ru", IP="93.159.228.17", Ping=OK (0,629,93.159.228.17)
  Host="dnl-03.geo.kaspersky.com", IP="95.167.139.6", Ping=OK (0,981,95.167.139.6)
  Host="dnl-11.geo.kaspersky.com", IP="62.128.100.81", Ping=OK (0,718,62.128.100.81)
  Host="activation-v2.kaspersky.com", IP="212.5.89.37", Ping=OK (0,1255,212.5.89.37)
  Host="odnoklassniki.ru", IP="5.61.23.5,217.20.155.58,217.20.156.159", Ping=OK (0,898,5.61.23.5)
  Host="vk.com", IP="87.240.131.118,87.240.131.119,87.240.131.120", Ping=Error (11010,0,0.0.0.0)
  Host="vkontakte.ru", IP="95.213.4.241,95.213.4.242,95.213.4.248", Ping=OK (0,501,95.213.4.241)
  Host="twitter.com", IP="199.16.156.102,199.16.156.70,199.16.156.198,199.16.156.6", Ping=Error (11010,0,0.0.0.0)
  Host="facebook.com", IP="31.13.76.68", Ping=Error (11010,0,0.0.0.0)
  Host="ru-ru.facebook.com", IP="31.13.72.8", Ping=Error (11010,0,0.0.0.0)
 Network IE settings
  IE setting AutoConfigURL=
  IE setting AutoConfigProxy=wininet.dll
  IE setting ProxyOverride=
  IE setting ProxyServer=
  IE setting Internet\ManualProxies=
 Network TCP/IP settings
 Network Persistent Routes

Исследование системы завершено
Команды скрипта
Добавить в скрипт команды:
Дополнительные операции:
Список файлов