Протокол исследования системы

AVZ 4.46 http://z-oleg.com/secur/avz/

Список процессов

Имя файлаPIDОписаниеCopyrightMD5Информация
d:\АРХИВ КОМП\Загрузки\autologger.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
5700Автоматический сборщик логовВсе права на AutoLogger принадлежат regist & Drongo © Copyright 2013 - 20155B39DD9FF347476135175269711BC4AF11745,08 кб, rsAh,создан: 14.04.2016 13:29:58,изменен: 13.04.2016 04:33:02,имя содержит национальные символы
Командная строка:
"D:\АРХИВ КОМП\Загрузки\AutoLogger.exe"
c:\program files\avast software\avast\avastsvc.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1544avast! ServiceCopyright (c) 2014 AVAST Software4956380A54B1C9E6BFDF3D80DACB9698143,16 кб, rsAh,создан: 14.08.2015 23:21:49,изменен: 14.08.2015 23:21:49
Командная строка:
"C:\Program Files\AVAST Software\Avast\AvastSvc.exe"
c:\program files\avast software\avast\avastui.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
4024avast! AntivirusCopyright (c) 2014 AVAST Software60E6FC4E478A1D65069A1C331603101C5968,08 кб, rsAh,создан: 09.11.2015 08:58:04,изменен: 09.11.2015 08:58:04
Командная строка:
"C:\Program Files\AVAST Software\Avast\avastui.exe" /nogui
c:\program files\mozilla firefox\firefox.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
5176Firefox©Firefox and Mozilla Developers; available under the MPL 2 license.D068DA81E1AB27DC330AF91BFFD36E6B382,95 кб, rsAh,создан: 12.04.2016 09:17:05,изменен: 12.04.2016 09:17:10
Командная строка:
"C:\Program Files\Mozilla Firefox\firefox.exe"
c:\users\СЕКР\appdata\roaming\sbislauncher\launcher.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
4064SbisPluginCopyright © Tensor Company Ltd. All rights reserved.A8CAF64AA679FAF62BA1702B4FE69871589,04 кб, rsAh,создан: 22.08.2014 19:32:16,изменен: 24.03.2016 19:46:54,имя содержит национальные символы
Командная строка:
"C:\Users\СЕКР\AppData\Roaming\SbisLauncher\Launcher.exe"
c:\program files\mcafee security scan\3.11.309\ssscheduler.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
2464McAfee Security Scanner SchedulerCopyright © 2013 McAfee, Inc.AE47C4AFF741811316837FBA2B9B6993275,26 кб, rsAh,создан: 11.03.2016 15:32:44,изменен: 11.03.2016 15:32:44
Командная строка:
"C:\Program Files\McAfee Security Scan\3.11.309\SSScheduler.exe"
Обнаружено:60, из них опознаны как безопасные 56
Имя модуляHandleОписаниеCopyrightAVZ0311Используется процессами
C:\Program Files\AVAST Software\Avast\defs\16041301\algo.dll
Скрипт: Kарантин, Удалить, Удалить через BC
1861943296  MD5=4F24E758BCC46527C950CFC00E361246
2819,50 кб, rsAh, создан: 14.04.2016 07:53:29, изменен: 14.04.2016 07:53:29
1544
C:\Program Files\AVAST Software\Avast\defs\16041301\aswCleanerDLL.dll
Скрипт: Kарантин, Удалить, Удалить через BC
1868496896Virus/Worm Cleaner Application for avast!Copyright (c) 2011 AVAST SoftwareMD5=1729A0BF42FB69B938A0459A2AFA2CA6
516,31 кб, rsAh, создан: 14.04.2016 07:53:29, изменен: 14.04.2016 07:53:29
1544
C:\Program Files\AVAST Software\Avast\defs\16041301\aswCmnBS.dll
Скрипт: Kарантин, Удалить, Удалить через BC
1871118336Common functionsCopyright (c) 2014 AVAST SoftwareMD5=B83DACF4E6FE75CC96455CC7E6F1A021
467,94 кб, rsAh, создан: 14.04.2016 07:53:29, изменен: 14.04.2016 07:53:29
1544, 4024
C:\Program Files\AVAST Software\Avast\defs\16041301\aswCmnOS.dll
Скрипт: Kарантин, Удалить, Удалить через BC
1871642624Antivirus HW dependent libraryCopyright (c) 2014 AVAST SoftwareMD5=D74B51F4DABCA3FB7E3E47889564282E
133,63 кб, rsAh, создан: 14.04.2016 07:53:29, изменен: 14.04.2016 07:53:29
1544, 4024
C:\Program Files\AVAST Software\Avast\defs\16041301\aswEngin.dll
Скрипт: Kарантин, Удалить, Удалить через BC
1873346560High level antivirus engineCopyright (c) 2014 AVAST SoftwareMD5=FF1A47501BD03D9D633D87BEB7BA1E5F
1368,45 кб, rsAh, создан: 14.04.2016 07:53:29, изменен: 14.04.2016 07:53:29
1544
C:\Program Files\AVAST Software\Avast\defs\16041301\aswScan.dll
Скрипт: Kарантин, Удалить, Удалить через BC
1870200832Low level antivirus engineCopyright (c) 2014 AVAST SoftwareMD5=D13200E90C325D0E401360C2792CE544
192,01 кб, rsAh, создан: 14.04.2016 07:53:30, изменен: 14.04.2016 07:53:30
1544
C:\Program Files\AVAST Software\Avast\defs\16041301\swhealthex2.dll
Скрипт: Kарантин, Удалить, Удалить через BC
1798569984Software Health extension libraryCopyright (c) 2014 AVAST SoftwareMD5=C97D299BA13992D72C3A04EF9A0A7F52
1312,13 кб, rsAh, создан: 14.04.2016 07:53:30, изменен: 14.04.2016 07:53:30
1544
C:\Program Files\Mozilla Firefox\browser\components\browsercomps.dll
Скрипт: Kарантин, Удалить, Удалить через BC
1745027072 License: MPL 2MD5=7426CF8F0F383FCA57D0E52B551440C6
49,45 кб, rsAh, создан: 12.04.2016 09:17:04, изменен: 12.04.2016 09:17:10
5176
C:\Program Files\Mozilla Firefox\freebl3.dll
Скрипт: Kарантин, Удалить, Удалить через BC
1563361280NSS freebl Library MD5=8606080CD976854874A60969CBE39513
322,45 кб, rsAh, создан: 12.04.2016 09:17:05, изменен: 12.04.2016 09:17:09
5176
C:\Program Files\Mozilla Firefox\icudt56.dll
Скрипт: Kарантин, Удалить, Удалить через BC
1566310400ICU Data DLL Copyright (C) 2015, International Business Machines Corporation and others. All Rights Reserved. MD5=D187636339B1ABDE662D344D97F81B82
10192,95 кб, rsAh, создан: 12.04.2016 09:17:05, изменен: 12.04.2016 09:17:09
5176
C:\Program Files\Mozilla Firefox\icuin56.dll
Скрипт: Kарантин, Удалить, Удалить через BC
1577779200ICU I18N DLL Copyright (C) 2015, International Business Machines Corporation and others. All Rights Reserved. MD5=EB1C3AE65781911E163A9428CD0EE48C
1366,95 кб, rsAh, создан: 12.04.2016 09:17:05, изменен: 12.04.2016 09:17:09
5176
C:\Program Files\Mozilla Firefox\icuuc56.dll
Скрипт: Kарантин, Удалить, Удалить через BC
1576796160ICU Common DLL Copyright (C) 2015, International Business Machines Corporation and others. All Rights Reserved. MD5=C7800A74626ADE3C9C10F7CC484F7978
913,95 кб, rsAh, создан: 12.04.2016 09:17:05, изменен: 12.04.2016 09:17:09
5176
C:\Program Files\Mozilla Firefox\lgpllibs.dll
Скрипт: Kарантин, Удалить, Удалить через BC
1619853312 License: MPL 2MD5=BD0D80910F99D33C94DBFD5E5032D152
57,45 кб, rsAh, создан: 12.04.2016 09:17:05, изменен: 12.04.2016 09:17:09
5176
C:\Program Files\Mozilla Firefox\mozglue.dll
Скрипт: Kарантин, Удалить, Удалить через BC
1624702976 License: MPL 2MD5=A84C8494644BA91994AA0311D578D61A
110,45 кб, rsAh, создан: 12.04.2016 09:17:05, изменен: 12.04.2016 09:17:09
5176
C:\Program Files\Mozilla Firefox\nss3.dll
Скрипт: Kарантин, Удалить, Удалить через BC
1620901888 License: MPL 2MD5=F029C4D586A343AA93D85A3B7E5C3F42
1666,45 кб, rsAh, создан: 12.04.2016 09:17:05, изменен: 12.04.2016 09:17:09
5176
C:\Program Files\Mozilla Firefox\nssckbi.dll
Скрипт: Kарантин, Удалить, Удалить через BC
1562902528NSS Builtin Trusted Root CAs MD5=896CCDF9C839080A57428891FD8FC7F6
405,95 кб, rsAh, создан: 12.04.2016 09:17:05, изменен: 12.04.2016 09:17:09
5176
C:\Program Files\Mozilla Firefox\nssdbm3.dll
Скрипт: Kарантин, Удалить, Удалить через BC
1563754496Legacy Database Driver MD5=EA6648941C3EE87DDC9127349BECDFA5
90,95 кб, rsAh, создан: 12.04.2016 09:17:05, изменен: 12.04.2016 09:17:09
5176
C:\Program Files\Mozilla Firefox\sandboxbroker.dll
Скрипт: Kарантин, Удалить, Удалить через BC
1620639744 License: MPL 2MD5=68C349BC99A6A9129304F6E501B5938F
204,45 кб, rsAh, создан: 12.04.2016 09:17:05, изменен: 12.04.2016 09:17:09
5176
C:\Program Files\Mozilla Firefox\softokn3.dll
Скрипт: Kарантин, Удалить, Удалить через BC
1563885568NSS PKCS #11 Library MD5=F735D81B8F33A2D791A96A18C78165C1
149,45 кб, rsAh, создан: 12.04.2016 09:17:05, изменен: 12.04.2016 09:17:08
5176
C:\Program Files\Mozilla Firefox\xul.dll
Скрипт: Kарантин, Удалить, Удалить через BC
30081024 License: MPL 2MD5=71DA283D4B6F13D2FFEF28DB44554928
39008,95 кб, rsAh, создан: 12.04.2016 09:17:05, изменен: 12.04.2016 09:17:08
5176
Обнаружено модулей:688, из них опознаны как безопасные 668

Модули пространства ядра

МодульБазовый адресРазмер в памятиОписаниеПроизводитель
C:\Windows\System32\Drivers\dump_atapi.sys
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
89EC2000009000 (36864)
C:\Windows\System32\Drivers\dump_dumpata.sys
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
89EB700000B000 (45056)
C:\Windows\System32\Drivers\dump_dumpfve.sys
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
89ECB000011000 (69632)
Обнаружено модулей - 168, опознано как безопасные - 165

Службы

СлужбаОписаниеСтатусФайлГруппаЗависимости
AdobeFlashPlayerUpdateSvc
Служба: Стоп, Удалить, Отключить, Удалить через BC
Adobe Flash Player Update ServiceНе запущенC:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
263,19 кб, rsAh, создан: 05.11.2013 11:26:58, изменен: 08.04.2016 11:07:32
Скрипт: Kарантин, Удалить, Удалить через BC
  
McComponentHostService
Служба: Стоп, Удалить, Отключить, Удалить через BC
McAfee Security Scan Component Host ServiceНе запущенC:\Program Files\McAfee Security Scan\3.11.309\McCHSvc.exe
234,26 кб, rsAh, создан: 11.03.2016 15:32:32, изменен: 11.03.2016 15:32:32
Скрипт: Kарантин, Удалить, Удалить через BC
 RPCSS
MozillaMaintenance
Служба: Стоп, Удалить, Отключить, Удалить через BC
Mozilla Maintenance ServiceНе запущенC:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
143,45 кб, rsAh, создан: 19.09.2013 16:50:33, изменен: 12.04.2016 09:17:09
Скрипт: Kарантин, Удалить, Удалить через BC
  
Обнаружено - 158, опознано как безопасные - 155

Драйверы

СлужбаОписаниеСтатусФайлГруппаЗависимости
Обнаружено - 257, опознано как безопасные - 257

Автозапуск

Имя файлаСтатусМетод запускаОписание
D:\АРХИВ КОМП\Загрузки\AutoLogger\AVZ\Script2.txt
18,13 кб, rsAh, создан: 14.04.2016 13:32:54, изменен: 24.03.2016 17:05:32, имя содержит национальные символы
Скрипт: Kарантин, Удалить, Удалить через BC
АктивенКлюч реестраHKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\RunOnce, AVZ
Удалить
C:\Users\СЕКР\AppData\Roaming\SbisLauncher\Launcher.exe
589,04 кб, rsAh, создан: 22.08.2014 19:32:16, изменен: 24.03.2016 19:46:54, имя содержит национальные символы
Скрипт: Kарантин, Удалить, Удалить через BC
АктивенКлюч реестраHKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, Sbis Launcher
Удалить
C:\Windows\system32\psxss.exe
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
--Ключ реестраHKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix
progman.exe
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
АктивенКлюч реестраHKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, shell
Удалить
C:\Program Files\McAfee Security Scan\3.11.309\SSScheduler.exe
275,26 кб, rsAh, создан: 11.03.2016 15:32:44, изменен: 11.03.2016 15:32:44
Скрипт: Kарантин, Удалить, Удалить через BC
АктивенЯрлык в папке автозагрузкиC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\, C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk,
C:\CheckUFA\CheckUFA\Check.exe
2397,00 кб, rsAh, создан: 28.03.2016 10:11:30, изменен: 07.12.2015 14:08:58
Скрипт: Kарантин, Удалить, Удалить через BC
АктивенЯрлык в папке автозагрузкиC:\Users\СЕКР\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\СЕКР\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\CheckPfr.lnk,
Обнаружено элементов автозапуска - 716, опознано как безопасные - 710

Модули расширения Internet Explorer (BHO, панели ...)

Имя файлаТипОписаниеПроизводительCLSID

ошибка получения информации о файле
BHO{8984B388-A5BB-4DF7-B274-77B879E179DB}
Удалить
Обнаружено элементов - 5, опознано как безопасные - 4

Модули расширения проводника

Имя файлаНазначениеОписаниеПроизводительCLSID
Обнаружено элементов - 15, опознано как безопасные - 15

Модули расширения системы печати (мониторы печати, провайдеры)

Имя файлаТипНаименованиеОписаниеПроизводитель
Обнаружено элементов - 10, опознано как безопасные - 10

Задания планировщика задач Task Scheduler

Имя файлаИмя заданияСостояние заданияОписаниеПроизводительПутьКомандная строкаТип
C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
263,19 кб, rsAh, создан: 05.11.2013 11:26:58, изменен: 08.04.2016 11:07:32
Скрипт: Kарантин, Удалить, Удалить через BC
Adobe Flash Player Updater.job
Скрипт: Удалить
The task is ready to run at its next scheduled time.Adobe® Flash® Player Update Service 21.0 r0Copyright © 1996-2016 Adobe Systems IncorporatedC:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe 32
C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
263,19 кб, rsAh, создан: 05.11.2013 11:26:58, изменен: 08.04.2016 11:07:32
Скрипт: Kарантин, Удалить, Удалить через BC
Adobe Flash Player Updater
Скрипт: Удалить
The task is ready to run at its next scheduled time.Adobe® Flash® Player Update Service 21.0 r0Copyright © 1996-2016 Adobe Systems IncorporatedC:\Windows\system32\Tasks\ C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe 32
aitagent
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
AitAgent
Скрипт: Удалить
The task is ready to run at its next scheduled time.C:\Windows\system32\Tasks\Microsoft\Windows\Application Experience\ aitagent 32
C:\Windows\ehome\mcupdate
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
mcupdate
Скрипт: Удалить
The task is ready to run at its next scheduled time.C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\ %SystemRoot%\ehome\mcupdate $(Arg0)32
C:\Windows\ehome\ehrec
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
RecordingRestart
Скрипт: Удалить
The task is ready to run at its next scheduled time.C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\ %SystemRoot%\ehome\ehrec /RestartRecording32
C:\Windows\ehome\ehrec
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
StartRecording
Скрипт: Удалить
The task is ready to run at its next scheduled time.C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\ %SystemRoot%\ehome\ehrec /StartRecording32
C:\Program Files\AVAST Software\Avast\Setup\setiface.dll
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
{DBEEE6EC-2996-414E-B5A8-1AD4DB91E38A}
Скрипт: Удалить
The task is ready to run at its next scheduled time.C:\Windows\system32\Tasks\ C:\Windows\system32\pcalua.exe -a "C:\Program Files\AVAST Software\Avast\aswRunDll.exe" -c "C:\Program Files\AVAST Software\Avast\Setup\setiface.dll" RunSetup32
Обнаружено элементов - 65, опознано как безопасные - 58

Настройки SPI/LSP

Поставщики пространства имен (NSP)
ПоставщикСтатусИсп. файлОписаниеGUID
Обнаружено - 6, опознано как безопасные - 6
Поставщики транспортных протоколов (TSP, LSP)
ПоставщикИсп. файлОписание
Обнаружено - 266, опознано как безопасные - 266
Результаты автоматического анализа настроек SPI
Настройки LSP проверены. Ошибок не обнаружено

Порты TCP/UDP

ПортСтатусRemote HostRemote PortПриложениеПримечания
Порты TCP
445LISTENING0.0.0.00System.exe [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
 
843LISTENING0.0.0.00c:\users\СЕКР\appdata\roaming\sbislauncher\launcher.exe [4064]
589,04 кб, rsAh, создан: 22.08.2014 19:32:16, изменен: 24.03.2016 19:46:54, имя содержит национальные символы
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
 
8181LISTENING0.0.0.00c:\users\СЕКР\appdata\roaming\sbislauncher\launcher.exe [4064]
589,04 кб, rsAh, создан: 22.08.2014 19:32:16, изменен: 24.03.2016 19:46:54, имя содержит национальные символы
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
 
49175ESTABLISHED91.213.144.176443c:\users\СЕКР\appdata\roaming\sbislauncher\launcher.exe [4064]
589,04 кб, rsAh, создан: 22.08.2014 19:32:16, изменен: 24.03.2016 19:46:54, имя содержит национальные символы
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
 
49181ESTABLISHED127.0.0.149182c:\program files\mozilla firefox\firefox.exe [5176]
382,95 кб, rsAh, создан: 12.04.2016 09:17:05, изменен: 12.04.2016 09:17:10
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
 
49182ESTABLISHED127.0.0.149181c:\program files\mozilla firefox\firefox.exe [5176]
382,95 кб, rsAh, создан: 12.04.2016 09:17:05, изменен: 12.04.2016 09:17:10
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
 
50280ESTABLISHED217.69.133.14580c:\program files\mozilla firefox\firefox.exe [5176]
382,95 кб, rsAh, создан: 12.04.2016 09:17:05, изменен: 12.04.2016 09:17:10
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
 
50341TIME_WAIT89.108.118.14980  [0]
ошибка получения информации о файле
 
50342TIME_WAIT89.108.118.14980  [0]
ошибка получения информации о файле
 
50359TIME_WAIT128.140.171.23443  [0]
ошибка получения информации о файле
 
50363TIME_WAIT23.43.139.2780  [0]
ошибка получения информации о файле
 
50364TIME_WAIT23.43.139.2780  [0]
ошибка получения информации о файле
 
50365TIME_WAIT178.255.83.180  [0]
ошибка получения информации о файле
 
50366TIME_WAIT23.43.139.2780  [0]
ошибка получения информации о файле
 
50367TIME_WAIT23.43.139.2780  [0]
ошибка получения информации о файле
 
50369ESTABLISHED217.69.141.138443c:\program files\mozilla firefox\firefox.exe [5176]
382,95 кб, rsAh, создан: 12.04.2016 09:17:05, изменен: 12.04.2016 09:17:10
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
 
50370TIME_WAIT217.69.141.138443  [0]
ошибка получения информации о файле
 
50371ESTABLISHED94.100.180.216443c:\program files\mozilla firefox\firefox.exe [5176]
382,95 кб, rsAh, создан: 12.04.2016 09:17:05, изменен: 12.04.2016 09:17:10
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
 
50372TIME_WAIT94.100.180.216443  [0]
ошибка получения информации о файле
 
50375TIME_WAIT23.43.139.2780  [0]
ошибка получения информации о файле
 
50376TIME_WAIT23.43.139.2780  [0]
ошибка получения информации о файле
 
50378TIME_WAIT23.43.139.2780  [0]
ошибка получения информации о файле
 
50380TIME_WAIT23.43.139.2780  [0]
ошибка получения информации о файле
 
50381ESTABLISHED94.100.181.74443c:\program files\mozilla firefox\firefox.exe [5176]
382,95 кб, rsAh, создан: 12.04.2016 09:17:05, изменен: 12.04.2016 09:17:10
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
 
50382TIME_WAIT94.100.181.74443  [0]
ошибка получения информации о файле
 
50383TIME_WAIT94.100.181.74443  [0]
ошибка получения информации о файле
 
50384TIME_WAIT94.100.181.74443  [0]
ошибка получения информации о файле
 
Порты UDP

Downloaded Program Files (DPF)

Имя файлаОписаниеПроизводительCLSIDURL загрузки
Обнаружено элементов - 1, опознано как безопасные - 1

Апплеты панели управления (CPL)

Имя файлаОписаниеПроизводитель
C:\Windows\system32\FlashPlayerCPLApp.cpl
139,19 кб, rsAh, создан: 05.11.2013 11:26:57, изменен: 08.04.2016 11:07:31
Скрипт: Kарантин, Удалить, Удалить через BC
Adobe Flash Player Control Panel AppletCopyright © 1996-2016 Adobe Systems Incorporated. All Rights Reserved. Adobe and Flash are either trademarks or registered trademarks in the United States and/or other countries.
Обнаружено элементов - 26, опознано как безопасные - 25

Active Setup

Имя файлаОписаниеПроизводительCLSID
Обнаружено элементов - 9, опознано как безопасные - 9

Файл HOSTS

Запись файла Hosts
0.0.0.1	mssplus.mcafee.com
Очистка файла Hosts

Протоколы и обработчики

Имя файлаТипОписаниеПроизводительCLSID
Обнаружено элементов - 19, опознано как безопасные - 19

Общие ресурсы

Сетевое имяПутьПримечания
ADMIN$C:\WindowsУдаленный Admin
C$C:\Стандартный общий ресурс
D$D:\Стандартный общий ресурс
F$F:\Стандартный общий ресурс
IPC$Удаленный IPC
Kyocera FS-1035MFP KXKyocera FS-1035MFP KX,LocalsplOnlyKyocera FS-1035MFP KX
Kyocera TASKalfa 300ciKyocera TASKalfa 300ci,LocalsplOnlyKyocera TASKalfa 300ci
print$C:\Windows\system32\spool\driversДрайверы принтеров
АРХИВF:\АРХИВ

Подозрительные объекты

ФайлОписаниеТип
C:\Windows\system32\drivers\aswSnx.sys
776,32 кб, rsAh, создан: 23.07.2013 12:18:49, изменен: 09.11.2015 08:58:04
Скрипт: Kарантин, Удалить, Удалить через BC
Подозрение на RootKitПерехватчик KernelMode
C:\Windows\system32\drivers\aswSP.sys
425,26 кб, rsAh, создан: 23.07.2013 12:18:51, изменен: 09.11.2015 08:58:04
Скрипт: Kарантин, Удалить, Удалить через BC
Подозрение на RootKitПерехватчик KernelMode
C:\Windows\system32\ntkrnlpa.exe
3862,08 кб, rsAh, создан: 14.07.2009 03:15:58, изменен: 14.07.2009 05:20:44
Скрипт: Kарантин, Удалить, Удалить через BC
Подозрение на RootKitПерехватчик KernelMode


Протокол антивирусной утилиты AVZ версии 4.46
Сканирование запущено в 14.04.2016 13:33:57
Загружена база: сигнатуры - 297569, нейропрофили - 2, микропрограммы лечения - 56, база от 13.04.2016 04:00
Загружены микропрограммы эвристики: 412
Загружены микропрограммы ИПУ: 10
Загружены цифровые подписи системных файлов: 794873
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 6.1.7600,  "Windows 7 Ultimate", дата инсталляции 23.07.2013 10:44:47 ; AVZ работает с правами администратора (+)
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
Функция wininet.dll:InternetAlgIdToStringA (214) перехвачена, метод APICodeHijack.JmpTo[61671068]
Функция wininet.dll:InternetAlgIdToStringW (215) перехвачена, метод APICodeHijack.JmpTo[61671170]
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=1689C0)
 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 8301F000
   SDT = 831879C0
   KiST = 8308E6F0 (401)
Функция NtAddBootEntry (09) перехвачена (83322426->8EA4D3D4), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtAllocateVirtualMemory (13) перехвачена (8326AE0F->8EB0A9F4), перехватчик C:\Windows\system32\drivers\aswSP.sys, драйвер опознан как безопасный
Функция NtAssignProcessToJobObject (2B) перехвачена (8321670E->8EA4DEB2), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtCreateEvent (40) перехвачена (832805D9->8EA5A28A), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtCreateEventPair (41) перехвачена (83328134->8EA5A2D6), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtCreateIoCompletion (43) перехвачена (83283195->8EA5A470), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtCreateKey (46) перехвачена (8322D9FF->8301FFEC), перехватчик C:\Windows\system32\ntkrnlpa.exe, драйвер опознан как безопасный
Функция NtCreateMutant (4A) перехвачена (8329DC15->8EA5A1F8), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtCreateSection (54) перехвачена (8324FCE3->8EB0ADCE), перехватчик C:\Windows\system32\drivers\aswSP.sys, драйвер опознан как безопасный
Функция NtCreateSemaphore (55) перехвачена (832A0009->8EA5A240), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtCreateThread (57) перехвачена (832F9C0E->8EB0B05E), перехватчик C:\Windows\system32\drivers\aswSP.sys, драйвер опознан как безопасный
Функция NtCreateThreadEx (58) перехвачена (83257D51->8EB0B148), перехватчик C:\Windows\system32\drivers\aswSP.sys, драйвер опознан как безопасный
Функция NtCreateTimer (59) перехвачена (83219145->8EA5A42A), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtDebugActiveProcess (60) перехвачена (832CF150->8EA4ECA0), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtDeleteBootEntry (64) перехвачена (83322457->8EA4D43A), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtDuplicateObject (6F) перехвачена (8329B0C2->8EB0B24C), перехватчик C:\Windows\system32\drivers\aswSP.sys, драйвер опознан как безопасный
Функция NtFreeVirtualMemory (83) перехвачена (830D2821->8EB0AACC), перехватчик C:\Windows\system32\drivers\aswSP.sys, драйвер опознан как безопасный
Функция NtLoadDriver (9B) перехвачена (831C0279->8EB07C5C), перехватчик C:\Windows\system32\drivers\aswSP.sys, драйвер опознан как безопасный
Функция NtMapViewOfSection (A8) перехвачена (8329DED7->8EB0AEAE), перехватчик C:\Windows\system32\drivers\aswSP.sys, драйвер опознан как безопасный
Функция NtModifyBootEntry (A9) перехвачена (83322628->8EA4D4A0), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtNotifyChangeKey (AC) перехвачена (83218CE5->8EA52228), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtNotifyChangeMultipleKeys (AD) перехвачена (8321808F->8EA4F7E4), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtOpenEvent (B1) перехвачена (832A0567->8EA5A2B4), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtOpenEventPair (B2) перехвачена (83328235->8EA5A2F8), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtOpenIoCompletion (B4) перехвачена (832D82FD->8EA5A494), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtOpenKey (B6) перехвачена (83261704->8301FFF1), перехватчик C:\Windows\system32\ntkrnlpa.exe, драйвер опознан как безопасный
Функция NtOpenMutant (BB) перехвачена (8323B6E1->8EA5A21E), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtOpenProcess (BE) перехвачена (832A0531->8EA5172A), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtOpenSection (C2) перехвачена (8329E1BA->8EA5A3A8), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtOpenSemaphore (C3) перехвачена (832033CA->8EA5A268), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtOpenThread (C6) перехвачена (8329EE88->8EA51B16), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtOpenTimer (C9) перехвачена (83327EDB->8EA5A44E), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtProtectVirtualMemory (D7) перехвачена (8329EC41->8EB0AC4C), перехватчик C:\Windows\system32\drivers\aswSP.sys, драйвер опознан как безопасный
Функция NtQueryObject (F8) перехвачена (8322BCB1->8EA4F5FC), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtQueueApcThreadEx (10E) перехвачена (8320BB15->8EA4F30A), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtSetBootEntryOrder (13A) перехвачена (83322D39->8EA4D506), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtSetBootOptions (13B) перехвачена (83323225->8EA4D56C), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtSetContextThread (13C) перехвачена (832FAD13->8EB0AFAA), перехватчик C:\Windows\system32\drivers\aswSP.sys, драйвер опознан как безопасный
Функция NtSetSystemInformation (15E) перехвачена (832A9DF5->8EA4D0C0), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtSetSystemPowerState (15F) перехвачена (83340355->8EA4D292), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtShutdownSystem (168) перехвачена (8332064B->8EA4D220), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtSuspendProcess (16E) перехвачена (832FB8B3->8EA4EE6A), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtSuspendThread (16F) перехвачена (832B8650->8EA4EFCC), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtSystemDebugControl (170) перехвачена (832282FC->8EA4D31A), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtTerminateProcess (172) перехвачена (83280B3D->8EB0AD1A), перехватчик C:\Windows\system32\drivers\aswSP.sys, драйвер опознан как безопасный
Функция NtTerminateThread (173) перехвачена (832938E4->8EA4EAFA), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtUnloadDriver (17B) перехвачена (832DA827->8EB07C8C), перехватчик C:\Windows\system32\drivers\aswSP.sys, драйвер опознан как безопасный
Функция NtVdmControl (182) перехвачена (83315A8F->8EA4D5D2), перехватчик C:\Windows\system32\drivers\aswSnx.sys, драйвер опознан как безопасный
Функция NtWriteVirtualMemory (18F) перехвачена (832A65B5->8EB0AB7E), перехватчик C:\Windows\system32\drivers\aswSP.sys, драйвер опознан как безопасный
Проверено функций: 401, перехвачено: 49, восстановлено: 0
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Анализ для процессора 2
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
 Драйвер успешно загружен
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 56
 Количество загруженных модулей: 680
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Обнаружен вызов интерпретатора командной строки в автозапуске [DR=1] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\HotKeysCmds = [C:\Windows\system32\hkcmd.exe]
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
>> Проводник - включить отображение расширений для файлов известных системе типов
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 736, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 14.04.2016 13:34:50
Сканирование длилось 00:00:54
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ 
можно использовать сервис http://virusdetector.ru/
Создание архива с файлами из карантина
Создание архива с файлами из карантина завершено
Выполняется исследование системы
Диагностика сети
 DNS and Ping test
  Host="yandex.ru", IP="77.88.55.55,5.255.255.5,77.88.55.66,5.255.255.55", Ping=OK (0,959,77.88.55.55)
  Host="google.ru", IP="173.194.122.215,173.194.122.223,173.194.122.216,173.194.122.207", Ping=OK (0,978,173.194.122.215)
  Host="google.com", IP="173.194.32.168,173.194.32.165,173.194.32.166,173.194.32.161,173.194.32.167,173.194.32.164,173.194.32.163,173.194.32.169,173.194.32.162,173.194.32.174,173.194.32.160", Ping=OK (0,570,173.194.32.168)
  Host="www.kaspersky.com", IP="93.159.228.16", Ping=OK (0,1123,93.159.228.16)
  Host="www.kaspersky.ru", IP="77.74.178.20", Ping=OK (0,496,77.74.178.20)
  Host="dnl-03.geo.kaspersky.com", IP="95.167.139.6", Ping=OK (0,915,95.167.139.6)
  Host="dnl-11.geo.kaspersky.com", IP="62.128.100.81", Ping=OK (0,898,62.128.100.81)
  Host="activation-v2.kaspersky.com", IP="212.5.89.37", Ping=OK (0,1002,212.5.89.37)
  Host="odnoklassniki.ru", IP="5.61.23.5,217.20.155.58,217.20.156.159", Ping=OK (0,921,5.61.23.5)
  Host="vk.com", IP="87.240.131.120,87.240.143.241,87.240.131.119", Ping=OK (0,921,87.240.131.120)
  Host="vkontakte.ru", IP="95.213.4.248,95.213.4.246,95.213.4.247", Ping=OK (0,1659,95.213.4.248)
  Host="twitter.com", IP="199.16.156.230,199.16.156.70,199.16.156.6,199.16.156.102", Ping=OK (0,731,199.16.156.230)
  Host="facebook.com", IP="31.13.76.68", Ping=OK (0,1156,31.13.76.68)
  Host="ru-ru.facebook.com", IP="31.13.72.8", Ping=OK (0,1401,31.13.72.8)
 Network IE settings
  IE setting AutoConfigURL=
  IE setting AutoConfigProxy=wininet.dll
  IE setting ProxyOverride=
  IE setting ProxyServer=
  IE setting Internet\ManualProxies=
 Network TCP/IP settings
 Network Persistent Routes

Исследование системы завершено
Команды скрипта
Добавить в скрипт команды:
Дополнительные операции:
Список файлов