AVZ 4.46 http://z-oleg.com/secur/avz/
| Имя файла | PID | Описание | Copyright | MD5 | Информация
| c:\users\Николай\downloads\autologger\autologger.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2200 | Автоматический сборщик логов | Все права на AutoLogger принадлежат regist & Drongo © Copyright 2013 - 2015 | 89272256F2972616080A5BC0F4F72C41 | 12909.69 кб, rsah,создан: 22.02.2017 17:40:18,изменен: 22.02.2017 04:33:04,имя содержит национальные символы | Командная строка: "C:\Users\Николай\Downloads\AutoLogger\AutoLogger.exe" c:\program files\yandex\yandexbrowser\17.1.1.1004\service_update.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 468 | Yandex | Copyright © 2012-2016 YANDEX LLC. All Rights Reserved. | B977D0864F523F0056DC61599E4346C0 | 610.99 кб, rsAh,создан: 15.02.2017 22:52:44,изменен: 04.02.2017 15:30:43 | Командная строка: "C:\Program Files\Yandex\YandexBrowser\17.1.1.1004\service_update.exe" --run-as-service Обнаружено:48, из них опознаны как безопасные 46
| | |||||
| Имя модуля | Handle | Описание | Copyright | AVZ0311 | Используется процессами
| Обнаружено модулей:595, из них опознаны как безопасные 595
| | |||||
| Модуль | Базовый адрес | Размер в памяти | Описание | Производитель
| C:\Windows\System32\Drivers\dump_atapi.sys | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC 96532000 | 009000 (36864) |
| C:\Windows\System32\Drivers\dump_dumpata.sys | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC 96527000 | 00B000 (45056) |
| C:\Windows\System32\Drivers\dump_dumpfve.sys | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC 9653B000 | 011000 (69632) |
| Обнаружено модулей - 210, опознано как безопасные - 207
| | |||||||
| Служба | Описание | Статус | Файл | Группа | Зависимости
| YandexBrowserService | Служба: Стоп, Удалить, Отключить, Удалить через BC Yandex.Browser Update Service | Работает | C:\Program Files\Yandex\YandexBrowser\17.1.1.1004\service_update.exe | 610.99 кб, rsAh, создан: 15.02.2017 22:52:44, изменен: 04.02.2017 15:30:43 Скрипт: Kарантин, Удалить, Удалить через BC |
| BstHdAndroidSvc | Служба: Стоп, Удалить, Отключить, Удалить через BC BlueStacks Android Service | Не запущен | C:\Program Files\Bluestacks\HD-Service.exe | 435.52 кб, rsAh, создан: 11.11.2016 18:53:17, изменен: 21.10.2016 13:18:14 Скрипт: Kарантин, Удалить, Удалить через BC | BstHdDrv
| BstHdPlusAndroidSvc | Служба: Стоп, Удалить, Отключить, Удалить через BC BlueStacks Plus Android Service | Не запущен | C:\Program Files\Bluestacks\HD-Plus-Service.exe | 455.52 кб, rsAh, создан: 11.11.2016 18:53:17, изменен: 21.10.2016 13:16:57 Скрипт: Kарантин, Удалить, Удалить через BC | BstkDrv
| MozillaMaintenance | Служба: Стоп, Удалить, Отключить, Удалить через BC Mozilla Maintenance Service | Не запущен | C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe | 168.45 кб, rsAh, создан: 31.12.2015 19:59:20, изменен: 29.01.2017 00:27:24 Скрипт: Kарантин, Удалить, Удалить через BC |
| Обнаружено - 162, опознано как безопасные - 158
| | ||||||
| Служба | Описание | Статус | Файл | Группа | Зависимости
| BstHdDrv | Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC BlueStacks Hypervisor | Не запущен | C:\Program Files\Bluestacks\HD-Hypervisor-x86.sys | 136.09 кб, rsAh, создан: 11.11.2016 18:53:28, изменен: 21.10.2016 13:18:42 Скрипт: Kарантин, Удалить, Удалить через BC |
| BstkDrv | Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC BlueStacks Plus Hypervisor | Не запущен | C:\Program Files\Bluestacks\BstkDrv.sys | 215.05 кб, rsAh, создан: 11.11.2016 18:53:28, изменен: 07.10.2016 17:11:29 Скрипт: Kарантин, Удалить, Удалить через BC |
| VGPU | Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC VGPU | Не запущен | C:\Windows\system32\drivers\rdvgkmd.sys | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC |
| Обнаружено - 269, опознано как безопасные - 266
| | ||||||
| Имя файла | Статус | Метод запуска | Описание
| C:\Users\Николай\Downloads\AutoLogger\AutoLogger\AVZ\Script2.txt | 19.50 кб, rsAh, создан: 22.02.2017 18:11:05, изменен: 14.02.2017 11:36:15, имя содержит национальные символы Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\RunOnce, AVZ | Удалить C:\Windows\system32\psxss.exe | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix
| progman.exe | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, shell | Удалить C:\Windows\System32\MsSpellCheckingFacility.dll | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Microsoft-Windows-Spell-Checking, EventMessageFile
| C:\Windows\System32\MsSpellCheckingFacility.dll | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Microsoft-Windows-SpellChecker, EventMessageFile
| E:\4e039778082d9e923047c2dc5ef3f6\DW\DW20.exe | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\VSSetup, EventMessageFile
| c:\users\николай\appdata\local\temp\1F77DABC-3C707648-8B86C278-A547A8BC\4Q5YJbtWgkMC.exe | ошибка получения информации о файле, имя содержит национальные символы Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Doctor Web\Dr.Web Engine, EventMessageFile
| C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 16.0.1\bl.ppl | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Kaspersky Event Log\kis, EventMessageFile
| C:\Windows\System32\MsSpellCheckingFacility.dll | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\Microsoft-Windows-Spell-Checking, EventMessageFile
| C:\Windows\System32\MsSpellCheckingFacility.dll | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\Microsoft-Windows-SpellChecker, EventMessageFile
| C:\Users\Николай\AppData\Roaming\Mail.Ru\Agent\magent.exe | ошибка получения информации о файле, имя содержит национальные символы Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ярлык в папке автозагрузки | C:\Users\Николай\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Николай\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru Агент.lnk,
| C:\Users\Николай\AppData\Local\Yandex\YandexBrowser\Application\browser.exe | 2224.99 кб, rsAh, создан: 06.12.2015 19:24:06, изменен: 04.02.2017 15:30:36, имя содержит национальные символы Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ярлык в папке автозагрузки | C:\Users\Николай\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Николай\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk,
| C:\Users\Николай\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk | 0.00 кб, RsAH, создан: 09.01.2017 20:50:49, изменен: 09.01.2017 21:40:00, имя содержит национальные символы Скрипт: Kарантин, Удалить, Удалить через BC Активен | Файл в папке автозагрузки | C:\Users\Николай\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Николай\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk,
| Обнаружено элементов автозапуска - 704, опознано как безопасные - 691
| | ||||||
| Имя файла | Тип | Описание | Производитель | CLSID
| Обнаружено элементов - 5, опознано как безопасные - 5
| | ||||||
| Имя файла | Назначение | Описание | Производитель | CLSID
ошибка получения информации о файле WebCheck | {E6FB5E20-DE35-11CF-9C87-00AA005127ED} | Удалить Обнаружено элементов - 11, опознано как безопасные - 10
| | |||||||||
| Имя файла | Тип | Наименование | Описание | Производитель
| Обнаружено элементов - 7, опознано как безопасные - 7
| | ||||||
| Имя файла | Имя задания | Состояние задания | Описание | Производитель | Путь | Командная строка | Тип
| C:\Users\Николай\AppData\Local\Yandex\YandexBrowser\Application\browser.exe | 2224.99 кб, rsAh, создан: 06.12.2015 19:24:06, изменен: 04.02.2017 15:30:36, имя содержит национальные символы Скрипт: Kарантин, Удалить, Удалить через BC Обновление Браузера Яндекс.job | Скрипт: Удалить The task is ready to run at its next scheduled time. | Yandex | Copyright © 2012-2016 YANDEX LLC. All Rights Reserved. | C:\Users\Николай\AppData\Local\Yandex\YandexBrowser\Application\browser.exe --background-update | 32
| C:\Program Files\Yandex\YandexBrowser\17.1.1.1004\service_update.exe | 610.99 кб, rsAh, создан: 15.02.2017 22:52:44, изменен: 04.02.2017 15:30:43 Скрипт: Kарантин, Удалить, Удалить через BC Системное обновление Браузера Яндекс.job | Скрипт: Удалить The task is ready to run at its next scheduled time. | Yandex | Copyright © 2012-2016 YANDEX LLC. All Rights Reserved. | C:\Program Files\Yandex\YandexBrowser\17.1.1.1004\service_update.exe --run-as-launcher | 32
| aitagent | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC AitAgent | Скрипт: Удалить The task is ready to run at its next scheduled time. | C:\Windows\system32\Tasks\Microsoft\Windows\Application Experience\ | aitagent | 32
| C:\Windows\ehome\mcupdate | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC mcupdate | Скрипт: Удалить The task is ready to run at its next scheduled time. | C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\ | %SystemRoot%\ehome\mcupdate $(Arg0) | 32
| C:\Windows\ehome\mcupdate | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC mcupdate_scheduled | Скрипт: Удалить The task is ready to run at its next scheduled time. | C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\ | %SystemRoot%\ehome\mcupdate -crl -hms -pscn 15 | 32
| C:\Windows\ehome\ehrec | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC RecordingRestart | Скрипт: Удалить The task is ready to run at its next scheduled time. | C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\ | %SystemRoot%\ehome\ehrec /RestartRecording | 32
| C:\Windows\ehome\ehrec | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC StartRecording | Скрипт: Удалить The task is ready to run at its next scheduled time. | C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\ | %SystemRoot%\ehome\ehrec /StartRecording | 32
| C:\Users\Николай\AppData\Local\Yandex\YandexBrowser\Application\browser.exe | 2224.99 кб, rsAh, создан: 06.12.2015 19:24:06, изменен: 04.02.2017 15:30:36, имя содержит национальные символы Скрипт: Kарантин, Удалить, Удалить через BC Обновление Браузера Яндекс | Скрипт: Удалить The task is ready to run at its next scheduled time. | Yandex | Copyright © 2012-2016 YANDEX LLC. All Rights Reserved. | C:\Windows\system32\Tasks\ | C:\Users\Николай\AppData\Local\Yandex\YandexBrowser\Application\browser.exe --background-update | 32
| C:\Program Files\Yandex\YandexBrowser\17.1.1.1004\service_update.exe | 610.99 кб, rsAh, создан: 15.02.2017 22:52:44, изменен: 04.02.2017 15:30:43 Скрипт: Kарантин, Удалить, Удалить через BC Системное обновление Браузера Яндекс | Скрипт: Удалить The task is ready to run at its next scheduled time. | Yandex | Copyright © 2012-2016 YANDEX LLC. All Rights Reserved. | C:\Windows\system32\Tasks\ | C:\Program Files\Yandex\YandexBrowser\17.1.1.1004\service_update.exe --run-as-launcher | 32
| Обнаружено элементов - 69, опознано как безопасные - 60
| | ||||||||||||||||||
| Поставщик | Статус | Исп. файл | Описание | GUID
| Обнаружено - 6, опознано как безопасные - 6
| | ||||||
| Поставщик | Исп. файл | Описание
| Обнаружено - 18, опознано как безопасные - 18
| | ||||||
| Порт | Статус | Remote Host | Remote Port | Приложение | Примечания
| Порты TCP
| 139 | LISTENING | 0.0.0.0 | 0 | System.exe [4] | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
| 445 | LISTENING | 0.0.0.0 | 0 | System.exe [4] | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
| 5357 | LISTENING | 0.0.0.0 | 0 | System.exe [4] | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
| 51759 | TIME_WAIT | 213.180.193.119 | 443 | [0] | ошибка получения информации о файле
| 51761 | TIME_WAIT | 173.194.222.120 | 443 | [0] | ошибка получения информации о файле
| 51762 | TIME_WAIT | 127.0.0.1 | 49159 | [0] | ошибка получения информации о файле
| 51763 | TIME_WAIT | 127.0.0.1 | 49159 | [0] | ошибка получения информации о файле
| 51764 | TIME_WAIT | 127.0.0.1 | 49159 | [0] | ошибка получения информации о файле
| 51765 | TIME_WAIT | 127.0.0.1 | 49159 | [0] | ошибка получения информации о файле
| 51766 | TIME_WAIT | 127.0.0.1 | 49159 | [0] | ошибка получения информации о файле
| 51767 | TIME_WAIT | 127.0.0.1 | 49159 | [0] | ошибка получения информации о файле
| 51768 | TIME_WAIT | 127.0.0.1 | 49159 | [0] | ошибка получения информации о файле
| 51769 | TIME_WAIT | 127.0.0.1 | 49159 | [0] | ошибка получения информации о файле
| 51770 | TIME_WAIT | 127.0.0.1 | 49159 | [0] | ошибка получения информации о файле
| 51771 | TIME_WAIT | 127.0.0.1 | 49159 | [0] | ошибка получения информации о файле
| 51772 | TIME_WAIT | 173.194.222.101 | 80 | [0] | ошибка получения информации о файле
| 51773 | TIME_WAIT | 79.173.80.238 | 80 | [0] | ошибка получения информации о файле
| 51774 | TIME_WAIT | 64.233.164.132 | 443 | [0] | ошибка получения информации о файле
| 51775 | TIME_WAIT | 172.217.17.110 | 443 | [0] | ошибка получения информации о файле
| 51776 | TIME_WAIT | 173.194.73.113 | 443 | [0] | ошибка получения информации о файле
| 51777 | TIME_WAIT | 127.0.0.1 | 49159 | [0] | ошибка получения информации о файле
| 51778 | TIME_WAIT | 127.0.0.1 | 49159 | [0] | ошибка получения информации о файле
| 51779 | TIME_WAIT | 127.0.0.1 | 49159 | [0] | ошибка получения информации о файле
| 51780 | TIME_WAIT | 127.0.0.1 | 49159 | [0] | ошибка получения информации о файле
| 51781 | TIME_WAIT | 127.0.0.1 | 49159 | [0] | ошибка получения информации о файле
| 51782 | TIME_WAIT | 127.0.0.1 | 49159 | [0] | ошибка получения информации о файле
| 51783 | TIME_WAIT | 127.0.0.1 | 49159 | [0] | ошибка получения информации о файле
| 51784 | TIME_WAIT | 127.0.0.1 | 49159 | [0] | ошибка получения информации о файле
| 51785 | TIME_WAIT | 127.0.0.1 | 49159 | [0] | ошибка получения информации о файле
| 51786 | TIME_WAIT | 127.0.0.1 | 49159 | [0] | ошибка получения информации о файле
| Порты UDP
| 137 | LISTENING | -- | -- | System.exe [4] | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
| 138 | LISTENING | -- | -- | System.exe [4] | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
| | ||||||||||||
| Имя файла | Описание | Производитель | CLSID | URL загрузки
| Обнаружено элементов - 0, опознано как безопасные - 0
| | ||||||
| Имя файла | Описание | Производитель
| Обнаружено элементов - 21, опознано как безопасные - 21
| | ||||||
| Имя файла | Описание | Производитель | CLSID
| Обнаружено элементов - 10, опознано как безопасные - 10
| | ||||||
| Запись файла Hosts |
| Имя файла | Тип | Описание | Производитель | CLSID
| Обнаружено элементов - 13, опознано как безопасные - 13
| | ||||||
| Сетевое имя | Путь | Примечания
| ADMIN$ | C:\Windows | Удаленный Admin
| C$ | C:\ | Стандартный общий ресурс
| D$ | D:\ | Стандартный общий ресурс
| E$ | E:\ | Стандартный общий ресурс
| IPC$ | Удаленный IPC
| My Apps | E:\софт\Блю Стакс для Перископ\Bluestacks\UserData\Library\My Apps |
| Users | C:\Users |
| |
| Файл | Описание | Тип
| C:\Program Files\Google\Chrome\Application\chrome.exe | 923.34 кб, rsAh, создан: 07.01.2017 20:44:09, изменен: 01.02.2017 12:01:18 Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit | Подозрение на RootKit
| C:\Windows\system32\DRIVERS\klhk.sys | 117.84 кб, rsAh, создан: 20.06.2016 17:51:46, изменен: 31.01.2017 23:00:36 Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit | Перехватчик KernelMode
| |
Протокол антивирусной утилиты AVZ версии 4.46 Сканирование запущено в 22.02.2017 18:17:02 Загружена база: сигнатуры - 297569, нейропрофили - 2, микропрограммы лечения - 56, база от 22.02.2017 04:00 Загружены микропрограммы эвристики: 410 Загружены микропрограммы ИПУ: 10 Загружены цифровые подписи системных файлов: 858182 Режим эвристического анализатора: Средний уровень эвристики Режим лечения: выключено Версия Windows: 6.1.7601, Service Pack 1 "Windows 7 Ultimate", дата инсталляции 31.10.2015 20:01:34 ; AVZ работает с правами администратора (+) Восстановление системы: включено 1. Поиск RootKit и программ, перехватывающих функции API >> Опасно ! Обнаружена маскировка процессов >>>> Обнаружена маскировка процесса 2416 C:\Program Files\Google\Chrome\Application\chrome.exe 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=16DB00) Ядро ntkrnlpa.exe обнаружено в памяти по адресу 82A19000 SDT = 82B86B00 KiST = 82A9866C (401) Функция NtAdjustPrivilegesToken (0C) перехвачена (82CA42FD->899610B0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный Функция NtAlpcConnectPort (16) перехвачена (82C9490D->89961020), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный Функция NtAlpcSendWaitReceivePort (27) перехвачена (82C7118C->89961030), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный Функция NtClose (32) перехвачена (82C635D5->899610D0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный Функция NtConnectPort (3B) перехвачена (82C9741C->89961040), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный Функция NtCreateSection (54) перехвачена (82C41D1B->89961000), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный Функция NtCreateSymbolicLinkObject (56) перехвачена (82C1FD1A->899611C0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный Функция NtCreateThread (57) перехвачена (82CFC5BA->89961120), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный Функция NtCreateThreadEx (58) перехвачена (82C8F84F->89961070), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный Функция NtDebugActiveProcess (60) перехвачена (82CCD368->89961160), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный Функция NtDeviceIoControlFile (6B) перехвачена (82C92A86->89961200), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный Функция NtDuplicateObject (6F) перехвачена (82C504E5->89961190), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный Функция NtLoadDriver (9B) перехвачена (82BE3C59->89961170), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный Функция NtMapViewOfSection (A8) перехвачена (82C65623->899611A0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный Функция NtOpenProcess (BE) перехвачена (82C3063B->89961090), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный Функция NtOpenSection (C2) перехвачена (82C8824E->89961080), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный Функция NtOpenThread (C6) перехвачена (82C7D1E0->899610A0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный Функция NtPlugPlayControl (CC) перехвачена (82C0178E->899611D0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный Функция NtProtectVirtualMemory (D7) перехвачена (82C6167F->899610E0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный Функция NtQueueApcThread (10D) перехвачена (82C1A160->89961140), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный Функция NtRequestWaitReplyPort (12B) перехвачена (82C5CB57->89961060), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный Функция NtResumeThread (130) перехвачена (82C8FA76->899611E0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный Функция NtSecureConnectPort (138) перехвачена (82C7D215->89961050), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный Функция NtSetContextThread (13C) перехвачена (82CFDE23->89961130), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный Функция NtSetInformationObject (14C) перехвачена (82C2689D->899610C0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный Функция NtSetInformationToken (150) перехвачена (82C21CC1->89961010), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный Функция NtSetSystemInformation (15E) перехвачена (82C6D2D8->89961180), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный Функция NtSuspendProcess (16E) перехвачена (82CFE2B3->899611F0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный Функция NtSystemDebugControl (170) перехвачена (82CA4C2C->89961150), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный Функция NtTerminateProcess (172) перехвачена (82C79DE8->899610F0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный Функция NtTerminateThread (173) перехвачена (82C97A47->89961100), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный Функция NtUnmapViewOfSection (181) перехвачена (82C83190->899611B0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный Функция NtWriteVirtualMemory (18F) перехвачена (82C7EB83->89961110), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный Проверено функций: 401, перехвачено: 33, восстановлено: 0 1.3 Проверка IDT и SYSENTER Анализ для процессора 1 Анализ для процессора 2 Проверка IDT и SYSENTER завершена 1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM 1.5 Проверка обработчиков IRP Драйвер успешно загружен Проверка завершена 2. Проверка памяти Количество найденных процессов: 47 Количество загруженных модулей: 594 Проверка памяти завершена 3. Сканирование дисков 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами Проверка отключена пользователем 7. Эвристичеcкая проверка системы Проверка завершена 8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные >>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса >>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX >>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса >> Безопасность: Разрешена отправка приглашений удаленному помощнику Проверка завершена 9. Мастер поиска и устранения проблем >> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные >> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса >> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX >> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX >> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME >> Разрешен автозапуск с HDD >> Разрешен автозапуск с сетевых дисков >> Разрешен автозапуск со сменных носителей Проверка завершена Просканировано файлов: 641, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0 Сканирование завершено в 22.02.2017 18:18:50 Сканирование длилось 00:01:49 Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам, то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18 Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ можно использовать сервис http://virusdetector.ru/ Создание архива с файлами из карантина Создание архива с файлами из карантина завершено Выполняется исследование системы Диагностика сети DNS and Ping test Host="yandex.ru", IP="77.88.55.55,77.88.55.66,5.255.255.70,5.255.255.55", Ping=OK (0,10,77.88.55.55) Host="google.ru", IP="74.125.205.94", Ping=OK (0,5,74.125.205.94) Host="google.com", IP="64.233.161.139,64.233.161.102,64.233.161.113,64.233.161.101,64.233.161.138,64.233.161.100", Ping=OK (0,5,64.233.161.139) Host="www.kaspersky.com", IP="93.159.228.16", Ping=OK (0,39,93.159.228.16) Host="www.kaspersky.ru", IP="77.74.178.18", Ping=OK (0,12,77.74.178.18) Host="dnl-03.geo.kaspersky.com", IP="95.167.139.6", Ping=OK (0,12,95.167.139.6) Host="dnl-11.geo.kaspersky.com", IP="62.128.100.79", Ping=OK (0,9,62.128.100.79) Host="activation-v2.kaspersky.com", IP="212.5.89.37", Ping=OK (0,12,212.5.89.37) Host="odnoklassniki.ru", IP="217.20.155.58,5.61.23.5,217.20.156.159", Ping=OK (0,11,217.20.155.58) Host="vk.com", IP="87.240.165.82,95.213.11.180", Ping=OK (0,3,87.240.165.82) Host="vkontakte.ru", IP="95.213.4.229,95.213.4.228", Ping=OK (0,2,95.213.4.229) Host="twitter.com", IP="104.244.42.193", Ping=OK (0,41,104.244.42.193) Host="facebook.com", IP="31.13.72.36", Ping=OK (0,14,31.13.72.36) Host="ru-ru.facebook.com", IP="31.13.72.8", Ping=OK (0,18,31.13.72.8) Network IE settings IE setting AutoConfigURL= IE setting AutoConfigProxy=wininet.dll IE setting ProxyOverride= IE setting ProxyServer= IE setting Internet\ManualProxies= Network TCP/IP settings Network Persistent RoutesДобавить в скрипт команды:
Исследование системы завершено
Команды скрипта