Протокол исследования системы

AVZ 4.46 http://z-oleg.com/secur/avz/

Список процессов

Имя файлаPIDОписаниеCopyrightMD5Информация
c:\program files\yandex\yandexbrowser\17.1.1.1004\service_update.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1820YandexCopyright © 2012-2016 YANDEX LLC. All Rights Reserved.B977D0864F523F0056DC61599E4346C0610,99 кб, rsAh,создан: 15.02.2017 22:52:44,изменен: 04.02.2017 15:30:43
Командная строка:
"C:\Program Files\Yandex\YandexBrowser\17.1.1.1004\service_update.exe" --run-as-service
Обнаружено:50, из них опознаны как безопасные 49
Имя модуляHandleОписаниеCopyrightAVZ0311Используется процессами
Обнаружено модулей:567, из них опознаны как безопасные 567

Модули пространства ядра

МодульБазовый адресРазмер в памятиОписаниеПроизводитель
C:\Windows\System32\Drivers\dump_atapi.sys
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
968DD000009000 (36864)
C:\Windows\System32\Drivers\dump_dumpata.sys
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
968D200000B000 (45056)
C:\Windows\System32\Drivers\dump_dumpfve.sys
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
968E6000011000 (69632)
Обнаружено модулей - 209, опознано как безопасные - 206

Службы

СлужбаОписаниеСтатусФайлГруппаЗависимости
BstHdAndroidSvc
Служба: Стоп, Удалить, Отключить, Удалить через BC
BlueStacks Android Service Не запущенC:\Program Files\Bluestacks\HD-Service.exe
435,52 кб, rsAh, создан: 11.11.2016 18:53:17, изменен: 21.10.2016 13:18:14
Скрипт: Kарантин, Удалить, Удалить через BC
 BstHdDrv
BstHdPlusAndroidSvc
Служба: Стоп, Удалить, Отключить, Удалить через BC
BlueStacks Plus Android Service Не запущенC:\Program Files\Bluestacks\HD-Plus-Service.exe
455,52 кб, rsAh, создан: 11.11.2016 18:53:17, изменен: 21.10.2016 13:16:57
Скрипт: Kарантин, Удалить, Удалить через BC
 BstkDrv
MozillaMaintenance
Служба: Стоп, Удалить, Отключить, Удалить через BC
Mozilla Maintenance ServiceНе запущенC:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
168,45 кб, rsAh, создан: 31.12.2015 19:59:20, изменен: 29.01.2017 00:27:24
Скрипт: Kарантин, Удалить, Удалить через BC
  
Обнаружено - 161, опознано как безопасные - 158

Драйверы

СлужбаОписаниеСтатусФайлГруппаЗависимости
BstHdDrv
Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC
BlueStacks HypervisorНе запущенC:\Program Files\Bluestacks\HD-Hypervisor-x86.sys
136,09 кб, rsAh, создан: 11.11.2016 18:53:28, изменен: 21.10.2016 13:18:42
Скрипт: Kарантин, Удалить, Удалить через BC
  
BstkDrv
Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC
BlueStacks Plus HypervisorНе запущенC:\Program Files\Bluestacks\BstkDrv.sys
215,05 кб, rsAh, создан: 11.11.2016 18:53:28, изменен: 07.10.2016 17:11:29
Скрипт: Kарантин, Удалить, Удалить через BC
  
VGPU
Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC
VGPUНе запущенC:\Windows\system32\drivers\rdvgkmd.sys
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
  
Обнаружено - 270, опознано как безопасные - 267

Автозапуск

Имя файлаСтатусМетод запускаОписание
C:\Windows\system32\psxss.exe
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
--Ключ реестраHKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix
progman.exe
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
АктивенКлюч реестраHKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, shell
Удалить
C:\Windows\System32\MsSpellCheckingFacility.dll
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
--Ключ реестраHKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Microsoft-Windows-Spell-Checking, EventMessageFile
C:\Windows\System32\MsSpellCheckingFacility.dll
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
--Ключ реестраHKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Microsoft-Windows-SpellChecker, EventMessageFile
E:\4e039778082d9e923047c2dc5ef3f6\DW\DW20.exe
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
--Ключ реестраHKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\VSSetup, EventMessageFile
c:\users\николай\appdata\local\temp\1F77DABC-3C707648-8B86C278-A547A8BC\4Q5YJbtWgkMC.exe
ошибка получения информации о файле, имя содержит национальные символы
Скрипт: Kарантин, Удалить, Удалить через BC
--Ключ реестраHKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Doctor Web\Dr.Web Engine, EventMessageFile
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 16.0.1\bl.ppl
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
--Ключ реестраHKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Kaspersky Event Log\kis, EventMessageFile
C:\Windows\System32\MsSpellCheckingFacility.dll
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
--Ключ реестраHKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\Microsoft-Windows-Spell-Checking, EventMessageFile
C:\Windows\System32\MsSpellCheckingFacility.dll
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
--Ключ реестраHKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\Microsoft-Windows-SpellChecker, EventMessageFile
C:\Users\Николай\AppData\Roaming\Mail.Ru\Agent\magent.exe
ошибка получения информации о файле, имя содержит национальные символы
Скрипт: Kарантин, Удалить, Удалить через BC
АктивенЯрлык в папке автозагрузкиC:\Users\Николай\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Николай\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru Агент.lnk,
C:\Users\Николай\AppData\Local\Yandex\YandexBrowser\Application\browser.exe
2224,99 кб, rsAh, создан: 06.12.2015 19:24:06, изменен: 04.02.2017 15:30:36, имя содержит национальные символы
Скрипт: Kарантин, Удалить, Удалить через BC
АктивенЯрлык в папке автозагрузкиC:\Users\Николай\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Николай\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk,
C:\Users\Николай\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk
0,00 кб, RsAH, создан: 09.01.2017 20:50:49, изменен: 09.01.2017 21:40:00, имя содержит национальные символы
Скрипт: Kарантин, Удалить, Удалить через BC
АктивенФайл в папке автозагрузкиC:\Users\Николай\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Николай\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk,
Обнаружено элементов автозапуска - 683, опознано как безопасные - 671

Модули расширения Internet Explorer (BHO, панели ...)

Имя файлаТипОписаниеПроизводительCLSID
Обнаружено элементов - 5, опознано как безопасные - 5

Модули расширения проводника

Имя файлаНазначениеОписаниеПроизводительCLSID

ошибка получения информации о файле
WebCheck{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
Удалить
Обнаружено элементов - 11, опознано как безопасные - 10

Модули расширения системы печати (мониторы печати, провайдеры)

Имя файлаТипНаименованиеОписаниеПроизводитель
Обнаружено элементов - 7, опознано как безопасные - 7

Задания планировщика задач Task Scheduler

Имя файлаИмя заданияСостояние заданияОписаниеПроизводительПутьКомандная строкаТип
C:\Users\Николай\AppData\Local\Yandex\YandexBrowser\Application\browser.exe
2224,99 кб, rsAh, создан: 06.12.2015 19:24:06, изменен: 04.02.2017 15:30:36, имя содержит национальные символы
Скрипт: Kарантин, Удалить, Удалить через BC
Обновление Браузера Яндекс.job
Скрипт: Удалить
The task is ready to run at its next scheduled time.YandexCopyright © 2012-2016 YANDEX LLC. All Rights Reserved.C:\Users\Николай\AppData\Local\Yandex\YandexBrowser\Application\browser.exe --background-update32
C:\Program Files\Yandex\YandexBrowser\17.1.1.1004\service_update.exe
610,99 кб, rsAh, создан: 15.02.2017 22:52:44, изменен: 04.02.2017 15:30:43
Скрипт: Kарантин, Удалить, Удалить через BC
Системное обновление Браузера Яндекс.job
Скрипт: Удалить
The task is currently running.YandexCopyright © 2012-2016 YANDEX LLC. All Rights Reserved.C:\Program Files\Yandex\YandexBrowser\17.1.1.1004\service_update.exe --run-as-launcher32
aitagent
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
AitAgent
Скрипт: Удалить
The task is currently running.C:\Windows\system32\Tasks\Microsoft\Windows\Application Experience\ aitagent 32
C:\Windows\ehome\mcupdate
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
mcupdate
Скрипт: Удалить
The task is currently running.C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\ %SystemRoot%\ehome\mcupdate $(Arg0)32
C:\Windows\ehome\mcupdate
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
mcupdate_scheduled
Скрипт: Удалить
The task is currently running.C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\ %SystemRoot%\ehome\mcupdate -crl -hms -pscn 1532
C:\Windows\ehome\ehrec
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
RecordingRestart
Скрипт: Удалить
The task is currently running.C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\ %SystemRoot%\ehome\ehrec /RestartRecording32
C:\Windows\ehome\ehrec
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
StartRecording
Скрипт: Удалить
The task is currently running.C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\ %SystemRoot%\ehome\ehrec /StartRecording32
C:\Users\Николай\AppData\Local\Yandex\YandexBrowser\Application\browser.exe
2224,99 кб, rsAh, создан: 06.12.2015 19:24:06, изменен: 04.02.2017 15:30:36, имя содержит национальные символы
Скрипт: Kарантин, Удалить, Удалить через BC
Обновление Браузера Яндекс
Скрипт: Удалить
The task is currently running.YandexCopyright © 2012-2016 YANDEX LLC. All Rights Reserved.C:\Windows\system32\Tasks\ C:\Users\Николай\AppData\Local\Yandex\YandexBrowser\Application\browser.exe --background-update32
C:\Program Files\Yandex\YandexBrowser\17.1.1.1004\service_update.exe
610,99 кб, rsAh, создан: 15.02.2017 22:52:44, изменен: 04.02.2017 15:30:43
Скрипт: Kарантин, Удалить, Удалить через BC
Системное обновление Браузера Яндекс
Скрипт: Удалить
The task is currently running.YandexCopyright © 2012-2016 YANDEX LLC. All Rights Reserved.C:\Windows\system32\Tasks\ C:\Program Files\Yandex\YandexBrowser\17.1.1.1004\service_update.exe --run-as-launcher32
Обнаружено элементов - 69, опознано как безопасные - 60

Настройки SPI/LSP

Поставщики пространства имен (NSP)
ПоставщикСтатусИсп. файлОписаниеGUID
Обнаружено - 6, опознано как безопасные - 6
Поставщики транспортных протоколов (TSP, LSP)
ПоставщикИсп. файлОписание
Обнаружено - 18, опознано как безопасные - 18
Результаты автоматического анализа настроек SPI
Настройки LSP проверены. Ошибок не обнаружено

Порты TCP/UDP

ПортСтатусRemote HostRemote PortПриложениеПримечания
Порты TCP
139LISTENING0.0.0.00System.exe [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
 
445LISTENING0.0.0.00System.exe [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
 
5357LISTENING0.0.0.00System.exe [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
 
49214TIME_WAIT87.250.251.119443  [0]
ошибка получения информации о файле
 
49216TIME_WAIT95.167.139.680  [0]
ошибка получения информации о файле
 
49217TIME_WAIT93.191.13.10380  [0]
ошибка получения информации о файле
 
49218TIME_WAIT93.191.13.10380  [0]
ошибка получения информации о файле
 
49221TIME_WAIT81.19.104.42443  [0]
ошибка получения информации о файле
 
Порты UDP
137LISTENING----System.exe [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
 
138LISTENING----System.exe [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
 

Downloaded Program Files (DPF)

Имя файлаОписаниеПроизводительCLSIDURL загрузки
Обнаружено элементов - 0, опознано как безопасные - 0

Апплеты панели управления (CPL)

Имя файлаОписаниеПроизводитель
Обнаружено элементов - 21, опознано как безопасные - 21

Active Setup

Имя файлаОписаниеПроизводительCLSID
Обнаружено элементов - 10, опознано как безопасные - 10

Файл HOSTS

Запись файла Hosts

Протоколы и обработчики

Имя файлаТипОписаниеПроизводительCLSID
Обнаружено элементов - 13, опознано как безопасные - 13

Общие ресурсы

Сетевое имяПутьПримечания
ADMIN$C:\WindowsУдаленный Admin
C$C:\Стандартный общий ресурс
D$D:\Стандартный общий ресурс
E$E:\Стандартный общий ресурс
IPC$Удаленный IPC
My AppsE:\софт\Блю Стакс для Перископ\Bluestacks\UserData\Library\My Apps
UsersC:\Users

Подозрительные объекты

ФайлОписаниеТип
C:\Windows\system32\DRIVERS\klhk.sys
117,84 кб, rsAh, создан: 20.06.2016 17:51:46, изменен: 31.01.2017 23:00:36
Скрипт: Kарантин, Удалить, Удалить через BC
Подозрение на RootKitПерехватчик KernelMode


Протокол антивирусной утилиты AVZ версии 4.46
Сканирование запущено в 22.02.2017 18:21:52
Загружена база: сигнатуры - 297569, нейропрофили - 2, микропрограммы лечения - 56, база от 22.02.2017 04:00
Загружены микропрограммы эвристики: 410
Загружены микропрограммы ИПУ: 10
Загружены цифровые подписи системных файлов: 858182
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 6.1.7601, Service Pack 1 "Windows 7 Ultimate", дата инсталляции 31.10.2015 20:01:34 ; AVZ работает с правами администратора (+)
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=16DB00)
 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 82A11000
   SDT = 82B7EB00
   KiST = 82A9066C (401)
Функция NtAdjustPrivilegesToken (0C) перехвачена (82C9C2FD->8992C0B0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtAlpcConnectPort (16) перехвачена (82C8C90D->8992C020), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtAlpcSendWaitReceivePort (27) перехвачена (82C6918C->8992C030), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtClose (32) перехвачена (82C5B5D5->8992C0D0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtConnectPort (3B) перехвачена (82C8F41C->8992C040), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtCreateSection (54) перехвачена (82C39D1B->8992C000), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtCreateSymbolicLinkObject (56) перехвачена (82C17D1A->8992C1C0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtCreateThread (57) перехвачена (82CF45BA->8992C120), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtCreateThreadEx (58) перехвачена (82C8784F->8992C070), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtDebugActiveProcess (60) перехвачена (82CC5368->8992C160), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtDeviceIoControlFile (6B) перехвачена (82C8AA86->8992C200), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtDuplicateObject (6F) перехвачена (82C484E5->8992C190), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtLoadDriver (9B) перехвачена (82BDBC59->8992C170), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtMapViewOfSection (A8) перехвачена (82C5D623->8992C1A0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtOpenProcess (BE) перехвачена (82C2863B->8992C090), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtOpenSection (C2) перехвачена (82C8024E->8992C080), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtOpenThread (C6) перехвачена (82C751E0->8992C0A0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtPlugPlayControl (CC) перехвачена (82BF978E->8992C1D0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtProtectVirtualMemory (D7) перехвачена (82C5967F->8992C0E0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtQueueApcThread (10D) перехвачена (82C12160->8992C140), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtRequestWaitReplyPort (12B) перехвачена (82C54B57->8992C060), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtResumeThread (130) перехвачена (82C87A76->8992C1E0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtSecureConnectPort (138) перехвачена (82C75215->8992C050), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtSetContextThread (13C) перехвачена (82CF5E23->8992C130), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtSetInformationObject (14C) перехвачена (82C1E89D->8992C0C0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtSetInformationToken (150) перехвачена (82C19CC1->8992C010), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtSetSystemInformation (15E) перехвачена (82C652D8->8992C180), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtSuspendProcess (16E) перехвачена (82CF62B3->8992C1F0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtSystemDebugControl (170) перехвачена (82C9CC2C->8992C150), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtTerminateProcess (172) перехвачена (82C71DE8->8992C0F0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtTerminateThread (173) перехвачена (82C8FA47->8992C100), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtUnmapViewOfSection (181) перехвачена (82C7B190->8992C1B0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtWriteVirtualMemory (18F) перехвачена (82C76B83->8992C110), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Проверено функций: 401, перехвачено: 33, восстановлено: 0
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Анализ для процессора 2
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
 Драйвер успешно загружен
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 43
 Количество загруженных модулей: 508
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
 >>  Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
 >>  Internet Explorer - разрешена загрузка неподписанных элементов ActiveX
 >>  Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
 >>  Internet Explorer - разрешен запуск программ и файлов в окне IFRAME
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 551, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 22.02.2017 18:23:51
Сканирование длилось 00:02:01
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ 
можно использовать сервис http://virusdetector.ru/
Выполняется исследование системы
Диагностика сети
 DNS and Ping test
  Host="yandex.ru", IP="5.255.255.70,77.88.55.55,77.88.55.66,5.255.255.55", Ping=OK (0,11,5.255.255.70)
  Host="google.ru", IP="209.85.233.94", Ping=OK (0,5,209.85.233.94)
  Host="google.com", IP="74.125.131.100,74.125.131.138,74.125.131.139,74.125.131.102,74.125.131.113,74.125.131.101", Ping=OK (0,5,74.125.131.100)
  Host="www.kaspersky.com", IP="93.159.228.16", Ping=OK (0,32,93.159.228.16)
  Host="www.kaspersky.ru", IP="77.74.178.18", Ping=OK (0,12,77.74.178.18)
  Host="dnl-03.geo.kaspersky.com", IP="95.167.139.6", Ping=OK (0,12,95.167.139.6)
  Host="dnl-11.geo.kaspersky.com", IP="62.128.100.79", Ping=OK (0,10,62.128.100.79)
  Host="activation-v2.kaspersky.com", IP="212.5.89.37", Ping=OK (0,12,212.5.89.37)
  Host="odnoklassniki.ru", IP="217.20.155.58,217.20.156.159,5.61.23.5", Ping=OK (0,12,217.20.155.58)
  Host="vk.com", IP="87.240.165.82,95.213.11.180", Ping=OK (0,2,87.240.165.82)
  Host="vkontakte.ru", IP="95.213.4.229,95.213.4.228", Ping=OK (0,2,95.213.4.229)
  Host="twitter.com", IP="104.244.42.193", Ping=OK (0,41,104.244.42.193)
  Host="facebook.com", IP="31.13.72.36", Ping=OK (0,14,31.13.72.36)
  Host="ru-ru.facebook.com", IP="31.13.72.8", Ping=OK (0,14,31.13.72.8)
 Network IE settings
  IE setting AutoConfigURL=
  IE setting AutoConfigProxy=wininet.dll
  IE setting ProxyOverride=
  IE setting ProxyServer=
  IE setting Internet\ManualProxies=
 Network TCP/IP settings
 Network Persistent Routes

Исследование системы завершено
Команды скрипта
Добавить в скрипт команды:
Дополнительные операции:
Список файлов