Протокол исследования системы

AVZ 4.46 http://z-oleg.com/secur/avz/

Список процессов

Имя файлаPIDОписаниеCopyrightMD5Информация
c:\users\Николай\downloads\autologger\autologger.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
2200Автоматический сборщик логовВсе права на AutoLogger принадлежат regist & Drongo © Copyright 2013 - 201589272256F2972616080A5BC0F4F72C4112909.69 кб, rsah,создан: 22.02.2017 17:40:18,изменен: 22.02.2017 04:33:04,имя содержит национальные символы
Командная строка:
"C:\Users\Николай\Downloads\AutoLogger\AutoLogger.exe"
c:\program files\yandex\yandexbrowser\17.1.1.1004\service_update.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
468YandexCopyright © 2012-2016 YANDEX LLC. All Rights Reserved.B977D0864F523F0056DC61599E4346C0610.99 кб, rsAh,создан: 15.02.2017 22:52:44,изменен: 04.02.2017 15:30:43
Командная строка:
"C:\Program Files\Yandex\YandexBrowser\17.1.1.1004\service_update.exe" --run-as-service
Обнаружено:48, из них опознаны как безопасные 46
Имя модуляHandleОписаниеCopyrightAVZ0311Используется процессами
Обнаружено модулей:595, из них опознаны как безопасные 595

Модули пространства ядра

МодульБазовый адресРазмер в памятиОписаниеПроизводитель
C:\Windows\System32\Drivers\dump_atapi.sys
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
96532000009000 (36864)
C:\Windows\System32\Drivers\dump_dumpata.sys
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
9652700000B000 (45056)
C:\Windows\System32\Drivers\dump_dumpfve.sys
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
9653B000011000 (69632)
Обнаружено модулей - 210, опознано как безопасные - 207

Службы

СлужбаОписаниеСтатусФайлГруппаЗависимости
YandexBrowserService
Служба: Стоп, Удалить, Отключить, Удалить через BC
Yandex.Browser Update ServiceРаботаетC:\Program Files\Yandex\YandexBrowser\17.1.1.1004\service_update.exe
610.99 кб, rsAh, создан: 15.02.2017 22:52:44, изменен: 04.02.2017 15:30:43
Скрипт: Kарантин, Удалить, Удалить через BC
  
BstHdAndroidSvc
Служба: Стоп, Удалить, Отключить, Удалить через BC
BlueStacks Android Service Не запущенC:\Program Files\Bluestacks\HD-Service.exe
435.52 кб, rsAh, создан: 11.11.2016 18:53:17, изменен: 21.10.2016 13:18:14
Скрипт: Kарантин, Удалить, Удалить через BC
 BstHdDrv
BstHdPlusAndroidSvc
Служба: Стоп, Удалить, Отключить, Удалить через BC
BlueStacks Plus Android Service Не запущенC:\Program Files\Bluestacks\HD-Plus-Service.exe
455.52 кб, rsAh, создан: 11.11.2016 18:53:17, изменен: 21.10.2016 13:16:57
Скрипт: Kарантин, Удалить, Удалить через BC
 BstkDrv
MozillaMaintenance
Служба: Стоп, Удалить, Отключить, Удалить через BC
Mozilla Maintenance ServiceНе запущенC:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
168.45 кб, rsAh, создан: 31.12.2015 19:59:20, изменен: 29.01.2017 00:27:24
Скрипт: Kарантин, Удалить, Удалить через BC
  
Обнаружено - 162, опознано как безопасные - 158

Драйверы

СлужбаОписаниеСтатусФайлГруппаЗависимости
BstHdDrv
Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC
BlueStacks HypervisorНе запущенC:\Program Files\Bluestacks\HD-Hypervisor-x86.sys
136.09 кб, rsAh, создан: 11.11.2016 18:53:28, изменен: 21.10.2016 13:18:42
Скрипт: Kарантин, Удалить, Удалить через BC
  
BstkDrv
Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC
BlueStacks Plus HypervisorНе запущенC:\Program Files\Bluestacks\BstkDrv.sys
215.05 кб, rsAh, создан: 11.11.2016 18:53:28, изменен: 07.10.2016 17:11:29
Скрипт: Kарантин, Удалить, Удалить через BC
  
VGPU
Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC
VGPUНе запущенC:\Windows\system32\drivers\rdvgkmd.sys
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
  
Обнаружено - 269, опознано как безопасные - 266

Автозапуск

Имя файлаСтатусМетод запускаОписание
C:\Users\Николай\Downloads\AutoLogger\AutoLogger\AVZ\Script2.txt
19.50 кб, rsAh, создан: 22.02.2017 18:11:05, изменен: 14.02.2017 11:36:15, имя содержит национальные символы
Скрипт: Kарантин, Удалить, Удалить через BC
АктивенКлюч реестраHKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\RunOnce, AVZ
Удалить
C:\Windows\system32\psxss.exe
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
--Ключ реестраHKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix
progman.exe
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
АктивенКлюч реестраHKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, shell
Удалить
C:\Windows\System32\MsSpellCheckingFacility.dll
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
--Ключ реестраHKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Microsoft-Windows-Spell-Checking, EventMessageFile
C:\Windows\System32\MsSpellCheckingFacility.dll
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
--Ключ реестраHKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Microsoft-Windows-SpellChecker, EventMessageFile
E:\4e039778082d9e923047c2dc5ef3f6\DW\DW20.exe
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
--Ключ реестраHKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\VSSetup, EventMessageFile
c:\users\николай\appdata\local\temp\1F77DABC-3C707648-8B86C278-A547A8BC\4Q5YJbtWgkMC.exe
ошибка получения информации о файле, имя содержит национальные символы
Скрипт: Kарантин, Удалить, Удалить через BC
--Ключ реестраHKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Doctor Web\Dr.Web Engine, EventMessageFile
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 16.0.1\bl.ppl
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
--Ключ реестраHKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Kaspersky Event Log\kis, EventMessageFile
C:\Windows\System32\MsSpellCheckingFacility.dll
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
--Ключ реестраHKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\Microsoft-Windows-Spell-Checking, EventMessageFile
C:\Windows\System32\MsSpellCheckingFacility.dll
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
--Ключ реестраHKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\Microsoft-Windows-SpellChecker, EventMessageFile
C:\Users\Николай\AppData\Roaming\Mail.Ru\Agent\magent.exe
ошибка получения информации о файле, имя содержит национальные символы
Скрипт: Kарантин, Удалить, Удалить через BC
АктивенЯрлык в папке автозагрузкиC:\Users\Николай\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Николай\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru Агент.lnk,
C:\Users\Николай\AppData\Local\Yandex\YandexBrowser\Application\browser.exe
2224.99 кб, rsAh, создан: 06.12.2015 19:24:06, изменен: 04.02.2017 15:30:36, имя содержит национальные символы
Скрипт: Kарантин, Удалить, Удалить через BC
АктивенЯрлык в папке автозагрузкиC:\Users\Николай\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Николай\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk,
C:\Users\Николай\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk
0.00 кб, RsAH, создан: 09.01.2017 20:50:49, изменен: 09.01.2017 21:40:00, имя содержит национальные символы
Скрипт: Kарантин, Удалить, Удалить через BC
АктивенФайл в папке автозагрузкиC:\Users\Николай\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Николай\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk,
Обнаружено элементов автозапуска - 704, опознано как безопасные - 691

Модули расширения Internet Explorer (BHO, панели ...)

Имя файлаТипОписаниеПроизводительCLSID
Обнаружено элементов - 5, опознано как безопасные - 5

Модули расширения проводника

Имя файлаНазначениеОписаниеПроизводительCLSID

ошибка получения информации о файле
WebCheck{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
Удалить
Обнаружено элементов - 11, опознано как безопасные - 10

Модули расширения системы печати (мониторы печати, провайдеры)

Имя файлаТипНаименованиеОписаниеПроизводитель
Обнаружено элементов - 7, опознано как безопасные - 7

Задания планировщика задач Task Scheduler

Имя файлаИмя заданияСостояние заданияОписаниеПроизводительПутьКомандная строкаТип
C:\Users\Николай\AppData\Local\Yandex\YandexBrowser\Application\browser.exe
2224.99 кб, rsAh, создан: 06.12.2015 19:24:06, изменен: 04.02.2017 15:30:36, имя содержит национальные символы
Скрипт: Kарантин, Удалить, Удалить через BC
Обновление Браузера Яндекс.job
Скрипт: Удалить
The task is ready to run at its next scheduled time.YandexCopyright © 2012-2016 YANDEX LLC. All Rights Reserved.C:\Users\Николай\AppData\Local\Yandex\YandexBrowser\Application\browser.exe --background-update32
C:\Program Files\Yandex\YandexBrowser\17.1.1.1004\service_update.exe
610.99 кб, rsAh, создан: 15.02.2017 22:52:44, изменен: 04.02.2017 15:30:43
Скрипт: Kарантин, Удалить, Удалить через BC
Системное обновление Браузера Яндекс.job
Скрипт: Удалить
The task is ready to run at its next scheduled time.YandexCopyright © 2012-2016 YANDEX LLC. All Rights Reserved.C:\Program Files\Yandex\YandexBrowser\17.1.1.1004\service_update.exe --run-as-launcher32
aitagent
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
AitAgent
Скрипт: Удалить
The task is ready to run at its next scheduled time.C:\Windows\system32\Tasks\Microsoft\Windows\Application Experience\ aitagent 32
C:\Windows\ehome\mcupdate
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
mcupdate
Скрипт: Удалить
The task is ready to run at its next scheduled time.C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\ %SystemRoot%\ehome\mcupdate $(Arg0)32
C:\Windows\ehome\mcupdate
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
mcupdate_scheduled
Скрипт: Удалить
The task is ready to run at its next scheduled time.C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\ %SystemRoot%\ehome\mcupdate -crl -hms -pscn 1532
C:\Windows\ehome\ehrec
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
RecordingRestart
Скрипт: Удалить
The task is ready to run at its next scheduled time.C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\ %SystemRoot%\ehome\ehrec /RestartRecording32
C:\Windows\ehome\ehrec
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
StartRecording
Скрипт: Удалить
The task is ready to run at its next scheduled time.C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\ %SystemRoot%\ehome\ehrec /StartRecording32
C:\Users\Николай\AppData\Local\Yandex\YandexBrowser\Application\browser.exe
2224.99 кб, rsAh, создан: 06.12.2015 19:24:06, изменен: 04.02.2017 15:30:36, имя содержит национальные символы
Скрипт: Kарантин, Удалить, Удалить через BC
Обновление Браузера Яндекс
Скрипт: Удалить
The task is ready to run at its next scheduled time.YandexCopyright © 2012-2016 YANDEX LLC. All Rights Reserved.C:\Windows\system32\Tasks\ C:\Users\Николай\AppData\Local\Yandex\YandexBrowser\Application\browser.exe --background-update32
C:\Program Files\Yandex\YandexBrowser\17.1.1.1004\service_update.exe
610.99 кб, rsAh, создан: 15.02.2017 22:52:44, изменен: 04.02.2017 15:30:43
Скрипт: Kарантин, Удалить, Удалить через BC
Системное обновление Браузера Яндекс
Скрипт: Удалить
The task is ready to run at its next scheduled time.YandexCopyright © 2012-2016 YANDEX LLC. All Rights Reserved.C:\Windows\system32\Tasks\ C:\Program Files\Yandex\YandexBrowser\17.1.1.1004\service_update.exe --run-as-launcher32
Обнаружено элементов - 69, опознано как безопасные - 60

Настройки SPI/LSP

Поставщики пространства имен (NSP)
ПоставщикСтатусИсп. файлОписаниеGUID
Обнаружено - 6, опознано как безопасные - 6
Поставщики транспортных протоколов (TSP, LSP)
ПоставщикИсп. файлОписание
Обнаружено - 18, опознано как безопасные - 18
Результаты автоматического анализа настроек SPI
Настройки LSP проверены. Ошибок не обнаружено

Порты TCP/UDP

ПортСтатусRemote HostRemote PortПриложениеПримечания
Порты TCP
139LISTENING0.0.0.00System.exe [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
 
445LISTENING0.0.0.00System.exe [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
 
5357LISTENING0.0.0.00System.exe [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
 
51759TIME_WAIT213.180.193.119443  [0]
ошибка получения информации о файле
 
51761TIME_WAIT173.194.222.120443  [0]
ошибка получения информации о файле
 
51762TIME_WAIT127.0.0.149159  [0]
ошибка получения информации о файле
 
51763TIME_WAIT127.0.0.149159  [0]
ошибка получения информации о файле
 
51764TIME_WAIT127.0.0.149159  [0]
ошибка получения информации о файле
 
51765TIME_WAIT127.0.0.149159  [0]
ошибка получения информации о файле
 
51766TIME_WAIT127.0.0.149159  [0]
ошибка получения информации о файле
 
51767TIME_WAIT127.0.0.149159  [0]
ошибка получения информации о файле
 
51768TIME_WAIT127.0.0.149159  [0]
ошибка получения информации о файле
 
51769TIME_WAIT127.0.0.149159  [0]
ошибка получения информации о файле
 
51770TIME_WAIT127.0.0.149159  [0]
ошибка получения информации о файле
 
51771TIME_WAIT127.0.0.149159  [0]
ошибка получения информации о файле
 
51772TIME_WAIT173.194.222.10180  [0]
ошибка получения информации о файле
 
51773TIME_WAIT79.173.80.23880  [0]
ошибка получения информации о файле
 
51774TIME_WAIT64.233.164.132443  [0]
ошибка получения информации о файле
 
51775TIME_WAIT172.217.17.110443  [0]
ошибка получения информации о файле
 
51776TIME_WAIT173.194.73.113443  [0]
ошибка получения информации о файле
 
51777TIME_WAIT127.0.0.149159  [0]
ошибка получения информации о файле
 
51778TIME_WAIT127.0.0.149159  [0]
ошибка получения информации о файле
 
51779TIME_WAIT127.0.0.149159  [0]
ошибка получения информации о файле
 
51780TIME_WAIT127.0.0.149159  [0]
ошибка получения информации о файле
 
51781TIME_WAIT127.0.0.149159  [0]
ошибка получения информации о файле
 
51782TIME_WAIT127.0.0.149159  [0]
ошибка получения информации о файле
 
51783TIME_WAIT127.0.0.149159  [0]
ошибка получения информации о файле
 
51784TIME_WAIT127.0.0.149159  [0]
ошибка получения информации о файле
 
51785TIME_WAIT127.0.0.149159  [0]
ошибка получения информации о файле
 
51786TIME_WAIT127.0.0.149159  [0]
ошибка получения информации о файле
 
Порты UDP
137LISTENING----System.exe [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
 
138LISTENING----System.exe [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
 

Downloaded Program Files (DPF)

Имя файлаОписаниеПроизводительCLSIDURL загрузки
Обнаружено элементов - 0, опознано как безопасные - 0

Апплеты панели управления (CPL)

Имя файлаОписаниеПроизводитель
Обнаружено элементов - 21, опознано как безопасные - 21

Active Setup

Имя файлаОписаниеПроизводительCLSID
Обнаружено элементов - 10, опознано как безопасные - 10

Файл HOSTS

Запись файла Hosts

Протоколы и обработчики

Имя файлаТипОписаниеПроизводительCLSID
Обнаружено элементов - 13, опознано как безопасные - 13

Общие ресурсы

Сетевое имяПутьПримечания
ADMIN$C:\WindowsУдаленный Admin
C$C:\Стандартный общий ресурс
D$D:\Стандартный общий ресурс
E$E:\Стандартный общий ресурс
IPC$Удаленный IPC
My AppsE:\софт\Блю Стакс для Перископ\Bluestacks\UserData\Library\My Apps
UsersC:\Users

Подозрительные объекты

ФайлОписаниеТип
C:\Program Files\Google\Chrome\Application\chrome.exe
923.34 кб, rsAh, создан: 07.01.2017 20:44:09, изменен: 01.02.2017 12:01:18
Скрипт: Kарантин, Удалить, Удалить через BC
Подозрение на RootKitПодозрение на RootKit
C:\Windows\system32\DRIVERS\klhk.sys
117.84 кб, rsAh, создан: 20.06.2016 17:51:46, изменен: 31.01.2017 23:00:36
Скрипт: Kарантин, Удалить, Удалить через BC
Подозрение на RootKitПерехватчик KernelMode


Протокол антивирусной утилиты AVZ версии 4.46
Сканирование запущено в 22.02.2017 18:17:02
Загружена база: сигнатуры - 297569, нейропрофили - 2, микропрограммы лечения - 56, база от 22.02.2017 04:00
Загружены микропрограммы эвристики: 410
Загружены микропрограммы ИПУ: 10
Загружены цифровые подписи системных файлов: 858182
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 6.1.7601, Service Pack 1 "Windows 7 Ultimate", дата инсталляции 31.10.2015 20:01:34 ; AVZ работает с правами администратора (+)
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
 >> Опасно ! Обнаружена маскировка процессов
 >>>> Обнаружена маскировка процесса 2416 C:\Program Files\Google\Chrome\Application\chrome.exe
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=16DB00)
 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 82A19000
   SDT = 82B86B00
   KiST = 82A9866C (401)
Функция NtAdjustPrivilegesToken (0C) перехвачена (82CA42FD->899610B0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtAlpcConnectPort (16) перехвачена (82C9490D->89961020), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtAlpcSendWaitReceivePort (27) перехвачена (82C7118C->89961030), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtClose (32) перехвачена (82C635D5->899610D0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtConnectPort (3B) перехвачена (82C9741C->89961040), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtCreateSection (54) перехвачена (82C41D1B->89961000), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtCreateSymbolicLinkObject (56) перехвачена (82C1FD1A->899611C0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtCreateThread (57) перехвачена (82CFC5BA->89961120), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtCreateThreadEx (58) перехвачена (82C8F84F->89961070), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtDebugActiveProcess (60) перехвачена (82CCD368->89961160), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtDeviceIoControlFile (6B) перехвачена (82C92A86->89961200), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtDuplicateObject (6F) перехвачена (82C504E5->89961190), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtLoadDriver (9B) перехвачена (82BE3C59->89961170), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtMapViewOfSection (A8) перехвачена (82C65623->899611A0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtOpenProcess (BE) перехвачена (82C3063B->89961090), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtOpenSection (C2) перехвачена (82C8824E->89961080), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtOpenThread (C6) перехвачена (82C7D1E0->899610A0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtPlugPlayControl (CC) перехвачена (82C0178E->899611D0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtProtectVirtualMemory (D7) перехвачена (82C6167F->899610E0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtQueueApcThread (10D) перехвачена (82C1A160->89961140), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtRequestWaitReplyPort (12B) перехвачена (82C5CB57->89961060), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtResumeThread (130) перехвачена (82C8FA76->899611E0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtSecureConnectPort (138) перехвачена (82C7D215->89961050), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtSetContextThread (13C) перехвачена (82CFDE23->89961130), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtSetInformationObject (14C) перехвачена (82C2689D->899610C0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtSetInformationToken (150) перехвачена (82C21CC1->89961010), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtSetSystemInformation (15E) перехвачена (82C6D2D8->89961180), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtSuspendProcess (16E) перехвачена (82CFE2B3->899611F0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtSystemDebugControl (170) перехвачена (82CA4C2C->89961150), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtTerminateProcess (172) перехвачена (82C79DE8->899610F0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtTerminateThread (173) перехвачена (82C97A47->89961100), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtUnmapViewOfSection (181) перехвачена (82C83190->899611B0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtWriteVirtualMemory (18F) перехвачена (82C7EB83->89961110), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Проверено функций: 401, перехвачено: 33, восстановлено: 0
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Анализ для процессора 2
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
 Драйвер успешно загружен
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 47
 Количество загруженных модулей: 594
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
 >>  Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
 >>  Internet Explorer - разрешена загрузка неподписанных элементов ActiveX
 >>  Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
 >>  Internet Explorer - разрешен запуск программ и файлов в окне IFRAME
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 641, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 22.02.2017 18:18:50
Сканирование длилось 00:01:49
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ 
можно использовать сервис http://virusdetector.ru/
Создание архива с файлами из карантина
Создание архива с файлами из карантина завершено
Выполняется исследование системы
Диагностика сети
 DNS and Ping test
  Host="yandex.ru", IP="77.88.55.55,77.88.55.66,5.255.255.70,5.255.255.55", Ping=OK (0,10,77.88.55.55)
  Host="google.ru", IP="74.125.205.94", Ping=OK (0,5,74.125.205.94)
  Host="google.com", IP="64.233.161.139,64.233.161.102,64.233.161.113,64.233.161.101,64.233.161.138,64.233.161.100", Ping=OK (0,5,64.233.161.139)
  Host="www.kaspersky.com", IP="93.159.228.16", Ping=OK (0,39,93.159.228.16)
  Host="www.kaspersky.ru", IP="77.74.178.18", Ping=OK (0,12,77.74.178.18)
  Host="dnl-03.geo.kaspersky.com", IP="95.167.139.6", Ping=OK (0,12,95.167.139.6)
  Host="dnl-11.geo.kaspersky.com", IP="62.128.100.79", Ping=OK (0,9,62.128.100.79)
  Host="activation-v2.kaspersky.com", IP="212.5.89.37", Ping=OK (0,12,212.5.89.37)
  Host="odnoklassniki.ru", IP="217.20.155.58,5.61.23.5,217.20.156.159", Ping=OK (0,11,217.20.155.58)
  Host="vk.com", IP="87.240.165.82,95.213.11.180", Ping=OK (0,3,87.240.165.82)
  Host="vkontakte.ru", IP="95.213.4.229,95.213.4.228", Ping=OK (0,2,95.213.4.229)
  Host="twitter.com", IP="104.244.42.193", Ping=OK (0,41,104.244.42.193)
  Host="facebook.com", IP="31.13.72.36", Ping=OK (0,14,31.13.72.36)
  Host="ru-ru.facebook.com", IP="31.13.72.8", Ping=OK (0,18,31.13.72.8)
 Network IE settings
  IE setting AutoConfigURL=
  IE setting AutoConfigProxy=wininet.dll
  IE setting ProxyOverride=
  IE setting ProxyServer=
  IE setting Internet\ManualProxies=
 Network TCP/IP settings
 Network Persistent Routes

Исследование системы завершено
Команды скрипта
Добавить в скрипт команды:
Дополнительные операции:
Список файлов