Протокол исследования системы

Список процессов

Имя файла	PID	Описание	Copyright	MD5	Информация
	484			??	?,ошибка получения информации о файле Командная строка:
	532			??	?,ошибка получения информации о файле Командная строка:
	576			??	?,ошибка получения информации о файле Командная строка:
	948			??	?,ошибка получения информации о файле Командная строка:
	988			??	?,ошибка получения информации о файле Командная строка:
	840			??	?,ошибка получения информации о файле Командная строка:
	2276			??	?,ошибка получения информации о файле Командная строка:
	2508			??	?,ошибка получения информации о файле Командная строка:
	2560			??	?,ошибка получения информации о файле Командная строка:
	2780			??	?,ошибка получения информации о файле Командная строка:
	2828			??	?,ошибка получения информации о файле Командная строка:
	2840			??	?,ошибка получения информации о файле Командная строка:
	2944			??	?,ошибка получения информации о файле Командная строка:
	3040			??	?,ошибка получения информации о файле Командная строка:
	3076			??	?,ошибка получения информации о файле Командная строка:
	3084			??	?,ошибка получения информации о файле Командная строка:
	3092			??	?,ошибка получения информации о файле Командная строка:
	3152			??	?,ошибка получения информации о файле Командная строка:
	3348			??	?,ошибка получения информации о файле Командная строка:
	3668			??	?,ошибка получения информации о файле Командная строка:
	4008			??	?,ошибка получения информации о файле Командная строка:
	4024			??	?,ошибка получения информации о файле Командная строка:
	2940			??	?,ошибка получения информации о файле Командная строка:
	2448			??	?,ошибка получения информации о файле Командная строка:
	2928			??	?,ошибка получения информации о файле Командная строка:
	3180			??	?,ошибка получения информации о файле Командная строка:
	3772			??	?,ошибка получения информации о файле Командная строка:
c:\program files\kaspersky lab\kaspersky av for yandex online\avp.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1668	Kaspersky Anti-Virus	Copyright © Kaspersky Lab 1996-2007.	??	216.00 кб, rsAh, создан: 25.01.2008 12:58:00, изменен: 25.01.2008 12:58:00 Командная строка: "C:\Program Files\Kaspersky Lab\Kaspersky AV for Yandex Online\avp.exe"
c:\program files\kaspersky lab\kaspersky av for yandex online\avp.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1300	Kaspersky Anti-Virus	Copyright © Kaspersky Lab 1996-2007.	??	216.00 кб, rsAh, создан: 25.01.2008 12:58:00, изменен: 25.01.2008 12:58:00 Командная строка: C:\Program Files\Kaspersky Lab\Kaspersky AV for Yandex Online\avp.exe -host
c:\program files\kaspersky lab\kaspersky av for yandex online\avp.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	3248	Kaspersky Anti-Virus	Copyright © Kaspersky Lab 1996-2007.	??	216.00 кб, rsAh, создан: 25.01.2008 12:58:00, изменен: 25.01.2008 12:58:00 Командная строка: "C:\Program Files\Kaspersky Lab\Kaspersky AV for Yandex Online\avp.exe" -r
c:\acer\empowering technology\edatasecurity\edsservice.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1872	eDataSecurity Service	Copyright (C) 2006	??	446.79 кб, rsAh, создан: 25.04.2007 18:34:30, изменен: 25.04.2007 18:34:30 Командная строка: "C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe"
c:\windows\explorer.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	3044	Проводник	© Корпорация Майкрософт. Все права защищены.	??	2858.50 кб, rsAh, создан: 12.12.2008 5:32:29, изменен: 29.10.2008 12:29:41 Командная строка: "C:\Windows\Explorer.exe" /separate,/e,/idlist,:49209:2908,C:\Users\Роман Валиев\Desktop\avz4
c:\windows\system32\spoolsv.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1604	Диспетчер очереди печати	© Корпорация Майкрософт. Все права защищены.	??	123.00 кб, rsAh, создан: 14.06.2008 3:06:20, изменен: 19.01.2008 13:33:32 Командная строка: C:\Windows\System32\spoolsv.exe
c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1124	Хост-процесс для служб Windows	© Корпорация Майкрософт. Все права защищены.	??	21.00 кб, rsAh, создан: 14.06.2008 3:05:38, изменен: 19.01.2008 13:33:32 Командная строка: C:\Windows\system32\svchost.exe -k netsvcs
c:\windows\system32\winlogon.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	680	Программа входа в систему Windows	© Корпорация Майкрософт. Все права защищены.	??	307.50 кб, rsAh, создан: 14.06.2008 3:07:57, изменен: 19.01.2008 13:33:37 Командная строка: winlogon.exe
Обнаружено:92, из них опознаны как безопасные 65

Имя модуля	Handle	Описание	Copyright	MD5	Используется процессами
C:\Program Files\Kaspersky Lab\Kaspersky AV for Yandex Online\FSSync.dll Скрипт: Kарантин, Удалить, Удалить через BC	268435456	FSSYNC.DLL	Copyright © Kaspersky Lab 1996-2007.	--	1668, 1300, 3248
C:\Windows\system32\ActiveToolBand.dll Скрипт: Kарантин, Удалить, Удалить через BC	50528256	ActiveToolBand Module	Copyright 2005	--	3044
C:\Windows\system32\eDStoolbar.dll Скрипт: Kарантин, Удалить, Удалить через BC	44826624	eDStoolbar Module	Copyright 2005	--	3044
C:\Windows\System32\mdimon.dll Скрипт: Kарантин, Удалить, Удалить через BC	1952251904	Microsoft® Document Imaging	Copyright (C) Microsoft Corp. 2001-2006	--	1604
C:\Windows\system32\PSDUtil.dll Скрипт: Kарантин, Удалить, Удалить через BC	268435456	PSD Utilities	Copyright (C) 2007	--	1872
C:\Windows\system32\sysenv.dll Скрипт: Kарантин, Удалить, Удалить через BC	1900544	System share library	Copyright (C) 2005	--	1872, 3044
c:\windows\system32\uxtuneup.dll Скрипт: Kарантин, Удалить, Удалить через BC	1431830528	TuneUp Theme Extension	© TuneUp Software	--	1124, 680
Обнаружено модулей:604, из них опознаны как безопасные 597

Модули пространства ядра

Модуль	Базовый адрес	Размер в памяти	Описание	Производитель
C:\Windows\System32\Drivers\adt029pp.SYS Скрипт: Kарантин, Удалить, Удалить через BC	8CC07000	065000 (413696)	ATAPI IDE Miniport Driver	© Microsoft Corporation. All rights reserved.
C:\Windows\System32\Drivers\dump_dumpata.sys Скрипт: Kарантин, Удалить, Удалить через BC	A1881000	00B000 (45056)
C:\Windows\System32\Drivers\dump_msahci.sys Скрипт: Kарантин, Удалить, Удалить через BC	A188C000	00A000 (40960)
C:\Windows\system32\DRIVERS\psdfilter.sys Скрипт: Kарантин, Удалить, Удалить через BC	888F6000	009000 (36864)	PSD Filter Driver	Copyright (c) . All rights reserved.
C:\Windows\system32\drivers\PSDNServ.sys Скрипт: Kарантин, Удалить, Удалить через BC	88D89000	009000 (36864)	PSD Named Pipe Driver	Copyright (c) . All rights reserved.
C:\Windows\system32\drivers\psdvdisk.sys Скрипт: Kарантин, Удалить, Удалить через BC	88D77000	012000 (73728)	PSD Virtual Disk Driver	Copyright (c) . All rights reserved.
C:\Windows\System32\Drivers\sppb.sys Скрипт: Kарантин, Удалить, Удалить через BC	80E37000	100000 (1048576)
Обнаружено модулей - 158, опознано как безопасные - 151

Службы

Служба	Описание	Статус	Файл	Группа	Зависимости
msiserver Служба: Стоп, Удалить, Отключить	Установщик Windows	Не запущен	C:\Windows\system32\msiexec Скрипт: Kарантин, Удалить, Удалить через BC		rpcss
odserv Служба: Стоп, Удалить, Отключить	Microsoft Office Diagnostics Service	Не запущен	C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE Скрипт: Kарантин, Удалить, Удалить через BC
SNMPTRAP Служба: Стоп, Удалить, Отключить	Ловушка SNMP	Не запущен	C:\Windows\System32\snmptrap.exe Скрипт: Kарантин, Удалить, Удалить через BC
Steam Client Service Служба: Стоп, Удалить, Отключить	Steam Client Service	Не запущен	C:\Program Files\Common Files\Steam\SteamService.exe Скрипт: Kарантин, Удалить, Удалить через BC
TuneUp.Defrag Служба: Стоп, Удалить, Отключить	TuneUp Drive Defrag Service	Не запущен	C:\Windows\System32\TuneUpDefragService.exe Скрипт: Kарантин, Удалить, Удалить через BC
Обнаружено - 144, опознано как безопасные - 139

Драйверы

Служба	Описание	Статус	Файл	Группа	Зависимости
PSDFilter Драйвер: Выгрузить, Удалить, Отключить	PSDFilter	Работает	C:\Windows\system32\DRIVERS\psdfilter.sys Скрипт: Kарантин, Удалить, Удалить через BC	FSFilter Activity Monitor
PSDNServ Драйвер: Выгрузить, Удалить, Отключить	PSDNSERVER	Работает	C:\Windows\system32\drivers\PSDNServ.sys Скрипт: Kарантин, Удалить, Удалить через BC
psdvdisk Драйвер: Выгрузить, Удалить, Отключить	psdvdisk	Работает	C:\Windows\system32\drivers\psdvdisk.sys Скрипт: Kарантин, Удалить, Удалить через BC
sptd Драйвер: Выгрузить, Удалить, Отключить	sptd	Работает	C:\Windows\System32\Drivers\sptd.sys Скрипт: Kарантин, Удалить, Удалить через BC	Boot Bus Extender
blbdrive Драйвер: Выгрузить, Удалить, Отключить	blbdrive	Не запущен	C:\Windows\system32\drivers\blbdrive.sys Скрипт: Kарантин, Удалить, Удалить через BC
IpInIp Драйвер: Выгрузить, Удалить, Отключить	IP in IP Tunnel Driver	Не запущен	C:\Windows\system32\DRIVERS\ipinip.sys Скрипт: Kарантин, Удалить, Удалить через BC		Tcpip
NwlnkFlt Драйвер: Выгрузить, Удалить, Отключить	IPX Traffic Filter Driver	Не запущен	C:\Windows\system32\DRIVERS\nwlnkflt.sys Скрипт: Kарантин, Удалить, Удалить через BC		NwlnkFwd
NwlnkFwd Драйвер: Выгрузить, Удалить, Отключить	IPX Traffic Forwarder Driver	Не запущен	C:\Windows\system32\DRIVERS\nwlnkfwd.sys Скрипт: Kарантин, Удалить, Удалить через BC
Обнаружено - 239, опознано как безопасные - 231

Автозапуск

Имя файла	Статус	Метод запуска	Описание
C:\Users\22B1~1\Desktop\THEBES~1.SCR Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_CURRENT_USER, Control Panel\Desktop, scrnsave.exe
C:\Users\22B1~1\Desktop\THEBES~1.SCR Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Файл system.ini	C:\Windows\system.ini, boot, SCRNSAVE.EXE
rdpclip Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd, StartupPrograms
Обнаружено элементов автозапуска - 45, опознано как безопасные - 42

Модули расширения Internet Explorer (BHO, панели ...)

Имя файла	Тип	Описание	Производитель	CLSID
C:\Windows\system32\ActiveToolBand.dll Скрипт: Kарантин, Удалить, Удалить через BC	BHO	ActiveToolBand Module	Copyright 2005	{83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} Удалить
C:\Windows\system32\eDStoolbar.dll Скрипт: Kарантин, Удалить, Удалить через BC	Панель	eDStoolbar Module	Copyright 2005	{5CBE3B7C-1E47-477e-A7DD-396DB0476E29} Удалить
C:\Program Files\BS_Player\tbBS_0.dll Скрипт: Kарантин, Удалить, Удалить через BC	BHO	Conduit Toolbar	Copyright © Conduit Ltd. 2008	{fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5} Удалить
C:\Program Files\BS_Player\tbBS_0.dll Скрипт: Kарантин, Удалить, Удалить через BC	Панель	Conduit Toolbar	Copyright © Conduit Ltd. 2008	{fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5} Удалить
Обнаружено элементов - 12, опознано как безопасные - 8

Модули расширения проводника

Имя файла	Назначение	Описание	Производитель	CLSID
%CommonProgramFiles%\System\Ole DB\oledb32.dll Скрипт: Kарантин, Удалить, Удалить через BC	Microsoft Data Link			{2206CDB2-19C1-11D1-89E0-00C04FD7A829}
	IE User Assist			{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75}
	lnkfile			{00020d75-0000-0000-c000-000000000046}
	Color Control Panel Applet			{b2c761c6-29bc-4f19-9251-e6195265baf1}
	Add New Hardware			{7A979262-40CE-46ff-AEEE-7884AC3B6136}
	Get Programs Online			{3e7efb4c-faf1-453d-89eb-56026875ef90}
	Taskbar and Start Menu			{0DF44EAA-FF21-4412-828E-260A8728E7F1}
	ActiveDirectory Folder			{1b24a030-9b20-49bc-97ac-1be4426f9e59}
	ActiveDirectory Folder			{34449847-FD14-4fc8-A75A-7432F5181EFB}
	Sam Account Folder			{C8494E42-ACDD-4739-B0FB-217361E4894F}
	Sam Account Folder			{E29F9716-5C08-4FCD-955A-119FDB5A522D}
	Control Panel command object for Start menu			{5399E694-6CE5-4D6C-8FCE-1D8870FDCBA0}
	Default Programs command object for Start menu			{E44E5D18-0652-4508-A4E2-8A090067BCB0}
	Folder Options			{6dfd7c5c-2451-11d3-a299-00c04f8ef6af}
	Explorer Query Band			{2C2577C2-63A7-40e3-9B7F-586602617ECB}
	View Available Networks			{38a98528-6cbf-4ca9-8dc0-b1e1d10f7b1b}
%CommonProgramFiles%\System\wab32.dll Скрипт: Kарантин, Удалить, Удалить через BC	Windows Contact Preview Handler			{13D3C4B8-B179-4ebb-BF62-F704173E7448}
	Contacts folder			{0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}
%CommonProgramFiles%\System\wab32.dll Скрипт: Kарантин, Удалить, Удалить через BC	.group shell extension handler			{4F58F63F-244B-4c07-B29F-210BE59BE9B4}
%CommonProgramFiles%\System\wab32.dll Скрипт: Kарантин, Удалить, Удалить через BC	.contact shell extension handler			{8082C5E6-4C27-48ec-A809-B8E1122E8F97}
%CommonProgramFiles%\System\wab32.dll Скрипт: Kарантин, Удалить, Удалить через BC	group_wab_auto_file			{16C2C29D-0E5F-45f3-A445-03E03F587B7D}
%CommonProgramFiles%\System\wab32.dll Скрипт: Kарантин, Удалить, Удалить через BC	contact_wab_auto_file			{CF67796C-F57F-45F8-92FB-AD698826C602}
	Windows Firewall			{4026492f-2f69-46b8-b9bf-5654fc07e423}
	Problem Reports and Solutions			{fcfeecae-ee1b-4849-ae50-685dcf7717ec}
	iSCSI Initiator			{a304259d-52b8-4526-8b1a-a1d6cecc8243}
	.cab or .zip files			{911051fa-c21c-4246-b470-070cd8df6dc4}
	Windows Search Shell Service			{da67b8ad-e81b-4c70-9b91b417b5e33527}
	Microsoft.ScannersAndCameras			{00f2886f-cd64-4fc9-8ec5-30ef6cdbe8c3}
"C:\Windows\System32\rundll32.exe" "C:\Program Files\\Windows Photo Gallery\PhotoViewer.dll",ImageView_COMServer {9D687A4C-1404-41ef-A089-883B6FBECDE6} Скрипт: Kарантин, Удалить, Удалить через BC	Windows Photo Gallery Viewer Autoplay Handler			{9D687A4C-1404-41ef-A089-883B6FBECDE6}
	Windows Sidebar Properties			{37efd44d-ef8d-41b1-940d-96973a50e9e0}
	Windows Features			{67718415-c450-4f3c-bf8a-b487642dc39b}
	Windows Defender			{d8559eb9-20c0-410e-beda-7ed416aecc2a}
	Mobility Center Control Panel			{5ea4f148-308c-46d7-98a9-49041b1dd468}
"C:\Program Files\\Windows Media Player\wmprph.exe" Скрипт: Kарантин, Удалить, Удалить через BC	Windows Media Player Rich Preview Handler			{031EE060-67BC-460d-8847-E4A7C5E45A27}
	User Accounts			{7A9D77BD-5403-11d2-8785-2E0420524153}
	EPM-PO Shell Extension			{2b45bd21-71f8-4c8c-a87a-7eeb25a1a3e0}
C:\Windows\System32\uxtuneup.dll Скрипт: Kарантин, Удалить, Удалить через BC	TuneUp Theme Extension	TuneUp Theme Extension	© TuneUp Software	{44440D00-FF19-4AFC-B765-9A0970567D97}
Обнаружено элементов - 286, опознано как безопасные - 249

Модули расширения системы печати (мониторы печати, провайдеры)

Имя файла	Тип	Наименование	Описание	Производитель
C:\Windows\system32\mdimon.dll Скрипт: Kарантин, Удалить, Удалить через BC	Монитор	Microsoft Document Imaging Writer Monitor	Microsoft® Document Imaging	Copyright (C) Microsoft Corp. 2001-2006
Обнаружено элементов - 7, опознано как безопасные - 6

Задания планировщика задач Task Scheduler

Имя файла	Имя задания	Состояние задания	Описание	Производитель
Обнаружено элементов - 2, опознано как безопасные - 2

Настройки SPI/LSP

Поставщики пространства имен (NSP)

Поставщик	Статус	Исп. файл	Описание	GUID
Обнаружено - 6, опознано как безопасные - 6

Поставщики транспортных протоколов (TSP, LSP)

Поставщик Исп. файл Описание
Обнаружено - 26, опознано как безопасные - 26
Результаты автоматического анализа настроек SPI
Настройки LSP проверены. Ошибок не обнаружено

Порты TCP/UDP

Порт Статус Remote Host Remote Port Приложение Примечания
Порты TCP
135 LISTENING 0.0.0.0 0 [0]
139 LISTENING 0.0.0.0 0 [0]
445 LISTENING 0.0.0.0 0 [0]
1110 TIME_WAIT 127.0.0.1 49233 [0]
1110 TIME_WAIT 127.0.0.1 49236 [0]
1110 TIME_WAIT 127.0.0.1 49249 [0]
1110 TIME_WAIT 127.0.0.1 49252 [0]
1110 LISTENING 0.0.0.0 0 [0]
2869 LISTENING 0.0.0.0 0 [0]
5357 LISTENING 0.0.0.0 0 [0]
19780 LISTENING 0.0.0.0 0 [0]
49152 LISTENING 0.0.0.0 0 [0]
49153 LISTENING 0.0.0.0 0 [0]
49154 LISTENING 0.0.0.0 0 [0]
49155 LISTENING 0.0.0.0 0 [0]
49157 LISTENING 0.0.0.0 0 [0]
49159 LISTENING 0.0.0.0 0 [0]
49168 ESTABLISHED 77.88.21.48 5222 [0]
49169 ESTABLISHED 127.0.0.1 49170 [0]
49170 ESTABLISHED 127.0.0.1 49169 [0]
49186 ESTABLISHED 127.0.0.1 49187 [0]
49187 ESTABLISHED 127.0.0.1 49186 [0]
49242 TIME_WAIT 127.0.0.1 1110 [0]
49245 TIME_WAIT 93.191.13.100 80 [0]
49246 TIME_WAIT 127.0.0.1 1110 [0]
Порты UDP
53 LISTENING -- -- [0]
67 LISTENING -- -- [0]
68 LISTENING -- -- [0]
123 LISTENING -- -- [0]
137 LISTENING -- -- [0]
138 LISTENING -- -- [0]
1900 LISTENING -- -- [0]
1900 LISTENING -- -- [0]
3702 LISTENING -- -- [0]
3702 LISTENING -- -- [0]
5355 LISTENING -- -- [0]
49927 LISTENING -- -- [0]
49928 LISTENING -- -- [0]
49935 LISTENING -- -- [0]
49936 LISTENING -- -- [0]
49938 LISTENING -- -- [0]
49950 LISTENING -- -- [0]
49951 LISTENING -- -- [0]
57830 LISTENING -- -- [0]
64554 LISTENING -- -- [0]
65340 LISTENING -- -- [0]

Downloaded Program Files (DPF)

Имя файла Описание Производитель CLSID URL загрузки
Обнаружено элементов - 3, опознано как безопасные - 3

Апплеты панели управления (CPL)

Имя файла Описание Производитель
C:\Windows\system32\ODBCCP32.CPL
Скрипт: Kарантин, Удалить, Удалить через BC Microsoft ODBC Control Panel Copyright (C) Microsoft Corporation 1990-1999
Обнаружено элементов - 23, опознано как безопасные - 22

Active Setup

Имя файла Описание Производитель CLSID
C:\Windows\system32\unregmp2.exe
Скрипт: Kарантин, Удалить, Удалить через BC Программа установки проигрывателя Windows Media (Microsoft) (C) Корпорация Майкрософт. Все права защищены. >{22d6f312-b0f6-11d0-94ab-0080c74c7e95}
C:\Windows\system32\unregmp2.exe
Скрипт: Kарантин, Удалить, Удалить через BC Программа установки проигрывателя Windows Media (Microsoft) (C) Корпорация Майкрософт. Все права защищены. {6BF52A52-394A-11d3-B153-00C04F79FAA6}
Обнаружено элементов - 9, опознано как безопасные - 7

Файл HOSTS

Запись файла Hosts
127.0.0.1 jL.chura.pl

Протоколы и обработчики

Имя файла Тип Описание Производитель CLSID
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Обнаружено элементов - 20, опознано как безопасные - 17

Подозрительные объекты

Файл Описание Тип

Протокол антивирусной утилиты AVZ версии 4.30 Сканирование запущено в 16.05.2009 9:25:18 Загружена база: сигнатуры - 223554, нейропрофили - 2, микропрограммы лечения - 56, база от 15.05.2009 21:52 Загружены микропрограммы эвристики: 372 Загружены микропрограммы ИПУ: 9 Загружены цифровые подписи системных файлов: 112009 Режим эвристического анализатора: Максимальный уровень эвристики Режим лечения: выключено Версия Windows: 6.0.6001, Service Pack 1 ; AVZ работает с правами администратора Восстановление системы: включено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=12C8C0) Ядро ntoskrnl.exe обнаружено в памяти по адресу 84C4A000 SDT = 84D768C0 KiST = 84CB78D0 (391) Проверено функций: 391, перехвачено: 0, восстановлено: 0 1.3 Проверка IDT и SYSENTER Анализ для процессора 1 Проверка IDT и SYSENTER завершена 1.4 Поиск маскировки процессов и драйверов Маскировка процесса с PID=484, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 484) Маскировка процесса с PID=532, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 532) Маскировка процесса с PID=576, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 576) Маскировка процесса с PID=948, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 948) Маскировка процесса с PID=988, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 988) Маскировка процесса с PID=840, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 840) Маскировка процесса с PID=2276, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2276) Маскировка процесса с PID=2560, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2560) Маскировка процесса с PID=2780, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2780) Маскировка процесса с PID=2828, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2828) Маскировка процесса с PID=2840, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2840) Маскировка процесса с PID=2944, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2944) Маскировка процесса с PID=3040, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3040) Маскировка процесса с PID=3076, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3076) Маскировка процесса с PID=3084, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3084) Маскировка процесса с PID=3092, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3092) Маскировка процесса с PID=3152, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3152) Маскировка процесса с PID=3348, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3348) Маскировка процесса с PID=3668, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3668) Маскировка процесса с PID=4008, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 4008) Маскировка процесса с PID=4024, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 4024) Маскировка процесса с PID=2940, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2940) Маскировка процесса с PID=2448, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2448) Маскировка процесса с PID=2928, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2928) Маскировка процесса с PID=3180, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3180) Маскировка процесса с PID=3152, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3152) Маскировка процесса с PID=3772, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3772) Поиск маскировки процессов и драйверов завершен Драйвер успешно загружен 1.5 Проверка обработчиков IRP \FileSystem\ntfs[IRP_MJ_CREATE] = 86BBE1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_CLOSE] = 86BBE1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_WRITE] = 86BBE1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 86BBE1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 86BBE1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 86BBE1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_EA] = 86BBE1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 86BBE1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 86BBE1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 86BBE1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 86BBE1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 86BBE1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 86BBE1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 86BBE1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 86BBE1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_PNP] = 86BBE1F8 -> перехватчик не определен Проверка завершена 2. Проверка памяти Количество найденных процессов: 63 Количество загруженных модулей: 564 Проверка памяти завершена 3. Сканирование дисков 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами Проверка отключена пользователем 7. Эвристичеcкая проверка системы Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "eNetHook.dll,C:\PROGRA~1\KASPER~1\KASPER~1\r3hook.dll" Проверка завершена 8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба TermService (@%SystemRoot%\System32\termsrv.dll,-268) >> Службы: разрешена потенциально опасная служба SSDPSRV (@%systemroot%\system32\ssdpsrv.dll,-100) >> Службы: разрешена потенциально опасная служба Schedule (@%SystemRoot%\system32\schedsvc.dll,-100) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику Проверка завершена 9. Мастер поиска и устранения проблем Проверка завершена Просканировано файлов: 627, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0 Сканирование завершено в 16.05.2009 9:26:44 Сканирование длилось 00:01:33 Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам, то Вы можете обратиться в конференцию - http://virusinfo.info Выполняется исследование системы
Команды скрипта

Добавить в скрипт команды:
Нейтрализация перехватов функций при помощи антируткита
Включить AVZGuard
BootCleaner - импорт списка удаленных файлов
Чистка реестра после удаления файлов
BootCleaner - активация
Перезагрузка
Вставить заготовку для QuarantineFile() - помещение файла в карантин
Вставить заготовку для BC_QrFile() - помещение файла в карантин через BC
Вставить заготовку для DeleteFile() - удаление файла
Вставить заготовку для DelCLSID() - удаление CLSID класса из реестра
Дополнительные операции:
Оптимизация - отключить службу TermService (@%SystemRoot%\System32\termsrv.dll,-268)
Оптимизация - отключить службу SSDPSRV (@%systemroot%\system32\ssdpsrv.dll,-100)
Оптимизация - отключить службу Schedule (@%SystemRoot%\system32\schedsvc.dll,-100)
Оптимизация - безопасность - блокировать возможность подключения анонимных пользователей
Безопасность - запретить отправку приглашений удаленному помошнику
Список файлов

Порт	Статус	Remote Host	Remote Port	Приложение	Примечания
Порты TCP
135	LISTENING	0.0.0.0	0	[0]
139	LISTENING	0.0.0.0	0	[0]
445	LISTENING	0.0.0.0	0	[0]
1110	TIME_WAIT	127.0.0.1	49233	[0]
1110	TIME_WAIT	127.0.0.1	49236	[0]
1110	TIME_WAIT	127.0.0.1	49249	[0]
1110	TIME_WAIT	127.0.0.1	49252	[0]
1110	LISTENING	0.0.0.0	0	[0]
2869	LISTENING	0.0.0.0	0	[0]
5357	LISTENING	0.0.0.0	0	[0]
19780	LISTENING	0.0.0.0	0	[0]
49152	LISTENING	0.0.0.0	0	[0]
49153	LISTENING	0.0.0.0	0	[0]
49154	LISTENING	0.0.0.0	0	[0]
49155	LISTENING	0.0.0.0	0	[0]
49157	LISTENING	0.0.0.0	0	[0]
49159	LISTENING	0.0.0.0	0	[0]
49168	ESTABLISHED	77.88.21.48	5222	[0]
49169	ESTABLISHED	127.0.0.1	49170	[0]
49170	ESTABLISHED	127.0.0.1	49169	[0]
49186	ESTABLISHED	127.0.0.1	49187	[0]
49187	ESTABLISHED	127.0.0.1	49186	[0]
49242	TIME_WAIT	127.0.0.1	1110	[0]
49245	TIME_WAIT	93.191.13.100	80	[0]
49246	TIME_WAIT	127.0.0.1	1110	[0]
Порты UDP
53	LISTENING	--	--	[0]
67	LISTENING	--	--	[0]
68	LISTENING	--	--	[0]
123	LISTENING	--	--	[0]
137	LISTENING	--	--	[0]
138	LISTENING	--	--	[0]
1900	LISTENING	--	--	[0]
1900	LISTENING	--	--	[0]
3702	LISTENING	--	--	[0]
3702	LISTENING	--	--	[0]
5355	LISTENING	--	--	[0]
49927	LISTENING	--	--	[0]
49928	LISTENING	--	--	[0]
49935	LISTENING	--	--	[0]
49936	LISTENING	--	--	[0]
49938	LISTENING	--	--	[0]
49950	LISTENING	--	--	[0]
49951	LISTENING	--	--	[0]
57830	LISTENING	--	--	[0]
64554	LISTENING	--	--	[0]
65340	LISTENING	--	--	[0]