Протокол исследования системы

Параметры LSP проверены. Ошибок не обнаружено

	127.0.0.1		localhost

Версия Microsoft Windows: Microsoft Windows XP, Build=2600, SP="Service Pack 2"
Восстановление системы: включено
1.1 Поиск перехватчиков API, работающих в пользовательском режиме
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:CopyFileA (64) перехвачена, метод APICodeHijack.JmpTo[00371B66]
 >>> Код руткита в функции CopyFileA нейтрализован
Функция kernel32.dll:CopyFileExA (65) перехвачена, метод APICodeHijack.JmpTo[00371BA6]
 >>> Код руткита в функции CopyFileExA нейтрализован
Функция kernel32.dll:CopyFileExW (66) перехвачена, метод APICodeHijack.JmpTo[00371BC6]
 >>> Код руткита в функции CopyFileExW нейтрализован
Функция kernel32.dll:CopyFileW (67) перехвачена, метод APICodeHijack.JmpTo[00371B86]
 >>> Код руткита в функции CopyFileW нейтрализован
Функция kernel32.dll:CreateFileA (80) перехвачена, метод APICodeHijack.JmpTo[00371B26]
 >>> Код руткита в функции CreateFileA нейтрализован
Функция kernel32.dll:CreateFileW (83) перехвачена, метод APICodeHijack.JmpTo[00371B46]
 >>> Код руткита в функции CreateFileW нейтрализован
Функция kernel32.dll:CreateProcessA (99) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C802367->61F03F42
Перехватчик kernel32.dll:CreateProcessA (99) нейтрализован
Функция kernel32.dll:CreateProcessW (103) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C802332->61F04040
Перехватчик kernel32.dll:CreateProcessW (103) нейтрализован
Функция kernel32.dll:DeleteFileW (131) перехвачена, метод APICodeHijack.JmpTo[00371CC6]
 >>> Код руткита в функции DeleteFileW нейтрализован
Функция kernel32.dll:FreeLibrary (241) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80ABDE->61F041FC
Перехватчик kernel32.dll:FreeLibrary (241) нейтрализован
Функция kernel32.dll:GetModuleFileNameA (372) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80B4CF->61F040FB
Перехватчик kernel32.dll:GetModuleFileNameA (372) нейтрализован
Функция kernel32.dll:GetModuleFileNameW (373) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80B3D5->61F041A0
Перехватчик kernel32.dll:GetModuleFileNameW (373) нейтрализован
Функция kernel32.dll:GetModuleHandleA (374) перехвачена, метод APICodeHijack.JmpTo[00371CE6]
 >>> Код руткита в функции GetModuleHandleA нейтрализован
Функция kernel32.dll:GetModuleHandleW (377) перехвачена, метод APICodeHijack.JmpTo[00371D06]
 >>> Код руткита в функции GetModuleHandleW нейтрализован
Функция kernel32.dll:GetProcAddress (408) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80ADA0->61F04648
Перехватчик kernel32.dll:GetProcAddress (408) нейтрализован
Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D77->61F03C6F
Перехватчик kernel32.dll:LoadLibraryA (578) нейтрализован
 >>> Функции LoadLibraryA - прививка процесса AVZ от перехвата подменой адреса  !!)
Функция kernel32.dll:LoadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D4F->61F03DAF
Перехватчик kernel32.dll:LoadLibraryExA (579) нейтрализован
 >>> Функции LoadLibraryExA - прививка процесса AVZ от перехвата подменой адреса !!)
Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF1->61F03E5A
Перехватчик kernel32.dll:LoadLibraryExW (580) нейтрализован
Функция kernel32.dll:LoadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AE4B->61F03D0C
Перехватчик kernel32.dll:LoadLibraryW (581) нейтрализован
Функция kernel32.dll:LoadModule (582) перехвачена, метод APICodeHijack.JmpTo[00371AA6]
 >>> Код руткита в функции LoadModule нейтрализован
Функция kernel32.dll:MoveFileA (606) перехвачена, метод APICodeHijack.JmpTo[00371BE6]
 >>> Код руткита в функции MoveFileA нейтрализован
Функция kernel32.dll:MoveFileExA (607) перехвачена, метод APICodeHijack.JmpTo[00371C26]
 >>> Код руткита в функции MoveFileExA нейтрализован
Функция kernel32.dll:MoveFileExW (608) перехвачена, метод APICodeHijack.JmpTo[00371C46]
 >>> Код руткита в функции MoveFileExW нейтрализован
Функция kernel32.dll:MoveFileW (609) перехвачена, метод APICodeHijack.JmpTo[00371C06]
 >>> Код руткита в функции MoveFileW нейтрализован
Функция kernel32.dll:MoveFileWithProgressA (610) перехвачена, метод APICodeHijack.JmpTo[00371C66]
 >>> Код руткита в функции MoveFileWithProgressA нейтрализован
Функция kernel32.dll:MoveFileWithProgressW (611) перехвачена, метод APICodeHijack.JmpTo[00371C86]
 >>> Код руткита в функции MoveFileWithProgressW нейтрализован
Функция kernel32.dll:OpenFile (622) перехвачена, метод APICodeHijack.JmpTo[00371B06]
 >>> Код руткита в функции OpenFile нейтрализован
Функция kernel32.dll:WinExec (896) перехвачена, метод APICodeHijack.JmpTo[00371D66]
 >>> Код руткита в функции WinExec нейтрализован
Обнаружена модификация IAT: LoadLibraryW - 00EE0010<>7C80AE4B
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:LdrGetProcedureAddress (65) перехвачена, метод APICodeHijack.JmpTo[003719E6]
 >>> Код руткита в функции LdrGetProcedureAddress нейтрализован
Функция ntdll.dll:LdrLoadDll (70) перехвачена, метод APICodeHijack.JmpTo[00374546]
 >>> Код руткита в функции LdrLoadDll нейтрализован
Функция ntdll.dll:LdrUnloadDll (80) перехвачена, метод APICodeHijack.JmpTo[00378A56]
 >>> Код руткита в функции LdrUnloadDll нейтрализован
Функция ntdll.dll:NtAllocateVirtualMemory (103) перехвачена, метод APICodeHijack.JmpTo[00371946]
 >>> Код руткита в функции NtAllocateVirtualMemory нейтрализован
Функция ntdll.dll:NtClose (111) перехвачена, метод APICodeHijack.JmpTo[00378B26]
 >>> Код руткита в функции NtClose нейтрализован
Функция ntdll.dll:NtCreateFile (123) перехвачена, метод APICodeHijack.JmpTo[003718C6]
 >>> Код руткита в функции NtCreateFile нейтрализован
Функция ntdll.dll:NtCreateProcess (134) перехвачена, метод APICodeHijack.JmpTo[00371886]
 >>> Код руткита в функции NtCreateProcess нейтрализован
Функция ntdll.dll:NtCreateProcessEx (135) перехвачена, метод APICodeHijack.JmpTo[003719A6]
 >>> Код руткита в функции NtCreateProcessEx нейтрализован
Функция ntdll.dll:NtDeleteFile (150) перехвачена, метод APICodeHijack.JmpTo[00371906]
 >>> Код руткита в функции NtDeleteFile нейтрализован
Функция ntdll.dll:NtFreeVirtualMemory (171) перехвачена, метод APICodeHijack.JmpTo[00371A26]
 >>> Код руткита в функции NtFreeVirtualMemory нейтрализован
Функция ntdll.dll:NtLoadDriver (185) перехвачена, метод APICodeHijack.JmpTo[00371966]
 >>> Код руткита в функции NtLoadDriver нейтрализован
Функция ntdll.dll:NtOpenFile (204) перехвачена, метод APICodeHijack.JmpTo[003718E6]
 >>> Код руткита в функции NtOpenFile нейтрализован
Функция ntdll.dll:NtProtectVirtualMemory (226) перехвачена, метод APICodeHijack.JmpTo[00371926]
 >>> Код руткита в функции NtProtectVirtualMemory нейтрализован
Функция ntdll.dll:NtSetInformationProcess (319) перехвачена, метод APICodeHijack.JmpTo[003719C6]
 >>> Код руткита в функции NtSetInformationProcess нейтрализован
Функция ntdll.dll:NtUnloadDriver (353) перехвачена, метод APICodeHijack.JmpTo[00371986]
 >>> Код руткита в функции NtUnloadDriver нейтрализован
Функция ntdll.dll:NtWriteVirtualMemory (369) перехвачена, метод APICodeHijack.JmpTo[003718A6]
 >>> Код руткита в функции NtWriteVirtualMemory нейтрализован
Функция ntdll.dll:RtlAllocateHeap (405) перехвачена, метод APICodeHijack.JmpTo[00371A06]
 >>> Код руткита в функции RtlAllocateHeap нейтрализован
 Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:EndTask (202) перехвачена, метод APICodeHijack.JmpTo[003786F6]
 >>> Код руткита в функции EndTask нейтрализован
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CreateServiceA (102) перехвачена, метод APICodeHijack.JmpTo[00370FF6]
 >>> Код руткита в функции CreateServiceA нейтрализован
Функция advapi32.dll:CreateServiceW (103) перехвачена, метод APICodeHijack.JmpTo[00371246]
 >>> Код руткита в функции CreateServiceW нейтрализован
Функция advapi32.dll:OpenServiceA (430) перехвачена, метод APICodeHijack.JmpTo[00371636]
 >>> Код руткита в функции OpenServiceA нейтрализован
Функция advapi32.dll:OpenServiceW (431) перехвачена, метод APICodeHijack.JmpTo[00371476]
 >>> Код руткита в функции OpenServiceW нейтрализован
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в привилегированном режиме
 Драйвер успешно загружен
 SDT найдена (RVA=08A500)
 Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
   SDT = 80561500
   KiST = 804E48B0 (284)
Функция NtAdjustPrivilegesToken (0B) перехвачена (805AE870->B22D5D46), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtClose (19) перехвачена (8056E93F->F74A3AF8), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtConnectPort (1F) перехвачена (80591D72->B22D5250), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateFile (25) перехвачена (8057D3BC->B22D58EA), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateKey (29) перехвачена (8057722F->B22D62C2), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreatePagingFile (2D) перехвачена (805C4F59->F7497B00), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreatePort (2E) перехвачена (80599A0C->B22D5132), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateSection (32) перехвачена (8056CE25->B22D7254), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateSymbolicLinkObject (34) перехвачена (805A8660->B22D752C), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateThread (35) перехвачена (805849B4->B22D4CF8), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDeleteKey (3F) перехвачена (8059817B->B22D5F2C), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDeleteValueKey (41) перехвачена (805969F7->B22D60DC), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDuplicateObject (44) перехвачена (80578BF0->B22D4A5A), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateKey (47) перехвачена (805783A4->F7498388), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateValueKey (49) перехвачена (8058F45F->F74A3BF0), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtLoadDriver (61) перехвачена (805B97AD->B22D6ED6), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtMakeTemporaryObject (69) перехвачена (805A88C1->B22D54D4), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenFile (74) перехвачена (8057D530->B22D5B2E), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenKey (77) перехвачена (80571CB4->F74A3A74), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenProcess (7A) перехвачена (80579084->B22D478A), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenSection (7D) перехвачена (8057EB42->B22D5764), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenThread (80) перехвачена (805B1334->B22D4902), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryKey (A0) перехвачена (80577FA4->F74983A8), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryValueKey (B1) перехвачена (805720F8->F74A3B46), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtRenameKey (C0) перехвачена (80654121->B22D6688), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtRequestWaitReplyPort (C8) перехвачена (8057866E->B22D69F0), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSecureConnectPort (D2) перехвачена (8058E59A->B22D6C72), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetSystemInformation (F0) перехвачена (805E5DE5->B22D7084), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetSystemPowerState (F1) перехвачена (8066D0F9->F74A3390), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetValueKey (F7) перехвачена (8057FF0B->B22D6488), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtShutdownSystem (F9) перехвачена (8064C98F->B22D546E), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSystemDebugControl (FF) перехвачена (8064F18F->B22D5658), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtTerminateProcess (101) перехвачена (8058C39D->B22D4FFC), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtTerminateThread (102) перехвачена (805845F0->B22D4ECA), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Проверено функций: 284, перехвачено: 34, восстановлено: 34
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Анализ для процессора 2
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Поиск маскировки процессов и драйверов завершен
 Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 8A8931F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8A8931F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8A8931F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8A8931F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8A8931F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8A8931F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8A8931F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A8931F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8A8931F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8A8931F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A8931F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8A8931F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8A8931F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8A8931F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8A8931F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8A8931F8 -> перехватчик не определен
 Проверка завершена
C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.3053_x-ww_b80fa8ca\MSVCP80.dll --> Подозрение на перехватчик клавиатуры или троянскую программу
C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.3053_x-ww_b80fa8ca\MSVCP80.dll>>> Поведенческий анализ 
 Типичное поведение для перехватчиков клавиатуры не зарегистрировано
C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.3053_x-ww_b80fa8ca\MSVCR80.dll --> Подозрение на перехватчик клавиатуры или троянскую программу
C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.3053_x-ww_b80fa8ca\MSVCR80.dll>>> Поведенческий анализ 
 Типичное поведение для перехватчиков клавиатуры не зарегистрировано
C:\WINDOWS\system32\guard32.dll --> Подозрение на перехватчик клавиатуры или троянскую программу
C:\WINDOWS\system32\guard32.dll>>> Поведенческий анализ 
 Типичное поведение для перехватчиков клавиатуры не зарегистрировано
C:\Program Files\Punto Switcher\pshook.dll --> Подозрение на перехватчик клавиатуры или троянскую программу
C:\Program Files\Punto Switcher\pshook.dll>>> Поведенческий анализ 
  1. Реагирует на события: клавиатура
  2. Выясняет, какое окно находится в фокусе ввода
C:\Program Files\Punto Switcher\pshook.dll>>> Нейросеть: файл с вероятностью 0.00% похож на типовой перехватчик клавиатуры/мыши
Совет: заподозренные файлы НЕ следует удалять, их следует отправить на исследование (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\WINDOWS\system32\guard32.dll"
Нестандартный ключ Winlogon\Shell, подозрение на скрытый запуск "explorer.exe rundll32.exe dckp.suo printer"
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: набор применяемых на компьютере служб зависит от области его применения (домашний, компьютер в сети предприятия и т.д.)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к компьютеру разрешен доступ анонимного пользователя
 >>  Изменен ключ запуска Проводника
 >>  Отключить автозапуск с жестких дисков
 >>  Отключить автозапуск с сетевых дисков
 >>  Отключить автозапуск с CD-ROM
 >>  Отключить автозапуск с съемных носителей
Выполняется исследование системы...


Команды скрипта
 
Добавить в скрипт команды:
Нейтрализация перехватов функций при помощи антируткита
Включить AVZGuard
BootCleaner: импорт списка удаленных файлов
Чистка реестра после удаления файлов
BootCleaner: активация
Перезагрузка
Вставить заготовку для QuarantineFile() - помещение файла на карантин
Вставить заготовку для BC_QrFile() - помещение файла на карантин через BC
Вставить заготовку для DeleteFile() - удаление файла
Вставить заготовку для DelCLSID() - удаление CLSID-класса из реестра
Дополнительные операции:
Оптимизация: отключить службу TermService (Службы терминалов)
Оптимизация: отключить службу Schedule (Планировщик заданий)
Оптимизация - безопасность: отключить административный доступ к локальным дискам
Оптимизация - безопасность: блокировать возможность подключения анонимных пользователей

Список файлов