Протокол исследования системы

Kaspersky Virus Removal Tool 2010 9.0.0.722 (база от 27/03/2010; 07:15)

Список процессов

Имя файла	PID	Описание	Copyright	MD5	Информация
c:\program files\agava antispy\ah.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1644	AntiSpy executable module	Copyright © 2004-2009 AGAVA Software	??	247.50 КБ, rsAh, создан: 30.11.2009 13:59:30, изменен: 30.11.2009 13:59:30 Командная строка: "C:\Program Files\AGAVA AntiSpy\ah.exe" -background -scanner
c:\program files\brother\controlcenter3\brccmctl.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1752	Control Center 3 Main Program	Copyright(C) 2005-2007 Brother Industries, Ltd.	??	528.00 КБ, rsah, создан: 20.03.2010 17:19:26, изменен: 09.11.2007 20:51:40 Командная строка: "C:\Program Files\Brother\ControlCenter3\brccMCtl.exe" /autorun
c:\program files\brother\brmfcmon\brmfcwnd.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1648	Brother Status Monitor MFC Application	Copyright (C) 2005 - 2009	??	728.00 КБ, Rsah, создан: 20.03.2010 17:19:30, изменен: 10.02.2009 11:03:16 Командная строка: "C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe" /AUTORUN
Обнаружено:36, из них опознаны как безопасные 34

Имя модуля	Handle	Описание	Copyright	MD5	Используется процессами
C:\Program Files\AGAVA AntiSpy\ah.exe Скрипт: Kарантин, Удалить, Удалить через BC	4194304	AntiSpy executable module	Copyright © 2004-2009 AGAVA Software	??	1644
C:\Program Files\AGAVA AntiSpy\ahgen.dll Скрипт: Kарантин, Удалить, Удалить через BC	24903680	AntiSpy user interface	Copyright © 2004-2009 AGAVA Software	--	1644
C:\Program Files\AGAVA AntiSpy\ahres.dll Скрипт: Kарантин, Удалить, Удалить через BC	9633792	Russian resources	Copyright © 2004-2009 AGAVA Software	--	1644
C:\Program Files\AGAVA AntiSpy\ahupdate.dll Скрипт: Kарантин, Удалить, Удалить через BC	19988480	AntiSpy AU	Copyright © 2004-2009 AGAVA Software	--	1644
C:\Program Files\AGAVA AntiSpy\WSCEngine.dll Скрипт: Kарантин, Удалить, Удалить через BC	268435456			--	1644
C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe Скрипт: Kарантин, Удалить, Удалить через BC	4194304	Brother Status Monitor MFC Application	Copyright (C) 2005 - 2009	??	1648
C:\Program Files\Brother\Brmfcmon\BRMFCWNDRus.dll Скрипт: Kарантин, Удалить, Удалить через BC	11468800	Brother Status Monitor Langage Resource	Copyright (C) 2004-2009 Brother Industries, Ltd.	--	1648
C:\Program Files\Brother\ControlCenter3\brccFCtl.dll Скрипт: Kарантин, Удалить, Удалить через BC	54263808	ControlCenter FunctionControl	Copyright(C) 2005-2008 Brother Industries, Ltd.	--	1752
Обнаружено модулей:384, из них опознаны как безопасные 376

Модули пространства ядра

Плагин	Базовый адрес	Размер в памяти	Описание	Производитель
C:\WINDOWS\System32\Drivers\dump_atapi.sys Скрипт: Kарантин, Удалить, Удалить через BC	ED0C9000	018000 (98304)
C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS Скрипт: Kарантин, Удалить, Удалить через BC	F7B7A000	002000 (8192)
C:\WINDOWS\system32\Drivers\fwcore.sys Скрипт: Kарантин, Удалить, Удалить через BC	F73BB000	016000 (90112)	AGAVA Firewall Filter Driver	Copyright © 2004-2005 AGAVA Software
Обнаружено модулей - 123, опознано как безопасные - 120

Службы

Служба	Описание	Статус	Файл	Группа	Зависимости
Обнаружено - 95, опознано как безопасные - 95

Драйверы

Служба	Описание	Статус	Файл	Группа	Зависимости
fwcore Драйвер: Выгрузить, Удалить, Отключить	AGAVA Firewall Driver	Работает	C:\WINDOWS\System32\drivers\fwcore.sys Скрипт: Kарантин, Удалить, Удалить через BC	NDIS Wrapper
Abiosdsk Драйвер: Выгрузить, Удалить, Отключить	Abiosdsk	Не запущен	Abiosdsk.sys Скрипт: Kарантин, Удалить, Удалить через BC	Primary disk
abp480n5 Драйвер: Выгрузить, Удалить, Отключить	abp480n5	Не запущен	abp480n5.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
adpu160m Драйвер: Выгрузить, Удалить, Отключить	adpu160m	Не запущен	adpu160m.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
Aha154x Драйвер: Выгрузить, Удалить, Отключить	Aha154x	Не запущен	Aha154x.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
aic78u2 Драйвер: Выгрузить, Удалить, Отключить	aic78u2	Не запущен	aic78u2.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
aic78xx Драйвер: Выгрузить, Удалить, Отключить	aic78xx	Не запущен	aic78xx.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
AliIde Драйвер: Выгрузить, Удалить, Отключить	AliIde	Не запущен	AliIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
amsint Драйвер: Выгрузить, Удалить, Отключить	amsint	Не запущен	amsint.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
asc Драйвер: Выгрузить, Удалить, Отключить	asc	Не запущен	asc.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
asc3350p Драйвер: Выгрузить, Удалить, Отключить	asc3350p	Не запущен	asc3350p.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
asc3550 Драйвер: Выгрузить, Удалить, Отключить	asc3550	Не запущен	asc3550.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
Atdisk Драйвер: Выгрузить, Удалить, Отключить	Atdisk	Не запущен	Atdisk.sys Скрипт: Kарантин, Удалить, Удалить через BC	Primary disk
autorun Драйвер: Выгрузить, Удалить, Отключить	autorun	Не запущен	C:\huadio.tmp Скрипт: Kарантин, Удалить, Удалить через BC
catchme Драйвер: Выгрузить, Удалить, Отключить	catchme	Не запущен	C:\DOCUME~1\User\LOCALS~1\Temp\catchme.sys Скрипт: Kарантин, Удалить, Удалить через BC	Base
cd20xrnt Драйвер: Выгрузить, Удалить, Отключить	cd20xrnt	Не запущен	cd20xrnt.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
Changer Драйвер: Выгрузить, Удалить, Отключить	Changer	Не запущен	Changer.sys Скрипт: Kарантин, Удалить, Удалить через BC	Filter
CmdIde Драйвер: Выгрузить, Удалить, Отключить	CmdIde	Не запущен	CmdIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
Cpqarray Драйвер: Выгрузить, Удалить, Отключить	Cpqarray	Не запущен	Cpqarray.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
dac960nt Драйвер: Выгрузить, Удалить, Отключить	dac960nt	Не запущен	dac960nt.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
dpti2o Драйвер: Выгрузить, Удалить, Отключить	dpti2o	Не запущен	dpti2o.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
hpn Драйвер: Выгрузить, Удалить, Отключить	hpn	Не запущен	hpn.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
i2omgmt Драйвер: Выгрузить, Удалить, Отключить	i2omgmt	Не запущен	i2omgmt.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI Class
i2omp Драйвер: Выгрузить, Удалить, Отключить	i2omp	Не запущен	i2omp.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
ini910u Драйвер: Выгрузить, Удалить, Отключить	ini910u	Не запущен	ini910u.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
IntelIde Драйвер: Выгрузить, Удалить, Отключить	IntelIde	Не запущен	IntelIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
lbrtfdc Драйвер: Выгрузить, Удалить, Отключить	lbrtfdc	Не запущен	lbrtfdc.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
mraid35x Драйвер: Выгрузить, Удалить, Отключить	mraid35x	Не запущен	mraid35x.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
PCIDump Драйвер: Выгрузить, Удалить, Отключить	PCIDump	Не запущен	PCIDump.sys Скрипт: Kарантин, Удалить, Удалить через BC	PCI Configuration
PDCOMP Драйвер: Выгрузить, Удалить, Отключить	PDCOMP	Не запущен	PDCOMP.sys Скрипт: Kарантин, Удалить, Удалить через BC
PDFRAME Драйвер: Выгрузить, Удалить, Отключить	PDFRAME	Не запущен	PDFRAME.sys Скрипт: Kарантин, Удалить, Удалить через BC
PDRELI Драйвер: Выгрузить, Удалить, Отключить	PDRELI	Не запущен	PDRELI.sys Скрипт: Kарантин, Удалить, Удалить через BC
PDRFRAME Драйвер: Выгрузить, Удалить, Отключить	PDRFRAME	Не запущен	PDRFRAME.sys Скрипт: Kарантин, Удалить, Удалить через BC
perc2 Драйвер: Выгрузить, Удалить, Отключить	perc2	Не запущен	perc2.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
perc2hib Драйвер: Выгрузить, Удалить, Отключить	perc2hib	Не запущен	perc2hib.sys Скрипт: Kарантин, Удалить, Удалить через BC	Filter
ql1080 Драйвер: Выгрузить, Удалить, Отключить	ql1080	Не запущен	ql1080.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
Ql10wnt Драйвер: Выгрузить, Удалить, Отключить	Ql10wnt	Не запущен	Ql10wnt.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
ql12160 Драйвер: Выгрузить, Удалить, Отключить	ql12160	Не запущен	ql12160.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
ql1240 Драйвер: Выгрузить, Удалить, Отключить	ql1240	Не запущен	ql1240.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
ql1280 Драйвер: Выгрузить, Удалить, Отключить	ql1280	Не запущен	ql1280.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
Simbad Драйвер: Выгрузить, Удалить, Отключить	Simbad	Не запущен	Simbad.sys Скрипт: Kарантин, Удалить, Удалить через BC	Filter
Sparrow Драйвер: Выгрузить, Удалить, Отключить	Sparrow	Не запущен	Sparrow.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
sym_hi Драйвер: Выгрузить, Удалить, Отключить	sym_hi	Не запущен	sym_hi.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
sym_u3 Драйвер: Выгрузить, Удалить, Отключить	sym_u3	Не запущен	sym_u3.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
symc810 Драйвер: Выгрузить, Удалить, Отключить	symc810	Не запущен	symc810.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
symc8xx Драйвер: Выгрузить, Удалить, Отключить	symc8xx	Не запущен	symc8xx.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
TosIde Драйвер: Выгрузить, Удалить, Отключить	TosIde	Не запущен	TosIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
ultra Драйвер: Выгрузить, Удалить, Отключить	ultra	Не запущен	ultra.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
ViaIde Драйвер: Выгрузить, Удалить, Отключить	ViaIde	Не запущен	ViaIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
WDICA Драйвер: Выгрузить, Удалить, Отключить	WDICA	Не запущен	WDICA.sys Скрипт: Kарантин, Удалить, Удалить через BC
Обнаружено - 175, опознано как безопасные - 125

Автозапуск

Имя файла	Статус	Метод запуска	Описание
C:\CLIP2.BAT Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ярлык в папке автозагрузки	C:\Documents and Settings\User\Application Data\Microsoft\Internet Explorer\Quick Launch\, C:\Documents and Settings\User\Application Data\Microsoft\Internet Explorer\Quick Launch\Norton Commander.pif,
C:\Documents and Settings\User\Application Data\Microsoft\Internet Explorer\Quick Launch\Мой компьютер.lnk Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Файл в папке автозагрузки	C:\Documents and Settings\User\Application Data\Microsoft\Internet Explorer\Quick Launch\, C:\Documents and Settings\User\Application Data\Microsoft\Internet Explorer\Quick Launch\Мой компьютер.lnk,
C:\Program Files\AGAVA AntiSpy\ah.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-21-1454471165-1844823847-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run, AGAVA AntiSpy Удалить
C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, BrMfcWnd Удалить
C:\WINDOWS\System32\hidserv.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\HidServ\Parameters, ServiceDll Удалить
C:\WINDOWS\System32\igmpv2.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IGMPv2, EventMessageFile Удалить
C:\WINDOWS\System32\ipbootp.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IPBOOTP, EventMessageFile Удалить
C:\WINDOWS\System32\iprip2.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IPRIP2, EventMessageFile Удалить
C:\WINDOWS\System32\ospf.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\OSPF, EventMessageFile Удалить
C:\WINDOWS\System32\ospfmib.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\OSPFMib, EventMessageFile Удалить
C:\WINDOWS\System32\polagent.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\PolicyAgent, EventMessageFile Удалить
C:\WINDOWS\System32\tssdis.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\TermServSessDir, EventMessageFile Удалить
C:\WINDOWS\system32\KB905474\wgasetup.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\WgaSetup, EventMessageFile Удалить
C:\WINDOWS\system32\MsSip1.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\MS Subjects 1, $DLL Удалить
C:\WINDOWS\system32\MsSip2.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\MS Subjects 2, $DLL Удалить
C:\WINDOWS\system32\MsSip3.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\MS Subjects 3, $DLL Удалить
C:\WINDOWS\system32\mobilev.acm Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Drivers32, MSACM.CEGSM Удалить
C:\WINDOWS\system32\psxss.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix
C:\WINDOWS\system32\stisvc.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System, EventMessageFile Удалить
mvfs32.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, .DEFAULT\Control Panel\IOProcs, MVB Удалить
mvfs32.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-19\Control Panel\IOProcs, MVB Удалить
mvfs32.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-20\Control Panel\IOProcs, MVB Удалить
mvfs32.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-18\Control Panel\IOProcs, MVB Удалить
mvfs32.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-21-1454471165-1844823847-725345543-1003\Control Panel\IOProcs, MVB Удалить
vgafix.fon Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fixedfon.fon Удалить
vgaoem.fon Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, oemfonts.fon Удалить
vgasys.fon Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fonts.fon Удалить
Обнаружено элементов автозапуска - 550, опознано как безопасные - 523

Плагины Microsoft Internet Explorer (BHO, панели ...)

Имя файла	Тип	Описание	Производитель	CLSID
	Плагин			{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} Удалить
	Плагин			{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} Удалить
	Плагин			{5067A26B-1337-4436-8AFE-EE169C2DA79F} Удалить
C:\Program Files\VirtualNetwork\VirtualNetwork.dll Скрипт: Kарантин, Удалить, Удалить через BC	Explorer Bar			{539CA3DC-95E8-402f-946D-C7D5584D321A} Удалить
Обнаружено элементов - 31, опознано как безопасные - 27

Плагины Проводника

Имя файла	Назначение	Описание	Производитель	CLSID
deskpan.dll Скрипт: Kарантин, Удалить, Удалить через BC	Расширение CPL панорамирования дисплея			{42071714-76d4-11d1-8b24-00a0c9068ff3} Удалить
	Расширения оболочки для сжатия файлов			{764BF0E1-F219-11ce-972D-00AA00A14F56} Удалить
	Контекстное меню шифрования			{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} Удалить
	Панель задач и меню ''Пуск''			{0DF44EAA-FF21-4412-828E-260A8728E7F1} Удалить
rundll32.exe C:\WINDOWS\system32\shimgvw.dll,ImageView_COMServer {00E7B358-F65B-4dcf-83DF-CD026B94BFD4} Скрипт: Kарантин, Удалить, Удалить через BC	Autoplay for SlideShow			{00E7B358-F65B-4dcf-83DF-CD026B94BFD4} Удалить
	Учетные записи пользователей			{7A9D77BD-5403-11d2-8785-2E0420524153} Удалить
	Microsoft Browser Architecture			{BC476F4C-D9D7-4100-8D4E-E043F6DEC409} Удалить
	IE User Assist			{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} Удалить
C:\Program Files\QuickSFV\QSFVShll.dll Скрипт: Kарантин, Удалить, Удалить через BC	QuickSFV Shell Extension	QuickSFV Shell Extension	Copyright © 1999-2006, Totally Useful Software, Inc.	{906b0e6e-61ce-11d3-8ee2-0060080a7242} Удалить
Обнаружено элементов - 212, опознано как безопасные - 203

Плагины системы печати (мониторы печати, провайдеры)

Имя файла	Тип	Наименование	Описание	Производитель
Обнаружено элементов - 8, опознано как безопасные - 8

Задания планировщика задач Task Scheduler

Имя файла	Имя задания	Состояние задания	Описание	Производитель
Обнаружено элементов - 0, опознано как безопасные - 0

Параметры SPI/LSP

Поставщики пространства имен (NSP)

Поставщик	Статус	Исполняемый файл	Описание	GUID
Обнаружено - 3, опознано как безопасные - 3

Поставщики транспортных протоколов (TSP, LSP)

Поставщик Исполняемый файл Описание
Обнаружено - 11, опознано как безопасные - 11
Результаты автоматического анализа параметров SPI
Параметры LSP проверены. Ошибок не обнаружено

Порты TCP/UDP

Порт Статус Remote Host Remote Port Программа Примечания
Порты TCP
135 LISTENING 0.0.0.0 2192 [1044] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
139 LISTENING 0.0.0.0 14569 [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445 LISTENING 0.0.0.0 43141 [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1032 LISTENING 0.0.0.0 63592 [2876] c:\windows\system32\alg.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
5152 LISTENING 0.0.0.0 2192 [1948] c:\program files\java\jre6\bin\jqs.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
5679 LISTENING 0.0.0.0 47180 [384] c:\program files\microsoft activesync\wcescomm.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
Порты UDP
123 LISTENING -- -- [1132] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
123 LISTENING -- -- [1132] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
137 LISTENING -- -- [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138 LISTENING -- -- [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445 LISTENING -- -- [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
500 LISTENING -- -- [768] c:\windows\system32\lsass.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1026 LISTENING -- -- [644] c:\program files\agava firewall\fwusrv.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900 LISTENING -- -- [1352] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900 LISTENING -- -- [1352] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
4500 LISTENING -- -- [768] c:\windows\system32\lsass.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить

Downloaded Program Files (DPF)

Имя файла Описание Производитель CLSID URL-загрузки
c:\PROGRA~1\BSSINT~1\rg_call.dll
Скрипт: Kарантин, Удалить, Удалить через BC BSS system file (C) 1998-2009 Bank's Soft Systems {113E52A8-A790-4B13-B5F8-B17BD5617707}
Удалить https://ic.rbr.ru/code/3.17.5.690/cr_call.cab
{31435657-9980-0010-8000-00AA00389B71}
Удалить http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab
c:\PROGRA~1\BSSINT~1\rg_msp2.dll
Скрипт: Kарантин, Удалить, Удалить через BC BSS system file (C) 1998-2009 Bank's Soft Systems {3FD2F333-7E4B-43AC-BB2A-CC0410654160}
Удалить https://ic.rbr.ru/code/3.17.5.690/cr_msp2.cab
{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}
Удалить http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab
{E2883E8F-472F-4FB0-9522-AC9BF37916A7}
Удалить http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
Обнаружено элементов - 15, опознано как безопасные - 10

Апплеты Панели управления (CPL)

Имя файла Описание Производитель
Обнаружено элементов - 26, опознано как безопасные - 26

Active Setup

Имя файла Описание Производитель CLSID
Обнаружено элементов - 14, опознано как безопасные - 14

Файл hosts

Запись файла hosts
127.0.0.1 localhost

Протоколы и обработчики

Имя файла Тип Описание Производитель CLSID
Обнаружено элементов - 34, опознано как безопасные - 34

Подозрительные объекты

Файл Описание Тип

Основной скрипт исследования Версия Microsoft Windows: Microsoft Windows XP, Build=2600, SP="Service Pack 3" Восстановление системы: включено 1.1 Поиск перехватчиков API, работающих в пользовательском режиме Анализ kernel32.dll, таблица экспорта найдена в секции .text Обнаружена модификация IAT: CreateProcessA - 00B20010<>7C80236B Обнаружена модификация IAT: GetModuleFileNameA - 00B20080<>7C80B56F Обнаружена модификация IAT: GetModuleFileNameW - 00B200F0<>7C80B475 Обнаружена модификация IAT: CreateProcessW - 00B20160<>7C802336 Обнаружена модификация IAT: LoadLibraryW - 00B20240<>7C80AEEB Обнаружена модификация IAT: LoadLibraryA - 00B20320<>7C801D7B Обнаружена модификация IAT: GetProcAddress - 00B20390<>7C80AE40 Обнаружена модификация IAT: FreeLibrary - 00B20400<>7C80AC7E Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в привилегированном режиме Драйвер успешно загружен SDT найдена (RVA=07C020) Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000 SDT = 80553020 KiST = 80501BA4 (284) Проверено функций: 284, перехвачено: 0, восстановлено: 0 1.3 Проверка IDT и SYSENTER Анализ для процессора 1 Проверка IDT и SYSENTER завершена 1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM Драйвер успешно загружен 1.5 Проверка обработчиков IRP Проверка завершена >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: набор применяемых на компьютере служб зависит от области его применения (домашний, компьютер в сети предприятия и т.д.)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к компьютеру разрешен доступ анонимного пользователя >> Отключить автозапуск с жестких дисков >> Отключить автозапуск с сетевых дисков >> Отключить автозапуск с CD-ROM >> Отключить автозапуск со съемных дисков >> Проводник: включить отображение расширений для файлов известных системе типов >> [?? - AVZ1746] Выполняется исследование системы...
Исследование системы завершено
Команды скрипта

Добавить в скрипт команды:
Нейтрализация перехватов функций при помощи антируткита
Включить AVZGuard
Управление AVZPM (true-включить, false-отключить)
BootCleaner: импорт списка удаленных файлов
Чистка реестра после удаления файлов
BootCleaner: активация
Перезагрузка
Вставить заготовку для QuarantineFile() - помещение файла на карантин
Вставить заготовку для BC_QrFile() - помещение файла на карантин через BC
Вставить заготовку для DeleteFile() - удаление файла
Вставить заготовку для DelCLSID() - удаление CLSID-класса из реестра
Дополнительные операции:
Оптимизация: отключить службу TermService (Службы терминалов)
Оптимизация: отключить службу SSDPSRV (Служба обнаружения SSDP)
Оптимизация: отключить службу Schedule (Планировщик заданий)
Оптимизация: отключить службу mnmsrvc (NetMeeting Remote Desktop Sharing)
Оптимизация: отключить службу RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
Оптимизация - безопасность: отключить автозапуск программ с CD
Оптимизация - безопасность: отключить административный доступ к локальным дискам
Оптимизация - безопасность: блокировать возможность подключения анонимных пользователей
Список файлов

Порт	Статус	Remote Host	Remote Port	Программа	Примечания
Порты TCP
135	LISTENING	0.0.0.0	2192	[1044] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
139	LISTENING	0.0.0.0	14569	[4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445	LISTENING	0.0.0.0	43141	[4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1032	LISTENING	0.0.0.0	63592	[2876] c:\windows\system32\alg.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
5152	LISTENING	0.0.0.0	2192	[1948] c:\program files\java\jre6\bin\jqs.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
5679	LISTENING	0.0.0.0	47180	[384] c:\program files\microsoft activesync\wcescomm.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
Порты UDP
123	LISTENING	--	--	[1132] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
123	LISTENING	--	--	[1132] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
137	LISTENING	--	--	[4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138	LISTENING	--	--	[4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445	LISTENING	--	--	[4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
500	LISTENING	--	--	[768] c:\windows\system32\lsass.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1026	LISTENING	--	--	[644] c:\program files\agava firewall\fwusrv.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900	LISTENING	--	--	[1352] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900	LISTENING	--	--	[1352] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
4500	LISTENING	--	--	[768] c:\windows\system32\lsass.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить