Протокол исследования системы

Список процессов

Имя файла	PID	Описание	Copyright	MD5	Информация
	2328			??	?,ошибка получения информации о файле Командная строка:
	3440			??	?,ошибка получения информации о файле Командная строка:
c:\program files\kaspersky lab\kaspersky internet security 2011\avp.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	2804	Kaspersky Anti-Virus	© 1997-2010 Kaspersky Lab ZAO.	??	356.77 кб, rsAh, создан: 02.11.2010 22:06:06, изменен: 02.11.2010 22:06:06 Командная строка:
c:\program files\kaspersky lab\kaspersky internet security 2011\avp.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	4060	Kaspersky Anti-Virus	© 1997-2010 Kaspersky Lab ZAO.	??	356.77 кб, rsAh, создан: 02.11.2010 22:06:06, изменен: 02.11.2010 22:06:06 Командная строка:
c:\windows\explorer.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	2644	Проводник	© Корпорация Майкрософт. Все права защищены.	??	2553.00 кб, rsAh, создан: 22.09.2010 20:11:30, изменен: 31.10.2009 8:45:39 Командная строка: C:\Windows\Explorer.EXE
Обнаружено:50, из них опознаны как безопасные 48

Имя модуля	Handle	Описание	Copyright	MD5	Используется процессами
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\FLTLIB.DLL Скрипт: Kарантин, Удалить, Удалить через BC	19857408			--	2804, 4060
C:\ProgramData\Kaspersky Lab\AVP11\Bases\Cache\kavbase.kdl.3dea8b3b6eeac653d38299d9d2fb00d2 Скрипт: Kарантин, Удалить, Удалить через BC	1758134272	AV engine	© 1997-2011 Kaspersky Lab ZAO.	--	2804
C:\ProgramData\Kaspersky Lab\AVP11\Bases\Cache\kjim.kdl.b5802e2077b78089641aa6ff0b503668 Скрипт: Kарантин, Удалить, Удалить через BC	199622656	Script Heuristics Engine	© 1997-2011 Kaspersky Lab ZAO.	--	2804
C:\ProgramData\Kaspersky Lab\AVP11\Bases\Cache\klavemu.kdl.0c88b9955704e830b0aec4cf90755ae7 Скрипт: Kарантин, Удалить, Удалить через BC	943718400	Heuristics engine	© 1997-2011 Kaspersky Lab ZAO.	--	2804
C:\ProgramData\Kaspersky Lab\AVP11\Bases\Cache\mark.kdl.8577e36201c6ba3002ec0f9ea23b214a Скрипт: Kарантин, Удалить, Удалить через BC	162070528	Anti-Rootkit Engine	© 1997-2010 Kaspersky Lab ZAO.	--	2804
C:\Windows\system32\authui.dll Скрипт: Kарантин, Удалить, Удалить через BC	1957298176	Интерфейс проверки подлинности	© Корпорация Майкрософт. Все права защищены.	--	2644
Обнаружено модулей:608, из них опознаны как безопасные 602

Модули пространства ядра

Модуль	Базовый адрес	Размер в памяти	Описание	Производитель
C:\Windows\System32\Drivers\dump_dumpata.sys Скрипт: Kарантин, Удалить, Удалить через BC	827E3000	00B000 (45056)
C:\Windows\System32\Drivers\dump_dumpfve.sys Скрипт: Kарантин, Удалить, Удалить через BC	82400000	011000 (69632)
C:\Windows\System32\Drivers\dump_msahci.sys Скрипт: Kарантин, Удалить, Удалить через BC	827EE000	00A000 (40960)
C:\Windows\system32\DRIVERS\idmwfp.sys Скрипт: Kарантин, Удалить, Удалить через BC	89EB2000	014000 (81920)	Internet Download Manager WFP Driver	Copyright © 2010 Tonec Inc.
Обнаружено модулей - 192, опознано как безопасные - 188

Службы

Служба	Описание	Статус	Файл	Группа	Зависимости
Secunia Update Agent Служба: Стоп, Удалить, Отключить, Удалить через BC	Secunia Update Agent	Не запущен	C:\Program Files\Secunia\PSI\sua.exe Скрипт: Kарантин, Удалить, Удалить через BC
wlcrasvc Служба: Стоп, Удалить, Отключить, Удалить через BC	Windows Live Mesh remote connections service	Не запущен	C:\Program Files\Windows Live\Mesh\wlcrasvc.exe Скрипт: Kарантин, Удалить, Удалить через BC
Обнаружено - 157, опознано как безопасные - 155

Драйверы

Служба	Описание	Статус	Файл	Группа	Зависимости
IDMWFP Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	IDMWFP	Работает	C:\Windows\system32\DRIVERS\idmwfp.sys Скрипт: Kарантин, Удалить, Удалить через BC		BFE
ATE_PROCMON Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ATE_PROCMON	Не запущен	C:\Program Files\Anti Trojan Elite\ATEPMon.sys Скрипт: Kарантин, Удалить, Удалить через BC
fssfltr Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	fssfltr	Не запущен	C:\Windows\system32\DRIVERS\fssfltr.sys Скрипт: Kарантин, Удалить, Удалить через BC	NDIS	tcpip
grmnusb Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Garmin USB Driver	Не запущен	C:\Windows\system32\drivers\grmnusb.sys Скрипт: Kарантин, Удалить, Удалить через BC
hwdatacard Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Huawei DataCard USB Modem and USB Serial	Не запущен	C:\Windows\system32\DRIVERS\ewusbmdm.sys Скрипт: Kарантин, Удалить, Удалить через BC
hwusbdev Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Huawei DataCard USB PNP Device	Не запущен	C:\Windows\system32\DRIVERS\ewusbdev.sys Скрипт: Kарантин, Удалить, Удалить через BC
VBoxNetFlt Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	VBoxNetFlt Service	Не запущен	C:\Windows\system32\DRIVERS\VBoxNetFlt.sys Скрипт: Kарантин, Удалить, Удалить через BC	PNP_TDI
WINIO Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	WINIO	Не запущен	C:\Users\D36B~1\AppData\Local\Temp\Rar$EX00.062\Power Supply Calculator\winio.sys Скрипт: Kарантин, Удалить, Удалить через BC
Обнаружено - 266, опознано как безопасные - 258

Автозапуск

Имя файла	Статус	Метод запуска	Описание
C:\Program Files\10-Strike LANState Pro\LANState.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\LANState Pro, EventMessageFile
C:\Program Files\Adguard\AdBlock.Agent.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run, Adguard Удалить
C:\Program Files\Adguard\AdBlock.Agent.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run, Adguard Удалить
C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Dr.Web Engine, EventMessageFile
C:\Program Files\DrWeb\frwl_svc.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\DrWebFWSvc, EventMessageFile
C:\Program Files\Skype\Phone\Skype.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run, Skype Удалить
C:\Program Files\Skype\Phone\Skype.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run, Skype Удалить
C:\Users\Юрий\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Shows Desktop.lnk Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Файл в папке автозагрузки	C:\Users\Юрий\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Юрий\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Shows Desktop.lnk,
C:\Users\Юрий\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Window Switcher.lnk Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Файл в папке автозагрузки	C:\Users\Юрий\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Юрий\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Window Switcher.lnk,
C:\Windows\System32\drivers\dwprot.sys Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\DwProt, EventMessageFile
UnHackMe Rootkit Check Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\RunOnceEx, Title Удалить
progman.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, shell Удалить
vgafix.fon Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fixedfon.fon Удалить
vgaoem.fon Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, oemfonts.fon Удалить
vgasys.fon Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fonts.fon Удалить
Обнаружено элементов автозапуска - 677, опознано как безопасные - 662

Модули расширения Internet Explorer (BHO, панели ...)

Имя файла	Тип	Описание	Производитель	CLSID
	Панель			{CCC7A320-B3CA-4199-B1A6-9F516DD69829} Удалить
	Модуль расширения			{0000036B-C524-4050-81A0-243669A86B9F} Удалить
	Модуль расширения			{219C3416-8CB2-491a-A3C7-D9FCDDC9D600} Удалить
	Модуль расширения			{2670000A-7350-4f3c-8081-5663EE0C6C49} Удалить
	Модуль расширения			{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} Удалить
	Модуль расширения			{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} Удалить
	Модуль расширения			{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} Удалить
	URLSearchHook			{855F3B16-6D32-4fe6-8A56-BBB695989046} Удалить
	URLSearchHook			{1a894269-562d-459e-b17e-efd8de428e41} Удалить
Обнаружено элементов - 24, опознано как безопасные - 15

Модули расширения проводника

Имя файла	Назначение	Описание	Производитель	CLSID
	Zoom Player ShellExt			{ABE00001-0123-ABED-1248-0248ADFA1909} Удалить
	WebCheck			{E6FB5E20-DE35-11CF-9C87-00AA005127ED} Удалить
	WLMD Message Handler			{0563DB41-F538-4B37-A92D-4659049B7766} Удалить
Обнаружено элементов - 52, опознано как безопасные - 49

Модули расширения системы печати (мониторы печати, провайдеры)

Имя файла	Тип	Наименование	Описание	Производитель
Обнаружено элементов - 7, опознано как безопасные - 7

Задания планировщика задач Task Scheduler

Имя файла	Имя задания	Состояние задания	Описание	Производитель
Обнаружено элементов - 0, опознано как безопасные - 0

Настройки SPI/LSP

Поставщики пространства имен (NSP)

Поставщик	Статус	Исп. файл	Описание	GUID
Обнаружено - 8, опознано как безопасные - 8

Поставщики транспортных протоколов (TSP, LSP)

Поставщик Исп. файл Описание
Обнаружено - 42, опознано как безопасные - 42
Результаты автоматического анализа настроек SPI
Настройки LSP проверены. Ошибок не обнаружено

Порты TCP/UDP

Порт Статус Remote Host Remote Port Приложение Примечания
Порты TCP
135 LISTENING 0.0.0.0 0 [852] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
139 LISTENING 0.0.0.0 0 [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445 LISTENING 0.0.0.0 0 [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
990 LISTENING 0.0.0.0 0 [448] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1110 LISTENING 0.0.0.0 0 [2804] c:\program files\kaspersky lab\kaspersky internet security 2011\avp.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1688 LISTENING 0.0.0.0 0 [1732] c:\windows\kmservice.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
2869 LISTENING 0.0.0.0 0 [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
5679 LISTENING 0.0.0.0 0 [448] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
7438 LISTENING 0.0.0.0 0 [448] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49152 LISTENING 0.0.0.0 0 [500] c:\windows\system32\wininit.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49153 LISTENING 0.0.0.0 0 [940] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49154 LISTENING 0.0.0.0 0 [1020] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49155 LISTENING 0.0.0.0 0 [552] c:\windows\system32\services.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49156 LISTENING 0.0.0.0 0 [2136] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49157 LISTENING 0.0.0.0 0 [1724] c:\windows\system32\alg.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49158 LISTENING 0.0.0.0 0 [576] c:\windows\system32\lsass.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49231 CLOSE_WAIT 85.159.233.98 80 [2804] c:\program files\kaspersky lab\kaspersky internet security 2011\avp.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
Порты UDP
53 LISTENING -- -- [1020] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
137 LISTENING -- -- [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138 LISTENING -- -- [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
500 LISTENING -- -- [1020] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900 LISTENING -- -- [2240] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900 LISTENING -- -- [2240] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900 LISTENING -- -- [2240] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
4500 LISTENING -- -- [1020] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
5355 LISTENING -- -- [1416] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
51575 LISTENING -- -- [2804] c:\program files\kaspersky lab\kaspersky internet security 2011\avp.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
60605 LISTENING -- -- [2240] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
60606 LISTENING -- -- [2240] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
60607 LISTENING -- -- [2240] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
65349 LISTENING -- -- [1020] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
65350 LISTENING -- -- [1020] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
65359 LISTENING -- -- [1020] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
65361 LISTENING -- -- [1020] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить

Downloaded Program Files (DPF)

Имя файла Описание Производитель CLSID URL загрузки
Обнаружено элементов - 4, опознано как безопасные - 4

Апплеты панели управления (CPL)

Имя файла Описание Производитель
Обнаружено элементов - 24, опознано как безопасные - 24

Active Setup

Имя файла Описание Производитель CLSID
Обнаружено элементов - 10, опознано как безопасные - 10

Файл HOSTS

Запись файла Hosts
127.0.0.1 validation.sls.microsoft.com
127.0.0.1 tonec.com
127.0.0.1 registeridm.com
127.0.0.1 secure.registeridm.com
127.0.0.1 internetdownloadmanager.com
127.0.0.1 secure.internetdownloadmanager.com
127.0.0.1 mirror.internetdownloadmanager.com
127.0.0.1 mirror2.internetdownloadmanager.com
127.0.0.1 mirror3.internetdownloadmanager.com
Очистка файла Hosts

Протоколы и обработчики

Имя файла Тип Описание Производитель CLSID
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
Обнаружено элементов - 20, опознано как безопасные - 17

Подозрительные объекты

Файл Описание Тип
C:\Windows\system32\DRIVERS\klif.sys
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit Перехватчик KernelMode
C:\Program Files\kaspersky lab\kaspersky internet security 2011\fltlib.dll
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение эвристического анализа ЭПС: подозрение на Файл с подозрительным именем (CH)

Протокол антивирусной утилиты AVZ версии 4.34
Сканирование запущено в 18.01.2011 23:22:51
Загружена база: сигнатуры - 284421, нейропрофили - 2, микропрограммы лечения - 56, база от 12.01.2011 23:32
Загружены микропрограммы эвристики: 386
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 255750
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 6.1.7600,  ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:AddMandatoryAce (1029) перехвачена, метод ProcAddressHijack.GetProcAddress ->764124B5->75A2193A
Функция advapi32.dll:I_QueryTagInformation (1361) перехвачена, метод ProcAddressHijack.GetProcAddress ->76412655->760472D8
Функция advapi32.dll:I_ScIsSecurityProcess (1362) перехвачена, метод ProcAddressHijack.GetProcAddress ->7641268C->7604733F
Функция advapi32.dll:I_ScPnPGetServiceName (1363) перехвачена, метод ProcAddressHijack.GetProcAddress ->764126C3->76047C40
Функция advapi32.dll:I_ScQueryServiceConfig (1364) перехвачена, метод ProcAddressHijack.GetProcAddress ->764126FA->76045F8A
Функция advapi32.dll:I_ScSendPnPMessage (1365) перехвачена, метод ProcAddressHijack.GetProcAddress ->76412732->76045E7D
Функция advapi32.dll:I_ScSendTSMessage (1366) перехвачена, метод ProcAddressHijack.GetProcAddress ->76412766->760471C5
Функция advapi32.dll:I_ScValidatePnPService (1369) перехвачена, метод ProcAddressHijack.GetProcAddress ->76412799->76046B9D
Функция advapi32.dll:IsValidRelativeSecurityDescriptor (1389) перехвачена, метод ProcAddressHijack.GetProcAddress ->764127D1->75A1977E
Функция advapi32.dll:PerfCreateInstance (1515) перехвачена, метод ProcAddressHijack.GetProcAddress ->76412858->74E92187
Функция advapi32.dll:PerfDecrementULongCounterValue (1516) перехвачена, метод ProcAddressHijack.GetProcAddress ->76412871->74E92A1D
Функция advapi32.dll:PerfDecrementULongLongCounterValue (1517) перехвачена, метод ProcAddressHijack.GetProcAddress ->76412896->74E92B3C
Функция advapi32.dll:PerfDeleteInstance (1519) перехвачена, метод ProcAddressHijack.GetProcAddress ->764128BF->74E92259
Функция advapi32.dll:PerfIncrementULongCounterValue (1522) перехвачена, метод ProcAddressHijack.GetProcAddress ->764128D8->74E927B9
Функция advapi32.dll:PerfIncrementULongLongCounterValue (1523) перехвачена, метод ProcAddressHijack.GetProcAddress ->764128FD->74E928D6
Функция advapi32.dll:PerfQueryInstance (1528) перехвачена, метод ProcAddressHijack.GetProcAddress ->76412926->74E92373
Функция advapi32.dll:PerfSetCounterRefValue (1529) перехвачена, метод ProcAddressHijack.GetProcAddress ->7641293E->74E92447
Функция advapi32.dll:PerfSetCounterSetInfo (1530) перехвачена, метод ProcAddressHijack.GetProcAddress ->7641295B->74E920B0
Функция advapi32.dll:PerfSetULongCounterValue (1531) перехвачена, метод ProcAddressHijack.GetProcAddress ->76412977->74E92565
Функция advapi32.dll:PerfSetULongLongCounterValue (1532) перехвачена, метод ProcAddressHijack.GetProcAddress ->76412996->74E92680
Функция advapi32.dll:PerfStartProvider (1533) перехвачена, метод ProcAddressHijack.GetProcAddress ->764129B9->74E91FED
Функция advapi32.dll:PerfStartProviderEx (1534) перехвачена, метод ProcAddressHijack.GetProcAddress ->764129D1->74E91F34
Функция advapi32.dll:PerfStopProvider (1535) перехвачена, метод ProcAddressHijack.GetProcAddress ->764129EB->74E92026
Функция advapi32.dll:SystemFunction035 (1753) перехвачена, метод ProcAddressHijack.GetProcAddress ->76412A3C->75363EA8
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:DavAddConnection (1) перехвачена, метод ProcAddressHijack.GetProcAddress ->74023B10->692129DD
Функция netapi32.dll:DavDeleteConnection (2) перехвачена, метод ProcAddressHijack.GetProcAddress ->74023B29->6921181B
Функция netapi32.dll:DavFlushFile (3) перехвачена, метод ProcAddressHijack.GetProcAddress ->74023B45->69211713
Функция netapi32.dll:DavGetExtendedError (4) перехвачена, метод ProcAddressHijack.GetProcAddress ->74023B5A->69212347
Функция netapi32.dll:DavGetHTTPFromUNCPath (5) перехвачена, метод ProcAddressHijack.GetProcAddress ->74023B76->6921275B
Функция netapi32.dll:DavGetUNCFromHTTPPath (6) перехвачена, метод ProcAddressHijack.GetProcAddress ->74023B94->6921257D
Функция netapi32.dll:DsAddressToSiteNamesA (7) перехвачена, метод ProcAddressHijack.GetProcAddress ->74023BB2->751C4A4D
Функция netapi32.dll:DsAddressToSiteNamesExA (8) перехвачена, метод ProcAddressHijack.GetProcAddress ->74023BD1->751C4D79
Функция netapi32.dll:DsAddressToSiteNamesExW (9) перехвачена, метод ProcAddressHijack.GetProcAddress ->74023BF2->751C5049
Функция netapi32.dll:DsAddressToSiteNamesW (10) перехвачена, метод ProcAddressHijack.GetProcAddress ->74023C13->751C4C29
Функция netapi32.dll:DsDeregisterDnsHostRecordsA (11) перехвачена, метод ProcAddressHijack.GetProcAddress ->74023C32->751C6DD9
Функция netapi32.dll:DsDeregisterDnsHostRecordsW (12) перехвачена, метод ProcAddressHijack.GetProcAddress ->74023C57->751C6D59
Функция netapi32.dll:DsEnumerateDomainTrustsA (13) перехвачена, метод ProcAddressHijack.GetProcAddress ->74023C7C->751C6771
Функция netapi32.dll:DsEnumerateDomainTrustsW (14) перехвачена, метод ProcAddressHijack.GetProcAddress ->74023C9E->751B60BC
Функция netapi32.dll:DsGetDcCloseW (15) перехвачена, метод ProcAddressHijack.GetProcAddress ->74023CC0->751C495D
Функция netapi32.dll:DsGetDcNameA (16) перехвачена, метод ProcAddressHijack.GetProcAddress ->74023CD7->751C5BB2
Функция netapi32.dll:DsGetDcNameW (17) перехвачена, метод ProcAddressHijack.GetProcAddress ->74023CED->751B4CA8
Функция netapi32.dll:DsGetDcNameWithAccountA (18) перехвачена, метод ProcAddressHijack.GetProcAddress ->74023D03->751C55E9
Функция netapi32.dll:DsGetDcNameWithAccountW (19) перехвачена, метод ProcAddressHijack.GetProcAddress ->74023D24->751B4CD1
Функция netapi32.dll:DsGetDcNextA (20) перехвачена, метод ProcAddressHijack.GetProcAddress ->74023D45->751C4896
Функция netapi32.dll:DsGetDcNextW (21) перехвачена, метод ProcAddressHijack.GetProcAddress ->74023D5B->751C47ED
Функция netapi32.dll:DsGetDcOpenA (22) перехвачена, метод ProcAddressHijack.GetProcAddress ->74023D71->751C473D
Функция netapi32.dll:DsGetDcOpenW (23) перехвачена, метод ProcAddressHijack.GetProcAddress ->74023D87->751C46AB
Функция netapi32.dll:DsGetDcSiteCoverageA (24) перехвачена, метод ProcAddressHijack.GetProcAddress ->74023D9D->751C5239
Функция netapi32.dll:DsGetDcSiteCoverageW (25) перехвачена, метод ProcAddressHijack.GetProcAddress ->74023DBB->751C5409
Функция netapi32.dll:DsGetForestTrustInformationW (26) перехвачена, метод ProcAddressHijack.GetProcAddress ->74023DD9->751C6E6F
Функция netapi32.dll:DsGetSiteNameA (27) перехвачена, метод ProcAddressHijack.GetProcAddress ->74023DFF->751C5B39
Функция netapi32.dll:DsGetSiteNameW (28) перехвачена, метод ProcAddressHijack.GetProcAddress ->74023E17->751B5F24
Функция netapi32.dll:DsMergeForestTrustInformationW (29) перехвачена, метод ProcAddressHijack.GetProcAddress ->74023E2F->751C6F71
Функция netapi32.dll:DsRoleAbortDownlevelServerUpgrade (30) перехвачена, метод ProcAddressHijack.GetProcAddress ->74023E57->73B14339
Функция netapi32.dll:DsRoleCancel (31) перехвачена, метод ProcAddressHijack.GetProcAddress ->74023E80->73B134A9
Функция netapi32.dll:DsRoleDcAsDc (32) перехвачена, метод ProcAddressHijack.GetProcAddress ->74023E94->73B13EAD
Функция netapi32.dll:DsRoleDcAsReplica (33) перехвачена, метод ProcAddressHijack.GetProcAddress ->74023EA8->73B13F99
Функция netapi32.dll:DsRoleDemoteDc (34) перехвачена, метод ProcAddressHijack.GetProcAddress ->74023EC1->73B14189
Функция netapi32.dll:DsRoleDnsNameToFlatName (35) перехвачена, метод ProcAddressHijack.GetProcAddress ->74023ED7->73B132B5
Функция netapi32.dll:DsRoleFreeMemory (36) перехвачена, метод ProcAddressHijack.GetProcAddress ->74023EF6->73B119A9
Функция netapi32.dll:DsRoleGetDatabaseFacts (37) перехвачена, метод ProcAddressHijack.GetProcAddress ->74023F0E->73B13651
Функция netapi32.dll:DsRoleGetDcOperationProgress (38) перехвачена, метод ProcAddressHijack.GetProcAddress ->74023F2C->73B13351
Функция netapi32.dll:DsRoleGetDcOperationResults (39) перехвачена, метод ProcAddressHijack.GetProcAddress ->74023F50->73B13401
Функция netapi32.dll:DsRoleGetPrimaryDomainInformation (40) перехвачена, метод ProcAddressHijack.GetProcAddress ->74023F73->73B11F3D
Функция netapi32.dll:DsRoleIfmHandleFree (41) перехвачена, метод ProcAddressHijack.GetProcAddress ->74023F9C->73B13539
Функция netapi32.dll:DsRoleServerSaveStateForUpgrade (42) перехвачена, метод ProcAddressHijack.GetProcAddress ->74023FB7->73B135C9
Функция netapi32.dll:DsRoleUpgradeDownlevelServer (43) перехвачена, метод ProcAddressHijack.GetProcAddress ->74023FDE->73B14261
Функция netapi32.dll:DsValidateSubnetNameA (44) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024002->751C5AF9
Функция netapi32.dll:DsValidateSubnetNameW (45) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024021->751C49E1
Функция netapi32.dll:I_BrowserDebugCall (46) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024040->694124A9
Функция netapi32.dll:I_BrowserDebugTrace (47) перехвачена, метод ProcAddressHijack.GetProcAddress ->7402405B->69412581
Функция netapi32.dll:I_BrowserQueryEmulatedDomains (48) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024077->694129F9
Функция netapi32.dll:I_BrowserQueryOtherDomains (49) перехвачена, метод ProcAddressHijack.GetProcAddress ->7402409D->694122C1
Функция netapi32.dll:I_BrowserQueryStatistics (50) перехвачена, метод ProcAddressHijack.GetProcAddress ->740240C0->69412651
Функция netapi32.dll:I_BrowserResetNetlogonState (51) перехвачена, метод ProcAddressHijack.GetProcAddress ->740240E1->694123D1
Функция netapi32.dll:I_BrowserResetStatistics (52) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024105->69412729
Функция netapi32.dll:I_BrowserServerEnum (53) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024126->694120BF
Функция netapi32.dll:I_BrowserSetNetlogonState (54) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024142->69412919
Функция netapi32.dll:I_DsUpdateReadOnlyServerDnsRecords (55) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024164->751C5569
Функция netapi32.dll:I_NetAccountDeltas (56) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024190->751C63AB
Функция netapi32.dll:I_NetAccountSync (57) перехвачена, метод ProcAddressHijack.GetProcAddress ->740241AC->751C63AB
Функция netapi32.dll:I_NetChainSetClientAttributes (59) перехвачена, метод ProcAddressHijack.GetProcAddress ->740241C6->751C6FA6
Функция netapi32.dll:I_NetChainSetClientAttributes2 (58) перехвачена, метод ProcAddressHijack.GetProcAddress ->740241ED->751C7029
Функция netapi32.dll:I_NetDatabaseDeltas (60) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024215->751C6391
Функция netapi32.dll:I_NetDatabaseRedo (61) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024232->751C6521
Функция netapi32.dll:I_NetDatabaseSync (63) перехвачена, метод ProcAddressHijack.GetProcAddress ->7402424D->751C6391
Функция netapi32.dll:I_NetDatabaseSync2 (62) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024268->751C639E
Функция netapi32.dll:I_NetDfsGetVersion (64) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024284->75617CA1
Функция netapi32.dll:I_NetDfsIsThisADomainName (65) перехвачена, метод ProcAddressHijack.GetProcAddress ->7402429E->693B4E39
Функция netapi32.dll:I_NetGetDCList (66) перехвачена, метод ProcAddressHijack.GetProcAddress ->740242BF->751C5D9C
Функция netapi32.dll:I_NetGetForestTrustInformation (67) перехвачена, метод ProcAddressHijack.GetProcAddress ->740242D7->751C6EF1
Функция netapi32.dll:I_NetLogonControl (69) перехвачена, метод ProcAddressHijack.GetProcAddress ->740242FF->751C63B8
Функция netapi32.dll:I_NetLogonControl2 (68) перехвачена, метод ProcAddressHijack.GetProcAddress ->7402431A->751C6439
Функция netapi32.dll:I_NetLogonGetDomainInfo (70) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024336->751B64A4
Функция netapi32.dll:I_NetLogonSamLogoff (71) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024357->751C6091
Функция netapi32.dll:I_NetLogonSamLogon (72) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024374->751C5F39
Функция netapi32.dll:I_NetLogonSamLogonEx (73) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024390->751C5FE1
Функция netapi32.dll:I_NetLogonSamLogonWithFlags (74) перехвачена, метод ProcAddressHijack.GetProcAddress ->740243AE->751BB22A
Функция netapi32.dll:I_NetLogonSendToSam (75) перехвачена, метод ProcAddressHijack.GetProcAddress ->740243D3->751C6111
Функция netapi32.dll:I_NetLogonUasLogoff (76) перехвачена, метод ProcAddressHijack.GetProcAddress ->740243F0->751C5EC9
Функция netapi32.dll:I_NetLogonUasLogon (77) перехвачена, метод ProcAddressHijack.GetProcAddress ->7402440D->751C5E53
Функция netapi32.dll:I_NetServerAuthenticate (80) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024429->751C6191
Функция netapi32.dll:I_NetServerAuthenticate2 (78) перехвачена, метод ProcAddressHijack.GetProcAddress ->7402444A->751C6211
Функция netapi32.dll:I_NetServerAuthenticate3 (79) перехвачена, метод ProcAddressHijack.GetProcAddress ->7402446C->751B6393
Функция netapi32.dll:I_NetServerGetTrustInfo (81) перехвачена, метод ProcAddressHijack.GetProcAddress ->7402448E->751C6C61
Функция netapi32.dll:I_NetServerPasswordGet (82) перехвачена, метод ProcAddressHijack.GetProcAddress ->740244AF->751C6B61
Функция netapi32.dll:I_NetServerPasswordSet (84) перехвачена, метод ProcAddressHijack.GetProcAddress ->740244CF->751C6291
Функция netapi32.dll:I_NetServerPasswordSet2 (83) перехвачена, метод ProcAddressHijack.GetProcAddress ->740244EF->751C6311
Функция netapi32.dll:I_NetServerReqChallenge (85) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024510->751B6424
Функция netapi32.dll:I_NetServerSetServiceBits (86) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024531->7561426D
Функция netapi32.dll:I_NetServerSetServiceBitsEx (87) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024552->75616D11
Функция netapi32.dll:I_NetServerTrustPasswordsGet (88) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024575->751C6BE1
Функция netapi32.dll:I_NetlogonComputeClientDigest (89) перехвачена, метод ProcAddressHijack.GetProcAddress ->7402459B->751B5C20
Функция netapi32.dll:I_NetlogonComputeServerDigest (90) перехвачена, метод ProcAddressHijack.GetProcAddress ->740245C2->751C6AEC
Функция netapi32.dll:NetAddAlternateComputerName (97) перехвачена, метод ProcAddressHijack.GetProcAddress ->740245E9->74005B21
Функция netapi32.dll:NetAddServiceAccount (98) перехвачена, метод ProcAddressHijack.GetProcAddress ->7402460C->751C70B1
Функция netapi32.dll:NetApiBufferAllocate (101) перехвачена, метод ProcAddressHijack.GetProcAddress ->7402462A->74011415
Функция netapi32.dll:NetApiBufferFree (102) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024648->740113D2
Функция netapi32.dll:NetApiBufferReallocate (103) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024662->74013729
Функция netapi32.dll:NetApiBufferSize (104) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024682->74013771
Функция netapi32.dll:NetBrowserStatisticsGet (108) перехвачена, метод ProcAddressHijack.GetProcAddress ->7402469C->69412801
Функция netapi32.dll:NetConnectionEnum (112) перехвачена, метод ProcAddressHijack.GetProcAddress ->740246BC->75615521
Функция netapi32.dll:NetDfsAdd (113) перехвачена, метод ProcAddressHijack.GetProcAddress ->740246D5->693B78FD
Функция netapi32.dll:NetDfsAddFtRoot (114) перехвачена, метод ProcAddressHijack.GetProcAddress ->740246E6->693B6859
Функция netapi32.dll:NetDfsAddRootTarget (115) перехвачена, метод ProcAddressHijack.GetProcAddress ->740246FD->693B7401
Функция netapi32.dll:NetDfsAddStdRoot (116) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024718->693B2B1E
Функция netapi32.dll:NetDfsAddStdRootForced (117) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024730->693B2BB1
Функция netapi32.dll:NetDfsEnum (118) перехвачена, метод ProcAddressHijack.GetProcAddress ->7402474E->693B70F9
Функция netapi32.dll:NetDfsGetClientInfo (119) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024760->693B3F25
Функция netapi32.dll:NetDfsGetDcAddress (120) перехвачена, метод ProcAddressHijack.GetProcAddress ->7402477B->693B2C51
Функция netapi32.dll:NetDfsGetFtContainerSecurity (121) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024795->693B5363
Функция netapi32.dll:NetDfsGetInfo (122) перехвачена, метод ProcAddressHijack.GetProcAddress ->740247B9->693B2D69
Функция netapi32.dll:NetDfsGetSecurity (123) перехвачена, метод ProcAddressHijack.GetProcAddress ->740247CE->693B7741
Функция netapi32.dll:NetDfsGetStdContainerSecurity (124) перехвачена, метод ProcAddressHijack.GetProcAddress ->740247E7->693B3AD5
Функция netapi32.dll:NetDfsGetSupportedNamespaceVersion (125) перехвачена, метод ProcAddressHijack.GetProcAddress ->7402480C->693B5C19
Функция netapi32.dll:NetDfsManagerGetConfigInfo (126) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024836->693B2E9C
Функция netapi32.dll:NetDfsManagerInitialize (127) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024858->693B2F91
Функция netapi32.dll:NetDfsManagerSendSiteInfo (128) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024877->693B72C5
Функция netapi32.dll:NetDfsMove (129) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024898->693B5651
Функция netapi32.dll:NetDfsRemove (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->740248AA->693B7A19
Функция netapi32.dll:NetDfsRemoveFtRoot (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->740248BE->693B6A99
Функция netapi32.dll:NetDfsRemoveFtRootForced (132) перехвачена, метод ProcAddressHijack.GetProcAddress ->740248D8->693B6BE5
Функция netapi32.dll:NetDfsRemoveRootTarget (133) перехвачена, метод ProcAddressHijack.GetProcAddress ->740248F8->693B5879
Функция netapi32.dll:NetDfsRemoveStdRoot (134) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024916->693B2CE1
Функция netapi32.dll:NetDfsRename (135) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024931->693B2E91
Функция netapi32.dll:NetDfsSetClientInfo (136) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024945->693B4301
Функция netapi32.dll:NetDfsSetFtContainerSecurity (137) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024960->693B53AF
Функция netapi32.dll:NetDfsSetInfo (138) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024984->693B6D8B
Функция netapi32.dll:NetDfsSetSecurity (139) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024999->693B7822
Функция netapi32.dll:NetDfsSetStdContainerSecurity (140) перехвачена, метод ProcAddressHijack.GetProcAddress ->740249B2->693B3B24
Функция netapi32.dll:NetEnumerateComputerNames (141) перехвачена, метод ProcAddressHijack.GetProcAddress ->740249D7->74005E39
Функция netapi32.dll:NetEnumerateServiceAccounts (142) перехвачена, метод ProcAddressHijack.GetProcAddress ->740249F8->751C7199
Функция netapi32.dll:NetEnumerateTrustedDomains (143) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024A1D->751C652E
Функция netapi32.dll:NetFileClose (147) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024A41->75615659
Функция netapi32.dll:NetFileEnum (148) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024A55->75615729
Функция netapi32.dll:NetFileGetInfo (149) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024A68->75615859
Функция netapi32.dll:NetGetAnyDCName (150) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024A7E->751C496D
Функция netapi32.dll:NetGetDCName (151) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024A97->751C5913
Функция netapi32.dll:NetGetDisplayInformationIndex (152) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024AAD->73FF4117
Функция netapi32.dll:NetGetJoinInformation (153) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024AD2->74002DC7
Функция netapi32.dll:NetGetJoinableOUs (154) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024AEF->740059D1
Функция netapi32.dll:NetGroupAdd (155) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024B08->73FF71C3
Функция netapi32.dll:NetGroupAddUser (156) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024B1B->73FF73AD
Функция netapi32.dll:NetGroupDel (157) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024B32->73FF73CB
Функция netapi32.dll:NetGroupDelUser (158) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024B45->73FF73EB
Функция netapi32.dll:NetGroupEnum (159) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024B5C->73FF7409
Функция netapi32.dll:NetGroupGetInfo (160) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024B70->73FF78C8
Функция netapi32.dll:NetGroupGetUsers (161) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024B87->73FF7952
Функция netapi32.dll:NetGroupSetInfo (162) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024B9F->73FF7C02
Функция netapi32.dll:NetGroupSetUsers (163) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024BB6->73FF7DAE
Функция netapi32.dll:NetIsServiceAccount (164) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024BCE->751C72D9
Функция netapi32.dll:NetJoinDomain (165) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024BEB->740054B9
Функция netapi32.dll:NetLocalGroupAdd (166) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024C00->73FF875A
Функция netapi32.dll:NetLocalGroupAddMember (167) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024C18->73FF8886
Функция netapi32.dll:NetLocalGroupAddMembers (168) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024C36->73FF8E99
Функция netapi32.dll:NetLocalGroupDel (169) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024C55->73FF88A4
Функция netapi32.dll:NetLocalGroupDelMember (170) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024C6D->73FF8928
Функция netapi32.dll:NetLocalGroupDelMembers (171) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024C8B->73FF8EBD
Функция netapi32.dll:NetLocalGroupEnum (172) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024CAA->73FF8946
Функция netapi32.dll:NetLocalGroupGetInfo (173) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024CC3->73FF8CE4
Функция netapi32.dll:NetLocalGroupGetMembers (174) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024CDF->73FF2265
Функция netapi32.dll:NetLocalGroupSetInfo (175) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024CFE->73FF8D57
Функция netapi32.dll:NetLocalGroupSetMembers (176) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024D1A->73FF8E75
Функция netapi32.dll:NetLogonGetTimeServiceParentDomain (177) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024D39->751C6CE9
Функция netapi32.dll:NetLogonSetServiceBits (178) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024D65->751B603C
Функция netapi32.dll:NetProvisionComputerAccount (184) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024D85->7544F2D3
Функция netapi32.dll:NetQueryDisplayInformation (185) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024DA9->73FF3D87
Функция netapi32.dll:NetQueryServiceAccount (186) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024DCB->751C7249
Функция netapi32.dll:NetRemoteComputerSupports (188) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024DEB->74012160
Функция netapi32.dll:NetRemoteTOD (189) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024E0E->75616C11
Функция netapi32.dll:NetRemoveAlternateComputerName (190) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024E22->74005C29
Функция netapi32.dll:NetRemoveServiceAccount (191) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024E48->751C7129
Функция netapi32.dll:NetRenameMachineInDomain (192) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024E69->74005751
Функция netapi32.dll:NetRequestOfflineDomainJoin (208) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024E89->7544B52F
Функция netapi32.dll:NetScheduleJobAdd (209) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024EAD->693A19D1
Функция netapi32.dll:NetScheduleJobDel (210) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024EC8->693A1AC9
Функция netapi32.dll:NetScheduleJobEnum (211) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024EE3->693A1BC1
Функция netapi32.dll:NetScheduleJobGetInfo (212) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024EFF->693A1CE1
Функция netapi32.dll:NetServerAliasAdd (213) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024F1E->75617843
Функция netapi32.dll:NetServerAliasDel (214) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024F37->75617A79
Функция netapi32.dll:NetServerAliasEnum (215) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024F50->75617931
Функция netapi32.dll:NetServerComputerNameAdd (216) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024F6A->75617411
Функция netapi32.dll:NetServerComputerNameDel (217) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024F8A->756176FB
Функция netapi32.dll:NetServerDiskEnum (218) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024FAA->75616559
Функция netapi32.dll:NetServerEnum (219) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024FC3->69412F61
Функция netapi32.dll:NetServerEnumEx (220) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024FD9->69412C5F
Функция netapi32.dll:NetServerGetInfo (221) перехвачена, метод ProcAddressHijack.GetProcAddress ->74024FF1->75613CFA
Функция netapi32.dll:NetServerSetInfo (222) перехвачена, метод ProcAddressHijack.GetProcAddress ->74025009->75616681
Функция netapi32.dll:NetServerTransportAdd (223) перехвачена, метод ProcAddressHijack.GetProcAddress ->74025021->75616851
Функция netapi32.dll:NetServerTransportAddEx (224) перехвачена, метод ProcAddressHijack.GetProcAddress ->7402503E->75617329
Функция netapi32.dll:NetServerTransportDel (225) перехвачена, метод ProcAddressHijack.GetProcAddress ->7402505D->75616A01
Функция netapi32.dll:NetServerTransportEnum (226) перехвачена, метод ProcAddressHijack.GetProcAddress ->7402507A->75616AD9
Функция netapi32.dll:NetSessionDel (231) перехвачена, метод ProcAddressHijack.GetProcAddress ->74025098->75615941
Функция netapi32.dll:NetSessionEnum (232) перехвачена, метод ProcAddressHijack.GetProcAddress ->740250AD->75615A11
Функция netapi32.dll:NetSessionGetInfo (233) перехвачена, метод ProcAddressHijack.GetProcAddress ->740250C3->75615B41
Функция netapi32.dll:NetSetPrimaryComputerName (234) перехвачена, метод ProcAddressHijack.GetProcAddress ->740250DC->74005D31
Функция netapi32.dll:NetShareAdd (235) перехвачена, метод ProcAddressHijack.GetProcAddress ->740250FD->75615C81
Функция netapi32.dll:NetShareCheck (236) перехвачена, метод ProcAddressHijack.GetProcAddress ->74025110->75615E91
Функция netapi32.dll:NetShareDel (237) перехвачена, метод ProcAddressHijack.GetProcAddress ->74025125->75615F81
Функция netapi32.dll:NetShareDelEx (238) перехвачена, метод ProcAddressHijack.GetProcAddress ->74025138->75617B61
Функция netapi32.dll:NetShareDelSticky (239) перехвачена, метод ProcAddressHijack.GetProcAddress ->7402514D->756160D1
Функция netapi32.dll:NetShareEnum (240) перехвачена, метод ProcAddressHijack.GetProcAddress ->74025166->75613F91
Функция netapi32.dll:NetShareEnumSticky (241) перехвачена, метод ProcAddressHijack.GetProcAddress ->7402517A->756161C9
Функция netapi32.dll:NetShareGetInfo (242) перехвачена, метод ProcAddressHijack.GetProcAddress ->74025194->7561433F
Функция netapi32.dll:NetShareSetInfo (243) перехвачена, метод ProcAddressHijack.GetProcAddress ->740251AB->75616341
Функция netapi32.dll:NetUnjoinDomain (245) перехвачена, метод ProcAddressHijack.GetProcAddress ->740251C2->74005641
Функция netapi32.dll:NetUseAdd (247) перехвачена, метод ProcAddressHijack.GetProcAddress ->740251D9->74003693
Функция netapi32.dll:NetUseDel (248) перехвачена, метод ProcAddressHijack.GetProcAddress ->740251EA->74005FA9
Функция netapi32.dll:NetUseEnum (249) перехвачена, метод ProcAddressHijack.GetProcAddress ->740251FB->74003184
Функция netapi32.dll:NetUseGetInfo (250) перехвачена, метод ProcAddressHijack.GetProcAddress ->7402520D->74006039
Функция netapi32.dll:NetUserAdd (251) перехвачена, метод ProcAddressHijack.GetProcAddress ->74025222->73FF464F
Функция netapi32.dll:NetUserChangePassword (252) перехвачена, метод ProcAddressHijack.GetProcAddress ->74025234->73FF5A06
Функция netapi32.dll:NetUserDel (253) перехвачена, метод ProcAddressHijack.GetProcAddress ->74025251->73FF4826
Функция netapi32.dll:NetUserEnum (254) перехвачена, метод ProcAddressHijack.GetProcAddress ->74025263->73FF49D6
Функция netapi32.dll:NetUserGetGroups (255) перехвачена, метод ProcAddressHijack.GetProcAddress ->74025276->73FF4E01
Функция netapi32.dll:NetUserGetInfo (256) перехвачена, метод ProcAddressHijack.GetProcAddress ->7402528E->73FF1C60
Функция netapi32.dll:NetUserGetLocalGroups (257) перехвачена, метод ProcAddressHijack.GetProcAddress ->740252A4->73FF2875
Функция netapi32.dll:NetUserModalsGet (258) перехвачена, метод ProcAddressHijack.GetProcAddress ->740252C1->73FF206B
Функция netapi32.dll:NetUserModalsSet (259) перехвачена, метод ProcAddressHijack.GetProcAddress ->740252D9->73FF54AA
Функция netapi32.dll:NetUserSetGroups (260) перехвачена, метод ProcAddressHijack.GetProcAddress ->740252F1->73FF5095
Функция netapi32.dll:NetUserSetInfo (261) перехвачена, метод ProcAddressHijack.GetProcAddress ->74025309->73FF4D1D
Функция netapi32.dll:NetValidateName (262) перехвачена, метод ProcAddressHijack.GetProcAddress ->7402531F->74005859
Функция netapi32.dll:NetValidatePasswordPolicy (263) перехвачена, метод ProcAddressHijack.GetProcAddress ->74025336->73FF9967
Функция netapi32.dll:NetValidatePasswordPolicyFree (264) перехвачена, метод ProcAddressHijack.GetProcAddress ->74025357->73FF9B6B
Функция netapi32.dll:NetWkstaTransportAdd (267) перехвачена, метод ProcAddressHijack.GetProcAddress ->7402537C->74004E45
Функция netapi32.dll:NetWkstaTransportDel (268) перехвачена, метод ProcAddressHijack.GetProcAddress ->74025398->74004F21
Функция netapi32.dll:NetWkstaTransportEnum (269) перехвачена, метод ProcAddressHijack.GetProcAddress ->740253B4->74004CF9
Функция netapi32.dll:NetWkstaUserEnum (270) перехвачена, метод ProcAddressHijack.GetProcAddress ->740253D1->74004AD1
Функция netapi32.dll:NetWkstaUserGetInfo (271) перехвачена, метод ProcAddressHijack.GetProcAddress ->740253E9->74003280
Функция netapi32.dll:NetWkstaUserSetInfo (272) перехвачена, метод ProcAddressHijack.GetProcAddress ->74025404->74004C15
Функция netapi32.dll:NetapipBufferAllocate (273) перехвачена, метод ProcAddressHijack.GetProcAddress ->7402541F->740137AA
Функция netapi32.dll:NetpIsRemote (289) перехвачена, метод ProcAddressHijack.GetProcAddress ->7402543E->7401382D
Функция netapi32.dll:NetpwNameCanonicalize (296) перехвачена, метод ProcAddressHijack.GetProcAddress ->74025454->74011C30
Функция netapi32.dll:NetpwNameCompare (297) перехвачена, метод ProcAddressHijack.GetProcAddress ->74025473->74011F2E
Функция netapi32.dll:NetpwNameValidate (298) перехвачена, метод ProcAddressHijack.GetProcAddress ->7402548D->74011990
Функция netapi32.dll:NetpwPathCanonicalize (299) перехвачена, метод ProcAddressHijack.GetProcAddress ->740254A8->7401275D
Функция netapi32.dll:NetpwPathCompare (300) перехвачена, метод ProcAddressHijack.GetProcAddress ->740254C7->74014086
Функция netapi32.dll:NetpwPathType (301) перехвачена, метод ProcAddressHijack.GetProcAddress ->740254E1->74012533
Функция netapi32.dll:NlBindingAddServerToCache (302) перехвачена, метод ProcAddressHijack.GetProcAddress ->740254F8->751B61F8
Функция netapi32.dll:NlBindingRemoveServerFromCache (303) перехвачена, метод ProcAddressHijack.GetProcAddress ->7402551B->751B5D67
Функция netapi32.dll:NlBindingSetAuthInfo (304) перехвачена, метод ProcAddressHijack.GetProcAddress ->74025543->751B6198
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=160940)
 Ядро ntoskrnl.exe обнаружено в памяти по адресу 82C15000
   SDT = 82D75940
   KiST = 82C7171C (401)
Функция NtAdjustPrivilegesToken (0C) перехвачена (82E80F31->9C679DAA), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtAlpcConnectPort (16) перехвачена (82E330FD->9C67BFE8), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtAlpcCreatePort (17) перехвачена (82E7B95C->9C67C262), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtAlpcSendWaitReceivePort (27) перехвачена (82E62A24->9C67C4D8), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtClose (32) перехвачена (82E5A637->9C67A6BE), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtConnectPort (3B) перехвачена (82E4F8C2->9C67B4F2), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateEvent (40) перехвачена (82E42915->9C67BA3C), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateFile (42) перехвачена (82E613C8->9C67A99A), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateMutant (4A) перехвачена (82E81E35->9C67B922), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateNamedPipeFile (4B) перехвачена (82E853ED->9C679998), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreatePort (4D) перехвачена (82E8099E->9C67B7F6), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateSection (54) перехвачена (82E69636->9C679B40), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateSemaphore (55) перехвачена (82E41237->9C67BB5C), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateThread (57) перехвачена (82EE8112->9C67A344), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateThreadEx (58) перехвачена (82E71551->9C67A442), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateUserProcess (5D) перехвачена (82E39A1D->9C67C722), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateWaitablePort (5E) перехвачена (82DAA51E->9C67B88C), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDebugActiveProcess (60) перехвачена (82EBAAFE->9C67D24A), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDeviceIoControlFile (6B) перехвачена (82E23D35->9C67AE1C), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDuplicateObject (6F) перехвачена (82E6D613->9C67E458), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtFsControlFile (86) перехвачена (82E59C89->9C67AC2A), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtLoadDriver (9B) перехвачена (82DB7394->9C67D33C), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtMapViewOfSection (A8) перехвачена (82E4C8E9->9C67DAA4), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenEvent (B1) перехвачена (82E42CFE->9C67BAD2), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenFile (B3) перехвачена (82E6C636->9C67A740), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenMutant (BB) перехвачена (82E636E3->9C67B9B2), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenProcess (BE) перехвачена (82E2EDA3->9C679FE8), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenSection (C2) перехвачена (82E7B6FC->9C67D83E), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenSemaphore (C3) перехвачена (82DE410E->9C67BBF2), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenThread (C6) перехвачена (82E8475F->9C679ED8), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryDirectoryObject (E0) перехвачена (82E28EEA->9C67C7DC), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQuerySection (FE) перехвачена (82E41126->9C67DDDE), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueueApcThread (10D) перехвачена (82DFD8BE->9C67D6D0), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtReplaceKey (124) перехвачена (82EA8698->9C678652), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtReplyPort (126) перехвачена (82E55452->9C67BF56), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtReplyWaitReceivePort (127) перехвачена (82E71962->9C67BE1C), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtRequestWaitReplyPort (12B) перехвачена (82E313CF->9C67CFE4), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtRestoreKey (12E) перехвачена (82E9CD36->9C6789CA), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtResumeThread (130) перехвачена (82E3EC7D->9C67E2FA), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSaveKey (135) перехвачена (82E9CF34->9C6785EA), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSecureConnectPort (138) перехвачена (82E41338->9C67B238), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetContextThread (13C) перехвачена (82EE9217->9C67A560), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetInformationToken (150) перехвачена (82E581D2->9C67C87E), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetSecurityObject (15B) перехвачена (82E5F8D7->9C67D4DA), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetSystemInformation (15E) перехвачена (82DFA54B->9C67DF2E), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSuspendProcess (16E) перехвачена (82EE9DD7->9C67E020), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSuspendThread (16F) перехвачена (82EA3F3C->9C67E15A), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSystemDebugControl (170) перехвачена (82DFE8D2->9C67D16E), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtTerminateProcess (172) перехвачена (82E2F282->9C67A18E), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtTerminateThread (173) перехвачена (82E466BA->9C67A0E4), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtUnmapViewOfSection (181) перехвачена (82E6F25E->9C67DC82), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtWriteVirtualMemory (18F) перехвачена (82E5EFFB->9C67A27A), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Проверено функций: 401, перехвачено: 52, восстановлено: 52
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Анализ для процессора 2
 Анализ для процессора 3
 Анализ для процессора 4
CmpCallCallBacks = 00000000
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Поиск маскировки процессов и драйверов завершен
1.5 Проверка обработчиков IRP
 Драйвер успешно загружен
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 46
 Количество загруженных модулей: 608
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Windows\Temp\klsFF05.tmp
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
 Проверка отключена пользователем
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll"
>>> C:\Program Files\kaspersky lab\kaspersky internet security 2011\fltlib.dll ЭПС: подозрение на Файл с подозрительным именем (CH)
Файл успешно помещен в карантин (C:\Program Files\kaspersky lab\kaspersky internet security 2011\fltlib.dll)
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 208411, извлечено из архивов: 60255, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 18.01.2011 23:40:33
!!! Внимание !!! Восстановлено 52 функций KiST в ходе работы антируткита
Это может нарушить нормальную работу ряда программ, поэтому настоятельно рекомендуется перезагрузить компьютер
Сканирование длилось 00:17:42
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в систему http://kaspersky-911.ru
Создание архива с файлами из карантина
Создание архива с файлами из карантина завершено
Выполняется исследование системы

 Исследование системы завершено


Команды скрипта 
Добавить в скрипт команды:
Нейтрализация перехватов функций при помощи антируткита
Включить AVZGuard
Управление AVZPM (true-включить,false-отключить)
BootCleaner - импорт списка удаленных файлов
BootCleaner - импортировать все
Чистка реестра после удаления файлов
ExecuteWizard ('TSW',2,3,true) - Выполнение мастера поиска и устранения проблем
BootCleaner - активация
Перезагрузка
Вставить заготовку для QuarantineFile() - помещение файла в карантин
Вставить заготовку для BC_QrFile() - помещение файла в карантин через BC
Вставить заготовку для DeleteFile() - удаление файла
Вставить заготовку для DelCLSID() - удаление CLSID класса из реестра
Дополнительные операции:Оптимизация - отключить службу TermService (Службы удаленных рабочих столов)
Оптимизация - отключить службу SSDPSRV (Обнаружение SSDP)
Оптимизация - отключить службу Schedule (Планировщик заданий)
Оптимизация - безопасность - отключить автозапуск программ с CD
Оптимизация - безопасность - отключить административный доступ к локальным дискам
Оптимизация - безопасность - блокировать возможность подключения анонимных пользователей
Безопасность - запретить отправку приглашений удаленному помошнику

Список файлов

Порт	Статус	Remote Host	Remote Port	Приложение	Примечания
Порты TCP
135	LISTENING	0.0.0.0	0	[852] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
139	LISTENING	0.0.0.0	0	[4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445	LISTENING	0.0.0.0	0	[4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
990	LISTENING	0.0.0.0	0	[448] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1110	LISTENING	0.0.0.0	0	[2804] c:\program files\kaspersky lab\kaspersky internet security 2011\avp.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1688	LISTENING	0.0.0.0	0	[1732] c:\windows\kmservice.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
2869	LISTENING	0.0.0.0	0	[4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
5679	LISTENING	0.0.0.0	0	[448] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
7438	LISTENING	0.0.0.0	0	[448] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49152	LISTENING	0.0.0.0	0	[500] c:\windows\system32\wininit.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49153	LISTENING	0.0.0.0	0	[940] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49154	LISTENING	0.0.0.0	0	[1020] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49155	LISTENING	0.0.0.0	0	[552] c:\windows\system32\services.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49156	LISTENING	0.0.0.0	0	[2136] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49157	LISTENING	0.0.0.0	0	[1724] c:\windows\system32\alg.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49158	LISTENING	0.0.0.0	0	[576] c:\windows\system32\lsass.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49231	CLOSE_WAIT	85.159.233.98	80	[2804] c:\program files\kaspersky lab\kaspersky internet security 2011\avp.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
Порты UDP
53	LISTENING	--	--	[1020] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
137	LISTENING	--	--	[4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138	LISTENING	--	--	[4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
500	LISTENING	--	--	[1020] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900	LISTENING	--	--	[2240] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900	LISTENING	--	--	[2240] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900	LISTENING	--	--	[2240] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
4500	LISTENING	--	--	[1020] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
5355	LISTENING	--	--	[1416] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
51575	LISTENING	--	--	[2804] c:\program files\kaspersky lab\kaspersky internet security 2011\avp.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
60605	LISTENING	--	--	[2240] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
60606	LISTENING	--	--	[2240] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
60607	LISTENING	--	--	[2240] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
65349	LISTENING	--	--	[1020] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
65350	LISTENING	--	--	[1020] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
65359	LISTENING	--	--	[1020] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
65361	LISTENING	--	--	[1020] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить