Протокол исследования системы

Список процессов

Имя файла	PID	Описание	Copyright	MD5	Информация
c:\program files\ccleaner\ccleaner.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	3384	CCleaner	Copyright © 2005-2011 Piriform Ltd	??	2619.81 кб, rsAh, создан: 28.11.2011 19:52:58, изменен: 28.11.2011 19:52:58 Командная строка: "C:\Program Files\CCleaner\CCleaner.exe"
c:\program files\google\chrome\application\chrome.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	2280	Google Chrome	Copyright 2012 Google Inc. All rights reserved.	??	1244.45 кб, rsAh, создан: 15.03.2013 13:36:09, изменен: 11.03.2013 04:22:07 Командная строка: "C:\Program Files\Google\Chrome\Application\chrome.exe" --type=gpu-process --channel="3100.0.1047425551\1725590085" --supports-dual-gpus=false --gpu-vendor-id=0x8086 --gpu-device-id=0x2a42 --gpu-driver-vendor="Intel Corporation" --gpu-driver-version=8.15.10.1840 --ignored=" --type=renderer " /prefetch:12
Обнаружено:48, из них опознаны как безопасные 48

Имя модуля	Handle	Описание	Copyright	MD5	Используется процессами
C:\Program Files\CCleaner\lang\lang-1049.dll Скрипт: Kарантин, Удалить, Удалить через BC	25624576			--	3384
C:\Program Files\Google\Chrome\Application\25.0.1364.172\libegl.dll Скрипт: Kарантин, Удалить, Удалить через BC	1862139904	ANGLE libEGL Dynamic Link Library	Copyright (C) 2011 Google Inc.	--	2280
C:\Program Files\Google\Chrome\Application\25.0.1364.172\libglesv2.dll Скрипт: Kарантин, Удалить, Удалить через BC	1783169024	ANGLE libGLESv2 Dynamic Link Library	Copyright (C) 2011 Google Inc.	--	2280
Обнаружено модулей:511, из них опознаны как безопасные 508

Модули пространства ядра

Модуль	Базовый адрес	Размер в памяти	Описание	Производитель
C:\Windows\System32\Drivers\dump_dumpata.sys Скрипт: Kарантин, Удалить, Удалить через BC	960C4000	00B000 (45056)
C:\Windows\System32\Drivers\dump_dumpfve.sys Скрипт: Kарантин, Удалить, Удалить через BC	960D9000	011000 (69632)
C:\Windows\System32\Drivers\dump_msahci.sys Скрипт: Kарантин, Удалить, Удалить через BC	960CF000	00A000 (40960)
Обнаружено модулей - 194, опознано как безопасные - 191

Службы

Служба	Описание	Статус	Файл	Группа	Зависимости
Обнаружено - 147, опознано как безопасные - 147

Драйверы

Служба	Описание	Статус	Файл	Группа	Зависимости
RtsUIR Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Realtek IR Driver	Не запущен	C:\Windows\system32\DRIVERS\Rts516xIR.sys Скрипт: Kарантин, Удалить, Удалить через BC
USBCCID Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Realtek Smartcard Reader Driver	Не запущен	C:\Windows\system32\DRIVERS\RtsUCcid.sys Скрипт: Kарантин, Удалить, Удалить через BC
VGPU Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	VGPU	Не запущен	C:\Windows\system32\drivers\rdvgkmd.sys Скрипт: Kарантин, Удалить, Удалить через BC
Обнаружено - 259, опознано как безопасные - 256

Автозапуск

Имя файла	Статус	Метод запуска	Описание
C:\Program Files\Skype\Updater\Updater.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\SkypeUpdate, EventMessageFile
C:\Users\Natalya\AppData\Local\Temp\9FF57F9F-EFFF0907-B9E80936-DDB06390\f6nfqeuy.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Doctor Web\DrWebARKDaemon, EventMessageFile
C:\Users\Natalya\AppData\Local\Temp\9FF57F9F-EFFF0907-B9E80936-DDB06390\p5ex7kks.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Doctor Web\Dr.Web Engine, EventMessageFile
C:\Windows\System32\MsSpellCheckingFacility.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Microsoft-Windows-Spell-Checking, EventMessageFile
C:\Windows\System32\MsSpellCheckingFacility.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Microsoft-Windows-SpellChecker, EventMessageFile
C:\Windows\System32\MsSpellCheckingFacility.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\Microsoft-Windows-Spell-Checking, EventMessageFile
C:\Windows\System32\MsSpellCheckingFacility.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\Microsoft-Windows-SpellChecker, EventMessageFile
C:\Windows\system32\psxss.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix
progman.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, shell Удалить
vgafix.fon Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fixedfon.fon Удалить
vgaoem.fon Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, oemfonts.fon Удалить
vgasys.fon Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fonts.fon Удалить
Обнаружено элементов автозапуска - 692, опознано как безопасные - 680

Модули расширения Internet Explorer (BHO, панели ...)

Имя файла	Тип	Описание	Производитель	CLSID
Обнаружено элементов - 1, опознано как безопасные - 1

Модули расширения проводника

Имя файла	Назначение	Описание	Производитель	CLSID
	WebCheck			{E6FB5E20-DE35-11CF-9C87-00AA005127ED} Удалить
Обнаружено элементов - 14, опознано как безопасные - 13

Модули расширения системы печати (мониторы печати, провайдеры)

Имя файла	Тип	Наименование	Описание	Производитель
Обнаружено элементов - 7, опознано как безопасные - 7

Задания планировщика задач Task Scheduler

Имя файла	Имя задания	Состояние задания	Описание	Производитель
Обнаружено элементов - 2, опознано как безопасные - 2

Настройки SPI/LSP

Поставщики пространства имен (NSP)

Поставщик	Статус	Исп. файл	Описание	GUID
Обнаружено - 6, опознано как безопасные - 6

Поставщики транспортных протоколов (TSP, LSP)

Поставщик Исп. файл Описание
Обнаружено - 26, опознано как безопасные - 26
Результаты автоматического анализа настроек SPI
Настройки LSP проверены. Ошибок не обнаружено

Порты TCP/UDP

Порт Статус Remote Host Remote Port Приложение Примечания
Порты TCP
135 LISTENING 0.0.0.0 0 [780] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445 LISTENING 0.0.0.0 0 [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49152 LISTENING 0.0.0.0 0 [456] c:\windows\system32\wininit.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49153 LISTENING 0.0.0.0 0 [960] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49154 LISTENING 0.0.0.0 0 [1068] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49155 LISTENING 0.0.0.0 0 [516] c:\windows\system32\services.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49156 LISTENING 0.0.0.0 0 [932] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49157 LISTENING 0.0.0.0 0 [532] c:\windows\system32\lsass.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
Порты UDP
500 LISTENING -- -- [1068] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900 LISTENING -- -- [3900] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
4500 LISTENING -- -- [1068] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
52170 LISTENING -- -- [3136] c:\program files\comodo\comodo internet security\cis.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
65465 LISTENING -- -- [3900] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
65466 LISTENING -- -- [3424] c:\program files\internet explorer\iexplore.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
65467 LISTENING -- -- [1084] c:\program files\internet explorer\iexplore.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить

Downloaded Program Files (DPF)

Имя файла Описание Производитель CLSID URL загрузки
Обнаружено элементов - 0, опознано как безопасные - 0

Апплеты панели управления (CPL)

Имя файла Описание Производитель
Обнаружено элементов - 23, опознано как безопасные - 23

Active Setup

Имя файла Описание Производитель CLSID
Обнаружено элементов - 9, опознано как безопасные - 9

Файл HOSTS

Запись файла Hosts

Протоколы и обработчики

Имя файла Тип Описание Производитель CLSID
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
Обнаружено элементов - 15, опознано как безопасные - 12

Подозрительные объекты

Файл Описание Тип
C:\Windows\system32\DRIVERS\cmdguard.sys
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit Перехватчик KernelMode

Протокол антивирусной утилиты AVZ версии 4.39
Сканирование запущено в 22.03.2013 10:06:24
Загружена база: сигнатуры - 297614, нейропрофили - 2, микропрограммы лечения - 56, база от 22.03.2013 04:00
Загружены микропрограммы эвристики: 402
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 533742
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 6.1.7601, Service Pack 1 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:CreateProcessA (167) перехвачена, метод APICodeHijack.JmpTo[770F2082]
Функция kernel32.dll:CreateProcessW (171) перехвачена, метод APICodeHijack.JmpTo[770F204D]
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:LdrUnloadDll (161) перехвачена, метод APICodeHijack.JmpTo[77A0C86E]
Функция ntdll.dll:NtAlpcSendWaitReceivePort (216) перехвачена, метод APICodeHijack.JmpTo[779F5418]
Функция ntdll.dll:NtClose (227) перехвачена, метод APICodeHijack.JmpTo[779F54C8]
Функция ntdll.dll:ZwAlpcSendWaitReceivePort (1446) перехвачена, метод APICodeHijack.JmpTo[779F5418]
Функция ntdll.dll:ZwClose (1457) перехвачена, метод APICodeHijack.JmpTo[779F54C8]
 Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:SetWinEventHook (2216) перехвачена, метод APICodeHijack.JmpTo[75DA24DC]
Функция user32.dll:SetWindowsHookExA (2231) перехвачена, метод APICodeHijack.JmpTo[75DC6D0C]
Функция user32.dll:SetWindowsHookExW (2232) перехвачена, метод APICodeHijack.JmpTo[75D9E30C]
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CreateProcessAsUserA (1125) перехвачена, метод APICodeHijack.JmpTo[76D32538]
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=169B00)
 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 82C4E000
   SDT = 82DB7B00
   KiST = 82CCC1BC (401)
Функция NtAdjustPrivilegesToken (0C) перехвачена (82ED3CB3->8FA2E230), перехватчик C:\Windows\system32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtAlpcConnectPort (16) перехвачена (82EC437E->8FA2E41C), перехватчик C:\Windows\system32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtConnectPort (3B) перехвачена (82EC6E80->8FA2D590), перехватчик C:\Windows\system32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateFile (42) перехвачена (82E9E332->8FA2DE96), перехватчик C:\Windows\system32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateSection (54) перехвачена (82E7203D->8FA2DC4A), перехватчик C:\Windows\system32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateSymbolicLinkObject (56) перехвачена (82E508F4->8FA2EF94), перехватчик C:\Windows\system32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateThread (57) перехвачена (82F2ADC6->8FA2CF7C), перехватчик C:\Windows\system32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateThreadEx (58) перехвачена (82EBF2AB->8FA2E64A), перехватчик C:\Windows\system32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtLoadDriver (9B) перехвачена (82E14C14->8FA2E9C6), перехватчик C:\Windows\system32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtMakeTemporaryObject (A4) перехвачена (82E5A950->8FA2D858), перехватчик C:\Windows\system32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenFile (B3) перехвачена (82E80C6A->8FA2E072), перехватчик C:\Windows\system32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenSection (C2) перехвачена (82EB87FB->8FA2DAF2), перехватчик C:\Windows\system32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetSystemInformation (15E) перехвачена (82E9D23C->8FA2ECB2), перехватчик C:\Windows\system32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtShutdownSystem (168) перехвачена (82F518D3->8FA2D7C2), перехватчик C:\Windows\system32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSystemDebugControl (170) перехвачена (82ED45E2->8FA2D9DE), перехватчик C:\Windows\system32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtTerminateProcess (172) перехвачена (82EA9B9D->8FA2D392), перехватчик C:\Windows\system32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtTerminateThread (173) перехвачена (82EC74AB->8FA2D180), перехватчик C:\Windows\system32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Проверено функций: 401, перехвачено: 17, восстановлено: 17
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Анализ для процессора 2
CmpCallCallBacks = 00000000
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
 Драйвер успешно загружен
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 46
 Количество загруженных модулей: 514
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Program Files\COMODO\COMODO Internet Security\database\vendor.h
Прямое чтение C:\Users\Natalya\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.tmp
Прямое чтение C:\Users\Natalya\AppData\Local\Opera\Opera\vps\0000\wb.vx
Прямое чтение C:\Users\Natalya\AppData\Local\Temp\~DFD8BE3A5333B2C1A9.TMP
Прямое чтение C:\Users\Natalya\AppData\Local\Temp\~DFDF5D5031EED84BDF.TMP
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
 Проверка отключена пользователем
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Обнаружен вызов интерпретатора командной строки в автозапуске [DR=1] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\HotKeysCmds = [C:\Windows\system32\hkcmd.exe]
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 52945, извлечено из архивов: 35052, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 22.03.2013 10:11:47
!!! Внимание !!! Восстановлено 17 функций KiST в ходе работы антируткита
Это может нарушить нормальную работу ряда программ, поэтому настоятельно рекомендуется перезагрузить компьютер
Сканирование длилось 00:05:25
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Создание архива с файлами из карантина
Создание архива с файлами из карантина завершено
Выполняется исследование системы

 Исследование системы завершено


Команды скрипта 
Добавить в скрипт команды:
Нейтрализация перехватов функций при помощи антируткита
Включить AVZGuard
Управление AVZPM (true-включить,false-отключить)
BootCleaner - импорт списка удаленных файлов
BootCleaner - импортировать все
Чистка реестра после удаления файлов
ExecuteWizard ('TSW',2,3,true) - Выполнение мастера поиска и устранения проблем
BootCleaner - активация
Перезагрузка
Вставить заготовку для QuarantineFile() - помещение файла в карантин
Вставить заготовку для BC_QrFile() - помещение файла в карантин через BC
Вставить заготовку для DeleteFile() - удаление файла
Вставить заготовку для DelCLSID() - удаление CLSID класса из реестра
Дополнительные операции:Оптимизация - отключить службу TermService (Службы удаленных рабочих столов)
Оптимизация - отключить службу SSDPSRV (Обнаружение SSDP)
Оптимизация - отключить службу Schedule (Планировщик заданий)
Оптимизация - безопасность - отключить автозапуск программ с CD
Оптимизация - безопасность - отключить административный доступ к локальным дискам
Оптимизация - безопасность - блокировать возможность подключения анонимных пользователей
Безопасность - запретить отправку приглашений удаленному помощнику

Список файлов

Порт	Статус	Remote Host	Remote Port	Приложение	Примечания
Порты TCP
135	LISTENING	0.0.0.0	0	[780] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445	LISTENING	0.0.0.0	0	[4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49152	LISTENING	0.0.0.0	0	[456] c:\windows\system32\wininit.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49153	LISTENING	0.0.0.0	0	[960] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49154	LISTENING	0.0.0.0	0	[1068] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49155	LISTENING	0.0.0.0	0	[516] c:\windows\system32\services.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49156	LISTENING	0.0.0.0	0	[932] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49157	LISTENING	0.0.0.0	0	[532] c:\windows\system32\lsass.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
Порты UDP
500	LISTENING	--	--	[1068] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900	LISTENING	--	--	[3900] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
4500	LISTENING	--	--	[1068] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
52170	LISTENING	--	--	[3136] c:\program files\comodo\comodo internet security\cis.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
65465	LISTENING	--	--	[3900] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
65466	LISTENING	--	--	[3424] c:\program files\internet explorer\iexplore.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
65467	LISTENING	--	--	[1084] c:\program files\internet explorer\iexplore.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить