Протокол исследования системы

Список процессов

Имя файла	PID	Описание	Copyright	MD5	Информация
d:\program files\vericut 7.2\windows\license\lservnt.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	3864	Sentinel RMS Development Kit License Manager	Copyright © 2006 SafeNet, Inc.	??	764.00 кб, rsAh, создан: 08.03.2013 17:59:29, изменен: 13.11.2008 18:20:00 Командная строка: "D:\Program Files\VeriCut 7.2\windows\license\lservnt.exe"
d:\program files\autodesk\inventor 2011\moldflow\bin\mitsijm.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1012			??	451.50 кб, rsAh, создан: 23.01.2010 07:12:06, изменен: 23.01.2010 07:12:06 Командная строка: "D:\Program Files\Autodesk\Inventor 2011\Moldflow\bin\mitsijm.exe"
Обнаружено:36, из них опознаны как безопасные 34

Имя модуля	Handle	Описание	Copyright	MD5	Используется процессами
Обнаружено модулей:306, из них опознаны как безопасные 306

Модули пространства ядра

Модуль	Базовый адрес	Размер в памяти	Описание	Производитель
C:\WINDOWS\System32\Drivers\dump_atapi.sys Скрипт: Kарантин, Удалить, Удалить через BC	B5269000	018000 (98304)
C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS Скрипт: Kарантин, Удалить, Удалить через BC	BADC6000	002000 (8192)
C:\WINDOWS\System32\Drivers\Mach3.sys Скрипт: Kарантин, Удалить, Удалить через BC	B95FC000	01A000 (106496)	Description string for Mach1 driver	Copyright (c) Your Corporation199X-200X
C:\WINDOWS\system32\SENTINELFILTER.SYS Скрипт: Kарантин, Удалить, Удалить через BC	B3C03000	03F000 (258048)
C:\WINDOWS\system32\Drivers\sptd.sys Скрипт: Kарантин, Удалить, Удалить через BC	BA6BD000	0EA000 (958464)
C:\WINDOWS\system32\DRIVERS\tcpip.sys Скрипт: Kарантин, Удалить, Удалить через BC	B5513000	058000 (360448)	TCP/IP Protocol Driver	© Microsoft Corporation. All rights reserved.
Обнаружено модулей - 139, опознано как безопасные - 133

Службы

Служба	Описание	Статус	Файл	Группа	Зависимости
mitsijm2011 Служба: Стоп, Удалить, Отключить, Удалить через BC	Диспетчер задач Autodesk Moldflow Inventor Tool Suite Integration 2011	Работает	D:\Program Files\Autodesk\Inventor 2011\Moldflow\bin\mitsijm.exe Скрипт: Kарантин, Удалить, Удалить через BC
Sentinel RMS License Manager Служба: Стоп, Удалить, Отключить, Удалить через BC	Sentinel RMS License Manager	Работает	D:\Program Files\VeriCut 7.2\windows\license\lservnt.exe Скрипт: Kарантин, Удалить, Удалить через BC
AcrSch2Svc Служба: Стоп, Удалить, Отключить, Удалить через BC	Acronis Scheduler2 Service	Не запущен	C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe Скрипт: Kарантин, Удалить, Удалить через BC		RpcSs
Обнаружено - 108, опознано как безопасные - 105

Драйверы

Служба	Описание	Статус	Файл	Группа	Зависимости
Mach3 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Mach3 Pulseing Service	Работает	C:\WINDOWS\system32\Drivers\Mach3.sys Скрипт: Kарантин, Удалить, Удалить через BC
SentinelFilter Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	SentinelFilter	Работает	C:\WINDOWS\system32\SENTINELFILTER.SYS Скрипт: Kарантин, Удалить, Удалить через BC
sptd Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	sptd	Работает	C:\WINDOWS\System32\Drivers\sptd.sys Скрипт: Kарантин, Удалить, Удалить через BC	Boot Bus Extender
Tcpip Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Драйвер протокола TCP/IP	Работает	C:\WINDOWS\system32\DRIVERS\tcpip.sys Скрипт: Kарантин, Удалить, Удалить через BC	PNP_TDI	IPSec
Abiosdsk Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Abiosdsk	Не запущен	Abiosdsk.sys Скрипт: Kарантин, Удалить, Удалить через BC	Primary disk
abp480n5 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	abp480n5	Не запущен	abp480n5.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
adpu160m Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	adpu160m	Не запущен	adpu160m.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
Aha154x Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Aha154x	Не запущен	Aha154x.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
aic78u2 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	aic78u2	Не запущен	aic78u2.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
aic78xx Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	aic78xx	Не запущен	aic78xx.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
AliIde Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	AliIde	Не запущен	AliIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
amsint Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	amsint	Не запущен	amsint.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
asc Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	asc	Не запущен	asc.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
asc3350p Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	asc3350p	Не запущен	asc3350p.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
asc3550 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	asc3550	Не запущен	asc3550.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
Atdisk Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Atdisk	Не запущен	Atdisk.sys Скрипт: Kарантин, Удалить, Удалить через BC	Primary disk
autorun Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	autorun	Не запущен	c:\huadio.tmp Скрипт: Kарантин, Удалить, Удалить через BC
bgaqyso Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	bgaqyso	Не запущен	C:\WINDOWS\system32\drivers\gnjtyak.sys Скрипт: Kарантин, Удалить, Удалить через BC
cd20xrnt Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	cd20xrnt	Не запущен	cd20xrnt.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
Changer Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Changer	Не запущен	Changer.sys Скрипт: Kарантин, Удалить, Удалить через BC	Filter
CmdIde Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	CmdIde	Не запущен	CmdIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
Cpqarray Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Cpqarray	Не запущен	Cpqarray.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
dac960nt Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	dac960nt	Не запущен	dac960nt.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
dpti2o Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	dpti2o	Не запущен	dpti2o.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
epmntdrv Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	epmntdrv	Не запущен	C:\WINDOWS\system32\epmntdrv.sys Скрипт: Kарантин, Удалить, Удалить через BC
EuGdiDrv Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	EuGdiDrv	Не запущен	C:\WINDOWS\system32\EuGdiDrv.sys Скрипт: Kарантин, Удалить, Удалить через BC
hpn Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	hpn	Не запущен	hpn.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
i2omgmt Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	i2omgmt	Не запущен	i2omgmt.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI Class
i2omp Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	i2omp	Не запущен	i2omp.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
ini910u Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ini910u	Не запущен	ini910u.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
IntelIde Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	IntelIde	Не запущен	IntelIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
lbrtfdc Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	lbrtfdc	Не запущен	lbrtfdc.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
mraid35x Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	mraid35x	Не запущен	mraid35x.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
NCBULK Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	NetChip USB client driver	Не запущен	C:\WINDOWS\system32\drivers\NcBulk.sys Скрипт: Kарантин, Удалить, Удалить через BC
PCIDump Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	PCIDump	Не запущен	PCIDump.sys Скрипт: Kарантин, Удалить, Удалить через BC	PCI Configuration
PDCOMP Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	PDCOMP	Не запущен	PDCOMP.sys Скрипт: Kарантин, Удалить, Удалить через BC
PDFRAME Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	PDFRAME	Не запущен	PDFRAME.sys Скрипт: Kарантин, Удалить, Удалить через BC
PDRELI Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	PDRELI	Не запущен	PDRELI.sys Скрипт: Kарантин, Удалить, Удалить через BC
PDRFRAME Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	PDRFRAME	Не запущен	PDRFRAME.sys Скрипт: Kарантин, Удалить, Удалить через BC
perc2 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	perc2	Не запущен	perc2.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
perc2hib Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	perc2hib	Не запущен	perc2hib.sys Скрипт: Kарантин, Удалить, Удалить через BC	Filter
PQNTDrv Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	PQNTDrv	Не запущен	PQNTDrv.sys Скрипт: Kарантин, Удалить, Удалить через BC
ql1080 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ql1080	Не запущен	ql1080.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
Ql10wnt Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Ql10wnt	Не запущен	Ql10wnt.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
ql12160 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ql12160	Не запущен	ql12160.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
ql1240 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ql1240	Не запущен	ql1240.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
ql1280 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ql1280	Не запущен	ql1280.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
RT61 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	LevelOne WNC-0301 11g Wireless PCI Adapter Driver	Не запущен	C:\WINDOWS\system32\DRIVERS\RT61.sys Скрипт: Kарантин, Удалить, Удалить через BC	NDIS
Simbad Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Simbad	Не запущен	Simbad.sys Скрипт: Kарантин, Удалить, Удалить через BC	Filter
Sparrow Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Sparrow	Не запущен	Sparrow.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
sym_hi Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	sym_hi	Не запущен	sym_hi.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
sym_u3 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	sym_u3	Не запущен	sym_u3.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
symc810 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	symc810	Не запущен	symc810.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
symc8xx Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	symc8xx	Не запущен	symc8xx.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
TosIde Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	TosIde	Не запущен	TosIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
ultra Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ultra	Не запущен	ultra.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
ViaIde Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ViaIde	Не запущен	ViaIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
WDICA Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	WDICA	Не запущен	WDICA.sys Скрипт: Kарантин, Удалить, Удалить через BC
Обнаружено - 215, опознано как безопасные - 157

Автозапуск

Имя файла	Статус	Метод запуска	Описание
C:\WINDOWS\System32\Drivers\AliIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\aliide, EventMessageFile
C:\WINDOWS\System32\Drivers\CmdIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\cmdide, EventMessageFile
C:\WINDOWS\System32\Drivers\IntelIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\intelide, EventMessageFile
C:\WINDOWS\System32\Drivers\TosIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\toside, EventMessageFile
C:\WINDOWS\System32\Drivers\ViaIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\viaide, EventMessageFile
C:\WINDOWS\System32\Drivers\lbrtfdc.sys Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\lbrtfdc, EventMessageFile
C:\WINDOWS\System32\PrintFilterPipelineSvc.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\PrintFilterPipelineSvc, EventMessageFile
C:\WINDOWS\System32\appmgmts.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\AppMgmt\Parameters, ServiceDll Удалить
C:\WINDOWS\System32\appmgmts.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Application Management, EventMessageFile
C:\WINDOWS\System32\appmgr.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Software Installation, EventMessageFile
C:\WINDOWS\System32\drivers\RT61.sys Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\RT61, EventMessageFile
C:\WINDOWS\System32\fdeploy.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\File Deployment, EventMessageFile
C:\WINDOWS\System32\fdeploy.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Folder Redirection, EventMessageFile
C:\WINDOWS\System32\igmpv2.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IGMPv2, EventMessageFile
C:\WINDOWS\System32\ipbootp.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IPBOOTP, EventMessageFile
C:\WINDOWS\System32\iprip2.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IPRIP2, EventMessageFile
C:\WINDOWS\System32\ntbackup.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\ntbackup, EventMessageFile
C:\WINDOWS\System32\ospf.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\OSPF, EventMessageFile
C:\WINDOWS\System32\ospfmib.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\OSPFMib, EventMessageFile
C:\WINDOWS\System32\polagent.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\PolicyAgent, EventMessageFile
C:\WINDOWS\System32\tssdis.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\TermServSessDir, EventMessageFile
C:\WINDOWS\system32\MsSip1.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\MS Subjects 1, $DLL Удалить
C:\WINDOWS\system32\MsSip2.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\MS Subjects 2, $DLL Удалить
C:\WINDOWS\system32\MsSip3.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\MS Subjects 3, $DLL Удалить
C:\WINDOWS\system32\asr_fmt.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Asr\Commands, ASR format utility for volumes Удалить
C:\WINDOWS\system32\asr_ldm.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Asr\Commands, ASR utility for Logical Disk Manager Удалить
C:\WINDOWS\system32\asr_pfu.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Asr\Commands, ASR protected file utility Удалить
C:\WINDOWS\system32\psxss.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix
C:\WINDOWS\system32\stisvc.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System, EventMessageFile
D:\PROGRA~1\SPRUTT~1\SPRUTC~1\SPRUTS~1.DLL Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved, {AD63DFAB-D71A-478A-9F52-DF1CCDB1D8EC} Удалить
D:\Program Files\EdgeCAM\Cam\edgecls.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ярлык в папке автозагрузки	C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\, C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\EdgeCLS12.00.lnk,
D:\Program Files\VeriCut 7.2\windows\license\lservnt.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Sentinel RMS License Manager, EventMessageFile
SDEvents.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Spybot - Search & Destroy 2, EventMessageFile
appmgmts.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}, DLLName Удалить
c:\documents and settings\andrnow\local settings\temp\1EBB11C1-EBE31C10-4C2166EB-B9C12B8B\6cif4ir4.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Doctor Web\Dr.Web Engine, EventMessageFile
c:\documents and settings\andrnow\local settings\temp\1EBB11C1-EBE31C10-4C2166EB-B9C12B8B\kjxr3loe.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Doctor Web\DrWebARKDaemon, EventMessageFile
deskpan.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved, {42071714-76d4-11d1-8b24-00a0c9068ff3} Удалить
kbd101.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\i8042prt\Parameters, LayerDriver JPN Удалить
kbd101a.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\i8042prt\Parameters, LayerDriver KOR Удалить
mvfs32.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, .DEFAULT\Control Panel\IOProcs, MVB Удалить
mvfs32.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-19\Control Panel\IOProcs, MVB Удалить
mvfs32.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-20\Control Panel\IOProcs, MVB Удалить
mvfs32.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-18\Control Panel\IOProcs, MVB Удалить
mvfs32.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_CURRENT_USER, Control Panel\IOProcs, MVB Удалить
relog_ap.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	?	HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Lsa, Authentication Packages
vgafix.fon Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fixedfon.fon Удалить
vgaoem.fon Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, oemfonts.fon Удалить
vgasys.fon Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fonts.fon Удалить
Обнаружено элементов автозапуска - 864, опознано как безопасные - 816

Модули расширения Internet Explorer (BHO, панели ...)

Имя файла	Тип	Описание	Производитель	CLSID
ICQ.exe Скрипт: Kарантин, Удалить, Удалить через BC	Модуль расширения			{E59EB121-F339-4851-A3BA-FE49C35617C2} Удалить
Обнаружено элементов - 19, опознано как безопасные - 18

Модули расширения проводника

Имя файла	Назначение	Описание	Производитель	CLSID
deskpan.dll Скрипт: Kарантин, Удалить, Удалить через BC	Расширение CPL панорамирования дисплея			{42071714-76d4-11d1-8b24-00a0c9068ff3} Удалить
	Расширения оболочки для сжатия файлов			{764BF0E1-F219-11ce-972D-00AA00A14F56} Удалить
	Контекстное меню шифрования			{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} Удалить
	Панель задач и меню ''Пуск''			{0DF44EAA-FF21-4412-828E-260A8728E7F1} Удалить
	Учетные записи пользователей			{7A9D77BD-5403-11d2-8785-2E0420524153} Удалить
	HashTab Context Menu			{B1883831-F0D8-4453-8245-EEAAD866DD6E} Удалить
D:\PROGRA~1\SPRUTT~1\SPRUTC~1\SPRUTS~1.DLL Скрипт: Kарантин, Удалить, Удалить через BC	Sprut Thumbnails extractor			{AD63DFAB-D71A-478A-9F52-DF1CCDB1D8EC} Удалить
Обнаружено элементов - 206, опознано как безопасные - 199

Модули расширения системы печати (мониторы печати, провайдеры)

Имя файла	Тип	Наименование	Описание	Производитель
Обнаружено элементов - 8, опознано как безопасные - 8

Задания планировщика задач Task Scheduler

Имя файла	Имя задания	Состояние задания	Описание	Производитель
C:\DOCUME~1\Andrnow\LOCALS~1\Temp\cis1E.exe Скрипт: Kарантин, Удалить, Удалить через BC	CisPostUninstall.job Скрипт: Удалить	The task is ready to run at its next scheduled time.
Обнаружено элементов - 1, опознано как безопасные - 0

Настройки SPI/LSP

Поставщики пространства имен (NSP)

Поставщик	Статус	Исп. файл	Описание	GUID
Обнаружено - 4, опознано как безопасные - 4

Поставщики транспортных протоколов (TSP, LSP)

Поставщик Исп. файл Описание
Обнаружено - 48, опознано как безопасные - 48
Результаты автоматического анализа настроек SPI
Настройки LSP проверены. Ошибок не обнаружено

Порты TCP/UDP

Порт Статус Remote Host Remote Port Приложение Примечания
Порты TCP
135 LISTENING 0.0.0.0 34906 [1324] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
139 LISTENING 0.0.0.0 10258 [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
139 LISTENING 0.0.0.0 2208 [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445 LISTENING 0.0.0.0 2144 [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
902 LISTENING 0.0.0.0 61683 [2120] c:\program files\vmware\vmware workstation\vmware-authd.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
912 LISTENING 0.0.0.0 2240 [2120] c:\program files\vmware\vmware workstation\vmware-authd.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1048 LISTENING 0.0.0.0 4330 [3656] c:\windows\system32\alg.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
3260 LISTENING 0.0.0.0 39102 [3964] c:\program files\alcohol soft\alcohol 120\starwind\starwindserviceae.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
3261 LISTENING 0.0.0.0 38958 [3964] c:\program files\alcohol soft\alcohol 120\starwind\starwindserviceae.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
3571 LISTENING 0.0.0.0 37064 [2248] c:\program files\microsoft sql server\mssql.1\mssql\binn\sqlservr.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
4430 LISTENING 0.0.0.0 2082 [2944] c:\program files\vmware\vmware workstation\vmware-hostd.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
5152 LISTENING 0.0.0.0 32819 [1936] c:\program files\java\jre6\bin\jqs.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
5354 LISTENING 0.0.0.0 8436 [1540] c:\program files\bonjour\mdnsresponder.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
8307 LISTENING 0.0.0.0 63675 [2944] c:\program files\vmware\vmware workstation\vmware-hostd.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
20702 LISTENING 0.0.0.0 4212 [1012] d:\program files\autodesk\inventor 2011\moldflow\bin\mitsijm.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
Порты UDP
123 LISTENING -- -- [1700] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
123 LISTENING -- -- [1700] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
123 LISTENING -- -- [1700] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
137 LISTENING -- -- [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
137 LISTENING -- -- [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138 LISTENING -- -- [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138 LISTENING -- -- [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445 LISTENING -- -- [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
500 LISTENING -- -- [1116] c:\windows\system32\lsass.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1031 LISTENING -- -- [1540] c:\program files\bonjour\mdnsresponder.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1434 LISTENING -- -- [3920] c:\program files\microsoft sql server\90\shared\sqlbrowser.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900 LISTENING -- -- [1892] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900 LISTENING -- -- [1892] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900 LISTENING -- -- [1892] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
4500 LISTENING -- -- [1116] c:\windows\system32\lsass.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
5093 LISTENING -- -- [3864] d:\program files\vericut 7.2\windows\license\lservnt.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
5353 LISTENING -- -- [1540] c:\program files\bonjour\mdnsresponder.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
5353 LISTENING -- -- [1540] c:\program files\bonjour\mdnsresponder.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить

Downloaded Program Files (DPF)

Имя файла Описание Производитель CLSID URL загрузки
C:\Program Files\JavaSoft\JRE\1.2\bin\npjpi120.dll
Скрипт: Kарантин, Удалить, Удалить через BC {CAFEEFAC-0012-0000-0000-ABCDEFFEDCBA}
Удалить http://java.sun.com/update/1.2.0/jinstall-1_2_0-windows-i586.cab
Обнаружено элементов - 1, опознано как безопасные - 0

Апплеты панели управления (CPL)

Имя файла Описание Производитель
Обнаружено элементов - 33, опознано как безопасные - 33

Active Setup

Имя файла Описание Производитель CLSID
Обнаружено элементов - 14, опознано как безопасные - 14

Файл HOSTS

Запись файла Hosts

Протоколы и обработчики

Имя файла Тип Описание Производитель CLSID
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
Обнаружено элементов - 30, опознано как безопасные - 27

Подозрительные объекты

Файл Описание Тип
C:\WINDOWS\system32\DRIVERS\klif.sys
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit Перехватчик KernelMode
C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit Перехватчик KernelMode
\SystemRoot\system32\DRIVERS\klif.sys
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit Перехватчик KernelMode
C:\WINDOWS\system32\drivers\Haspnt.sys
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit >>> Перехватчик KernelMode - ЦП[1].IDT[06]

Протокол антивирусной утилиты AVZ версии 4.39
Сканирование запущено в 16.04.2013 03:21:01
Загружена база: сигнатуры - 297614, нейропрофили - 2, микропрограммы лечения - 56, база от 14.04.2013 16:00
Загружены микропрограммы эвристики: 402
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 543482
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:CreateProcessA (99) перехвачена, метод APICodeHijack.JmpTo[10025A96]
Функция kernel32.dll:CreateProcessW (103) перехвачена, метод APICodeHijack.JmpTo[10024F06]
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:LdrLoadDll (70) перехвачена, метод APICodeHijack.JmpTo[10027DC6]
Функция ntdll.dll:LdrUnloadDll (80) перехвачена, метод APICodeHijack.JmpTo[1001D176]
Функция ntdll.dll:NtClose (111) перехвачена, метод APICodeHijack.JmpTo[1001D056]
Функция ntdll.dll:NtReplyWaitReceivePort (286) перехвачена, метод APICodeHijack.JmpTo[1002BB16]
Функция ntdll.dll:NtReplyWaitReceivePortEx (287) перехвачена, метод APICodeHijack.JmpTo[1002B7F6]
Функция ntdll.dll:ZwClose (921) перехвачена, метод APICodeHijack.JmpTo[1001D056]
Функция ntdll.dll:ZwReplyWaitReceivePort (1095) перехвачена, метод APICodeHijack.JmpTo[1002BB16]
Функция ntdll.dll:ZwReplyWaitReceivePortEx (1096) перехвачена, метод APICodeHijack.JmpTo[1002B7F6]
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CreateProcessAsUserA (97) перехвачена, метод APICodeHijack.JmpTo[10024366]
Функция advapi32.dll:CreateProcessAsUserW (99) перехвачена, метод APICodeHijack.JmpTo[10023A36]
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=0846E0)
 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
   SDT = 8055B6E0
   KiST = 80503960 (284)
Функция NtAdjustPrivilegesToken (0B) перехвачена (805EA392->B561A5FA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtClose (19) перехвачена (805BAF70->B561AEFE), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtConnectPort (1F) перехвачена (805A30A4->B561BD32), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateEvent (23) перехвачена (8060CE3E->B561C27C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateFile (25) перехвачена (80577ED2->B561B1DA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateKey (29) перехвачена (80622110->B561946A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateMutant (2B) перехвачена (80615554->B561C162), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateNamedPipeFile (2C) перехвачена (80577F0C->B561A1E8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreatePort (2E) перехвачена (805A3BC0->B561C036), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateSection (32) перехвачена (805A9E9E->B561A390), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateSemaphore (33) перехвачена (80612F04->B561C39C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateSymbolicLinkObject (34) перехвачена (805C36A4->B5679E3A), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный
Функция NtCreateThread (35) перехвачена (805CF8C8->B561AB86), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateWaitablePort (38) перехвачена (805A3BE4->B561C0CC), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDebugActiveProcess (39) перехвачена (80640FF6->B561DA84), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDeleteKey (3F) перехвачена (806225A0->B5619A74), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDeleteValueKey (41) перехвачена (80622770->B5619E28), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDeviceIoControlFile (42) перехвачена (80578098->B561B65C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDuplicateObject (44) перехвачена (805BC94C->B561EC90), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtEnumerateKey (47) перехвачена (80622950->B5619F74), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtEnumerateValueKey (49) перехвачена (80622BBA->B561A00C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtFsControlFile (54) перехвачена (805780CC->B561B46A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtLoadDriver (61) перехвачена (80582EAE->B561DB76), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtLoadKey (62) перехвачена (80623E40->B5619446), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtLoadKey2 (63) перехвачена (80623A8A->B5619458), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtMakeTemporaryObject (69) перехвачена (805BB014->B567700E), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный
Функция NtMapViewOfSection (6C) перехвачена (805B0A7E->B561E2DE), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtNotifyChangeKey (6F) перехвачена (80623E0A->B561A138), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenEvent (72) перехвачена (8060CF3E->B561C312), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenFile (74) перехвачена (80578FD0->B561AF80), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenKey (77) перехвачена (806234A6->B561962A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenMutant (78) перехвачена (8061562C->B561C1F2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenProcess (7A) перехвачена (805C9D0A->B561A836), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenSection (7D) перехвачена (805A8EC2->B561E078), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenSemaphore (7E) перехвачена (80612FFE->B561C432), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenThread (80) перехвачена (805C9F96->B561A728), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueryKey (A0) перехвачена (806237CA->B561A0A4), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueryMultipleValueKey (A1) перехвачена (806212DE->B5619CDC), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQuerySection (A7) перехвачена (805B7020->B561E618), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueryValueKey (B1) перехвачена (806201CA->B5619906), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueueApcThread (B4) перехвачена (805CFB3E->B561DF0A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtRenameKey (C0) перехвачена (80621B36->B5619B96), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtReplaceKey (C1) перехвачена (80623CF0->B5618E80), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtReplyPort (C2) перехвачена (805A3FC0->B561C796), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtReplyWaitReceivePort (C3) перехвачена (805A4F88->B561C65C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtRequestWaitReplyPort (C8) перехвачена (805A184A->B561D81E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtRestoreKey (CC) перехвачена (80620518->B56191F8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtResumeThread (CE) перехвачена (805D320A->B561EB32), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSaveKey (CF) перехвачена (806205BA->B5618E18), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSecureConnectPort (D2) перехвачена (805A2838->B561BA78), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetContextThread (D5) перехвачена (805D0002->B561ADA2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetInformationToken (E6) перехвачена (805F8726->B561D0BE), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetSecurityObject (ED) перехвачена (805BE9B6->B561DD14), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetSystemInformation (F0) перехвачена (8060DBF6->B561E768), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetValueKey (F7) перехвачена (806207D0->B5619780), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtShutdownSystem (F9) перехвачена (80610E46->B5676F78), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный
Функция NtSuspendProcess (FD) перехвачена (805D32D2->B561E85A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSuspendThread (FE) перехвачена (805D3144->B561E994), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSystemDebugControl (FF) перехвачена (80615F70->B561D9A8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtTerminateProcess (101) перехвачена (805D1232->B561A9D2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtTerminateThread (102) перехвачена (805D142C->B561A932), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtUnmapViewOfSection (10B) перехвачена (805B188C->B561E4BC), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtWriteVirtualMemory (115) перехвачена (805B2E0C->B561AABC), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция FsRtlCheckLockForReadAccess (804EAEA0) - модификация машинного кода. Метод JmpTo. jmp B560CFEC \SystemRoot\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция IoIsOperationSynchronous (804EF828) - модификация машинного кода. Метод JmpTo. jmp B560D3C8 \SystemRoot\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Проверено функций: 284, перехвачено: 63, восстановлено: 0
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [B4E6416D] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [B4E63FC2] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
 Анализ для процессора 2
>>> Опасно - подозрение на подмену адреса ЦП[2].IDT[06] = [B4E6416D] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
>>> Опасно - подозрение на подмену адреса ЦП[2].IDT[0E] = [B4E63FC2] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
 Драйвер успешно загружен
\FileSystem\ntfs[IRP_MJ_CREATE] = 8A1A52F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8A1A52F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8A1A52F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8A1A52F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8A1A52F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8A1A52F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8A1A52F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A1A52F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8A1A52F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8A1A52F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A1A52F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8A1A52F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8A1A52F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8A1A52F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8A1A52F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8A1A52F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 8A75A1E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 8A75A1E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 8A75A1E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 8A75A1E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 8A75A1E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 8A75A1E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 8A75A1E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A75A1E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 8A75A1E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 8A75A1E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A75A1E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 8A75A1E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 8A75A1E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 8A75A1E8 -> перехватчик не определен
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 35
Анализатор - изучается процесс 1012 D:\Program Files\Autodesk\Inventor 2011\Moldflow\bin\mitsijm.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 3864 D:\Program Files\VeriCut 7.2\windows\license\lservnt.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
 Количество загруженных модулей: 306
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\WINDOWS\system32\guard32.dll"
Подозрение на скрытый автозапуск -  HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NvCplDaemon="RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Нарушение ассоциации SCR файлов
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 341, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 16.04.2013 03:21:50
Сканирование длилось 00:00:51
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Выполняется исследование системы

 Исследование системы завершено


Команды скрипта 
Добавить в скрипт команды:
Нейтрализация перехватов функций при помощи антируткита
Включить AVZGuard
Управление AVZPM (true-включить,false-отключить)
BootCleaner - импорт списка удаленных файлов
BootCleaner - импортировать все
Чистка реестра после удаления файлов
ExecuteWizard ('TSW',2,3,true) - Выполнение мастера поиска и устранения проблем
BootCleaner - активация
Перезагрузка
Вставить заготовку для QuarantineFile() - помещение файла в карантин
Вставить заготовку для BC_QrFile() - помещение файла в карантин через BC
Вставить заготовку для DeleteFile() - удаление файла
Вставить заготовку для DelCLSID() - удаление CLSID класса из реестра
Дополнительные операции:Оптимизация - отключить службу TermService (Службы терминалов)
Оптимизация - отключить службу SSDPSRV (Служба обнаружения SSDP)
Оптимизация - отключить службу Schedule (Планировщик заданий)
Оптимизация - отключить службу mnmsrvc (NetMeeting Remote Desktop Sharing)
Оптимизация - отключить службу RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
Оптимизация - безопасность - отключить автозапуск программ с CD
Оптимизация - безопасность - отключить административный доступ к локальным дискам
Оптимизация - безопасность - блокировать возможность подключения анонимных пользователей
Безопасность - запретить отправку приглашений удаленному помощнику

Список файлов

Порт	Статус	Remote Host	Remote Port	Приложение	Примечания
Порты TCP
135	LISTENING	0.0.0.0	34906	[1324] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
139	LISTENING	0.0.0.0	10258	[4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
139	LISTENING	0.0.0.0	2208	[4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445	LISTENING	0.0.0.0	2144	[4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
902	LISTENING	0.0.0.0	61683	[2120] c:\program files\vmware\vmware workstation\vmware-authd.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
912	LISTENING	0.0.0.0	2240	[2120] c:\program files\vmware\vmware workstation\vmware-authd.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1048	LISTENING	0.0.0.0	4330	[3656] c:\windows\system32\alg.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
3260	LISTENING	0.0.0.0	39102	[3964] c:\program files\alcohol soft\alcohol 120\starwind\starwindserviceae.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
3261	LISTENING	0.0.0.0	38958	[3964] c:\program files\alcohol soft\alcohol 120\starwind\starwindserviceae.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
3571	LISTENING	0.0.0.0	37064	[2248] c:\program files\microsoft sql server\mssql.1\mssql\binn\sqlservr.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
4430	LISTENING	0.0.0.0	2082	[2944] c:\program files\vmware\vmware workstation\vmware-hostd.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
5152	LISTENING	0.0.0.0	32819	[1936] c:\program files\java\jre6\bin\jqs.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
5354	LISTENING	0.0.0.0	8436	[1540] c:\program files\bonjour\mdnsresponder.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
8307	LISTENING	0.0.0.0	63675	[2944] c:\program files\vmware\vmware workstation\vmware-hostd.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
20702	LISTENING	0.0.0.0	4212	[1012] d:\program files\autodesk\inventor 2011\moldflow\bin\mitsijm.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
Порты UDP
123	LISTENING	--	--	[1700] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
123	LISTENING	--	--	[1700] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
123	LISTENING	--	--	[1700] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
137	LISTENING	--	--	[4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
137	LISTENING	--	--	[4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138	LISTENING	--	--	[4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138	LISTENING	--	--	[4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445	LISTENING	--	--	[4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
500	LISTENING	--	--	[1116] c:\windows\system32\lsass.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1031	LISTENING	--	--	[1540] c:\program files\bonjour\mdnsresponder.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1434	LISTENING	--	--	[3920] c:\program files\microsoft sql server\90\shared\sqlbrowser.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900	LISTENING	--	--	[1892] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900	LISTENING	--	--	[1892] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900	LISTENING	--	--	[1892] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
4500	LISTENING	--	--	[1116] c:\windows\system32\lsass.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
5093	LISTENING	--	--	[3864] d:\program files\vericut 7.2\windows\license\lservnt.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
5353	LISTENING	--	--	[1540] c:\program files\bonjour\mdnsresponder.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
5353	LISTENING	--	--	[1540] c:\program files\bonjour\mdnsresponder.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить