Протокол исследования системы

Список процессов

Имя файла	PID	Описание	Copyright	MD5	Информация
c:\program files\internet explorer\iexplore.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	3772	Internet Explorer	© Microsoft Corporation. All rights reserved.	B60DDDD2D63CE41CB8C487FCFBB6419E	623,84 кб, rsAh, создан: 08.03.2009 14:09:26, изменен: 08.03.2009 14:09:26 Командная строка: "C:\Program Files\Internet Explorer\iexplore.exe" SCODEF:3732 CREDAT:79873
Обнаружено:39, из них опознаны как безопасные 39

Имя модуля	Handle	Описание	Copyright	MD5	Используется процессами
C:\Program Files\NetPanel\IEHelper.dll Скрипт: Kарантин, Удалить, Удалить через BC	61145088	Internet Research Browser Plugin	Copyright (C) 2011 Gemius	AF4FD1C1EF57B0697297D72C39CCEDBC	3772
Обнаружено модулей:302, из них опознаны как безопасные 301

Модули пространства ядра

Модуль	Базовый адрес	Размер в памяти	Описание	Производитель
C:\WINDOWS\System32\Drivers\dump_atapi.sys Скрипт: Kарантин, Удалить, Удалить через BC	B8473000	01D000 (118784)
C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS Скрипт: Kарантин, Удалить, Удалить через BC	B90EC000	009000 (36864)
Обнаружено модулей - 116, опознано как безопасные - 114

Службы

Служба	Описание	Статус	Файл	Группа	Зависимости
MozillaMaintenance Служба: Стоп, Удалить, Отключить, Удалить через BC	Mozilla Maintenance Service	Не запущен	C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe Скрипт: Kарантин, Удалить, Удалить через BC
Обнаружено - 101, опознано как безопасные - 100

Драйверы

Служба	Описание	Статус	Файл	Группа	Зависимости
Abiosdsk Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Abiosdsk	Не запущен	Abiosdsk.sys Скрипт: Kарантин, Удалить, Удалить через BC	Primary disk
adpu160m Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	adpu160m	Не запущен	adpu160m.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
adpu320 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	adpu320	Не запущен	adpu320.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
afcnt Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	afcnt	Не запущен	afcnt.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
aic78u2 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	aic78u2	Не запущен	aic78u2.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
aic78xx Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	aic78xx	Не запущен	aic78xx.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
AliIde Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	AliIde	Не запущен	AliIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
AmdIde Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	AmdIde	Не запущен	AmdIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
arc Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	arc	Не запущен	arc.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
Atdisk Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Atdisk	Не запущен	Atdisk.sys Скрипт: Kарантин, Удалить, Удалить через BC	Primary disk
cd20xrnt Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	cd20xrnt	Не запущен	cd20xrnt.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
Changer Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Changer	Не запущен	Changer.sys Скрипт: Kарантин, Удалить, Удалить через BC	Filter
CmdIde Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	CmdIde	Не запущен	CmdIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
Cpqarray Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Cpqarray	Не запущен	Cpqarray.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
cpqarry2 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	cpqarry2	Не запущен	cpqarry2.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
cpqcissm Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	cpqcissm	Не запущен	cpqcissm.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
cpqfcalm Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	cpqfcalm	Не запущен	cpqfcalm.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
dac960nt Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	dac960nt	Не запущен	dac960nt.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
dellcerc Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	dellcerc	Не запущен	dellcerc.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
dpti2o Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	dpti2o	Не запущен	dpti2o.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
elxstor Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	elxstor	Не запущен	elxstor.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
giveio Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	giveio	Не запущен	C:\WINDOWS\system32\giveio.sys Скрипт: Kарантин, Удалить, Удалить через BC
hpcisss Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	hpcisss	Не запущен	hpcisss.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
hpn Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	hpn	Не запущен	hpn.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
hpt3xx Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	hpt3xx	Не запущен	hpt3xx.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
i2omgmt Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	i2omgmt	Не запущен	i2omgmt.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI Class
i2omp Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	i2omp	Не запущен	i2omp.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
iirsp Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	iirsp	Не запущен	iirsp.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
IpInIp Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Драйвер туннеля IP в IP	Не запущен	C:\WINDOWS\system32\DRIVERS\ipinip.sys Скрипт: Kарантин, Удалить, Удалить через BC		Tcpip
ipsraidn Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ipsraidn	Не запущен	ipsraidn.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
lp6nds35 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	lp6nds35	Не запущен	lp6nds35.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
mraid35x Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	mraid35x	Не запущен	mraid35x.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
nfrd960 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	nfrd960	Не запущен	nfrd960.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
PDCOMP Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	PDCOMP	Не запущен	PDCOMP.sys Скрипт: Kарантин, Удалить, Удалить через BC
PDFRAME Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	PDFRAME	Не запущен	PDFRAME.sys Скрипт: Kарантин, Удалить, Удалить через BC
PDRELI Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	PDRELI	Не запущен	PDRELI.sys Скрипт: Kарантин, Удалить, Удалить через BC
PDRFRAME Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	PDRFRAME	Не запущен	PDRFRAME.sys Скрипт: Kарантин, Удалить, Удалить через BC
perc2 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	perc2	Не запущен	perc2.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
perc2hib Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	perc2hib	Не запущен	perc2hib.sys Скрипт: Kарантин, Удалить, Удалить через BC	Filter
ql1080 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ql1080	Не запущен	ql1080.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
Ql10wnt Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Ql10wnt	Не запущен	Ql10wnt.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
ql12160 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ql12160	Не запущен	ql12160.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
ql1240 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ql1240	Не запущен	ql1240.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
ql1280 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ql1280	Не запущен	ql1280.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
ql2100 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ql2100	Не запущен	ql2100.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
ql2200 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ql2200	Не запущен	ql2200.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
ql2300 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ql2300	Не запущен	ql2300.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
Simbad Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Simbad	Не запущен	Simbad.sys Скрипт: Kарантин, Удалить, Удалить через BC	Filter
sym_hi Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	sym_hi	Не запущен	sym_hi.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
sym_u3 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	sym_u3	Не запущен	sym_u3.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
symc810 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	symc810	Не запущен	symc810.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
symc8xx Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	symc8xx	Не запущен	symc8xx.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
symmpi Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	symmpi	Не запущен	symmpi.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
TosIde Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	TosIde	Не запущен	TosIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
ultra Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ultra	Не запущен	ultra.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
ViaIde Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ViaIde	Не запущен	ViaIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
WDICA Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	WDICA	Не запущен	WDICA.sys Скрипт: Kарантин, Удалить, Удалить через BC
wfd_1_10_0_17 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	wfd_1_10_0_17	Не запущен	C:\WINDOWS\system32\drivers\wfd_1_10_0_17.sys Скрипт: Kарантин, Удалить, Удалить через BC	PNP_TDI
Обнаружено - 206, опознано как безопасные - 148

Автозапуск

Имя файла	Статус	Метод запуска	Описание
C:\Documents and Settings\Администратор\Application Data\ZZima\zzima_loader\nloader.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\qloader, command Удалить
C:\Documents and Settings\Администратор\Local Settings\Application Data\Profi Online Research\Profi Advert\ProfiAdvert.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ProfiAdvert, command Удалить
C:\Documents and Settings\Администратор\Главное меню\Программы\Globus Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Globus, command Удалить
C:\Program Files\HideME.ru VPN\Start.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, Hide.me Удалить
C:\Program Files\NetPanel Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NetPanel, command Удалить
C:\Program Files\NetPanel\Starter.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NetPanel, command Удалить
C:\Program Files\QIP 2012\qip.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, Infium Удалить
C:\Program Files\Zaxar\ZaxarLoader.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader, command Удалить
C:\ProgramData\TimeTasks\TimeTasksSetup.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks, command Удалить
C:\WINDOWS\System32\Drivers\AliIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\aliide, EventMessageFile
C:\WINDOWS\System32\Drivers\CmdIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\cmdide, EventMessageFile
C:\WINDOWS\System32\Drivers\TosIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\toside, EventMessageFile
C:\WINDOWS\System32\Drivers\ViaIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\viaide, EventMessageFile
C:\WINDOWS\System32\Drivers\amdide.sys Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\amdide, EventMessageFile
C:\WINDOWS\System32\Drivers\wd.sys Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\Wd, EventMessageFile
C:\WINDOWS\System32\ntmsevt Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\Служба съемных носителей, EventMessageFile
C:\WINDOWS\System32\polagent.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\PolicyAgent, EventMessageFile
C:\WINDOWS\system32\MsSip1.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\MS Subjects 1, $DLL Удалить
C:\WINDOWS\system32\MsSip2.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\MS Subjects 2, $DLL Удалить
C:\WINDOWS\system32\MsSip3.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\MS Subjects 3, $DLL Удалить
C:\WINDOWS\system32\psxss.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix
C:\WINDOWS\system32\stisvc.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System, EventMessageFile
C:\WINDOWS\system32\v8300\GEO-H264-V2\2009.1.6.11.55\GXAVC.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Drivers32, vidc.GAVC Удалить
C:\WINDOWS\system32\v8300\GEO-H264-V2\2009.1.6.11.55\GXAVCD.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Drivers32, vidc.GAVS Удалить
C:\WINDOWS\system32\v8300\GEO-JPEG\2009.1.5.20.39\GXJPG.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Drivers32, vidc.GJPG Удалить
C:\WINDOWS\system32\v8300\GEO-MPEG4-ASP\2009.1.6.13.43\GXAMP4.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Drivers32, vidc.GM40 Удалить
C:\WINDOWS\system32\v8300\GEO-MPEG4-ASP\2009.1.6.13.43\GXAMP4.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Drivers32, vidc.GMP4 Удалить
C:\WINDOWS\system32\v8300\GEO-MPEG4-ASP\2009.1.6.13.43\GXAMP4D.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Drivers32, vidc.GM4H Удалить
C:\WINDOWS\system32\v8300\GEO-MPEG4-ASP\2009.1.6.13.43\GXAMP4D.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Drivers32, vidc.GM4S Удалить
D:\FirefoxPortable.bat Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ярлык в папке автозагрузки	C:\Documents and Settings\Администратор\Application Data\Microsoft\Internet Explorer\Quick Launch\, C:\Documents and Settings\Администратор\Application Data\Microsoft\Internet Explorer\Quick Launch\FirеfохPоrtаblе.ехе.lnk,
D:\FirefoxPortable.bat "http://searchlaivid.ru" Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ярлык в папке автозагрузки	C:\Documents and Settings\Администратор\Application Data\Microsoft\Internet Explorer\Quick Launch\, C:\Documents and Settings\Администратор\Application Data\Microsoft\Internet Explorer\Quick Launch\FirеfохPоrtаblе.ехе.lnk,
D:\Program Files\lotus\notes\notes.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ярлык в папке автозагрузки	C:\Documents and Settings\Администратор\Application Data\Microsoft\Internet Explorer\Quick Launch\, C:\Documents and Settings\Администратор\Application Data\Microsoft\Internet Explorer\Quick Launch\notes.exe.lnk,
c:\documents and settings\администратор\local settings\temp\77FE7758-DBAEBECC-3B2E1208-DD21889A\NwXYjAah.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Doctor Web\Dr.Web Engine, EventMessageFile
c:\documents and settings\администратор\local settings\temp\77FE7758-DBAEBECC-3B2E1208-DD21889A\xIZweIpnaLo.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Doctor Web\DrWebARKDaemon, EventMessageFile
kbd101.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\i8042prt\Parameters, LayerDriver JPN Удалить
kbd101a.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\i8042prt\Parameters, LayerDriver KOR Удалить
mvfs32.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_CURRENT_USER, Control Panel\IOProcs, MVB Удалить
mvfs32.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, .DEFAULT\Control Panel\IOProcs, MVB Удалить
mvfs32.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-19\Control Panel\IOProcs, MVB Удалить
mvfs32.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-20\Control Panel\IOProcs, MVB Удалить
mvfs32.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-18\Control Panel\IOProcs, MVB Удалить
Обнаружено элементов автозапуска - 926, опознано как безопасные - 885

Модули расширения Internet Explorer (BHO, панели ...)

Имя файла	Тип	Описание	Производитель	CLSID
C:\Program Files\NetPanel\IEHelper.dll Скрипт: Kарантин, Удалить, Удалить через BC	BHO	Internet Research Browser Plugin	Copyright (C) 2011 Gemius	{CE7C3CF0-4B15-11D1-ABED-709549C10000} Удалить
	URLSearchHook			{0633EE93-D776-472f-A0FF-E1416B8B2E3D} Удалить
Обнаружено элементов - 11, опознано как безопасные - 9

Модули расширения проводника

Имя файла	Назначение	Описание	Производитель	CLSID
	Расширения оболочки для сжатия файлов			{764BF0E1-F219-11ce-972D-00AA00A14F56} Удалить
	Контекстное меню шифрования			{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} Удалить
	Панель задач и меню ''Пуск''			{0DF44EAA-FF21-4412-828E-260A8728E7F1} Удалить
	IE User Assist			{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} Удалить
Обнаружено элементов - 203, опознано как безопасные - 199

Модули расширения системы печати (мониторы печати, провайдеры)

Имя файла	Тип	Наименование	Описание	Производитель
Обнаружено элементов - 12, опознано как безопасные - 12

Задания планировщика задач Task Scheduler

Имя файла	Имя задания	Состояние задания	Описание	Производитель	Путь	Командная строка
c:\documents and settings\all users\application data\{8437a327-c47e-2e63-8437-7a327c478c9f}\nogamenl Скрипт: Kарантин, Удалить, Удалить через BC	Bidaily Synchronize Task[973b].job Скрипт: Удалить	The task is ready to run at its next scheduled time.				c:\documents and settings\all users\application data\{8437a327-c47e-2e63-8437-7a327c478c9f}\nogamenl ed(full).exe --startup=1 --single
ed(full).exe Скрипт: Kарантин, Удалить, Удалить через BC	Bidaily Synchronize Task[973b].job Скрипт: Удалить	The task is ready to run at its next scheduled time.				c:\documents and settings\all users\application data\{8437a327-c47e-2e63-8437-7a327c478c9f}\nogamenl ed(full).exe --startup=1 --single
c:\documents and settings\all users\application data\{bfabddbb-d73e-5fc5-bfab-bddbbd7376ef}\8495713935017514947b.exe Скрипт: Kарантин, Удалить, Удалить через BC	SureDosage.job Скрипт: Удалить	The task is ready to run at its next scheduled time.				c:\documents and settings\all users\application data\{bfabddbb-d73e-5fc5-bfab-bddbbd7376ef}\8495713935017514947b.exe --startup=1 --single
c:\documents and settings\all users\application data\{0eb2021e-218f-5956-0eb2-2021e2180878}\926620280461605972b.exe Скрипт: Kарантин, Удалить, Удалить через BC	WordChanger.job Скрипт: Удалить	The task is ready to run at its next scheduled time.				c:\documents and settings\all users\application data\{0eb2021e-218f-5956-0eb2-2021e2180878}\926620280461605972b.exe --startup=1 --single
C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\1632041\%LOCALAPPDATA%\Host installer\0_monster.exe Скрипт: Kарантин, Удалить, Удалить через BC	Soft installer.job Скрипт: Удалить	The task is ready to run at its next scheduled time.	welcome back			C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\1632041\%LOCALAPPDATA%\Host installer\0_monster.exe reg=sng;scheduler=1
Обнаружено элементов - 5, опознано как безопасные - 0

Настройки SPI/LSP

Поставщики пространства имен (NSP)

Поставщик	Статус	Исп. файл	Описание	GUID
Обнаружено - 3, опознано как безопасные - 3

Поставщики транспортных протоколов (TSP, LSP)

Поставщик Исп. файл Описание
Обнаружено - 23, опознано как безопасные - 23
Результаты автоматического анализа настроек SPI
Настройки LSP проверены. Ошибок не обнаружено

Порты TCP/UDP

Порт Статус Remote Host Remote Port Приложение Примечания
Порты TCP
139 LISTENING 0.0.0.0 2128 [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445 LISTENING 0.0.0.0 32940 [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1027 ESTABLISHED 10.206.1.4 445 [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1029 ESTABLISHED 10.206.1.18 445 [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1078 TIME_WAIT 10.206.1.10 139 [0]
Порты UDP
137 LISTENING -- -- [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138 LISTENING -- -- [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445 LISTENING -- -- [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить

Downloaded Program Files (DPF)

Имя файла Описание Производитель CLSID URL загрузки
C:\PROGRA~1\NETSUR~1\CMS\web.ocx
Скрипт: Kарантин, Удалить, Удалить через BC web activex module Copyright (C) 2011 {FD3BEB0C-AB43-4253-9146-C371D48FBE0D}
Удалить http://10.206.113.248/web.cab
Обнаружено элементов - 1, опознано как безопасные - 0

Апплеты панели управления (CPL)

Имя файла Описание Производитель
C:\WINDOWS\system32\javacpl.cpl
Скрипт: Kарантин, Удалить, Удалить через BC Java Control Panel Copyright © 2015
Обнаружено элементов - 27, опознано как безопасные - 26

Active Setup

Имя файла Описание Производитель CLSID
Обнаружено элементов - 15, опознано как безопасные - 15

Файл HOSTS

Запись файла Hosts
127.0.0.1 localhost
10.49.1.10 ukrpostln
10.49.1.235 sql2
10.206.1.4 postshare
10.206.1.5 karpaty_uzgorodpostln
10.206.1.8 server1
10.206.1.10 karpaty_postln
10.206.1.18 ligazakon
10.206.1.20 blade3
10.206.25.248 karpaty_mukachevoln
10.206.67.10 karpaty_cop
10.206.24.10 karpaty_chopln
10.206.15.220 karpaty_irshavaln
10.206.27.222 karpaty_Hustln
10.206.26.220 karpaty_Rahovoln
10.49.1.140 do.bucha.net
10.206.113.10 karpaty_uzhgorodln
10.206.113.20 Karpaty_UzgorodpochtamtLN
10.41.1.130 pst.ukrposhta.loc
10.206.113.62 server3
Очистка файла Hosts

Протоколы и обработчики

Имя файла Тип Описание Производитель CLSID
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
Обнаружено элементов - 29, опознано как безопасные - 26

Общие ресурсы

Сетевое имя Путь Примечания
ADMIN$ C:\WINDOWS Удаленный Admin
C$ C:\ Стандартный общий ресурс
CanonLAS Canon LASER SHOT LBP-1120,LocalsplOnly Canon LASER SHOT LBP-1120
D$ D:\ Стандартный общий ресурс
EpsonLX- Epson LX-300+,LocalsplOnly Epson LX-300+
F$ F:\ Стандартный общий ресурс
IPC$ Удаленный IPC
print$ C:\WINDOWS\System32\SPOOL\drivers Драйверы принтеров

Подозрительные объекты

Файл Описание Тип
C:\WINDOWS\system32\DRIVERS\klif.sys
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit Перехватчик KernelMode
\SystemRoot\system32\DRIVERS\klif.sys
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit Перехватчик KernelMode
C:\Program Files\NetPanel\IEHelper.dll
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение эвристического анализа ЭПС: подозрение на Spy.URLBlase

Протокол антивирусной утилиты AVZ версии 4.43
Сканирование запущено в 25.06.2015 14:39:30
Загружена база: сигнатуры - 297605, нейропрофили - 2, микропрограммы лечения - 56, база от 25.06.2015 04:00
Загружены микропрограммы эвристики: 410
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 745363
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.2.3790, Service Pack 2 "Microsoft Windows Server 2003" ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=0A8340)
 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 80800000
   SDT = 808A8340
   KiST = 80834D70 (296)
Функция NtAdjustPrivilegesToken (0C) перехвачена (809697A2->B88DDFF0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtClose (1B) перехвачена (80936C20->B88DE8EA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtConnectPort (21) перехвачена (80922794->B88F88C8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateProcess (31) перехвачена (8094D52A->B88DF08C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateProcessEx (32) перехвачена (8094D474->B88DF254), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateThread (37) перехвачена (8094D332->B88DE61C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDebugActiveProcess (3B) перехвачена (809A408A->B88DF572), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDeleteKey (42) перехвачена (808DA464->B88F2E7A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDeleteValueKey (44) перехвачена (808DA5DC->B88F4684), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDeviceIoControlFile (45) перехвачена (808F113A->B88DE92C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDuplicateObject (47) перехвачена (80938770->B88E0572), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtEnumerateKey (4B) перехвачена (808DA7C8->B88F3E7E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtEnumerateValueKey (4D) перехвачена (808DAA04->B88F482E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtLoadDriver (65) перехвачена (808FC3F6->B88DF664), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtLoadKey (66) перехвачена (808DCA50->B88F39B6), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtLoadKey2 (67) перехвачена (808DCA6E->B88F3C12), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtMapViewOfSection (71) перехвачена (8092F988->B88DFBD0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtNotifyChangeKey (75) перехвачена (808DCA1A->B88F70E4), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenProcess (80) перехвачена (80946F3E->B88DE22A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenSection (83) перехвачена (80928A0C->B88DF9B4), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenThread (86) перехвачена (809471CC->B88DE11E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueryKey (A7) перехвачена (808DBBFE->B88F2CAE), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueryMultipleValueKey (A8) перехвачена (808D8E82->B88F448E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueryObject (AA) перехвачена (8093F2A2->B88F72DA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQuerySection (AF) перехвачена (809343EE->B88DFEF6), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueryValueKey (B9) перехвачена (808DBE8C->B88F427E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueueApcThread (BC) перехвачена (8094EA60->B88DF804), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtRenameKey (C8) перехвачена (808D9A38->B88F2F8E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtReplaceKey (C9) перехвачена (808DC91C->B88F3602), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtRequestWaitReplyPort (D0) перехвачена (80920A5C->B88F8E8E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtRestoreKey (D4) перехвачена (808DC1A2->B88F380A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtResumeThread (D6) перехвачена (8095155E->B88E0414), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSaveKey (D7) перехвачена (808DC29E->B88F3134), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSaveKeyEx (D8) перехвачена (808DC384->B88F32CA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSaveMergedKeys (D9) перехвачена (808DC4AC->B88F3466), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSecureConnectPort (DA) перехвачена (80921E40->B88F8A50), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetContextThread (DD) перехвачена (8094EF30->B88DE78C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetSystemInformation (F9) перехвачена (80990366->B88E0046), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetValueKey (100) перехвачена (808D8256->B88F403E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSuspendProcess (106) перехвачена (80951624->B88E013A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSuspendThread (107) перехвачена (8095149A->B88E0274), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSystemDebugControl (108) перехвачена (80997AAC->B88DF494), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtTerminateProcess (10A) перехвачена (8094E5B2->B88DE3C8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtTerminateThread (10B) перехвачена (8094E7BE->B88DE320), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtUnmapViewOfSection (115) перехвачена (8092596A->B88DFDAE), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtWriteVirtualMemory (11F) перехвачена (8093171A->B88DE4B2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция FsRtlCheckLockForReadAccess (80817728) - модификация машинного кода. Метод JmpTo. jmp B88CFEDA \SystemRoot\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция IoIsOperationSynchronous (8081C942) - модификация машинного кода. Метод JmpTo. jmp B88D02B6 \SystemRoot\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Проверено функций: 296, перехвачено: 46, восстановлено: 0
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Анализ для процессора 2
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
 Драйвер успешно загружен
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 38
 Количество загруженных модулей: 318
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение F:\97978c87d7ed3e9f7a4c1a9b45928fe4\mrtstub.exe
Прямое чтение F:\WINDOWS\twain_32\S6U12BX\SBSpi.dll
Прямое чтение F:\WINDOWS\twain_32\S6U12BX\SBSpi_T.dll
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
>>> C:\Program Files\NetPanel\IEHelper.dll ЭПС: подозрение на Spy.URLBlase
Нестандартный префикс по умолчанию в IE: "http://spacesearch.ru/?ri=1&rsid=b91ab2581aac0668e4b402afed1c58d5&q="
Нестандартный Default префикс в IE: "http://spacesearch.ru/?ri=1&rsid=b91ab2581aac0668e4b402afed1c58d5&q="
Обнаружен вызов интерпретатора командной строки в автозапуске [DR=1] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\HotKeysCmds = [C:\WINDOWS\system32\hkcmd.exe]
Обратите внимание: в настройках IE задан прокси-сервер S-1-5-21-3528448650-1707676813-209910101-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings, ProxyServer="10.206.1.17:3128"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>> Безопасность: разрешен автоматический вход в систему
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Модифицированы префиксы протоколов
 >>  Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей
 >>  Скрыта кнопка завершения работы
Проверка завершена
Просканировано файлов: 90066, извлечено из архивов: 62364, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 25.06.2015 14:51:34
Сканирование длилось 00:12:06
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ 
можно использовать сервис http://virusdetector.ru/
Выполняется исследование системы
Диагностика сети
 DNS and Ping test
  Host="yandex.ru", IP="5.255.255.55,5.255.255.5,77.88.55.66,77.88.55.55", Ping=OK (0,28,5.255.255.55)
  Host="google.ru", IP="173.194.113.207,173.194.113.216,173.194.113.215,173.194.113.223", Ping=OK (0,13,173.194.113.207)
  Host="google.com", IP="173.194.113.196,173.194.113.194,173.194.113.200,173.194.113.199,173.194.113.206,173.194.113.197,173.194.113.198,173.194.113.195,173.194.113.193,173.194.113.192,173.194.113.201", Ping=OK (0,12,173.194.113.196)
  Host="www.kaspersky.com", IP="77.74.178.16", Ping=Error (11010,2097172,77.74.178.16)
  Host="www.kaspersky.ru", IP="77.74.178.20", Ping=Error (11010,2097172,77.74.178.20)
  Host="dnl-03.geo.kaspersky.com", IP="37.48.82.103", Ping=OK (0,49,37.48.82.103)
  Host="dnl-11.geo.kaspersky.com", IP="195.122.169.15", Ping=OK (0,46,195.122.169.15)
  Host="activation-v2.kaspersky.com", IP="212.5.89.37", Ping=OK (0,34,212.5.89.37)
  Host="odnoklassniki.ru", IP="217.20.156.159,217.20.155.58,217.20.147.94", Ping=OK (0,32,217.20.156.159)
  Host="vk.com", IP="87.240.131.117,87.240.131.118,87.240.131.119", Ping=OK (0,42,87.240.131.117)
  Host="vkontakte.ru", IP="95.213.4.242,95.213.4.243,95.213.4.244", Ping=OK (0,40,95.213.4.242)
  Host="twitter.com", IP="199.16.156.38,199.16.156.230,199.16.156.102,199.16.156.70", Ping=OK (0,164,199.16.156.38)
  Host="facebook.com", IP="173.252.120.6", Ping=OK (0,175,173.252.120.6)
  Host="ru-ru.facebook.com", IP="31.13.93.3", Ping=OK (0,60,31.13.93.3)
 Network IE settings
  IE setting AutoConfigURL=
  IE setting AutoConfigProxy=wininet.dll
  IE setting ProxyOverride=t-siebel.fidobank.ua
  IE setting ProxyServer=10.206.1.17:3128
  IE setting Internet\ManualProxies=
 Network TCP/IP settings
  Interface: "Подключение по локальной сети"
   IPAddress = "10.206.1.22"
   SubnetMask = "255.255.255.0"
   DefaultGateway = "10.206.1.1"
   NameServer = "8.8.8.8"
   Domain = ""
   DhcpServer = "255.255.255.255"
  Interface: "Подключение по локальной сети"
   IPAddress = "10.206.1.22"
   SubnetMask = "255.255.255.0"
   DefaultGateway = "10.206.1.1"
   NameServer = "8.8.8.8"
   Domain = ""
   DhcpServer = "255.255.255.255"
  Interface: "Подключение по локальной сети 3"
   IPAddress = "10.206.1.22"
   SubnetMask = "255.255.255.0"
   DefaultGateway = "10.206.1.7"
   NameServer = "8.8.8.8"
   Domain = ""
   DhcpServer = "255.255.255.255"
 Network Persistent Routes

 Исследование системы завершено


Команды скрипта 
Добавить в скрипт команды:
Нейтрализация перехватов функций при помощи антируткита
Включить AVZGuard
Управление AVZPM (true-включить,false-отключить)
BootCleaner - импорт списка удаленных файлов
BootCleaner - импортировать все
Чистка реестра после удаления файлов
ExecuteWizard ('TSW',2,3,true) - Выполнение мастера поиска и устранения проблем
BootCleaner - активация
Перезагрузка
Вставить заготовку для QuarantineFile() - помещение файла в карантин
Вставить заготовку для BC_QrFile() - помещение файла в карантин через BC
Вставить заготовку для DeleteFile() - удаление файла
Вставить заготовку для DelCLSID() - удаление CLSID класса из реестра
Дополнительные операции:Оптимизация - отключить службу TermService (Службы терминалов)
Оптимизация - отключить службу Schedule (Планировщик заданий)
Оптимизация - отключить службу RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
Оптимизация - безопасность - отключить автозапуск программ с CD
Оптимизация - безопасность - отключить административный доступ к локальным дискам
Оптимизация - безопасность - блокировать возможность подключения анонимных пользователей
Безопасность: IE - запретить автоматические запросы элементов управления ActiveX
Оптимизация - безопасность - отключить автоматический вход в систему

Список файлов

Порт	Статус	Remote Host	Remote Port	Приложение	Примечания
Порты TCP
139	LISTENING	0.0.0.0	2128	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445	LISTENING	0.0.0.0	32940	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1027	ESTABLISHED	10.206.1.4	445	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1029	ESTABLISHED	10.206.1.18	445	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1078	TIME_WAIT	10.206.1.10	139	[0]
Порты UDP
137	LISTENING	--	--	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138	LISTENING	--	--	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445	LISTENING	--	--	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить

Сетевое имя	Путь	Примечания
ADMIN$	C:\WINDOWS	Удаленный Admin
C$	C:\	Стандартный общий ресурс
CanonLAS	Canon LASER SHOT LBP-1120,LocalsplOnly	Canon LASER SHOT LBP-1120
D$	D:\	Стандартный общий ресурс
EpsonLX-	Epson LX-300+,LocalsplOnly	Epson LX-300+
F$	F:\	Стандартный общий ресурс
IPC$		Удаленный IPC
print$	C:\WINDOWS\System32\SPOOL\drivers	Драйверы принтеров