Протокол исследования системы

Список процессов

Имя файла	PID	Описание	Copyright	MD5	Информация
c:\program files\daemon tools lite\dtshellhlp.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	2408	DAEMON Tools Shell Extensions Helper	© 2000-2011 DT Soft Ltd.	??	2118.81 кб, rsAh, создан: 10.11.2011 13:16:50, изменен: 10.11.2011 13:16:50 Командная строка: "C:\Program Files\DAEMON Tools Lite\DTShellHlp.exe"
c:\windows\explorer.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1816	Проводник	© Корпорация Майкрософт. Все права защищены.	??	2555.00 кб, rsAh, создан: 12.11.2011 23:32:39, изменен: 25.02.2011 09:30:54 Командная строка: C:\Windows\Explorer.EXE
c:\users\admin\appdata\local\mail.ru\mailruupdater.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	3116	Mail.Ru updater	Copyright 2011	??	808.20 кб, rsAh, создан: 25.12.2011 00:18:37, изменен: 25.12.2011 00:18:34 Командная строка: "C:\Users\Admin\AppData\Local\Mail.Ru\MailRuUpdater.exe"
c:\program files\realtek\rtled\rtled.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1732	RtLED application	Copyright (c) 2010 Realtek Semiconductor Corp. All rights reserved.	??	568.00 кб, rsAh, создан: 05.02.2010 15:43:42, изменен: 05.02.2010 15:43:42 Командная строка: "C:\Program Files\Realtek\RtLED\RtLED.exe"
c:\program files\realtek\rtled\rtledservice.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	424	RtLEDService	Copyright © 2010 Realtek Semiconductor Corp. All rights reserved.	??	304.00 кб, rsAh, создан: 05.02.2010 15:43:20, изменен: 05.02.2010 15:43:20 Командная строка: "C:\Program Files\Realtek\RtLED\RtLEDService.exe"
c:\program files\windows sidebar\sidebar.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	3012	Гаджеты рабочего стола Windows	© Корпорация Майкрософт. Все права защищены.	??	1146.50 кб, rsAh, создан: 21.11.2010 01:29:41, изменен: 21.11.2010 01:29:41 Командная строка: "C:\Program Files\Windows Sidebar\sidebar.exe" /autoRun
c:\program files\solo9rusengnum\solo.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	5632	Touch-typing tutor	Copyright (c) ErgoSolo	??	7998.00 кб, rsAh, создан: 17.11.2011 21:19:56, изменен: 17.11.2011 21:19:56 Командная строка: "C:\Program Files\Solo9RusEngNum\Solo.exe"
Обнаружено:54, из них опознаны как безопасные 49

Имя модуля	Handle	Описание	Copyright	MD5	Используется процессами
C:\Program Files\DAEMON Tools Lite\DTGadget32.dll Скрипт: Kарантин, Удалить, Удалить через BC	1742077952	DT Gadget library	© 2000-2011 DT Soft Ltd.	--	3012
C:\Program Files\Solo9RusEngNum\IFaces\Graphics.dll Скрипт: Kарантин, Удалить, Удалить через BC	1759313920			--	5632
C:\Program Files\Solo9RusEngNum\IFaces\IfaceRus.dll Скрипт: Kарантин, Удалить, Удалить через BC	1951596544			--	5632
C:\Program Files\WinRAR\rarext.dll Скрипт: Kарантин, Удалить, Удалить через BC	1918304256			--	1816
C:\PROGRA~1\SOLO9R~1\SoloRes.dll Скрипт: Kарантин, Удалить, Удалить через BC	151781376			--	5632
Обнаружено модулей:690, из них опознаны как безопасные 685

Модули пространства ядра

Модуль	Базовый адрес	Размер в памяти	Описание	Производитель
C:\Windows\System32\Drivers\dump_dumpata.sys Скрипт: Kарантин, Удалить, Удалить через BC	97770000	00B000 (45056)
C:\Windows\System32\Drivers\dump_dumpfve.sys Скрипт: Kарантин, Удалить, Удалить через BC	97785000	011000 (69632)
C:\Windows\System32\Drivers\dump_msahci.sys Скрипт: Kарантин, Удалить, Удалить через BC	9777B000	00A000 (40960)
Обнаружено модулей - 177, опознано как безопасные - 174

Службы

Служба	Описание	Статус	Файл	Группа	Зависимости
RtLedService Служба: Стоп, Удалить, Отключить, Удалить через BC	RtLedService Installer	Работает	C:\Program Files\Realtek\RtLED\RtLEDService.exe Скрипт: Kарантин, Удалить, Удалить через BC
Обнаружено - 149, опознано как безопасные - 148

Драйверы

Служба	Описание	Статус	Файл	Группа	Зависимости
bpenum Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	bpenum	Не запущен	C:\Windows\system32\DRIVERS\bpenum.sys Скрипт: Kарантин, Удалить, Удалить через BC	Extended Base
NETw5s32 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Драйвер адаптера Intel(R) Wireless WiFi Link для Windows Vista 32 Bit	Не запущен	C:\Windows\system32\DRIVERS\NETw5s32.sys Скрипт: Kарантин, Удалить, Удалить через BC	NDIS
NETwNs32 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	___ Драйвер адаптера Intel(R) Wireless WiFi Link серии 5000 для Windows Vista 32 Bit	Не запущен	C:\Windows\system32\DRIVERS\NETwNs32.sys Скрипт: Kарантин, Удалить, Удалить через BC	NDIS
VGPU Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	VGPU	Не запущен	C:\Windows\system32\drivers\rdvgkmd.sys Скрипт: Kарантин, Удалить, Удалить через BC
Обнаружено - 275, опознано как безопасные - 271

Автозапуск

Имя файла	Статус	Метод запуска	Описание
C:\Program Files\WinRAR\rarext.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved, {B41DB860-8EE4-11D2-9906-E49FADC173CA} Удалить
C:\Users\Admin\AppData\Local\Mail.Ru\MailRuUpdater.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, MailRuUpdater Удалить
C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Shows Desktop.lnk Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Файл в папке автозагрузки	C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Shows Desktop.lnk,
C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Window Switcher.lnk Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Файл в папке автозагрузки	C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Window Switcher.lnk,
C:\Windows\System32\Drivers\NETw5s32.sys Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\NETw5s32, EventMessageFile
C:\Windows\System32\Drivers\NETwNs32.sys Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\NETwNs32, EventMessageFile
C:\Windows\system32\psxss.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix
d:\da345f997efc322413fe36\DW\DW20.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\VSSetup, EventMessageFile
progman.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, shell Удалить
vgafix.fon Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fixedfon.fon Удалить
vgaoem.fon Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, oemfonts.fon Удалить
vgasys.fon Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fonts.fon Удалить
Обнаружено элементов автозапуска - 641, опознано как безопасные - 629

Модули расширения Internet Explorer (BHO, панели ...)

Имя файла	Тип	Описание	Производитель	CLSID
	Модуль расширения			{2670000A-7350-4f3c-8081-5663EE0C6C49} Удалить
	Модуль расширения			{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} Удалить
Обнаружено элементов - 17, опознано как безопасные - 15

Модули расширения проводника

Имя файла	Назначение	Описание	Производитель	CLSID
	WebCheck			{E6FB5E20-DE35-11CF-9C87-00AA005127ED} Удалить
C:\Program Files\WinRAR\rarext.dll Скрипт: Kарантин, Удалить, Удалить через BC	WinRAR shell extension			{B41DB860-8EE4-11D2-9906-E49FADC173CA} Удалить
Обнаружено элементов - 32, опознано как безопасные - 30

Модули расширения системы печати (мониторы печати, провайдеры)

Имя файла	Тип	Наименование	Описание	Производитель
Обнаружено элементов - 7, опознано как безопасные - 7

Задания планировщика задач Task Scheduler

Имя файла	Имя задания	Состояние задания	Описание	Производитель
Обнаружено элементов - 0, опознано как безопасные - 0

Настройки SPI/LSP

Поставщики пространства имен (NSP)

Поставщик	Статус	Исп. файл	Описание	GUID
Обнаружено - 6, опознано как безопасные - 6

Поставщики транспортных протоколов (TSP, LSP)

Поставщик Исп. файл Описание
Обнаружено - 48, опознано как безопасные - 48
Результаты автоматического анализа настроек SPI
Настройки LSP проверены. Ошибок не обнаружено

Порты TCP/UDP

Порт Статус Remote Host Remote Port Приложение Примечания
Порты TCP
135 LISTENING 0.0.0.0 0 [860] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445 LISTENING 0.0.0.0 0 [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1110 LISTENING 0.0.0.0 0 [1604] c:\program files\kaspersky lab\kaspersky internet security 2012\avp.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49152 LISTENING 0.0.0.0 0 [536] c:\windows\system32\wininit.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49153 LISTENING 0.0.0.0 0 [908] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49154 LISTENING 0.0.0.0 0 [1032] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49155 LISTENING 0.0.0.0 0 [1604] c:\program files\kaspersky lab\kaspersky internet security 2012\avp.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49156 LISTENING 0.0.0.0 0 [612] c:\windows\system32\lsass.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49157 LISTENING 0.0.0.0 0 [596] c:\windows\system32\services.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49158 LISTENING 0.0.0.0 0 [2300] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
Порты UDP
500 LISTENING -- -- [1032] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900 LISTENING -- -- [3888] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
4500 LISTENING -- -- [1032] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
63967 LISTENING -- -- [3888] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить

Downloaded Program Files (DPF)

Имя файла Описание Производитель CLSID URL загрузки
Обнаружено элементов - 0, опознано как безопасные - 0

Апплеты панели управления (CPL)

Имя файла Описание Производитель
Обнаружено элементов - 23, опознано как безопасные - 23

Active Setup

Имя файла Описание Производитель CLSID
Обнаружено элементов - 9, опознано как безопасные - 9

Файл HOSTS

Запись файла Hosts

Протоколы и обработчики

Имя файла Тип Описание Производитель CLSID
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
C:\PROGRA~1\SOLO9R~1\SoloRes.dll
Скрипт: Kарантин, Удалить, Удалить через BC Handler (soloresinternetrusengnum protocol handler) {1B7043A7-84E1-443a-804F-20A75728892C}
Удалить
Обнаружено элементов - 16, опознано как безопасные - 12

Подозрительные объекты

Файл Описание Тип
C:\Windows\system32\DRIVERS\klif.sys
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit Перехватчик KernelMode

Протокол антивирусной утилиты AVZ версии 4.37
Сканирование запущено в 08.01.2012 14:42:53
Загружена база: сигнатуры - 297127, нейропрофили - 2, микропрограммы лечения - 56, база от 07.01.2012 16:00
Загружены микропрограммы эвристики: 397
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 315225
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 6.1.7601, Service Pack 1 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=169B00)
 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 82E4D000
   SDT = 82FB6B00
   KiST = 82ECBD5C (401)
Функция NtAdjustPrivilegesToken (0C) перехвачена (830D2BFD->9165528A), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtAlpcConnectPort (16) перехвачена (830C32BE->9166F342), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtAlpcCreatePort (17) перехвачена (83042C82->9166F678), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtAlpcSendWaitReceivePort (27) перехвачена (8309FFC7->9166F9EE), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtClose (32) перехвачена (83092438->91655D04), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtConnectPort (3B) перехвачена (830C5DC9->9166F02A), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateEvent (40) перехвачена (8308E72F->91656276), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateMutant (4A) перехвачена (8305E212->91656164), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreatePort (4D) перехвачена (8303F7D5->9166F4E8), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateSection (54) перехвачена (83070F8D->91655046), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateSemaphore (55) перехвачена (83053A09->9165638E), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateSymbolicLinkObject (56) перехвачена (8304F871->916708D0), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateThread (57) перехвачена (83129CEE->916558BA), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateThreadEx (58) перехвачена (830BE1E4->91655A2A), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateUserProcess (5D) перехвачена (830BC116->916564A6), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateWaitablePort (5E) перехвачена (82FF213C->9166F5B0), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDebugActiveProcess (60) перехвачена (830FBC00->9165674E), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDeviceIoControlFile (6B) перехвачена (830C148A->91655D46), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDuplicateObject (6F) перехвачена (8307F59A->91657750), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtLoadDriver (9B) перехвачена (83013B80->91656840), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtMapViewOfSection (A8) перехвачена (83094452->916708F0), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtNotifyChangeKey (AC) перехвачена (83047E8D->9166D840), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenEvent (B1) перехвачена (8305DC0E->91656308), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenMutant (BB) перехвачена (830AF1A0->916561F0), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenProcess (BE) перехвачена (8305FA58->916554C4), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenSection (C2) перехвачена (830B7734->91656B90), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenSemaphore (C3) перехвачена (8303313C->91656420), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenThread (C6) перехвачена (830ABE45->916553B8), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtPlugPlayControl (CC) перехвачена (8303157C->916708E0), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueryDirectoryObject (E0) перехвачена (830A6AAE->9165655C), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueryObject (F8) перехвачена (8304EF52->9166DA38), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQuerySection (FE) перехвачена (830C4AA6->916570D2), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueueApcThread (10D) перехвачена (83049D20->916569E0), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtReplyPort (126) перехвачена (8303EAB3->9166F7DC), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtReplyWaitReceivePort (127) перехвачена (8308668C->9166F72A), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtRequestWaitReplyPort (12B) перехвачена (8308B983->9166F848), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtResumeThread (130) перехвачена (830BE40B->916575F2), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSecureConnectPort (138) перехвачена (830ABE7A->9166F1B2), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetContextThread (13C) перехвачена (8312ADEF->91655BA4), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetInformationToken (150) перехвачена (830517FC->916565FA), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetSystemInformation (15E) перехвачена (8309C1AC->91657222), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSuspendProcess (16E) перехвачена (8312B98F->91657316), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSuspendThread (16F) перехвачена (830E2EF5->91657450), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSystemDebugControl (170) перехвачена (830D352C->91656670), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtTerminateProcess (172) перехвачена (830A8A7D->91655664), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtTerminateThread (173) перехвачена (830C63F4->916555BA), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtUnmapViewOfSection (181) перехвачена (830B26FA->91656F8A), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtWriteVirtualMemory (18F) перехвачена (830AD7DA->91655750), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Проверено функций: 401, перехвачено: 48, восстановлено: 0
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Анализ для процессора 2
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
 Драйвер успешно загружен
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 52
Анализатор - изучается процесс 424 C:\Program Files\Realtek\RtLED\RtLEDService.exe
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 1732 C:\Program Files\Realtek\RtLED\RtLED.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 3116 C:\Users\Admin\AppData\Local\Mail.Ru\MailRuUpdater.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
 Количество загруженных модулей: 690
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
 Проверка отключена пользователем
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 747, извлечено из архивов: 5, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 08.01.2012 14:44:15
Сканирование длилось 00:01:25
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Выполняется исследование системы

 Исследование системы завершено


Команды скрипта 
Добавить в скрипт команды:
Нейтрализация перехватов функций при помощи антируткита
Включить AVZGuard
Управление AVZPM (true-включить,false-отключить)
BootCleaner - импорт списка удаленных файлов
BootCleaner - импортировать все
Чистка реестра после удаления файлов
ExecuteWizard ('TSW',2,3,true) - Выполнение мастера поиска и устранения проблем
BootCleaner - активация
Перезагрузка
Вставить заготовку для QuarantineFile() - помещение файла в карантин
Вставить заготовку для BC_QrFile() - помещение файла в карантин через BC
Вставить заготовку для DeleteFile() - удаление файла
Вставить заготовку для DelCLSID() - удаление CLSID класса из реестра
Дополнительные операции:Оптимизация - отключить службу TermService (Службы удаленных рабочих столов)
Оптимизация - отключить службу SSDPSRV (Обнаружение SSDP)
Оптимизация - отключить службу Schedule (Планировщик заданий)
Оптимизация - безопасность - отключить административный доступ к локальным дискам
Оптимизация - безопасность - блокировать возможность подключения анонимных пользователей
Безопасность - запретить отправку приглашений удаленному помощнику

Список файлов

Порт	Статус	Remote Host	Remote Port	Приложение	Примечания
Порты TCP
135	LISTENING	0.0.0.0	0	[860] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445	LISTENING	0.0.0.0	0	[4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1110	LISTENING	0.0.0.0	0	[1604] c:\program files\kaspersky lab\kaspersky internet security 2012\avp.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49152	LISTENING	0.0.0.0	0	[536] c:\windows\system32\wininit.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49153	LISTENING	0.0.0.0	0	[908] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49154	LISTENING	0.0.0.0	0	[1032] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49155	LISTENING	0.0.0.0	0	[1604] c:\program files\kaspersky lab\kaspersky internet security 2012\avp.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49156	LISTENING	0.0.0.0	0	[612] c:\windows\system32\lsass.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49157	LISTENING	0.0.0.0	0	[596] c:\windows\system32\services.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49158	LISTENING	0.0.0.0	0	[2300] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
Порты UDP
500	LISTENING	--	--	[1032] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900	LISTENING	--	--	[3888] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
4500	LISTENING	--	--	[1032] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
63967	LISTENING	--	--	[3888] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить