AVZ 4.39 http://z-oleg.com/secur/avz/
| Имя файла | PID | Описание | Copyright | MD5 | Информация
| c:\program files\avg\avg2013\avgfws.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 616 | AVG Firewall Service | Copyright (C) 2012 AVG Technologies CZ, s.r.o. | ?? | 1309.55 кб, rsAh, | создан: 02.11.2012 01:08:48, изменен: 02.11.2012 01:08:48 Командная строка: "C:\Program Files\AVG\AVG2013\avgfws.exe" c:\progra~1\avg\avg2013\avgrsx.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1260 | AVG Resident Shield Service | Copyright (C) 2012 AVG Technologies CZ, s.r.o. | ?? | 709.62 кб, rsAh, | создан: 30.10.2012 05:59:56, изменен: 30.10.2012 05:59:56 Командная строка: C:\PROGRA~1\AVG\AVG2013\avgrsx.exe /boot c:\program files\avg\avg2013\avgwdsvc.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2180 | AVG Watchdog Service | Copyright (C) 2012 AVG Technologies CZ, s.r.o. | ?? | 192.05 кб, rsAh, | создан: 22.10.2012 14:05:08, изменен: 22.10.2012 14:05:08 Командная строка: "C:\Program Files\AVG\AVG2013\avgwdsvc.exe" c:\program files\mail.ru\agent\magent.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1496 | Mail.Ru Агент | Copyright (C) 2001 - 2012 | ?? | 17991.56 кб, rsAh, | создан: 22.11.2012 22:55:56, изменен: 22.11.2012 22:55:56 Командная строка: "C:\Program Files\Mail.Ru\Agent\magent.exe" -LM Обнаружено:56, из них опознаны как безопасные 55
| | |||||
| Имя модуля | Handle | Описание | Copyright | MD5 | Используется процессами
| C:\Program Files\AVG\AVG2013\avgfwcfg3dllx.dll | Скрипт: Kарантин, Удалить, Удалить через BC 1806761984 | AVG Firewall Configuration Library | Copyright (C) 2012 AVG Technologies CZ, s.r.o. | -- | 616
| C:\Program Files\AVG\AVG2013\avgscanx.dll | Скрипт: Kарантин, Удалить, Удалить через BC 1831665664 | AVG Scanning Module | Copyright (C) 2012 AVG Technologies CZ, s.r.o. | -- | 2180
| C:\PROGRA~1\AVG\AVG2013\avgchjwx.dll | Скрипт: Kарантин, Удалить, Удалить через BC 1799487488 | AVG Scanning Cache Module | Copyright (C) 2012 AVG Technologies CZ, s.r.o. | -- | 1260
| Обнаружено модулей:509, из них опознаны как безопасные 506
| | |||||
| Модуль | Базовый адрес | Размер в памяти | Описание | Производитель
| C:\WINDOWS\system32\Drivers\avgrkx86.sys | Скрипт: Kарантин, Удалить, Удалить через BC F7717000 | 007000 (28672) | AVG Anti-Rootkit Driver | Copyright © 2012 AVG Technologies CZ, s.r.o.
| C:\WINDOWS\System32\Drivers\dump_atapi.sys | Скрипт: Kарантин, Удалить, Удалить через BC B4677000 | 018000 (98304) |
| C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS | Скрипт: Kарантин, Удалить, Удалить через BC F79AF000 | 002000 (8192) |
| C:\WINDOWS\system32\Drivers\sptd.sys | Скрипт: Kарантин, Удалить, Удалить через BC F74C6000 | 110000 (1114112) |
| Обнаружено модулей - 132, опознано как безопасные - 128
| | |||||||
| Служба | Описание | Статус | Файл | Группа | Зависимости
| McComponentHostService | Служба: Стоп, Удалить, Отключить, Удалить через BC McAfee Security Scan Component Host Service | Не запущен | C:\Program Files\McAfee Security Scan\3.0.285\McCHSvc.exe | Скрипт: Kарантин, Удалить, Удалить через BC | RPCSS
| Обнаружено - 111, опознано как безопасные - 110
| | ||||||
| Имя файла | Статус | Метод запуска | Описание
| C:\Program Files\Mail.Ru\Agent\magent.exe | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, MAgent | Удалить C:\Program Files\Mail.Ru\Agent\magent.exe | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ярлык в папке автозагрузки | C:\Documents and Settings\admin\Application Data\Microsoft\Internet Explorer\Quick Launch\, C:\Documents and Settings\admin\Application Data\Microsoft\Internet Explorer\Quick Launch\Mail.Ru Агент.lnk,
| C:\WINDOWS\System32\Drivers\AliIde.sys | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\aliide, EventMessageFile
| C:\WINDOWS\System32\Drivers\CmdIde.sys | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\cmdide, EventMessageFile
| C:\WINDOWS\System32\Drivers\IntelIde.sys | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\intelide, EventMessageFile
| C:\WINDOWS\System32\Drivers\TosIde.sys | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\toside, EventMessageFile
| C:\WINDOWS\System32\Drivers\ViaIde.sys | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\viaide, EventMessageFile
| C:\WINDOWS\System32\Drivers\lbrtfdc.sys | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\lbrtfdc, EventMessageFile
| C:\WINDOWS\System32\PrintFilterPipelineSvc.exe | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\PrintFilterPipelineSvc, EventMessageFile
| C:\WINDOWS\System32\drivers\ew_jucdcacm.sys | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\huawei_cdcacm, EventMessageFile
| C:\WINDOWS\System32\hidserv.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\HidServ\Parameters, ServiceDll | Удалить C:\WINDOWS\System32\igmpv2.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IGMPv2, EventMessageFile
| C:\WINDOWS\System32\ipbootp.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IPBOOTP, EventMessageFile
| C:\WINDOWS\System32\iprip2.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IPRIP2, EventMessageFile
| C:\WINDOWS\System32\ospf.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\OSPF, EventMessageFile
| C:\WINDOWS\System32\ospfmib.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\OSPFMib, EventMessageFile
| C:\WINDOWS\System32\polagent.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\PolicyAgent, EventMessageFile
| C:\WINDOWS\System32\tssdis.exe | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\TermServSessDir, EventMessageFile
| C:\WINDOWS\system32\KB905474\wgasetup.exe | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\WgaSetup, EventMessageFile
| C:\WINDOWS\system32\MsSip1.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\MS Subjects 1, $DLL | Удалить C:\WINDOWS\system32\MsSip2.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\MS Subjects 2, $DLL | Удалить C:\WINDOWS\system32\MsSip3.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\MS Subjects 3, $DLL | Удалить C:\WINDOWS\system32\psxss.exe | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix
| C:\WINDOWS\system32\stisvc.exe | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System, EventMessageFile
| kbd101.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\i8042prt\Parameters, LayerDriver JPN | Удалить kbd101a.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\i8042prt\Parameters, LayerDriver KOR | Удалить mvfs32.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_USERS, .DEFAULT\Control Panel\IOProcs, MVB | Удалить mvfs32.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_USERS, S-1-5-19\Control Panel\IOProcs, MVB | Удалить mvfs32.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_USERS, S-1-5-20\Control Panel\IOProcs, MVB | Удалить mvfs32.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_USERS, S-1-5-18\Control Panel\IOProcs, MVB | Удалить mvfs32.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_CURRENT_USER, Control Panel\IOProcs, MVB | Удалить vgafix.fon | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fixedfon.fon | Удалить vgaoem.fon | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, oemfonts.fon | Удалить vgasys.fon | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fonts.fon | Удалить Обнаружено элементов автозапуска - 917, опознано как безопасные - 883
| | ||||||
| Имя файла | Тип | Описание | Производитель | CLSID
| Модуль расширения | {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} | Удалить Модуль расширения | {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} | Удалить C:\Program Files\Mail.Ru\Agent\magent.exe | Скрипт: Kарантин, Удалить, Удалить через BC Модуль расширения | Mail.Ru Агент | Copyright (C) 2001 - 2012 | {7558B7E5-7B26-4201-BEDB-00D5FF534523} | Удалить Обнаружено элементов - 18, опознано как безопасные - 15
| | ||||||||||||
| Имя файла | Назначение | Описание | Производитель | CLSID
| Расширение CPL панорамирования дисплея | {42071714-76d4-11d1-8b24-00a0c9068ff3} | Удалить Расширения оболочки для сжатия файлов | {764BF0E1-F219-11ce-972D-00AA00A14F56} | Удалить Контекстное меню шифрования | {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} | Удалить Панель задач и меню ''Пуск'' | {0DF44EAA-FF21-4412-828E-260A8728E7F1} | Удалить Учетные записи пользователей | {7A9D77BD-5403-11d2-8785-2E0420524153} | Удалить HashTab Context Menu | {B1883831-F0D8-4453-8245-EEAAD866DD6E} | Удалить AVG Find Extension | {9F97547E-460A-42C5-AE0C-81C61FFAEBC3} | Удалить IE User Assist | {FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} | Удалить Microsoft Browser Architecture | {BC476F4C-D9D7-4100-8D4E-E043F6DEC409} | Удалить Обнаружено элементов - 234, опознано как безопасные - 225
| | |||||||||||||||||||||||||||||||||
| Имя файла | Тип | Наименование | Описание | Производитель
| Обнаружено элементов - 10, опознано как безопасные - 10
| | ||||||
| Имя файла | Имя задания | Состояние задания | Описание | Производитель
| Обнаружено элементов - 0, опознано как безопасные - 0
| | ||||||
| Поставщик | Статус | Исп. файл | Описание | GUID
| Обнаружено - 5, опознано как безопасные - 5
| | ||||||
| Поставщик | Исп. файл | Описание
| Обнаружено - 28, опознано как безопасные - 28
| | ||||||
| Имя файла | Описание | Производитель | CLSID | URL загрузки
| Обнаружено элементов - 0, опознано как безопасные - 0
| | ||||||
| Имя файла | Описание | Производитель
| Обнаружено элементов - 33, опознано как безопасные - 33
| | ||||||
| Имя файла | Описание | Производитель | CLSID
| C:\WINDOWS\system32\hidec | Скрипт: Kарантин, Удалить, Удалить через BC Windows Sidebar | Удалить Обнаружено элементов - 20, опознано как безопасные - 19
| | ||||||||
Запись файла Hosts
|
| Имя файла | Тип | Описание | Производитель | CLSID
| mscoree.dll | Скрипт: Kарантин, Удалить, Удалить через BC Protocol | Microsoft .NET Runtime Execution Engine () | © Microsoft Corporation. All rights reserved. | {1E66F26B-79EE-11D2-8710-00C04F79ED0D} | Удалить mscoree.dll | Скрипт: Kарантин, Удалить, Удалить через BC Protocol | Microsoft .NET Runtime Execution Engine () | © Microsoft Corporation. All rights reserved. | {1E66F26B-79EE-11D2-8710-00C04F79ED0D} | Удалить mscoree.dll | Скрипт: Kарантин, Удалить, Удалить через BC Protocol | Microsoft .NET Runtime Execution Engine () | © Microsoft Corporation. All rights reserved. | {1E66F26B-79EE-11D2-8710-00C04F79ED0D} | Удалить Обнаружено элементов - 32, опознано как безопасные - 29
| | ||||||
| Файл | Описание | Тип
| C:\WINDOWS\system32\Drivers\sptd.sys | Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit | Перехватчик KernelMode
| C:\WINDOWS\system32\DRIVERS\avgidsshimx.sys | Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit | Перехватчик KernelMode
| C:\WINDOWS\system32\drivers\avgtpx86.sys | Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit | Перехватчик KernelMode
| |
Протокол антивирусной утилиты AVZ версии 4.39
Сканирование запущено в 11.12.2012 22:26:42
Загружена база: сигнатуры - 297614, нейропрофили - 2, микропрограммы лечения - 56, база от 11.12.2012 16:00
Загружены микропрограммы эвристики: 399
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 477267
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=08B520)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80562520
KiST = 804E48D0 (284)
Функция NtCreateKey (29) перехвачена (80578ABE->F7503FA0), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateKey (47) перехвачена (8057F00A->F7537698), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateValueKey (49) перехвачена (8059023A->F7537A26), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtNotifyChangeKey (6F) перехвачена (805E4E5E->B4A7B14A), перехватчик C:\WINDOWS\system32\DRIVERS\avgidsshimx.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtNotifyChangeMultipleKeys (70) перехвачена (805E4C70->B4A7B21A), перехватчик C:\WINDOWS\system32\DRIVERS\avgidsshimx.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenKey (77) перехвачена (80572BDF->F7503F80), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenProcess (7A) перехвачена (8057F942->B4A7AD7C), перехватчик C:\WINDOWS\system32\DRIVERS\avgidsshimx.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryKey (A0) перехвачена (8057EC0A->F7537AFE), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryValueKey (B1) перехвачена (80572F19->B7B981EA), перехватчик C:\WINDOWS\system32\drivers\avgtpx86.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetValueKey (F7) перехвачена (80580090->F7537B90), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSuspendProcess (FD) перехвачена (80637B6B->B4A7AF6A), перехватчик C:\WINDOWS\system32\DRIVERS\avgidsshimx.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSuspendThread (FE) перехвачена (80637A87->B4A7B000), перехватчик C:\WINDOWS\system32\DRIVERS\avgidsshimx.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtTerminateProcess (101) перехвачена (8058E8B9->B4A7AE32), перехватчик C:\WINDOWS\system32\DRIVERS\avgidsshimx.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtTerminateThread (102) перехвачена (8058496E->B4A7AECE), перехватчик C:\WINDOWS\system32\DRIVERS\avgidsshimx.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtWriteVirtualMemory (115) перехвачена (805875F7->B4A7B09C), перехватчик C:\WINDOWS\system32\DRIVERS\avgidsshimx.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Проверено функций: 284, перехвачено: 15, восстановлено: 15
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
CmpCallCallBacks = 001454C4
Disable callback OK
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
\FileSystem\ntfs[IRP_MJ_CREATE] = 89BCA1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 89BCA1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 89BCA1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 89BCA1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 89BCA1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 89BCA1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 89BCA1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 89BCA1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 89BCA1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 89BCA1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 89BCA1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 89BCA1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 89BCA1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 89BCA1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 89BCA1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 89BCA1E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 89A9C430 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 89A9C430 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 89A9C430 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 89A9C430 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 89A9C430 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 89A9C430 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 89A9C430 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 89A9C430 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 89A9C430 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 89A9C430 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 89A9C430 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 89A9C430 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 89A9C430 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 89A9C430 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 55
Количество загруженных модулей: 509
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Documents and Settings\admin\Local Settings\Temp\~DFB8A6.tmp
Прямое чтение C:\System Volume Information\_restore{1E2D9777-7EB0-4056-B369-291CE9D468B4}\RP63\A0012997.exe
Прямое чтение C:\System Volume Information\_restore{1E2D9777-7EB0-4056-B369-291CE9D468B4}\RP63\A0012998.exe
Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 84780, извлечено из архивов: 57755, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 11.12.2012 22:35:17
!!! Внимание !!! Восстановлено 15 функций KiST в ходе работы антируткита
Это может нарушить нормальную работу ряда программ, поэтому настоятельно рекомендуется перезагрузить компьютер
Сканирование длилось 00:08:37
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Создание архива с файлами из карантина
Создание архива с файлами из карантина завершено
Выполняется исследование системы
Исследование системы завершено
Команды скрипта
Добавить в скрипт команды: