Протокол исследования системы

Список процессов

Имя файла	PID	Описание	Copyright	MD5	Информация
Обнаружено:31, из них опознаны как безопасные 31

Имя модуля	Handle	Описание	Copyright	MD5	Используется процессами
Обнаружено модулей:457, из них опознаны как безопасные 457

Модули пространства ядра

Модуль	Базовый адрес	Размер в памяти	Описание	Производитель
C:\Windows\System32\Drivers\dump_atapi.sys Скрипт: Kарантин, Удалить, Удалить через BC	8E80B000	009000 (36864)
C:\Windows\System32\Drivers\dump_dumpata.sys Скрипт: Kарантин, Удалить, Удалить через BC	8E800000	00B000 (45056)
C:\Windows\System32\Drivers\dump_dumpfve.sys Скрипт: Kарантин, Удалить, Удалить через BC	88000000	011000 (69632)
Обнаружено модулей - 186, опознано как безопасные - 183

Службы

Служба	Описание	Статус	Файл	Группа	Зависимости
avast! Firewall Служба: Стоп, Удалить, Отключить, Удалить через BC	avast! Firewall	Не запущен	C:\Program Files\AVAST Software\Avast\afwServ.exe Скрипт: Kарантин, Удалить, Удалить через BC	ShellSvcGroup
Обнаружено - 143, опознано как безопасные - 142

Драйверы

Служба	Описание	Статус	Файл	Группа	Зависимости
Обнаружено - 244, опознано как безопасные - 244

Автозапуск

Имя файла	Статус	Метод запуска	Описание
C:\Windows\system32\psxss.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix
progman.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, shell Удалить
vgafix.fon Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fixedfon.fon Удалить
vgaoem.fon Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, oemfonts.fon Удалить
vgasys.fon Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fonts.fon Удалить
Обнаружено элементов автозапуска - 669, опознано как безопасные - 664

Модули расширения Internet Explorer (BHO, панели ...)

Имя файла	Тип	Описание	Производитель	CLSID
	Модуль расширения			{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} Удалить
	Модуль расширения			{92780B25-18CC-41C8-B9BE-3C9C571A8263} Удалить
Обнаружено элементов - 3, опознано как безопасные - 1

Модули расширения проводника

Имя файла	Назначение	Описание	Производитель	CLSID
Обнаружено элементов - 10, опознано как безопасные - 10

Модули расширения системы печати (мониторы печати, провайдеры)

Имя файла	Тип	Наименование	Описание	Производитель
Обнаружено элементов - 9, опознано как безопасные - 9

Задания планировщика задач Task Scheduler

Имя файла	Имя задания	Состояние задания	Описание	Производитель
Обнаружено элементов - 2, опознано как безопасные - 2

Настройки SPI/LSP

Поставщики пространства имен (NSP)

Поставщик	Статус	Исп. файл	Описание	GUID
Обнаружено - 6, опознано как безопасные - 6

Поставщики транспортных протоколов (TSP, LSP)

Поставщик Исп. файл Описание
Обнаружено - 18, опознано как безопасные - 18
Результаты автоматического анализа настроек SPI
Настройки LSP проверены. Ошибок не обнаружено

Порты TCP/UDP

Порт Статус Remote Host Remote Port Приложение Примечания
Порты TCP
135 LISTENING 0.0.0.0 0 [804] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445 LISTENING 0.0.0.0 0 [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1110 LISTENING 0.0.0.0 0 [1832] c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations mp4\avp.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49152 LISTENING 0.0.0.0 0 [452] c:\windows\system32\wininit.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49153 LISTENING 0.0.0.0 0 [892] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49154 LISTENING 0.0.0.0 0 [1012] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49155 LISTENING 0.0.0.0 0 [580] c:\windows\system32\lsass.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49156 LISTENING 0.0.0.0 0 [572] c:\windows\system32\services.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
Порты UDP

Downloaded Program Files (DPF)

Имя файла Описание Производитель CLSID URL загрузки
Обнаружено элементов - 0, опознано как безопасные - 0

Апплеты панели управления (CPL)

Имя файла Описание Производитель
Обнаружено элементов - 20, опознано как безопасные - 20

Active Setup

Имя файла Описание Производитель CLSID
Обнаружено элементов - 9, опознано как безопасные - 9

Файл HOSTS

Запись файла Hosts

Протоколы и обработчики

Имя файла Тип Описание Производитель CLSID
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
Обнаружено элементов - 20, опознано как безопасные - 17

Подозрительные объекты

Файл Описание Тип
C:\Windows\system32\DRIVERS\klif.sys
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit Перехватчик KernelMode

Внимание !!! База поcледний раз обновлялась 30.01.2013 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.39
Сканирование запущено в 21.02.2013 22:06:35
Загружена база: сигнатуры - 297614, нейропрофили - 2, микропрограммы лечения - 56, база от 30.01.2013 18:40
Загружены микропрограммы эвристики: 399
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 506902
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: включено
Версия Windows: 6.1.7600,  ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=15F940)
 Ядро ntoskrnl.exe обнаружено в памяти по адресу 82C1A000
   SDT = 82D79940
   KiST = 82C765F4 (401)
Функция NtAdjustPrivilegesToken (0C) перехвачена (82E84697->882EF144), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtClose (32) перехвачена (82E5DF31->882EF916), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtConnectPort (3B) перехвачена (82E531BC->882EFD3E), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateFile (42) перехвачена (82E64C1F->882F3C92), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateNamedPipeFile (4B) перехвачена (82E88B53->882EF00A), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateSymbolicLinkObject (56) перехвачена (82E049B9->882F0DEC), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateThread (57) перехвачена (82EEB4BA->882EF6BA), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDebugActiveProcess (60) перехвачена (82EBE1CA->882F081E), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDeviceIoControlFile (6B) перехвачена (82E2769D->882EFB10), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDuplicateObject (6F) перехвачена (82E70DFF->882F137C), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtFsControlFile (86) перехвачена (82E5D583->882EF9C2), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtLoadDriver (9B) перехвачена (82DBB124->882F08B0), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenFile (B3) перехвачена (82E6FE75->882F3AD6), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenProcess (BE) перехвачена (82E325DD->882EF374), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenSection (C2) перехвачена (82E7EE74->882F0E16), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenThread (C6) перехвачена (82E87EC5->882EF276), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueueApcThread (10D) перехвачена (82E011BD->882F0B44), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtReplaceKey (124) перехвачена (82EABDC8->882EE4DA), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtRequestWaitReplyPort (12B) перехвачена (82E34BB6->882F06A4), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtRestoreKey (12E) перехвачена (82EA046A->882EE63C), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtResumeThread (130) перехвачена (82E425BB->882F11F0), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSaveKey (135) перехвачена (82EA0668->882EE2DC), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSecureConnectPort (138) перехвачена (82E44C76->882EFC00), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetContextThread (13C) перехвачена (82EEC5BF->882EF7BA), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetSecurityObject (15B) перехвачена (82E63191->882F09AA), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetSystemInformation (15E) перехвачена (82DFDF2D->882F0E40), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSuspendProcess (16E) перехвачена (82EED17B->882F0F24), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSuspendThread (16F) перехвачена (82EA7670->882F1044), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSystemDebugControl (170) перехвачена (82E021D0->882F074A), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtTerminateProcess (172) перехвачена (82E32A69->882EF50E), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtTerminateThread (173) перехвачена (82E49FF8->882EF464), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtWriteVirtualMemory (18F) перехвачена (82E628E9->882EF5EE), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Проверено функций: 401, перехвачено: 32, восстановлено: 0
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Анализ для процессора 2
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
 Драйвер успешно загружен
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 31
 Количество загруженных модулей: 458
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение D:\980f632f3ae61131f2\amd64\filterpipelineprintproc.dll
Прямое чтение D:\980f632f3ae61131f2\amd64\mxdwdrv.dll
Прямое чтение D:\980f632f3ae61131f2\amd64\xpssvcs.dll
Прямое чтение D:\980f632f3ae61131f2\i386\filterpipelineprintproc.dll
Прямое чтение D:\980f632f3ae61131f2\i386\mxdwdrv.dll
Прямое чтение D:\980f632f3ae61131f2\i386\xpssvcs.dll
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
 Проверка отключена пользователем
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0FO\kloehk.dll"
Нестандартный ключ Winlogon\Shell: "c:\windows\explorer.exe"
Нестандартный ключ реестра для системной службы: BITS ImagePath=""
Нестандартный ключ реестра для системной службы: wuauserv ImagePath=""
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Модифицирован ключ запуска проводника
Проверка завершена
Просканировано файлов: 70477, извлечено из архивов: 61418, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 21.02.2013 22:17:04
Сканирование длилось 00:10:31
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Выполняется исследование системы

 Исследование системы завершено


Команды скрипта 
Добавить в скрипт команды:
Нейтрализация перехватов функций при помощи антируткита
Включить AVZGuard
Управление AVZPM (true-включить,false-отключить)
BootCleaner - импорт списка удаленных файлов
BootCleaner - импортировать все
Чистка реестра после удаления файлов
ExecuteWizard ('TSW',2,3,true) - Выполнение мастера поиска и устранения проблем
BootCleaner - активация
Перезагрузка
Вставить заготовку для QuarantineFile() - помещение файла в карантин
Вставить заготовку для BC_QrFile() - помещение файла в карантин через BC
Вставить заготовку для DeleteFile() - удаление файла
Вставить заготовку для DelCLSID() - удаление CLSID класса из реестра
Дополнительные операции:Оптимизация - отключить службу TermService (Службы удаленных рабочих столов)
Оптимизация - отключить службу SSDPSRV (Обнаружение SSDP)
Оптимизация - отключить службу Schedule (Планировщик заданий)
Оптимизация - безопасность - отключить автозапуск программ с CD
Оптимизация - безопасность - отключить административный доступ к локальным дискам
Оптимизация - безопасность - блокировать возможность подключения анонимных пользователей
Безопасность - запретить отправку приглашений удаленному помощнику

Список файлов

Порт	Статус	Remote Host	Remote Port	Приложение	Примечания
Порты TCP
135	LISTENING	0.0.0.0	0	[804] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445	LISTENING	0.0.0.0	0	[4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1110	LISTENING	0.0.0.0	0	[1832] c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations mp4\avp.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49152	LISTENING	0.0.0.0	0	[452] c:\windows\system32\wininit.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49153	LISTENING	0.0.0.0	0	[892] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49154	LISTENING	0.0.0.0	0	[1012] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49155	LISTENING	0.0.0.0	0	[580] c:\windows\system32\lsass.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49156	LISTENING	0.0.0.0	0	[572] c:\windows\system32\services.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
Порты UDP