AVZ 4.39 http://z-oleg.com/secur/avz/
| Имя файла | PID | Описание | Copyright | MD5 | Информация
| c:\program files\avg\avg2013\avgcsrvx.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 676 | AVG Scanning Core Module - Server Part | Copyright (C) 2012 AVG Technologies CZ, s.r.o. | ?? | 430.12 кб, rsAh, | создан: 22.10.2012 13:03:46, изменен: 22.10.2012 13:03:46 Командная строка: C:\Program Files\AVG\AVG2013\avgcsrvx.exe /pipeName=8cd72c09-6b23-407b-924c-0b3ffec3942f /coreSdkOptions=8478 /logConfFile="C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Avg2013\temp\2c09162e-1919-487d-b880-d44b103bdc22-278-oopp.tmp" /loggerName=AVG.RS.Core /binaryPath="C:\Program Files\AVG\AVG2013\" /registryPath="SYSTEM\CurrentControlSet\Services\Avg\Avg2013" /tempPath="C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Avg2013\temp\" c:\program files\avg\avg2013\avgcsrvx.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 3368 | AVG Scanning Core Module - Server Part | Copyright (C) 2012 AVG Technologies CZ, s.r.o. | ?? | 430.12 кб, rsAh, | создан: 22.10.2012 13:03:46, изменен: 22.10.2012 13:03:46 Командная строка: C:\Program Files\AVG\AVG2013\avgcsrvx.exe /pipeName=3b7b8c2d-c683-437a-8f55-7661fae23337 /coreSdkOptions=8210 /logConfFile="C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Avg2013\temp\354dc40d-57ef-4a44-b936-3d2901d46b6b-b40-oopp.tmp" /loggerName=AVG.NS.Core /binaryPath="C:\Program Files\AVG\AVG2013\" /registryPath="SYSTEM\CurrentControlSet\Services\Avg\Avg2013" /tempPath="C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Avg2013\temp\" c:\program files\avg\avg2013\avgemcx.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2920 | AVG E-mail Scanner | Copyright (C) 2012 AVG Technologies CZ, s.r.o. | ?? | 778.12 кб, rsAh, | создан: 22.10.2012 13:03:52, изменен: 22.10.2012 13:03:52 Командная строка: "C:\Program Files\AVG\AVG2013\avgemcx.exe" c:\program files\avg\avg2013\avgidsagent.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2588 | AVG Identity Protection Service | Copyright (C) 2012 AVG Technologies CZ, s.r.o. | ?? | 5678.62 кб, rsAh, | создан: 15.11.2012 23:34:30, изменен: 15.11.2012 23:34:30 Командная строка: "C:\Program Files\AVG\AVG2013\avgidsagent.exe" c:\program files\avg\avg2013\avgnsx.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2880 | AVG Online Shield Service | Copyright (C) 2012 AVG Technologies CZ, s.r.o. | ?? | 1090.62 кб, rsAh, | создан: 22.10.2012 13:04:32, изменен: 22.10.2012 13:04:32 Командная строка: "C:\Program Files\AVG\AVG2013\avgnsx.exe" c:\program files\avg\avg2013\avgui.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2020 | AVG User Interface | Copyright (C) 2012 AVG Technologies CZ, s.r.o. | ?? | 3073.62 кб, rsAh, | создан: 11.12.2012 03:52:44, изменен: 11.12.2012 03:52:44 Командная строка: "C:\Program Files\AVG\AVG2013\avgui.exe" /TRAYONLY c:\program files\avg\avg2013\avgwdsvc.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2628 | AVG Watchdog Service | Copyright (C) 2012 AVG Technologies CZ, s.r.o. | ?? | 192.05 кб, rsAh, | создан: 22.10.2012 13:05:08, изменен: 22.10.2012 13:05:08 Командная строка: "C:\Program Files\AVG\AVG2013\avgwdsvc.exe" c:\documents and settings\admin\Рабочий стол\avz4\avz.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1752 | Антивирусная утилита AVZ | Антивирусная утилита AVZ | ?? | 747.00 кб, rsAh, | создан: 02.03.2013 20:53:23, изменен: 20.05.2012 10:51:48, имя содержит национальные символы Командная строка: "C:\Documents and Settings\Admin\Рабочий стол\avz4\avz.exe" c:\windows\system32\ctfmon.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 160 | CTF Loader | © Microsoft Corporation. All rights reserved. | ?? | 15.00 кб, rsAh, | создан: 15.04.2008 18:00:00, изменен: 15.04.2008 18:00:00 Командная строка: "C:\WINDOWS\system32\ctfmon.exe" c:\program files\carambis\driver updater\dupdater.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 180 | Driver Updater | Carambis (MEDIA FOG LTD.). All rights reserved. | ?? | 2936.53 кб, rsAh, | создан: 06.02.2013 13:50:24, изменен: 06.02.2013 13:50:24 Командная строка: "C:\Program Files\Carambis\Driver Updater\dupdater.exe" -minimized c:\windows\explorer.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1740 | Проводник | © Корпорация Майкрософт. Все права защищены. | ?? | 1010.00 кб, rsAh, | создан: 15.04.2008 18:00:00, изменен: 15.04.2008 18:00:00 Командная строка: C:\WINDOWS\EXPLORER.EXE c:\program files\mozilla firefox\firefox.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 3836 | Firefox | ©Firefox and Mozilla Developers, according to the MPL 1.1/GPL 2.0/LGPL 2.1 licenses, as applicable. | ?? | 300.49 кб, rsAh, | создан: 20.01.2009 11:56:38, изменен: 20.01.2009 11:56:38 Командная строка: "C:\Program Files\Mozilla Firefox\firefox.exe" c:\documents and settings\all users\application data\datacardservice\hwdeviceservice.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2816 | DCSHOST | Copyright (C) 2008 | ?? | 265.34 кб, rsAh, | создан: 14.03.2011 21:27:28, изменен: 14.03.2011 21:27:28 Командная строка: "C:\Documents and Settings\All Users\Application Data\DatacardService\HWDeviceService.exe" -/service c:\windows\system32\inetsrv\inetinfo.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2844 | Internet Information Services | (C) Корпорация Майкрософт (Microsoft Corp.). Все права защищены. | ?? | 15.50 кб, rsAh, | создан: 22.02.2013 20:02:42, изменен: 15.04.2008 18:00:00 Командная строка: C:\WINDOWS\system32\inetsrv\inetinfo.exe c:\windows\system32\lsass.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 952 | LSA Shell (Export Version) | © Microsoft Corporation. All rights reserved. | ?? | 13.00 кб, rsAh, | создан: 15.04.2008 18:00:00, изменен: 15.04.2008 18:00:00 Командная строка: C:\WINDOWS\system32\lsass.exe c:\documents and settings\all users\application data\connect manager\onlineupdate\ouc.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2788 | | | ?? | 213.50 кб, rsAh, | создан: 22.02.2013 20:49:20, изменен: 22.02.2013 20:47:39 Командная строка: "C:\Documents and Settings\All Users\Application Data\Connect Manager\OnlineUpdate\ouc.exe" "C:/Program Files/Connect Manager/UpdateDog/" c:\windows\system32\services.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 936 | Приложение служб и контроллеров | © Корпорация Майкрософт. Все права защищены. | ?? | 108.50 кб, rsAh, | создан: 15.04.2008 18:00:00, изменен: 09.02.2009 17:25:55 Командная строка: C:\WINDOWS\system32\services.exe c:\windows\system32\snmp.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 3052 | Служба SNMP | © Корпорация Майкрософт. Все права защищены. | ?? | 32.00 кб, rsAh, | создан: 22.02.2013 20:02:38, изменен: 15.04.2008 18:00:00 Командная строка: C:\WINDOWS\System32\snmp.exe c:\windows\system32\spoolsv.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1780 | Spooler SubSystem App | © Microsoft Corporation. All rights reserved. | ?? | 57.50 кб, rsAh, | создан: 15.04.2008 18:00:00, изменен: 17.08.2010 19:17:06 Командная строка: C:\WINDOWS\system32\spoolsv.exe c:\windows\system32\svchost.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1168 | Generic Host Process for Win32 Services | © Microsoft Corporation. All rights reserved. | ?? | 14.00 кб, rsAh, | создан: 15.04.2008 18:00:00, изменен: 15.04.2008 18:00:00 Командная строка: C:\WINDOWS\system32\svchost -k rpcss c:\windows\system32\svchost.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2556 | Generic Host Process for Win32 Services | © Microsoft Corporation. All rights reserved. | ?? | 14.00 кб, rsAh, | создан: 15.04.2008 18:00:00, изменен: 15.04.2008 18:00:00 Командная строка: C:\WINDOWS\system32\svchost.exe -k LocalService c:\windows\system32\svchost.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1304 | Generic Host Process for Win32 Services | © Microsoft Corporation. All rights reserved. | ?? | 14.00 кб, rsAh, | создан: 15.04.2008 18:00:00, изменен: 15.04.2008 18:00:00 Командная строка: C:\WINDOWS\System32\svchost.exe -k netsvcs c:\windows\system32\svchost.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1404 | Generic Host Process for Win32 Services | © Microsoft Corporation. All rights reserved. | ?? | 14.00 кб, rsAh, | создан: 15.04.2008 18:00:00, изменен: 15.04.2008 18:00:00 Командная строка: C:\WINDOWS\system32\svchost.exe -k NetworkService c:\windows\system32\svchost.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1528 | Generic Host Process for Win32 Services | © Microsoft Corporation. All rights reserved. | ?? | 14.00 кб, rsAh, | создан: 15.04.2008 18:00:00, изменен: 15.04.2008 18:00:00 Командная строка: C:\WINDOWS\system32\svchost.exe -k LocalService c:\windows\system32\svchost.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1108 | Generic Host Process for Win32 Services | © Microsoft Corporation. All rights reserved. | ?? | 14.00 кб, rsAh, | создан: 15.04.2008 18:00:00, изменен: 15.04.2008 18:00:00 Командная строка: C:\WINDOWS\system32\svchost -k DcomLaunch c:\program files\teamviewer\version8\teamviewer_service.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 3184 | TeamViewer 8 | TeamViewer GmbH | ?? | 3477.34 кб, rsAh, | создан: 02.03.2013 20:51:36, изменен: 26.02.2013 18:23:13 Командная строка: "C:\Program Files\TeamViewer\Version8\TeamViewer_Service.exe" c:\program files\common files\avg secure search\vtoolbarupdater\14.2.0\toolbarupdater.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 3504 | ToolbarU Application | Copyright (C) 2012 | ?? | 946.17 кб, rsAh, | создан: 25.02.2013 22:56:41, изменен: 25.02.2013 22:56:28 Командная строка: "C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\14.2.0\ToolbarUpdater.exe" c:\windows\system32\winlogon.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 888 | Программа входа в систему Windows NT | © Корпорация Майкрософт. Все права защищены. | ?? | 497.50 кб, rsAh, | создан: 15.04.2008 18:00:00, изменен: 15.04.2008 18:00:00 Командная строка: winlogon.exe Обнаружено:40, из них опознаны как безопасные 38
| | |||||
| Имя модуля | Handle | Описание | Copyright | MD5 | Используется процессами
| C:\Program Files\AVG\AVG2013\avgcorex.dll | Скрипт: Kарантин, Удалить, Удалить через BC 1789984768 | AVG Scanning Core Module | Copyright (C) 2013 AVG Technologies CZ, s.r.o. | -- | 676, 3368
| C:\Program Files\Carambis\Driver Updater\QtCore4.dll | Скрипт: Kарантин, Удалить, Удалить через BC 1728053248 | C++ application development framework. | Copyright (C) 2012 Nokia Corporation and/or its subsidiary(-ies). | -- | 180
| C:\Program Files\Carambis\Driver Updater\QtGui4.dll | Скрипт: Kарантин, Удалить, Удалить через BC 1694498816 | C++ application development framework. | Copyright (C) 2012 Nokia Corporation and/or its subsidiary(-ies). | -- | 180
| C:\Program Files\Carambis\Driver Updater\QtNetwork4.dll | Скрипт: Kарантин, Удалить, Удалить через BC 1677721600 | C++ application development framework. | Copyright (C) 2012 Nokia Corporation and/or its subsidiary(-ies). | -- | 180
| C:\Program Files\Carambis\Driver Updater\QtXml4.dll | Скрипт: Kарантин, Удалить, Удалить через BC 1627389952 | C++ application development framework. | Copyright (C) 2012 Nokia Corporation and/or its subsidiary(-ies). | -- | 180
| C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_filter.dll | Скрипт: Kарантин, Удалить, Удалить через BC 2045050880 | aspnet_filter.lib | Copyright (C) Microsoft Corporation 1998-2002. All rights reserved. | -- | 2844
| C:\WINDOWS\system32\kwebbjc.dll | Скрипт: Kарантин, Удалить, Удалить через BC 7536640 | | | -- | 2920, 2588, 2880, 2020, 2628, 1752, 160, 180, 1740, 3836, 2816, 2844, 952, 2788, 936, 3052, 1780, 1168, 2556, 1304, 1404, 1528, 1108, 3504, 888
| Обнаружено модулей:369, из них опознаны как безопасные 362
| | |||||
| Модуль | Базовый адрес | Размер в памяти | Описание | Производитель
| C:\WINDOWS\System32\Drivers\dump_nvatabus.sys | Скрипт: Kарантин, Удалить, Удалить через BC B9B27000 | 014000 (81920) |
| C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS | Скрипт: Kарантин, Удалить, Удалить через BC F8C2B000 | 002000 (8192) |
| Обнаружено модулей - 124, опознано как безопасные - 122
| | ||||||
| Служба | Описание | Статус | Файл | Группа | Зависимости
| TeamViewer8 | Служба: Стоп, Удалить, Отключить, Удалить через BC TeamViewer 8 | Работает | C:\Program Files\TeamViewer\Version8\TeamViewer_Service.exe | Скрипт: Kарантин, Удалить, Удалить через BC |
| Обнаружено - 100, опознано как безопасные - 99
| | ||||||
| Имя файла | Статус | Метод запуска | Описание
| C:\Documents and Settings\Admin\Local Settings\Application Data\Yandex\YandexBrowser\Application\browser.exe | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ярлык в папке автозагрузки | C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\, C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk,
| C:\Program Files\Carambis\Driver Updater\dupdater.exe | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, Driver Updater | Удалить C:\WINDOWS\SYSTEM32\PSXSS.EXE | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix
| C:\WINDOWS\System32\Drivers\AliIde.sys | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\aliide, EventMessageFile
| C:\WINDOWS\System32\Drivers\CmdIde.sys | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\cmdide, EventMessageFile
| C:\WINDOWS\System32\Drivers\IntelIde.sys | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\intelide, EventMessageFile
| C:\WINDOWS\System32\Drivers\TosIde.sys | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\toside, EventMessageFile
| C:\WINDOWS\System32\Drivers\ViaIde.sys | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\viaide, EventMessageFile
| C:\WINDOWS\System32\Drivers\lbrtfdc.sys | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\lbrtfdc, EventMessageFile
| C:\WINDOWS\System32\hidserv.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\HidServ\Parameters, ServiceDll | Удалить C:\WINDOWS\System32\igmpv2.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IGMPv2, EventMessageFile
| C:\WINDOWS\System32\ipbootp.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IPBOOTP, EventMessageFile
| C:\WINDOWS\System32\iprip2.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IPRIP2, EventMessageFile
| C:\WINDOWS\System32\ospf.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\OSPF, EventMessageFile
| C:\WINDOWS\System32\ospfmib.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\OSPFMib, EventMessageFile
| C:\WINDOWS\System32\polagent.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\PolicyAgent, EventMessageFile
| C:\WINDOWS\System32\tssdis.exe | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\TermServSessDir, EventMessageFile
| C:\WINDOWS\system32\KB905474\wgasetup.exe | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\WgaSetup, EventMessageFile
| C:\WINDOWS\system32\MsSip1.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\MS Subjects 1, $DLL | Удалить C:\WINDOWS\system32\MsSip2.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\MS Subjects 2, $DLL | Удалить C:\WINDOWS\system32\MsSip3.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\MS Subjects 3, $DLL | Удалить C:\WINDOWS\system32\kwebbjc.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs
| C:\WINDOWS\system32\stisvc.exe | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System, EventMessageFile
| kbd101.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\i8042prt\Parameters, LayerDriver JPN | Удалить kbd101a.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\i8042prt\Parameters, LayerDriver KOR | Удалить mvfs32.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_USERS, .DEFAULT\Control Panel\IOProcs, MVB | Удалить mvfs32.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_USERS, S-1-5-19\Control Panel\IOProcs, MVB | Удалить mvfs32.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_USERS, S-1-5-20\Control Panel\IOProcs, MVB | Удалить mvfs32.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_USERS, S-1-5-18\Control Panel\IOProcs, MVB | Удалить mvfs32.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_CURRENT_USER, Control Panel\IOProcs, MVB | Удалить vgafix.fon | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fixedfon.fon | Удалить vgaoem.fon | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, oemfonts.fon | Удалить vgasys.fon | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fonts.fon | Удалить Обнаружено элементов автозапуска - 814, опознано как безопасные - 781
| | ||||||
| Имя файла | Тип | Описание | Производитель | CLSID
| Обнаружено элементов - 9, опознано как безопасные - 9
| | ||||||
| Имя файла | Назначение | Описание | Производитель | CLSID
| Панель задач и меню ''Пуск'' | {0DF44EAA-FF21-4412-828E-260A8728E7F1} | Удалить Учетные записи пользователей | {7A9D77BD-5403-11d2-8785-2E0420524153} | Удалить Обнаружено элементов - 203, опознано как безопасные - 201
| | ||||||||||||
| Имя файла | Тип | Наименование | Описание | Производитель
| Обнаружено элементов - 9, опознано как безопасные - 9
| | ||||||
| Имя файла | Имя задания | Состояние задания | Описание | Производитель
| Обнаружено элементов - 1, опознано как безопасные - 1
| | ||||||
| Поставщик | Статус | Исп. файл | Описание | GUID
| Обнаружено - 3, опознано как безопасные - 3
| | ||||||
| Поставщик | Исп. файл | Описание
| Обнаружено - 15, опознано как безопасные - 15
| | ||||||
| Имя файла | Описание | Производитель | CLSID | URL загрузки
| Обнаружено элементов - 0, опознано как безопасные - 0
| | ||||||
| Имя файла | Описание | Производитель
| Обнаружено элементов - 25, опознано как безопасные - 25
| | ||||||
| Имя файла | Описание | Производитель | CLSID
| Обнаружено элементов - 16, опознано как безопасные - 16
| | ||||||
Запись файла Hosts
|
| Имя файла | Тип | Описание | Производитель | CLSID
| Обнаружено элементов - 32, опознано как безопасные - 32
| | ||||||
| Файл | Описание | Тип
| C:\WINDOWS\system32\DRIVERS\avgidsshimx.sys | Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit | Перехватчик KernelMode
| C:\WINDOWS\system32\drivers\avgtpx86.sys | Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit | Перехватчик KernelMode
| D:\System Volume Information\_restore{F5BCFE5B-25FA-464F-8161-A932599CA003}\RP18\A0002998.exe | Скрипт: Kарантин, Удалить, Удалить через BC Подозрение файлового сканера | Подозрение на Trojan.BAT.Agent.vi ( 0E955C80 06AD352F 00278105 002A16CB 31744)
| D:\System Volume Information\_restore{F5BCFE5B-25FA-464F-8161-A932599CA003}\RP23\A0015664.exe | Скрипт: Kарантин, Удалить, Удалить через BC Подозрение файлового сканера | Подозрение на Trojan.BAT.Agent.vi ( 0E955C80 06AD352F 00278105 002A16CB 31744)
| C:\WINDOWS\system32\kwebbjc.dll | Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на KeyLogger | Подозрение на Keylogger или троянскую DLL
| |
Протокол антивирусной утилиты AVZ версии 4.39
Сканирование запущено в 03.03.2013 17:46:26
Загружена база: сигнатуры - 297614, нейропрофили - 2, микропрограммы лечения - 56, база от 03.03.2013 04:00
Загружены микропрограммы эвристики: 402
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 529075
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=07C120)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 80553120
KiST = 80501BDC (284)
Функция NtNotifyChangeKey (6F) перехвачена (8061CFF0->F8B4A14A), перехватчик C:\WINDOWS\system32\DRIVERS\avgidsshimx.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtNotifyChangeMultipleKeys (70) перехвачена (8061BC24->F8B4A21A), перехватчик C:\WINDOWS\system32\DRIVERS\avgidsshimx.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenProcess (7A) перехвачена (805C1462->F8B49D7C), перехватчик C:\WINDOWS\system32\DRIVERS\avgidsshimx.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryValueKey (B1) перехвачена (80619026->EBE731AE), перехватчик C:\WINDOWS\system32\drivers\avgtpx86.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSuspendProcess (FD) перехвачена (805CAF28->F8B49F6A), перехватчик C:\WINDOWS\system32\DRIVERS\avgidsshimx.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSuspendThread (FE) перехвачена (805CAD9A->F8B4A000), перехватчик C:\WINDOWS\system32\DRIVERS\avgidsshimx.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtTerminateProcess (101) перехвачена (805C86EA->F8B49E32), перехватчик C:\WINDOWS\system32\DRIVERS\avgidsshimx.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtTerminateThread (102) перехвачена (805C88E4->F8B49ECE), перехватчик C:\WINDOWS\system32\DRIVERS\avgidsshimx.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtWriteVirtualMemory (115) перехвачена (805A99CE->F8B4A09C), перехватчик C:\WINDOWS\system32\DRIVERS\avgidsshimx.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Проверено функций: 284, перехвачено: 9, восстановлено: 9
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
CmpCallCallBacks = 000890F6
Disable callback OK
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 37
Количество загруженных модулей: 367
Проверка памяти завершена
3. Сканирование дисков
D:\System Volume Information\_restore{F5BCFE5B-25FA-464F-8161-A932599CA003}\RP18\A0002998.exe >>> подозрение на Trojan.BAT.Agent.vi ( 0E955C80 06AD352F 00278105 002A16CB 31744)
Файл успешно помещен в карантин (D:\System Volume Information\_restore{F5BCFE5B-25FA-464F-8161-A932599CA003}\RP18\A0002998.exe)
D:\System Volume Information\_restore{F5BCFE5B-25FA-464F-8161-A932599CA003}\RP23\A0015664.exe >>> подозрение на Trojan.BAT.Agent.vi ( 0E955C80 06AD352F 00278105 002A16CB 31744)
Файл успешно помещен в карантин (D:\System Volume Information\_restore{F5BCFE5B-25FA-464F-8161-A932599CA003}\RP23\A0015664.exe)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\system32\kwebbjc.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\kwebbjc.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (C:\WINDOWS\system32\kwebbjc.dll)
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\WINDOWS\system32\kwebbjc.dll"
Нестандартный ключ Winlogon\Shell: "c:\windows\explorer.exe"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Модифицирован ключ запуска проводника
Проверка завершена
Просканировано файлов: 61296, извлечено из архивов: 33186, найдено вредоносных программ 0, подозрений - 2
Сканирование завершено в 03.03.2013 17:55:33
!!! Внимание !!! Восстановлено 9 функций KiST в ходе работы антируткита
Это может нарушить нормальную работу ряда программ, поэтому настоятельно рекомендуется перезагрузить компьютер
Сканирование длилось 00:09:10
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Создание архива с файлами из карантина
Создание архива с файлами из карантина завершено
Выполняется исследование системы
Исследование системы завершено
Команды скрипта
Добавить в скрипт команды: