Протокол исследования системы

Список процессов

Имя файла	PID	Описание	Copyright	MD5	Информация
c:\documents and settings\admin\local settings\application data\{47b1173c-1431-f31f-839a-062e6bf45f69}\.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	268			??	71.00 кб, rsAh, создан: 15.04.2008 17:00:00, изменен: 15.04.2008 17:00:00 Командная строка: "C:\Documents and Settings\Admin\Local Settings\Application Data\{47B1173C-1431-F31F-839A-062E6BF45F69}\.exe"
c:\windows\explorer.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1928	Проводник	© Корпорация Майкрософт. Все права защищены.	??	1681.00 кб, rsAh, создан: 25.12.2008 22:59:10, изменен: 25.12.2008 22:59:10 Командная строка: C:\WINDOWS\Explorer.EXE
c:\windows\temp\guardguard.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1200	GuardRea Application	Copyright (C) 2011	??	278.20 кб, rsAh, создан: 14.04.2011 15:11:51, изменен: 14.04.2011 15:11:51 Командная строка: C:\WINDOWS\TEMP\GuardGuard.exe
c:\program files\mail.ru\guard\guardmailru.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	636	GuardMailRu Module	Copyright 2010	??	1438.20 кб, rsAh, создан: 14.03.2011 21:47:06, изменен: 11.04.2011 13:06:33 Командная строка: "C:\Program Files\Mail.Ru\Guard\GuardMailRu.exe" /gui
c:\program files\mail.ru\guard\guardmailru.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	992	GuardMailRu Module	Copyright 2010	??	1438.20 кб, rsAh, создан: 14.03.2011 21:47:06, изменен: 11.04.2011 13:06:33 Командная строка: "C:\Program Files\Mail.Ru\Guard\GuardMailRu.exe"
c:\program files\opera\opera.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	2264	Opera Internet Browser	Copyright © Opera Software 1995-2011	??	919.86 кб, rsAh, создан: 14.04.2011 11:21:53, изменен: 14.04.2011 11:21:53 Командная строка: "C:\Program Files\Opera\opera.exe"
c:\windows\system32\spoolsv.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1652	Spooler SubSystem App	© Microsoft Corporation. All rights reserved.	??	56.50 кб, rsAh, создан: 15.04.2008 17:00:00, изменен: 15.04.2008 17:00:00 Командная строка: C:\WINDOWS\system32\spoolsv.exe
c:\windows\system32\winlogon.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	736	Программа входа в систему Windows NT	© Корпорация Майкрософт. Все права защищены.	??	497.50 кб, rsAh, создан: 15.04.2008 17:00:00, изменен: 15.04.2008 17:00:00 Командная строка: winlogon.exe
Обнаружено:30, из них опознаны как безопасные 25

Имя модуля	Handle	Описание	Copyright	MD5	Используется процессами
C:\Program Files\Easy CD-DA Extractor 2010\ezcddax32.dll Скрипт: Kарантин, Удалить, Удалить через BC	72220672			--	1928
C:\Program Files\Opera\Opera.dll Скрипт: Kарантин, Удалить, Удалить через BC	1731985408	Opera Internet Browser	Copyright © Opera Software 1995-2011	--	2264
C:\WINDOWS\system32\LMIinit.dll Скрипт: Kарантин, Удалить, Удалить через BC	31260672	LogMeIn Remote Control Helper	Copyright © 2003-2010 LogMeIn, Inc. Patented and patents pending.	--	736
C:\WINDOWS\system32\LMIport.dll Скрипт: Kарантин, Удалить, Удалить через BC	1346371584	RemotelyAnywhere Printer Port Monitor	Copyright © 1998-2010 LogMeIn, Inc. All rights reserved.	--	1652
C:\WINDOWS\system32\LMIRfsClientNP.dll Скрипт: Kарантин, Удалить, Удалить через BC	44761088	LogMeIn Rfs Client Network Provider	Copyright © 2003-2010 LogMeIn, Inc. Patented and patents pending.	--	1928, 736
C:\WINDOWS\System32\spool\PRTPROCS\W32X86\LMIproc.dll Скрипт: Kарантин, Удалить, Удалить через BC	1787822080	RemotelyAnywhere Print Processor	Copyright © 1998-2010 LogMeIn, Inc. All rights reserved.	--	1652
Обнаружено модулей:356, из них опознаны как безопасные 350

Модули пространства ядра

Модуль	Базовый адрес	Размер в памяти	Описание	Производитель
C:\WINDOWS\System32\Drivers\aerk2khn.SYS Скрипт: Kарантин, Удалить, Удалить через BC	F7692000	066000 (417792)
\Program Files\DAEMON Tools\daemon.dll Скрипт: Kарантин, Удалить, Удалить через BC	10000000	0DE000 (909312)
C:\WINDOWS\System32\Drivers\dump_atapi.sys Скрипт: Kарантин, Удалить, Удалить через BC	EF16F000	018000 (98304)
C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS Скрипт: Kарантин, Удалить, Удалить через BC	F89C7000	002000 (8192)
spya.sys Скрипт: Kарантин, Удалить, Удалить через BC	F838B000	0F3000 (995328)
Обнаружено модулей - 122, опознано как безопасные - 117

Службы

Служба	Описание	Статус	Файл	Группа	Зависимости
Guard.Mail.ru Служба: Стоп, Удалить, Отключить, Удалить через BC	Guard.Mail.ru	Работает	C:\Program Files\Mail.Ru\Guard\GuardMailRu.exe Скрипт: Kарантин, Удалить, Удалить через BC
ClipSrv Служба: Стоп, Удалить, Отключить, Удалить через BC	Сервер папки обмена	Не запущен	C:\WINDOWS\system32\clipsrv.exe Скрипт: Kарантин, Удалить, Удалить через BC		NetDDE
npggsvc Служба: Стоп, Удалить, Отключить, Удалить через BC	nProtect GameGuard Service	Не запущен	C:\WINDOWS\system32\GameMon.des Скрипт: Kарантин, Удалить, Удалить через BC
Обнаружено - 98, опознано как безопасные - 95

Драйверы

Служба	Описание	Статус	Файл	Группа	Зависимости
sptd Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	sptd	Работает	C:\WINDOWS\System32\Drivers\sptd.sys Скрипт: Kарантин, Удалить, Удалить через BC	Boot Bus Extender
Abiosdsk Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Abiosdsk	Не запущен	Abiosdsk.sys Скрипт: Kарантин, Удалить, Удалить через BC	Primary disk
abp480n5 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	abp480n5	Не запущен	abp480n5.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
adpu160m Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	adpu160m	Не запущен	adpu160m.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
Aha154x Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Aha154x	Не запущен	Aha154x.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
aic78u2 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	aic78u2	Не запущен	aic78u2.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
aic78xx Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	aic78xx	Не запущен	aic78xx.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
AliIde Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	AliIde	Не запущен	AliIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
amsint Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	amsint	Не запущен	amsint.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
asc Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	asc	Не запущен	asc.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
asc3350p Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	asc3350p	Не запущен	asc3350p.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
asc3550 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	asc3550	Не запущен	asc3550.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
Atdisk Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Atdisk	Не запущен	Atdisk.sys Скрипт: Kарантин, Удалить, Удалить через BC	Primary disk
cd20xrnt Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	cd20xrnt	Не запущен	cd20xrnt.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
Changer Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Changer	Не запущен	Changer.sys Скрипт: Kарантин, Удалить, Удалить через BC	Filter
CmdIde Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	CmdIde	Не запущен	CmdIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
Cpqarray Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Cpqarray	Не запущен	Cpqarray.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
dac960nt Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	dac960nt	Не запущен	dac960nt.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
dpti2o Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	dpti2o	Не запущен	dpti2o.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
EagleNT Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	EagleNT	Не запущен	C:\DOCUME~1\Admin\LOCALS~1\Temp\EagleNT.sys Скрипт: Kарантин, Удалить, Удалить через BC
hpn Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	hpn	Не запущен	hpn.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
i2omgmt Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	i2omgmt	Не запущен	i2omgmt.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI Class
i2omp Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	i2omp	Не запущен	i2omp.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
ini910u Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ini910u	Не запущен	ini910u.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
IntelIde Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	IntelIde	Не запущен	IntelIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
lbrtfdc Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	lbrtfdc	Не запущен	lbrtfdc.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
LMIInfo Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	LogMeIn Kernel Information Provider	Не запущен	C:\Program Files\LogMeIn\x86\RaInfo.sys Скрипт: Kарантин, Удалить, Удалить через BC
LMIRfsClientNP Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	LMIRfsClientNP	Не запущен	LMIRfsClientNP.sys Скрипт: Kарантин, Удалить, Удалить через BC	NetworkProvider
mnmdd Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	mnmdd	Не запущен	mnmdd.sys Скрипт: Kарантин, Удалить, Удалить через BC	Video Save
mraid35x Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	mraid35x	Не запущен	mraid35x.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
PCIDump Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	PCIDump	Не запущен	PCIDump.sys Скрипт: Kарантин, Удалить, Удалить через BC	PCI Configuration
PDCOMP Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	PDCOMP	Не запущен	PDCOMP.sys Скрипт: Kарантин, Удалить, Удалить через BC
PDFRAME Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	PDFRAME	Не запущен	PDFRAME.sys Скрипт: Kарантин, Удалить, Удалить через BC
PDRELI Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	PDRELI	Не запущен	PDRELI.sys Скрипт: Kарантин, Удалить, Удалить через BC
PDRFRAME Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	PDRFRAME	Не запущен	PDRFRAME.sys Скрипт: Kарантин, Удалить, Удалить через BC
perc2 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	perc2	Не запущен	perc2.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
perc2hib Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	perc2hib	Не запущен	perc2hib.sys Скрипт: Kарантин, Удалить, Удалить через BC	Filter
ql1080 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ql1080	Не запущен	ql1080.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
Ql10wnt Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Ql10wnt	Не запущен	Ql10wnt.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
ql12160 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ql12160	Не запущен	ql12160.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
ql1240 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ql1240	Не запущен	ql1240.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
ql1280 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ql1280	Не запущен	ql1280.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
Simbad Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Simbad	Не запущен	Simbad.sys Скрипт: Kарантин, Удалить, Удалить через BC	Filter
Sparrow Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Sparrow	Не запущен	Sparrow.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
sym_hi Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	sym_hi	Не запущен	sym_hi.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
sym_u3 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	sym_u3	Не запущен	sym_u3.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
symc810 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	symc810	Не запущен	symc810.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
symc8xx Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	symc8xx	Не запущен	symc8xx.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
TosIde Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	TosIde	Не запущен	TosIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
ultra Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ultra	Не запущен	ultra.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
ViaIde Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ViaIde	Не запущен	ViaIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
WDICA Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	WDICA	Не запущен	WDICA.sys Скрипт: Kарантин, Удалить, Удалить через BC
Обнаружено - 175, опознано как безопасные - 123

Автозапуск

Имя файла	Статус	Метод запуска	Описание
%SystenRoot%\System32\netevent.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\ip100xp, EventMessageFile
C:\Program Files\Ashampoo\Ashampoo Burning Studio 10\burningstudio10.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ярлык в папке автозагрузки	C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\, C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\Ashampoo Burning Studio 10.lnk,
C:\Program Files\LogMeIn\x86\LMIGuardianEvt.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\LogMeIn Guardian, EventMessageFile
C:\Program Files\LogMeIn\x86\rahook.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\LogMeIn, EventMessageFile
C:\Program Files\Mail.Ru\Guard\GuardMailRu.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, Guard.Mail.ru.gui Удалить
C:\RECYCLER\S-1-5-21-8808335690-1874819063-376861921-0275\sysdate.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Taskman
C:\WINDOWS\System32\Drivers\AliIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\aliide, EventMessageFile
C:\WINDOWS\System32\Drivers\CmdIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\cmdide, EventMessageFile
C:\WINDOWS\System32\Drivers\IntelIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\intelide, EventMessageFile
C:\WINDOWS\System32\Drivers\TosIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\toside, EventMessageFile
C:\WINDOWS\System32\Drivers\ViaIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\viaide, EventMessageFile
C:\WINDOWS\System32\Drivers\lbrtfdc.sys Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\lbrtfdc, EventMessageFile
C:\WINDOWS\System32\PrintFilterPipelineSvc.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\PrintFilterPipelineSvc, EventMessageFile
C:\WINDOWS\System32\hidserv.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\HidServ\Parameters, ServiceDll Удалить
C:\WINDOWS\System32\igmpv2.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IGMPv2, EventMessageFile
C:\WINDOWS\System32\ipbootp.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IPBOOTP, EventMessageFile
C:\WINDOWS\System32\iprip2.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IPRIP2, EventMessageFile
C:\WINDOWS\System32\logon.scr Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-19\Control Panel\Desktop, scrnsave.exe Удалить
C:\WINDOWS\System32\logon.scr Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-20\Control Panel\Desktop, scrnsave.exe Удалить
C:\WINDOWS\System32\ospf.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\OSPF, EventMessageFile
C:\WINDOWS\System32\ospfmib.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\OSPFMib, EventMessageFile
C:\WINDOWS\System32\polagent.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\PolicyAgent, EventMessageFile
C:\WINDOWS\System32\tssdis.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\TermServSessDir, EventMessageFile
C:\WINDOWS\system32\MsSip1.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\MS Subjects 1, $DLL Удалить
C:\WINDOWS\system32\MsSip2.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\MS Subjects 2, $DLL Удалить
C:\WINDOWS\system32\MsSip3.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\MS Subjects 3, $DLL Удалить
C:\WINDOWS\system32\psxss.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix
C:\WINDOWS\system32\stisvc.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System, EventMessageFile
E:\Protivostoyanie2008\protect.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Protivostoyanie. Prinugdenie k miru, EventMessageFile
LMIRfsClientNP.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\LMIRfsClientNP\NetworkProvider, ProviderPath Удалить
LMIinit.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\LMIinit, DLLName Удалить
deskpan.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved, {42071714-76d4-11d1-8b24-00a0c9068ff3} Удалить
kbd101.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\i8042prt\Parameters, LayerDriver JPN Удалить
kbd101a.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\i8042prt\Parameters, LayerDriver KOR Удалить
logon.scr Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, .DEFAULT\Control Panel\Desktop, scrnsave.exe Удалить
logon.scr Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-18\Control Panel\Desktop, scrnsave.exe Удалить
mvfs32.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, .DEFAULT\Control Panel\IOProcs, MVB Удалить
mvfs32.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-19\Control Panel\IOProcs, MVB Удалить
mvfs32.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-20\Control Panel\IOProcs, MVB Удалить
mvfs32.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-18\Control Panel\IOProcs, MVB Удалить
mvfs32.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_CURRENT_USER, Control Panel\IOProcs, MVB Удалить
vgafix.fon Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fixedfon.fon Удалить
vgaoem.fon Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, oemfonts.fon Удалить
vgasys.fon Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fonts.fon Удалить
Обнаружено элементов автозапуска - 891, опознано как безопасные - 847

Модули расширения Internet Explorer (BHO, панели ...)

Имя файла	Тип	Описание	Производитель	CLSID
	BHO			{8984B388-A5BB-4DF7-B274-77B879E179DB} Удалить
	Панель			{91397D20-1446-11D4-8AF4-0040CA1127B6} Удалить
	Модуль расширения			{2670000A-7350-4f3c-8081-5663EE0C6C49} Удалить
	Модуль расширения			{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} Удалить
res:\D:\Gosha\BitComet\tools\BitCometBHO_1.4.12.6.dll/206 Скрипт: Kарантин, Удалить, Удалить через BC	Модуль расширения			{D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} Удалить
Обнаружено элементов - 22, опознано как безопасные - 17

Модули расширения проводника

Имя файла	Назначение	Описание	Производитель	CLSID
deskpan.dll Скрипт: Kарантин, Удалить, Удалить через BC	Расширение CPL панорамирования дисплея			{42071714-76d4-11d1-8b24-00a0c9068ff3} Удалить
	Расширения оболочки для сжатия файлов			{764BF0E1-F219-11ce-972D-00AA00A14F56} Удалить
	Контекстное меню шифрования			{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} Удалить
	Панель задач и меню ''Пуск''			{0DF44EAA-FF21-4412-828E-260A8728E7F1} Удалить
	Учетные записи пользователей			{7A9D77BD-5403-11d2-8785-2E0420524153} Удалить
	HashTab Context Menu			{B1883831-F0D8-4453-8245-EEAAD866DD6E} Удалить
	Sony Ericsson File Manager			{738D66C6-0149-4D40-84E4-A7BB2D0CE949} Удалить
"C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll" Скрипт: Kарантин, Удалить, Удалить через BC	ColumnHandler			{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} Удалить
Обнаружено элементов - 230, опознано как безопасные - 222

Модули расширения системы печати (мониторы печати, провайдеры)

Имя файла	Тип	Наименование	Описание	Производитель
C:\WINDOWS\system32\LMIport.dll Скрипт: Kарантин, Удалить, Удалить через BC	Монитор	LogMeIn Printer Port Monitor	RemotelyAnywhere Printer Port Monitor	Copyright © 1998-2010 LogMeIn, Inc. All rights reserved.
Обнаружено элементов - 8, опознано как безопасные - 7

Задания планировщика задач Task Scheduler

Имя файла	Имя задания	Состояние задания	Описание	Производитель
Обнаружено элементов - 0, опознано как безопасные - 0

Настройки SPI/LSP

Поставщики пространства имен (NSP)

Поставщик	Статус	Исп. файл	Описание	GUID
Обнаружено - 3, опознано как безопасные - 3

Поставщики транспортных протоколов (TSP, LSP)

Поставщик Исп. файл Описание
Обнаружено - 13, опознано как безопасные - 13
Результаты автоматического анализа настроек SPI
Настройки LSP проверены. Ошибок не обнаружено

Порты TCP/UDP

Порт Статус Remote Host Remote Port Приложение Примечания
Порты TCP
135 LISTENING 0.0.0.0 30806 [1052] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
139 LISTENING 0.0.0.0 47322 [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445 LISTENING 0.0.0.0 10317 [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1109 ESTABLISHED 127.0.0.1 1110 [1908] c:\program files\mozilla firefox\firefox.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1110 ESTABLISHED 127.0.0.1 1109 [1908] c:\program files\mozilla firefox\firefox.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1111 ESTABLISHED 127.0.0.1 1112 [1908] c:\program files\mozilla firefox\firefox.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1112 ESTABLISHED 127.0.0.1 1111 [1908] c:\program files\mozilla firefox\firefox.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
3809 ESTABLISHED 127.0.0.1 30606 [1908] c:\program files\mozilla firefox\firefox.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
3810 ESTABLISHED 93.186.224.242 80 [596] c:\program files\eset\eset nod32 antivirus\ekrn.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
4636 CLOSE_WAIT 127.0.0.1 30606 [2496] d:\downloads\avz4\avz4\avz.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
4637 CLOSE_WAIT 89.108.66.156 80 [596] c:\program files\eset\eset nod32 antivirus\ekrn.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
4644 TIME_WAIT 127.0.0.1 30606 [0]
4646 TIME_WAIT 127.0.0.1 30606 [0]
4650 ESTABLISHED 127.0.0.1 30606 [1908] c:\program files\mozilla firefox\firefox.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
4651 ESTABLISHED 93.186.234.186 80 [596] c:\program files\eset\eset nod32 antivirus\ekrn.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
4654 TIME_WAIT 127.0.0.1 30606 [0]
4656 TIME_WAIT 127.0.0.1 30606 [0]
4658 ESTABLISHED 127.0.0.1 30606 [1908] c:\program files\mozilla firefox\firefox.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
4659 ESTABLISHED 94.100.179.67 80 [596] c:\program files\eset\eset nod32 antivirus\ekrn.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
5152 LISTENING 0.0.0.0 39134 [1180] c:\program files\java\jre6\bin\jqs.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
30606 ESTABLISHED 127.0.0.1 4650 [596] c:\program files\eset\eset nod32 antivirus\ekrn.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
30606 TIME_WAIT 127.0.0.1 4652 [0]
30606 ESTABLISHED 127.0.0.1 4658 [596] c:\program files\eset\eset nod32 antivirus\ekrn.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
30606 LISTENING 0.0.0.0 2144 [596] c:\program files\eset\eset nod32 antivirus\ekrn.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
30606 ESTABLISHED 127.0.0.1 3809 [596] c:\program files\eset\eset nod32 antivirus\ekrn.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
30606 FIN_WAIT2 127.0.0.1 4636 [596] c:\program files\eset\eset nod32 antivirus\ekrn.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
30606 TIME_WAIT 127.0.0.1 4642 [0]
30606 TIME_WAIT 127.0.0.1 4648 [0]
Порты UDP
123 LISTENING -- -- [1140] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
123 LISTENING -- -- [1140] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
137 LISTENING -- -- [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138 LISTENING -- -- [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445 LISTENING -- -- [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
500 LISTENING -- -- [792] c:\windows\system32\lsass.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1433 LISTENING -- -- [2264] c:\program files\opera\opera.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900 LISTENING -- -- [1440] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900 LISTENING -- -- [1440] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900 LISTENING -- -- [2264] c:\program files\opera\opera.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
4500 LISTENING -- -- [792] c:\windows\system32\lsass.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить

Downloaded Program Files (DPF)

Имя файла Описание Производитель CLSID URL загрузки
Обнаружено элементов - 3, опознано как безопасные - 3

Апплеты панели управления (CPL)

Имя файла Описание Производитель
Обнаружено элементов - 27, опознано как безопасные - 27

Active Setup

Имя файла Описание Производитель CLSID
Обнаружено элементов - 13, опознано как безопасные - 13

Файл HOSTS

Запись файла Hosts
Очистка файла Hosts

Протоколы и обработчики

Имя файла Тип Описание Производитель CLSID
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
C:\PROGRA~1\Solo9\SoloRes.dll
Скрипт: Kарантин, Удалить, Удалить через BC Handler (solores protocol handler) {8FA1F4E9-444B-48BF-98CD-B8ECA88E6BA5}
Удалить
Обнаружено элементов - 30, опознано как безопасные - 26

Подозрительные объекты

Файл Описание Тип
C:\WINDOWS\system32\DRIVERS\ehdrv.sys
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit Перехватчик KernelMode
spya.sys
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit Перехватчик KernelMode
c:\documents and settings\admin\local settings\application data\{47b1173c-1431-f31f-839a-062e6bf45f69}\.exe
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение эвристического анализа Файл не имеет видимого имени(степень опасности 15%)

Протокол антивирусной утилиты AVZ версии 4.35
Сканирование запущено в 14.04.2011 16:50:10
Загружена база: сигнатуры - 288333, нейропрофили - 2, микропрограммы лечения - 56, база от 04.04.2011 22:58
Загружены микропрограммы эвристики: 388
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 270527
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: Отключено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=083220)
 Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
   SDT = 8055A220
   KiST = 804E26A8 (284)
Функция NtAssignProcessToJobObject (13) перехвачена (805A24DA->EF3D9610), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtCreateKey (29) перехвачена (80572EAD->F838C0E0), перехватчик spya.sys
Функция NtDebugActiveProcess (39) перехвачена (8065B21D->EF3D9C10), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtDuplicateObject (44) перехвачена (80573FF9->EF3D9730), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtEnumerateKey (47) перехвачена (805735B4->F83A4DA4), перехватчик spya.sys
Функция NtEnumerateValueKey (49) перехвачена (80590679->F83A5132), перехватчик spya.sys
Функция NtOpenKey (77) перехвачена (80568EF9->F838C0C0), перехватчик spya.sys
Функция NtOpenProcess (7A) перехвачена (805741E0->EF3D94B0), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtOpenThread (80) перехвачена (8058B59D->EF3D9570), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtProtectVirtualMemory (89) перехвачена (8057458F->EF3D96D0), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtQueryKey (A0) перехвачена (805732BD->F83A520A), перехватчик spya.sys
Функция NtQueryValueKey (B1) перехвачена (8056A392->F83A508A), перехватчик spya.sys
Функция NtQueueApcThread (B4) перехвачена (80591099->EF3D9790), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtSetContextThread (D5) перехвачена (8062DD2F->EF3D9690), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtSetInformationThread (E5) перехвачена (8056C2C0->EF3D9650), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtSetSecurityObject (ED) перехвачена (8059B1AB->EF3D97D0), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtSetValueKey (F7) перехвачена (80579A53->F83A529C), перехватчик spya.sys
Функция NtSuspendProcess (FD) перехвачена (8062F911->EF3D9510), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtSuspendThread (FE) перехвачена (805E0466->EF3D9590), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtTerminateProcess (101) перехвачена (805836C0->EF3D94D0), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtTerminateThread (102) перехвачена (8057B4A6->EF3D95D0), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtWriteVirtualMemory (115) перехвачена (8057F1A8->EF3D9750), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Проверено функций: 284, перехвачено: 22, восстановлено: 0
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
 Драйвер успешно загружен
\FileSystem\ntfs[IRP_MJ_CREATE] = 822891F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 822891F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 822891F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 822891F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 822891F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 822891F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 822891F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 822891F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 822891F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 822891F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 822891F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 822891F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 822891F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 822891F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 822891F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 822891F8 -> перехватчик не определен
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 29
c:\documents and settings\admin\local settings\application data\{47b1173c-1431-f31f-839a-062e6bf45f69}\.exe - Файл не имеет видимого имени(степень опасности 15%)
Анализатор - изучается процесс 268 C:\Documents and Settings\Admin\Local Settings\Application Data\{47B1173C-1431-F31F-839A-062E6BF45F69}\.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 1200 C:\WINDOWS\TEMP\GuardGuard.exe
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
Анализатор - изучается процесс 2264 C:\Program Files\Opera\opera.exe
[ES]:Может работать с сетью
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
 Количество загруженных модулей: 356
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
>>> Обратите внимание - нестандартный диспетчер задач "C:\RECYCLER\S-1-5-21-8808335690-1874819063-376861921-0275\sysdate.exe"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Подмена диспетчера задач
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 385, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 14.04.2011 16:51:02
Сканирование длилось 00:00:53
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в систему http://kaspersky-911.ru
Выполняется исследование системы

 Исследование системы завершено


Команды скрипта 
Добавить в скрипт команды:
Нейтрализация перехватов функций при помощи антируткита
Включить AVZGuard
Управление AVZPM (true-включить,false-отключить)
BootCleaner - импорт списка удаленных файлов
BootCleaner - импортировать все
Чистка реестра после удаления файлов
ExecuteWizard ('TSW',2,3,true) - Выполнение мастера поиска и устранения проблем
BootCleaner - активация
Перезагрузка
Вставить заготовку для QuarantineFile() - помещение файла в карантин
Вставить заготовку для BC_QrFile() - помещение файла в карантин через BC
Вставить заготовку для DeleteFile() - удаление файла
Вставить заготовку для DelCLSID() - удаление CLSID класса из реестра
Дополнительные операции:Оптимизация - отключить службу TermService (Службы терминалов)
Оптимизация - отключить службу SSDPSRV (Служба обнаружения SSDP)
Оптимизация - отключить службу Schedule (Планировщик заданий)
Оптимизация - отключить службу RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
Оптимизация - безопасность - отключить автозапуск программ с CD
Оптимизация - безопасность - отключить административный доступ к локальным дискам
Оптимизация - безопасность - блокировать возможность подключения анонимных пользователей
Безопасность - запретить отправку приглашений удаленному помошнику

Список файлов

Порт	Статус	Remote Host	Remote Port	Приложение	Примечания
Порты TCP
135	LISTENING	0.0.0.0	30806	[1052] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
139	LISTENING	0.0.0.0	47322	[4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445	LISTENING	0.0.0.0	10317	[4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1109	ESTABLISHED	127.0.0.1	1110	[1908] c:\program files\mozilla firefox\firefox.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1110	ESTABLISHED	127.0.0.1	1109	[1908] c:\program files\mozilla firefox\firefox.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1111	ESTABLISHED	127.0.0.1	1112	[1908] c:\program files\mozilla firefox\firefox.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1112	ESTABLISHED	127.0.0.1	1111	[1908] c:\program files\mozilla firefox\firefox.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
3809	ESTABLISHED	127.0.0.1	30606	[1908] c:\program files\mozilla firefox\firefox.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
3810	ESTABLISHED	93.186.224.242	80	[596] c:\program files\eset\eset nod32 antivirus\ekrn.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
4636	CLOSE_WAIT	127.0.0.1	30606	[2496] d:\downloads\avz4\avz4\avz.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
4637	CLOSE_WAIT	89.108.66.156	80	[596] c:\program files\eset\eset nod32 antivirus\ekrn.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
4644	TIME_WAIT	127.0.0.1	30606	[0]
4646	TIME_WAIT	127.0.0.1	30606	[0]
4650	ESTABLISHED	127.0.0.1	30606	[1908] c:\program files\mozilla firefox\firefox.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
4651	ESTABLISHED	93.186.234.186	80	[596] c:\program files\eset\eset nod32 antivirus\ekrn.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
4654	TIME_WAIT	127.0.0.1	30606	[0]
4656	TIME_WAIT	127.0.0.1	30606	[0]
4658	ESTABLISHED	127.0.0.1	30606	[1908] c:\program files\mozilla firefox\firefox.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
4659	ESTABLISHED	94.100.179.67	80	[596] c:\program files\eset\eset nod32 antivirus\ekrn.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
5152	LISTENING	0.0.0.0	39134	[1180] c:\program files\java\jre6\bin\jqs.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
30606	ESTABLISHED	127.0.0.1	4650	[596] c:\program files\eset\eset nod32 antivirus\ekrn.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
30606	TIME_WAIT	127.0.0.1	4652	[0]
30606	ESTABLISHED	127.0.0.1	4658	[596] c:\program files\eset\eset nod32 antivirus\ekrn.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
30606	LISTENING	0.0.0.0	2144	[596] c:\program files\eset\eset nod32 antivirus\ekrn.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
30606	ESTABLISHED	127.0.0.1	3809	[596] c:\program files\eset\eset nod32 antivirus\ekrn.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
30606	FIN_WAIT2	127.0.0.1	4636	[596] c:\program files\eset\eset nod32 antivirus\ekrn.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
30606	TIME_WAIT	127.0.0.1	4642	[0]
30606	TIME_WAIT	127.0.0.1	4648	[0]
Порты UDP
123	LISTENING	--	--	[1140] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
123	LISTENING	--	--	[1140] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
137	LISTENING	--	--	[4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138	LISTENING	--	--	[4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445	LISTENING	--	--	[4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
500	LISTENING	--	--	[792] c:\windows\system32\lsass.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1433	LISTENING	--	--	[2264] c:\program files\opera\opera.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900	LISTENING	--	--	[1440] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900	LISTENING	--	--	[1440] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900	LISTENING	--	--	[2264] c:\program files\opera\opera.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
4500	LISTENING	--	--	[792] c:\windows\system32\lsass.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить