Протокол исследования системы

Список процессов

Имя файла	PID	Описание	Copyright	MD5	Информация
c:\program files\common files\apple\mobile device support\applemobiledeviceservice.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1568	MobileDeviceService	© 2012 Apple Inc. All rights reserved.	??	55.67 кб, rsAh, создан: 21.12.2012 16:27:46, изменен: 21.12.2012 16:27:46 Командная строка: "C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe"
c:\program files\avira\antivir desktop\avguard.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	472	Avira On-Access Service	© 2000 - 2013 Компания Avira Operations GmbH & Co. KG и ее лицензиар	??	105.55 кб, rsAh, создан: 26.02.2013 12:14:31, изменен: 01.07.2013 21:28:54 Командная строка: "C:\Program Files\Avira\AntiVir Desktop\avguard.exe"
d:\Софт\avz4\avz.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1872	Антивирусная утилита AVZ	Антивирусная утилита AVZ	??	758.50 кб, rsAh, создан: 20.07.2013 13:43:50, изменен: 12.07.2013 13:16:12, имя содержит национальные символы Командная строка: "D:\Софт\avz4\avz.exe"
c:\documents and settings\all users\application data\skype\toolbars\skype c2c service\c2c_service.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1196	Skype C2C Service	(c) Skype Technologies S.A.	??	2992.19 кб, rsAh, создан: 02.10.2012 12:13:44, изменен: 02.10.2012 12:13:44 Командная строка: "C:\Documents and Settings\All Users\Application Data\Skype\Toolbars\Skype C2C Service\c2c_service.exe"
c:\documents and settings\admin\application data\dropbox\bin\dropbox.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1740	Dropbox	Dropbox, Inc.	??	27125.95 кб, rsAh, создан: 25.05.2013 04:47:30, изменен: 25.05.2013 04:47:30 Командная строка: "C:\Documents and Settings\Admin\Application Data\Dropbox\bin\Dropbox.exe" /systemstartup
c:\windows\explorer.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	600	Проводник	© Корпорация Майкрософт. Все права защищены.	??	1681.00 кб, rsAh, создан: 25.12.2011 19:35:59, изменен: 25.12.2011 19:35:59 Командная строка: C:\WINDOWS\Explorer.EXE
c:\program files\mozilla firefox\firefox.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1420	Firefox	©Firefox and Mozilla Developers; available under the MPL 2 license.	??	895.90 кб, rsAh, создан: 08.03.2013 13:00:08, изменен: 08.03.2013 13:00:13 Командная строка: "C:\Program Files\Mozilla Firefox\firefox.exe"
d:\program files\logmein hamachi\hamachi-2.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	3356	Hamachi Client Tunneling Engine	Copyright (C) LogMeIn Inc. 2004-2011	??	1401.92 кб, rsAh, создан: 10.12.2012 17:29:44, изменен: 10.12.2012 17:29:44 Командная строка: "D:\Program Files\LogMeIn Hamachi\hamachi-2.exe" -s
c:\program files\ipod\bin\ipodservice.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	3568	iPodService Module (32-bit)	© 2003-2013 Apple Inc. All rights reserved.	??	540.32 кб, rsAh, создан: 31.05.2013 11:55:40, изменен: 31.05.2013 11:55:40 Командная строка: "C:\Program Files\iPod\bin\iPodService.exe"
d:\program files\itunes\ituneshelper.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1384	iTunesHelper	© 2003-2013 Apple Inc. All rights reserved.	??	148.82 кб, rsAh, создан: 31.05.2013 11:56:02, изменен: 31.05.2013 11:56:02 Командная строка: "D:\Program Files\iTunes\iTunesHelper.exe"
c:\windows\system32\lsass.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	796	LSA Shell (Export Version)	© Microsoft Corporation. All rights reserved.	??	13.00 кб, rsAh, создан: 15.04.2008 17:00:00, изменен: 15.04.2008 17:00:00 Командная строка: C:\WINDOWS\system32\lsass.exe
c:\program files\bonjour\mdnsresponder.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1488	Bonjour Service	Copyright (C) 2003-2011 Apple Inc.	??	381.35 кб, rsAh, создан: 30.08.2011 23:05:02, изменен: 30.08.2011 23:05:02 Командная строка: "C:\Program Files\Bonjour\mDNSResponder.exe"
c:\documents and settings\admin\Мои документы\gigabyte\gigabyte sim\mouse.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1308	GIGABYTE Application	Copyright (C) 2009	??	1278.00 кб, rsAh, создан: 03.12.2012 11:54:20, изменен: 03.12.2012 11:54:20, имя содержит национальные символы Командная строка: "C:\Documents and Settings\Admin\Мои документы\GIGABYTE\GIGABYTE Sim\Mouse.exe"
c:\windows\system32\nlssrv32.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	3456	This service enables products that use the Nalpeiron Licensing System	Copyright © Nalpeiron 2004 - 2010	??	65.00 кб, rsAh, создан: 22.09.2011 20:30:58, изменен: 22.09.2011 20:30:58 Командная строка: C:\WINDOWS\system32\nlssrv32.exe
c:\windows\system32\nvsvc32.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1000	NVIDIA Driver Helper Service, Version 260.99	(C) NVIDIA Corporation. All rights reserved.	??	153.10 кб, rsAh, создан: 16.10.2010 16:05:52, изменен: 16.10.2010 16:05:52 Командная строка: C:\WINDOWS\system32\nvsvc32.exe
c:\program files\pandora.tv\panservice\pandoraservice.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	3564	Pandora.TV service file	Pandora.TV	??	611.15 кб, rsAh, создан: 07.08.2012 19:32:35, изменен: 22.06.2012 10:32:12 Командная строка: "C:\Program Files\PANDORA.TV\PanService\PandoraService.exe"
c:\program files\mozilla firefox\plugin-container.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	2952	Plugin Container for Firefox	License: MPL 2	??	16.90 кб, rsAh, создан: 08.03.2013 13:00:09, изменен: 08.03.2013 13:00:12 Командная строка: "C:\Program Files\Mozilla Firefox\plugin-container.exe" --channel=1420.61e8700.2056884959 "C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_8_800_94.dll" - -greomni "C:\Program Files\Mozilla Firefox\omni.ja" 1420 "\\.\pipe\gecko-crash-server-pipe.1420" plugin
c:\program files\common files\protexis\license service\psiservice_2.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	628	PsiService PsiService	© 2000-2005 Protexis Inc.	??	185.28 кб, rsAh, создан: 10.03.2010 14:26:48, изменен: 10.03.2010 14:26:48 Командная строка: "C:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe"
c:\program files\yandex\punto switcher\punto.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1756	Punto Switcher	Copyright 2008-2011 ООО Яндекс	??	1093.85 кб, rsAh, создан: 04.02.2012 16:45:22, изменен: 17.11.2011 19:29:20 Командная строка: "C:\Program Files\Yandex\Punto Switcher\punto.exe"
c:\windows\system32\rundll32.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	116	Запуск библиотеки DLL как приложения	© Корпорация Майкрософт. Все права защищены.	??	32.50 кб, rsAh, создан: 15.04.2008 17:00:00, изменен: 15.04.2008 17:00:00 Командная строка: "C:\WINDOWS\system32\RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
c:\windows\system32\rundll32.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1064	Запуск библиотеки DLL как приложения	© Корпорация Майкрософт. Все права защищены.	??	32.50 кб, rsAh, создан: 15.04.2008 17:00:00, изменен: 15.04.2008 17:00:00 Командная строка: "C:\WINDOWS\system32\Rundll32.exe" SPIRun.dll,RunDLLEntry
c:\windows\system32\services.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	784	Приложение служб и контроллеров	© Корпорация Майкрософт. Все права защищены.	??	108.50 кб, rsAh, создан: 25.12.2011 19:26:00, изменен: 25.12.2011 19:26:00 Командная строка: C:\WINDOWS\system32\services.exe
c:\windows\system32\spoolsv.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1992	Spooler SubSystem App	© Microsoft Corporation. All rights reserved.	??	57.50 кб, rsAh, создан: 25.12.2011 19:26:06, изменен: 25.12.2011 19:26:06 Командная строка: C:\WINDOWS\system32\spoolsv.exe
c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	2228	Generic Host Process for Win32 Services	© Microsoft Corporation. All rights reserved.	??	14.00 кб, rsAh, создан: 15.04.2008 17:00:00, изменен: 15.04.2008 17:00:00 Командная строка: C:\WINDOWS\system32\svchost.exe -k imgsvc
c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	204	Generic Host Process for Win32 Services	© Microsoft Corporation. All rights reserved.	??	14.00 кб, rsAh, создан: 15.04.2008 17:00:00, изменен: 15.04.2008 17:00:00 Командная строка: C:\WINDOWS\system32\svchost.exe -k LocalService
c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1512	Generic Host Process for Win32 Services	© Microsoft Corporation. All rights reserved.	??	14.00 кб, rsAh, создан: 15.04.2008 17:00:00, изменен: 15.04.2008 17:00:00 Командная строка: C:\WINDOWS\System32\svchost.exe -k netsvcs
c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1596	Generic Host Process for Win32 Services	© Microsoft Corporation. All rights reserved.	??	14.00 кб, rsAh, создан: 15.04.2008 17:00:00, изменен: 15.04.2008 17:00:00 Командная строка: C:\WINDOWS\system32\svchost.exe -k NetworkService
c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1820	Generic Host Process for Win32 Services	© Microsoft Corporation. All rights reserved.	??	14.00 кб, rsAh, создан: 15.04.2008 17:00:00, изменен: 15.04.2008 17:00:00 Командная строка: C:\WINDOWS\system32\svchost.exe -k LocalService
c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1040	Generic Host Process for Win32 Services	© Microsoft Corporation. All rights reserved.	??	14.00 кб, rsAh, создан: 15.04.2008 17:00:00, изменен: 15.04.2008 17:00:00 Командная строка: C:\WINDOWS\system32\svchost -k DcomLaunch
c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1136	Generic Host Process for Win32 Services	© Microsoft Corporation. All rights reserved.	??	14.00 кб, rsAh, создан: 15.04.2008 17:00:00, изменен: 15.04.2008 17:00:00 Командная строка: C:\WINDOWS\system32\svchost -k rpcss
c:\program files\usb disk security\usbguard.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	800	USB Disk Security	Zbshareware Lab All rights reserved.	??	1432.51 кб, rsAh, создан: 25.12.2011 12:11:24, изменен: 25.12.2011 12:11:24 Командная строка: "C:\Program Files\USB Disk Security\USBGuard.exe"
c:\windows\system32\winlogon.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	736	Программа входа в систему Windows NT	© Корпорация Майкрософт. Все права защищены.	??	497.50 кб, rsAh, создан: 15.04.2008 17:00:00, изменен: 15.04.2008 17:00:00 Командная строка: winlogon.exe
c:\windows\system32\wbem\wmiapsrv.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	132	Служба адаптера производительности WMI	© Корпорация Майкрософт. Все права защищены.	??	123.50 кб, rsAh, создан: 04.02.2012 17:33:56, изменен: 15.04.2008 17:00:00 Командная строка: C:\WINDOWS\system32\wbem\wmiapsrv.exe
Обнаружено:45, из них опознаны как безопасные 44

Имя модуля	Handle	Описание	Copyright	MD5	Используется процессами
C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\lxmiydk.dll Скрипт: Kарантин, Удалить, Удалить через BC	6684672			--	1568, 1872, 1196, 1740, 600, 1420, 3356, 3568, 1384, 796, 1488, 1308, 3456, 1000, 3564, 2952, 628, 1756, 116, 1064, 784, 1992, 2228, 204, 1512, 1596, 1820, 1040, 1136, 800, 736, 132
C:\Program Files\Avira\AntiVir Desktop\aeexp.dll Скрипт: Kарантин, Удалить, Удалить через BC	33292288	Avira Engine Module for Windows	Copyright © 2013 Avira Operations GmbH & Co. KG. All rights reserved.	--	472
C:\Program Files\Avira\AntiVir Desktop\aeheur.dll Скрипт: Kарантин, Удалить, Удалить через BC	26279936	Avira Engine Module for Windows	Copyright © 2013 Avira Operations GmbH & Co. KG. All rights reserved.	--	472
C:\Program Files\Avira\AntiVir Desktop\aeoffice.dll Скрипт: Kарантин, Удалить, Удалить через BC	25952256	Avira Engine Module for Windows	Copyright © 2013 Avira Operations GmbH & Co. KG. All rights reserved.	--	472
C:\Program Files\Avira\AntiVir Desktop\aescript.dll Скрипт: Kарантин, Удалить, Удалить через BC	22740992	Avira Engine Module for Windows	Copyright © 2013 Avira Operations GmbH & Co. KG. All rights reserved.	--	472
Обнаружено модулей:466, из них опознаны как безопасные 461

Модули пространства ядра

Модуль	Базовый адрес	Размер в памяти	Описание	Производитель
C:\WINDOWS\System32\Drivers\dump_atapi.sys Скрипт: Kарантин, Удалить, Удалить через BC	B43E5000	018000 (98304)
C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS Скрипт: Kарантин, Удалить, Удалить через BC	F79E7000	002000 (8192)
C:\WINDOWS\system32\drivers\p17xfilt.sys Скрипт: Kарантин, Удалить, Удалить через BC	B8D0B000	1EA000 (2007040)	Creative WDM 3D Audio Driver	Copyright © 2006-2009 Creative
Обнаружено модулей - 129, опознано как безопасные - 126

Службы

Служба	Описание	Статус	Файл	Группа	Зависимости
BEService Служба: Стоп, Удалить, Отключить, Удалить через BC	BattlEye Service	Не запущен	C:\Program Files\Common Files\BattlEye\BEService.exe Скрипт: Kарантин, Удалить, Удалить через BC
ClipSrv Служба: Стоп, Удалить, Отключить, Удалить через BC	Сервер папки обмена	Не запущен	C:\WINDOWS\system32\clipsrv.exe Скрипт: Kарантин, Удалить, Удалить через BC		NetDDE
MSDTC Служба: Стоп, Удалить, Отключить, Удалить через BC	Координатор распределенных транзакций	Не запущен	C:\WINDOWS\system32\msdtc.exe Скрипт: Kарантин, Удалить, Удалить через BC	MS Transactions	RPCSS
Обнаружено - 112, опознано как безопасные - 109

Драйверы

Служба	Описание	Статус	Файл	Группа	Зависимости
p17xfilt Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	p17xfilt	Работает	C:\WINDOWS\system32\drivers\p17xfilt.sys Скрипт: Kарантин, Удалить, Удалить через BC
Abiosdsk Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Abiosdsk	Не запущен	Abiosdsk.sys Скрипт: Kарантин, Удалить, Удалить через BC	Primary disk
abp480n5 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	abp480n5	Не запущен	abp480n5.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
adpu160m Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	adpu160m	Не запущен	adpu160m.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
Aha154x Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Aha154x	Не запущен	Aha154x.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
aic78u2 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	aic78u2	Не запущен	aic78u2.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
aic78xx Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	aic78xx	Не запущен	aic78xx.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
AliIde Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	AliIde	Не запущен	AliIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
amsint Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	amsint	Не запущен	amsint.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
asc Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	asc	Не запущен	asc.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
asc3350p Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	asc3350p	Не запущен	asc3350p.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
asc3550 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	asc3550	Не запущен	asc3550.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
Atdisk Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Atdisk	Не запущен	Atdisk.sys Скрипт: Kарантин, Удалить, Удалить через BC	Primary disk
cd20xrnt Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	cd20xrnt	Не запущен	cd20xrnt.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
Changer Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Changer	Не запущен	Changer.sys Скрипт: Kарантин, Удалить, Удалить через BC	Filter
CmdIde Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	CmdIde	Не запущен	CmdIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
Cpqarray Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Cpqarray	Не запущен	Cpqarray.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
dac960nt Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	dac960nt	Не запущен	dac960nt.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
dpti2o Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	dpti2o	Не запущен	dpti2o.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
hpn Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	hpn	Не запущен	hpn.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
i2omgmt Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	i2omgmt	Не запущен	i2omgmt.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI Class
i2omp Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	i2omp	Не запущен	i2omp.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
ini910u Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ini910u	Не запущен	ini910u.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
IntelIde Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	IntelIde	Не запущен	IntelIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
lbrtfdc Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	lbrtfdc	Не запущен	lbrtfdc.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
mnmdd Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	mnmdd	Не запущен	mnmdd.sys Скрипт: Kарантин, Удалить, Удалить через BC	Video Save
mraid35x Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	mraid35x	Не запущен	mraid35x.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
PCIDump Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	PCIDump	Не запущен	PCIDump.sys Скрипт: Kарантин, Удалить, Удалить через BC	PCI Configuration
PDCOMP Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	PDCOMP	Не запущен	PDCOMP.sys Скрипт: Kарантин, Удалить, Удалить через BC
PDFRAME Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	PDFRAME	Не запущен	PDFRAME.sys Скрипт: Kарантин, Удалить, Удалить через BC
PDRELI Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	PDRELI	Не запущен	PDRELI.sys Скрипт: Kарантин, Удалить, Удалить через BC
PDRFRAME Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	PDRFRAME	Не запущен	PDRFRAME.sys Скрипт: Kарантин, Удалить, Удалить через BC
perc2 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	perc2	Не запущен	perc2.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
perc2hib Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	perc2hib	Не запущен	perc2hib.sys Скрипт: Kарантин, Удалить, Удалить через BC	Filter
ql1080 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ql1080	Не запущен	ql1080.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
Ql10wnt Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Ql10wnt	Не запущен	Ql10wnt.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
ql12160 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ql12160	Не запущен	ql12160.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
ql1240 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ql1240	Не запущен	ql1240.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
ql1280 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ql1280	Не запущен	ql1280.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
Simbad Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Simbad	Не запущен	Simbad.sys Скрипт: Kарантин, Удалить, Удалить через BC	Filter
Sparrow Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Sparrow	Не запущен	Sparrow.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
sym_hi Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	sym_hi	Не запущен	sym_hi.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
sym_u3 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	sym_u3	Не запущен	sym_u3.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
symc810 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	symc810	Не запущен	symc810.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
symc8xx Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	symc8xx	Не запущен	symc8xx.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
TosIde Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	TosIde	Не запущен	TosIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
ultra Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ultra	Не запущен	ultra.sys Скрипт: Kарантин, Удалить, Удалить через BC	SCSI miniport
USBAAPL Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Apple Mobile USB Driver	Не запущен	C:\WINDOWS\system32\Drivers\usbaapl.sys Скрипт: Kарантин, Удалить, Удалить через BC	Base
ViaIde Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	ViaIde	Не запущен	ViaIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	System Bus Extender
WDICA Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	WDICA	Не запущен	WDICA.sys Скрипт: Kарантин, Удалить, Удалить через BC
Обнаружено - 188, опознано как безопасные - 138

Автозапуск

Имя файла	Статус	Метод запуска	Описание
C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\lxmiydk.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs
C:\Documents and Settings\Admin\Мои документы\GIGABYTE\GIGABYTE Sim\Mouse.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, GIGABYTEMOUSE Удалить
C:\Program Files\Celtx\celtx.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ярлык в папке автозагрузки	C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\, C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\Celtx.lnk,
C:\Program Files\Common Files\Microsoft Shared\DW\DW.EXE Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Microsoft Visual Studio Tools for Applications, EventMessageFile
C:\Program Files\Hotspot Shield\HssWPR\hsssrv.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\HssSrv, EventMessageFile
C:\Program Files\Hotspot Shield\bin\hsswd.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\HssWd, EventMessageFile
C:\Program Files\PANDORA.TV\PanService\FirstRun.scr Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_CURRENT_USER, Control Panel\Desktop, scrnsave.exe Удалить
C:\Program Files\PANDORA.TV\PanService\FirstRun.scr Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Файл system.ini	C:\WINDOWS\system.ini, boot, SCRNSAVE.EXE
C:\WINDOWS\INF\custom.inf Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce, ZZZZ2_FirstLogonSetting Удалить
C:\WINDOWS\INF\custom.inf Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce, ZZZZ1_FirstLogonSetting Удалить
C:\WINDOWS\INF\custom.inf Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce, ZZZZ2_FirstLogonSetting Удалить
C:\WINDOWS\INF\custom.inf Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce, ZZZZ1_FirstLogonSetting Удалить
C:\WINDOWS\INF\custom.inf Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce, ZZZZ2_FirstLogonSetting Удалить
C:\WINDOWS\INF\custom.inf Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce, ZZZZ2_FirstLogonSetting Удалить
C:\WINDOWS\System32\Drivers\AliIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\aliide, EventMessageFile
C:\WINDOWS\System32\Drivers\CmdIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\cmdide, EventMessageFile
C:\WINDOWS\System32\Drivers\IntelIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\intelide, EventMessageFile
C:\WINDOWS\System32\Drivers\TosIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\toside, EventMessageFile
C:\WINDOWS\System32\Drivers\ViaIde.sys Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\viaide, EventMessageFile
C:\WINDOWS\System32\Drivers\lbrtfdc.sys Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\lbrtfdc, EventMessageFile
C:\WINDOWS\System32\PrintFilterPipelineSvc.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\PrintFilterPipelineSvc, EventMessageFile
C:\WINDOWS\System32\hidserv.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\HidServ\Parameters, ServiceDll Удалить
C:\WINDOWS\System32\igmpv2.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IGMPv2, EventMessageFile
C:\WINDOWS\System32\ipbootp.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IPBOOTP, EventMessageFile
C:\WINDOWS\System32\iprip2.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IPRIP2, EventMessageFile
C:\WINDOWS\System32\logon.scr Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-19\Control Panel\Desktop, scrnsave.exe Удалить
C:\WINDOWS\System32\logon.scr Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-20\Control Panel\Desktop, scrnsave.exe Удалить
C:\WINDOWS\System32\ospf.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\OSPF, EventMessageFile
C:\WINDOWS\System32\ospfmib.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\OSPFMib, EventMessageFile
C:\WINDOWS\System32\polagent.dll Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\PolicyAgent, EventMessageFile
C:\WINDOWS\System32\tssdis.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\TermServSessDir, EventMessageFile
C:\WINDOWS\system32\MsSip1.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\MS Subjects 1, $DLL Удалить
C:\WINDOWS\system32\MsSip2.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\MS Subjects 2, $DLL Удалить
C:\WINDOWS\system32\MsSip3.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\MS Subjects 3, $DLL Удалить
C:\WINDOWS\system32\psxss.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix
C:\WINDOWS\system32\stisvc.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System, EventMessageFile
kbd101.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\i8042prt\Parameters, LayerDriver JPN Удалить
kbd101a.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\i8042prt\Parameters, LayerDriver KOR Удалить
mvfs32.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, .DEFAULT\Control Panel\IOProcs, MVB Удалить
mvfs32.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-19\Control Panel\IOProcs, MVB Удалить
mvfs32.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-20\Control Panel\IOProcs, MVB Удалить
mvfs32.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-18\Control Panel\IOProcs, MVB Удалить
mvfs32.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_CURRENT_USER, Control Panel\IOProcs, MVB Удалить
Обнаружено элементов автозапуска - 938, опознано как безопасные - 895

Модули расширения Internet Explorer (BHO, панели ...)

Имя файла	Тип	Описание	Производитель	CLSID
C:\Program Files\Ask.com\GenericAskToolbar.dll Скрипт: Kарантин, Удалить, Удалить через BC	BHO	Avira SearchFree Toolbar	(c) Ask. All rights reserved.	{D4027C7F-154A-4066-A1AD-4243D8127440} Удалить
C:\Program Files\Ask.com\GenericAskToolbar.dll Скрипт: Kарантин, Удалить, Удалить через BC	Панель	Avira SearchFree Toolbar	(c) Ask. All rights reserved.	{D4027C7F-154A-4066-A1AD-4243D8127440} Удалить
Обнаружено элементов - 14, опознано как безопасные - 12

Модули расширения проводника

Имя файла	Назначение	Описание	Производитель	CLSID
	Расширение CPL панорамирования дисплея			{42071714-76d4-11d1-8b24-00a0c9068ff3} Удалить
	Расширения оболочки для сжатия файлов			{764BF0E1-F219-11ce-972D-00AA00A14F56} Удалить
	Контекстное меню шифрования			{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} Удалить
	IE User Assist			{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} Удалить
	Панель задач и меню ''Пуск''			{0DF44EAA-FF21-4412-828E-260A8728E7F1} Удалить
	Учетные записи пользователей			{7A9D77BD-5403-11d2-8785-2E0420524153} Удалить
Обнаружено элементов - 225, опознано как безопасные - 219

Модули расширения системы печати (мониторы печати, провайдеры)

Имя файла	Тип	Наименование	Описание	Производитель
Обнаружено элементов - 8, опознано как безопасные - 8

Задания планировщика задач Task Scheduler

Имя файла	Имя задания	Состояние задания	Описание	Производитель	Путь	Командная строка
C:\Program Files\Ask.com\UpdateTask.exe Скрипт: Kарантин, Удалить, Удалить через BC	Scheduled Update for Ask Toolbar.job Скрипт: Удалить	The task is ready to run at its next scheduled time.				C:\Program Files\Ask.com\UpdateTask.exe
C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\byrwhqi.exe Скрипт: Kарантин, Удалить, Удалить через BC	tkoiade.job Скрипт: Удалить	The task is ready to run at its next scheduled time.				C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\byrwhqi.exe -xtggvgb
Обнаружено элементов - 9, опознано как безопасные - 7

Настройки SPI/LSP

Поставщики пространства имен (NSP)

Поставщик	Статус	Исп. файл	Описание	GUID
Обнаружено - 4, опознано как безопасные - 4

Поставщики транспортных протоколов (TSP, LSP)

Поставщик Исп. файл Описание
Обнаружено - 16, опознано как безопасные - 16
Результаты автоматического анализа настроек SPI
Настройки LSP проверены. Ошибок не обнаружено

Порты TCP/UDP

Порт Статус Remote Host Remote Port Приложение Примечания
Порты TCP
139 LISTENING 0.0.0.0 22739 [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
139 LISTENING 0.0.0.0 2144 [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445 LISTENING 0.0.0.0 24800 [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
2860 TIME_WAIT 127.0.0.1 12882 [0]
2864 TIME_WAIT 127.0.0.1 12882 [0]
Порты UDP
137 LISTENING -- -- [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
137 LISTENING -- -- [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138 LISTENING -- -- [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138 LISTENING -- -- [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445 LISTENING -- -- [4] System.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить

Downloaded Program Files (DPF)

Имя файла Описание Производитель CLSID URL загрузки
Обнаружено элементов - 3, опознано как безопасные - 3

Апплеты панели управления (CPL)

Имя файла Описание Производитель
Обнаружено элементов - 28, опознано как безопасные - 28

Active Setup

Имя файла Описание Производитель CLSID
Обнаружено элементов - 13, опознано как безопасные - 13

Файл HOSTS

Запись файла Hosts
127.0.0.1 localhost
0.0.0.0 sams.nikonimaging.com
127.0.0.1 activate.adobe.com
127.0.0.1 activate-sjc0.adobe.com
127.0.0.1 practivate.adobe.com
127.0.0.1 ereg.adobe.com
127.0.0.1 activate.wip3.adobe.com
127.0.0.1 wip3.adobe.com
127.0.0.1 3dns-3.adobe.com
127.0.0.1 3dns-2.adobe.com
127.0.0.1 adobe-dns.adobe.com
127.0.0.1 adobe-dns-2.adobe.com
127.0.0.1 adobe-dns-3.adobe.com
127.0.0.1 ereg.wip3.adobe.com
127.0.0.1 wwis-dubc1-vip60.adobe.com
127.0.0.1 ood.opsource.net
127.0.0.1 CRL.VERISIGN.NET
127.0.0.1 adobeereg.com
127.0.0.1 OCSP.SPO1.VERISIGN.COM
127.0.0.1 activate-sea.adobe.com
Очистка файла Hosts

Протоколы и обработчики

Имя файла Тип Описание Производитель CLSID
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
Обнаружено элементов - 30, опознано как безопасные - 27

Общие ресурсы

Сетевое имя Путь Примечания
ADMIN$ C:\WINDOWS Удаленный Admin
C$ C:\ Стандартный общий ресурс
D$ D:\ Стандартный общий ресурс
IPC$ Удаленный IPC
L$ L:\ Стандартный общий ресурс

Подозрительные объекты

Файл Описание Тип
C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\lxmiydk.dll
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на KeyLogger Подозрение на Keylogger или троянскую DLL

Протокол антивирусной утилиты AVZ версии 4.41
Сканирование запущено в 20.07.2013 15:14:55
Загружена база: сигнатуры - 297614, нейропрофили - 2, микропрограммы лечения - 56, база от 20.07.2013 04:00
Загружены микропрограммы эвристики: 403
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 573449
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: Отключено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=08B520)
 Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
   SDT = 80562520
   KiST = 804E48D0 (284)
Функция NtClose (19) перехвачена (8056F8D7->B6AA318C), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateKey (29) перехвачена (80578AB4->B6AA3146), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateSection (32) перехвачена (8056DB66->B6AA3196), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateThread (35) перехвачена (80584D39->B6AA313C), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDeleteKey (3F) перехвачена (8059A5C9->B6AA314B), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDeleteValueKey (41) перехвачена (805991E8->B6AA3155), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDuplicateObject (44) перехвачена (8057F18D->B6AA3187), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtLoadKey (62) перехвачена (805B829F->B6AA315A), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenProcess (7A) перехвачена (8057F93A->B6AA3128), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenThread (80) перехвачена (80596743->B6AA312D), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryValueKey (B1) перехвачена (80572F19->B6AA31AF), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtReplaceKey (C1) перехвачена (80657204->B6AA3164), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtRequestWaitReplyPort (C8) перехвачена (8057D13B->B6AA31A0), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtRestoreKey (CC) перехвачена (80656D99->B6AA315F), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetContextThread (D5) перехвачена (80635F57->B6AA319B), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetSecurityObject (ED) перехвачена (805E86B2->B6AA31A5), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetValueKey (F7) перехвачена (80580088->B6AA3150), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSystemDebugControl (FF) перехвачена (80651AD1->B6AA31AA), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtTerminateProcess (101) перехвачена (8058E8B1->B6AA3137), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Проверено функций: 284, перехвачено: 19, восстановлено: 19
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Анализ для процессора 2
CmpCallCallBacks = 00145690
Disable callback OK
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
 Драйвер успешно загружен
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 44
 Количество загруженных модулей: 466
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Documents and Settings\Admin\Local Settings\Temp\~DF5F13.tmp
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\lxmiydk.dll --> Подозрение на Keylogger или троянскую DLL
C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\lxmiydk.dll>>> Поведенческий анализ 
 Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\lxmiydk.dll)
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\lxmiydk.dll"
Подозрение на скрытый автозапуск -  HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NvMediaCenter="RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit"
Подозрение на скрытый автозапуск -  HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NvCplDaemon="RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup"
Подозрение на скрытый автозапуск -  HKLM\Software\Microsoft\Windows\CurrentVersion\Run\P17Helper="Rundll32 SPIRun.dll,RunDLLEntry"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 62408, извлечено из архивов: 46004, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 20.07.2013 15:20:11
!!! Внимание !!! Восстановлено 19 функций KiST в ходе работы антируткита
Это может нарушить нормальную работу ряда программ, поэтому настоятельно рекомендуется перезагрузить компьютер
Сканирование длилось 00:05:17
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ 
можно использовать сервис http://virusdetector.ru/
Создание архива с файлами из карантина
Создание архива с файлами из карантина завершено
Выполняется исследование системы

 Исследование системы завершено


Команды скрипта 
Добавить в скрипт команды:
Нейтрализация перехватов функций при помощи антируткита
Включить AVZGuard
Управление AVZPM (true-включить,false-отключить)
BootCleaner - импорт списка удаленных файлов
BootCleaner - импортировать все
Чистка реестра после удаления файлов
ExecuteWizard ('TSW',2,3,true) - Выполнение мастера поиска и устранения проблем
BootCleaner - активация
Перезагрузка
Вставить заготовку для QuarantineFile() - помещение файла в карантин
Вставить заготовку для BC_QrFile() - помещение файла в карантин через BC
Вставить заготовку для DeleteFile() - удаление файла
Вставить заготовку для DelCLSID() - удаление CLSID класса из реестра
Дополнительные операции:Оптимизация - отключить службу TermService (Службы терминалов)
Оптимизация - отключить службу SSDPSRV (Служба обнаружения SSDP)
Оптимизация - отключить службу Schedule (Планировщик заданий)
Оптимизация - отключить службу RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
Оптимизация - безопасность - отключить автозапуск программ с CD
Оптимизация - безопасность - отключить административный доступ к локальным дискам
Оптимизация - безопасность - блокировать возможность подключения анонимных пользователей
Безопасность - запретить отправку приглашений удаленному помощнику

Список файлов

Порт	Статус	Remote Host	Remote Port	Приложение	Примечания
Порты TCP
139	LISTENING	0.0.0.0	22739	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
139	LISTENING	0.0.0.0	2144	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445	LISTENING	0.0.0.0	24800	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
2860	TIME_WAIT	127.0.0.1	12882	[0]
2864	TIME_WAIT	127.0.0.1	12882	[0]
Порты UDP
137	LISTENING	--	--	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
137	LISTENING	--	--	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138	LISTENING	--	--	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138	LISTENING	--	--	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445	LISTENING	--	--	[4] System.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить

Сетевое имя	Путь	Примечания
ADMIN$	C:\WINDOWS	Удаленный Admin
C$	C:\	Стандартный общий ресурс
D$	D:\	Стандартный общий ресурс
IPC$		Удаленный IPC
L$	L:\	Стандартный общий ресурс