Протокол исследования системы

AVZ 4.45 http://z-oleg.com/secur/avz/

Список процессов

Имя файлаPIDОписаниеCopyrightMD5Информация
c:\users\alexander\desktop\autologger.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
3116Автоматический сборщик логовВсе права на AutoLogger принадлежат regist & Drongo © Copyright 2013 - 2015A3CC97558C8477FBDEB06EDF864633CC11634,68 кб, rsAh,создан: 05.01.2016 09:34:43,изменен: 05.01.2016 04:33:06
Командная строка:
"C:\Users\Alexander\Desktop\AutoLogger.exe"
c:\program files\nvidia corporation\update core\nvbackend.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
2628NVIDIA Backend(C) 2015 NVIDIA Corporation. All rights reserved.059E588FDF6B7E83227D45D026D218742525,14 кб, rsAh,создан: 18.10.2015 15:26:00,изменен: 18.08.2015 13:47:15
Командная строка:
"C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe"
Обнаружено:63, из них опознаны как безопасные 62
Имя модуляHandleОписаниеCopyrightAVZ0311Используется процессами
C:\Users\Alexander\AppData\Local\NVIDIA\NvBackend\ApplicationOntology\Ontology.dll
Скрипт: Kарантин, Удалить, Удалить через BC
1754857472Application Ontology library(C) 2015 NVIDIA Corporation. All rights reserved.MD5=83A373FD78EEDDDEC3B98BE116ACF4A1
1343,93 кб, rsAh, создан: 29.12.2015 15:00:06, изменен: 29.12.2015 15:00:06
2628
Обнаружено модулей:528, из них опознаны как безопасные 527

Модули пространства ядра

МодульБазовый адресРазмер в памятиОписаниеПроизводитель
C:\Windows\System32\Drivers\dump_atapi.sys
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
94266000009000 (36864)
C:\Windows\System32\Drivers\dump_dumpata.sys
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
9425B00000B000 (45056)
C:\Windows\System32\Drivers\dump_dumpfve.sys
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
9426F000011000 (69632)
Обнаружено модулей - 152, опознано как безопасные - 149

Службы

СлужбаОписаниеСтатусФайлГруппаЗависимости
Обнаружено - 160, опознано как безопасные - 160

Драйверы

СлужбаОписаниеСтатусФайлГруппаЗависимости
Обнаружено - 244, опознано как безопасные - 244

Автозапуск

Имя файлаСтатусМетод запускаОписание
C:\Users\Alexander\Desktop\AutoLogger\AVZ\Script2.txt
18,10 кб, rsAh, создан: 05.01.2016 09:35:26, изменен: 29.12.2015 21:55:09
Скрипт: Kарантин, Удалить, Удалить через BC
АктивенКлюч реестраHKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\RunOnce, AVZ
Удалить
C:\Windows\system32\psxss.exe
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
--Ключ реестраHKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix
progman.exe
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
АктивенКлюч реестраHKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, shell
Удалить
c:\postgreSQL\lib\pgevent.dll
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
--Ключ реестраHKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\PostgreSQL, EventMessageFile
C:\e562bca571c496a781798e7a01f2\DW\DW20.exe
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
--Ключ реестраHKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\VSSetup, EventMessageFile
Обнаружено элементов автозапуска - 726, опознано как безопасные - 721

Модули расширения Internet Explorer (BHO, панели ...)

Имя файлаТипОписаниеПроизводительCLSID

ошибка получения информации о файле
Модуль расширения{2670000A-7350-4f3c-8081-5663EE0C6C49}
Удалить

ошибка получения информации о файле
Модуль расширения{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}
Удалить
Обнаружено элементов - 5, опознано как безопасные - 3

Модули расширения проводника

Имя файлаНазначениеОписаниеПроизводительCLSID
Обнаружено элементов - 26, опознано как безопасные - 26

Модули расширения системы печати (мониторы печати, провайдеры)

Имя файлаТипНаименованиеОписаниеПроизводитель
Обнаружено элементов - 7, опознано как безопасные - 7

Задания планировщика задач Task Scheduler

Имя файлаИмя заданияСостояние заданияОписаниеПроизводительПутьКомандная строкаТип
aitagent
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
AitAgent
Скрипт: Удалить
C:\Windows\system32\Tasks\Microsoft\Windows\Application Experience\ aitagent 32
C:\Windows\ehome\mcupdate
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
mcupdate
Скрипт: Удалить
C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\ %SystemRoot%\ehome\mcupdate $(Arg0)32
C:\Windows\ehome\ehrec
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
RecordingRestart
Скрипт: Удалить
C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\ %SystemRoot%\ehome\ehrec /RestartRecording32
Обнаружено элементов - 61, опознано как безопасные - 58

Настройки SPI/LSP

Поставщики пространства имен (NSP)
ПоставщикСтатусИсп. файлОписаниеGUID
Обнаружено - 7, опознано как безопасные - 7
Поставщики транспортных протоколов (TSP, LSP)
ПоставщикИсп. файлОписание
Обнаружено - 22, опознано как безопасные - 22
Результаты автоматического анализа настроек SPI
Настройки LSP проверены. Ошибок не обнаружено

Порты TCP/UDP

ПортСтатусRemote HostRemote PortПриложениеПримечания
Порты TCP
139LISTENING0.0.0.00System.exe [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
 
139LISTENING0.0.0.00System.exe [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
 
445LISTENING0.0.0.00System.exe [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
 
2869LISTENING0.0.0.00System.exe [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
 
5357LISTENING0.0.0.00System.exe [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
 
50194TIME_WAIT212.33.231.16880  [0]
ошибка получения информации о файле
 
Порты UDP
137LISTENING----System.exe [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
 
137LISTENING----System.exe [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
 
138LISTENING----System.exe [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
 
138LISTENING----System.exe [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
 

Downloaded Program Files (DPF)

Имя файлаОписаниеПроизводительCLSIDURL загрузки
Обнаружено элементов - 0, опознано как безопасные - 0

Апплеты панели управления (CPL)

Имя файлаОписаниеПроизводитель
Обнаружено элементов - 21, опознано как безопасные - 21

Active Setup

Имя файлаОписаниеПроизводительCLSID
Обнаружено элементов - 9, опознано как безопасные - 9

Файл HOSTS

Запись файла Hosts

Протоколы и обработчики

Имя файлаТипОписаниеПроизводительCLSID
Обнаружено элементов - 17, опознано как безопасные - 17

Общие ресурсы

Сетевое имяПутьПримечания
ADMIN$C:\WindowsУдаленный Admin
C$C:\Стандартный общий ресурс
D$D:\Стандартный общий ресурс
IPC$Удаленный IPC

Подозрительные объекты

ФайлОписаниеТип


Протокол антивирусной утилиты AVZ версии 4.45
Сканирование запущено в 05.01.2016 09:40:43
Загружена база: сигнатуры - 297570, нейропрофили - 2, микропрограммы лечения - 56, база от 05.01.2016 04:00
Загружены микропрограммы эвристики: 408
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 783365
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 6.1.7600,  "Windows 7 Ultimate", дата инсталляции 18.10.2015 13:54:16 ; AVZ работает с правами администратора (+)
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=1689C0)
 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 82815000
   SDT = 8297D9C0
   KiST = 828846F0 (401)
Проверено функций: 401, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Анализ для процессора 2
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
 Драйвер успешно загружен
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 61
 Количество загруженных модулей: 527
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 589, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 05.01.2016 09:41:40
Сканирование длилось 00:00:59
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ 
можно использовать сервис http://virusdetector.ru/
Создание архива с файлами из карантина
Создание архива с файлами из карантина завершено
Выполняется исследование системы
Диагностика сети
 DNS and Ping test
  Host="yandex.ru", IP="5.255.255.55,5.255.255.5,77.88.55.66,77.88.55.55", Ping=OK (0,37,5.255.255.55)
  Host="google.ru", IP="212.33.231.153,212.33.231.162,212.33.231.183,212.33.231.167,212.33.231.182,212.33.231.177,212.33.231.173,212.33.231.148,212.33.231.157,212.33.231.158,212.33.231.178,212.33.231.172,212.33.231.168,212.33.231.152,212.33.231.163,212.33.231.187", Ping=OK (0,2,212.33.231.153)
  Host="google.com", IP="212.33.231.168,212.33.231.182,212.33.231.183,212.33.231.162,212.33.231.177,212.33.231.173,212.33.231.153,212.33.231.163,212.33.231.167,212.33.231.152,212.33.231.187,212.33.231.172,212.33.231.157,212.33.231.178,212.33.231.148,212.33.231.158", Ping=OK (0,2,212.33.231.168)
  Host="www.kaspersky.com", IP="77.74.178.16", Ping=OK (0,24,77.74.178.16)
  Host="www.kaspersky.ru", IP="93.159.228.17", Ping=OK (0,23,93.159.228.17)
  Host="dnl-03.geo.kaspersky.com", IP="95.167.139.6", Ping=OK (0,23,95.167.139.6)
  Host="dnl-11.geo.kaspersky.com", IP="62.128.100.79", Ping=OK (0,21,62.128.100.79)
  Host="activation-v2.kaspersky.com", IP="212.5.89.37", Ping=OK (0,33,212.5.89.37)
  Host="odnoklassniki.ru", IP="217.20.147.94,217.20.156.159,217.20.155.58", Ping=OK (0,31,217.20.147.94)
  Host="vk.com", IP="87.240.131.118,87.240.131.119,87.240.131.120", Ping=OK (0,33,87.240.131.118)
  Host="vkontakte.ru", IP="95.213.4.246,95.213.4.247,95.213.4.248", Ping=OK (0,33,95.213.4.246)
  Host="twitter.com", IP="199.16.156.102,199.16.156.70,199.16.156.198,199.16.156.38", Ping=OK (0,177,199.16.156.102)
  Host="facebook.com", IP="66.220.158.68", Ping=OK (0,178,66.220.158.68)
  Host="ru-ru.facebook.com", IP="31.13.81.9", Ping=OK (0,49,31.13.81.9)
 Network IE settings
  IE setting AutoConfigURL=
  IE setting AutoConfigProxy=wininet.dll
  IE setting ProxyOverride=*.local
  IE setting ProxyServer=
  IE setting Internet\ManualProxies=
 Network TCP/IP settings
 Network Persistent Routes

Исследование системы завершено
Команды скрипта
Добавить в скрипт команды:
Дополнительные операции:
Список файлов