AVZ 4.45 http://z-oleg.com/secur/avz/
| Имя файла | PID | Описание | Copyright | MD5 | Информация
| c:\program files\nvidia corporation\update core\nvbackend.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2744 | NVIDIA Backend | (C) 2015 NVIDIA Corporation. All rights reserved. | 059E588FDF6B7E83227D45D026D21874 | 2525,14 кб, rsAh,создан: 18.10.2015 15:26:00,изменен: 18.08.2015 13:47:15 | Командная строка: "C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe" c:\program files\steam\steam.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2804 | Steam Client Bootstrapper | Copyright (C) 2010 Valve Corporation | 7AB06BB56EA5AAB7340CDCED56A0486F | 2943,08 кб, rsAh,создан: 05.06.2015 02:11:32,изменен: 15.12.2015 01:01:12 | Командная строка: "C:\Program Files\Steam\Steam.exe" -silent Обнаружено:67, из них опознаны как безопасные 67
| | |||||
| Имя модуля | Handle | Описание | Copyright | AVZ0311 | Используется процессами
| c:\program files\steam\bin\friendsui.DLL | Скрипт: Kарантин, Удалить, Удалить через BC 1626472448 | Steam Friends UI | Copyright (C) 2005 Valve Corporation | MD5=37E8BF56A123D46B1B9CFF8D90F19BCF | 2616,08 кб, rsAh, создан: 13.11.2015 19:32:02, изменен: 15.12.2015 01:01:12 2804
| C:\Program Files\Steam\steamui.dll | Скрипт: Kарантин, Удалить, Удалить через BC 1695547392 | SteamUI Dynamic Link Library | Copyright (C) 2007 | MD5=D03C2B9E487E534A4BD2A797990F91A9 | 9973,58 кб, rsAh, создан: 13.11.2015 19:32:03, изменен: 02.01.2016 04:33:17 2804
| C:\Users\Alexander\AppData\Local\NVIDIA\NvBackend\ApplicationOntology\Ontology.dll | Скрипт: Kарантин, Удалить, Удалить через BC 1759641600 | Application Ontology library | (C) 2015 NVIDIA Corporation. All rights reserved. | MD5=83A373FD78EEDDDEC3B98BE116ACF4A1 | 1343,93 кб, rsAh, создан: 29.12.2015 15:00:06, изменен: 29.12.2015 15:00:06 2744
| Обнаружено модулей:518, из них опознаны как безопасные 515
| | |||||
| Модуль | Базовый адрес | Размер в памяти | Описание | Производитель
| C:\Windows\System32\Drivers\dump_atapi.sys | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC 8209C000 | 009000 (36864) |
| C:\Windows\System32\Drivers\dump_dumpata.sys | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC 82091000 | 00B000 (45056) |
| C:\Windows\System32\Drivers\dump_dumpfve.sys | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC 820A5000 | 011000 (69632) |
| Обнаружено модулей - 189, опознано как безопасные - 186
| | |||||||
| Служба | Описание | Статус | Файл | Группа | Зависимости
| Обнаружено - 160, опознано как безопасные - 160
| | ||||||
| Служба | Описание | Статус | Файл | Группа | Зависимости
| Обнаружено - 245, опознано как безопасные - 245
| | ||||||
| Имя файла | Статус | Метод запуска | Описание
| C:\Windows\system32\psxss.exe | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix
| progman.exe | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, shell | Удалить c:\postgreSQL\lib\pgevent.dll | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\PostgreSQL, EventMessageFile
| C:\e562bca571c496a781798e7a01f2\DW\DW20.exe | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\VSSetup, EventMessageFile
| Обнаружено элементов автозапуска - 702, опознано как безопасные - 698
| | ||||||
| Имя файла | Тип | Описание | Производитель | CLSID
ошибка получения информации о файле Модуль расширения | {2670000A-7350-4f3c-8081-5663EE0C6C49} | Удалить ошибка получения информации о файле Модуль расширения | {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} | Удалить Обнаружено элементов - 5, опознано как безопасные - 3
| | ||||||||||||
| Имя файла | Назначение | Описание | Производитель | CLSID
| Обнаружено элементов - 26, опознано как безопасные - 26
| | ||||||
| Имя файла | Тип | Наименование | Описание | Производитель
| Обнаружено элементов - 7, опознано как безопасные - 7
| | ||||||
| Имя файла | Имя задания | Состояние задания | Описание | Производитель | Путь | Командная строка | Тип
| aitagent | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC AitAgent | Скрипт: Удалить C:\Windows\system32\Tasks\Microsoft\Windows\Application Experience\ | aitagent | 32
| C:\Windows\ehome\mcupdate | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC mcupdate | Скрипт: Удалить C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\ | %SystemRoot%\ehome\mcupdate $(Arg0) | 32
| C:\Windows\ehome\ehrec | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC RecordingRestart | Скрипт: Удалить C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\ | %SystemRoot%\ehome\ehrec /RestartRecording | 32
| Обнаружено элементов - 61, опознано как безопасные - 58
| | |||||||||||||||
| Поставщик | Статус | Исп. файл | Описание | GUID
| Обнаружено - 7, опознано как безопасные - 7
| | ||||||
| Поставщик | Исп. файл | Описание
| Обнаружено - 22, опознано как безопасные - 22
| | ||||||
| Порт | Статус | Remote Host | Remote Port | Приложение | Примечания
| Порты TCP
| 139 | LISTENING | 0.0.0.0 | 0 | System.exe [4] | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
| 139 | LISTENING | 0.0.0.0 | 0 | System.exe [4] | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
| 445 | LISTENING | 0.0.0.0 | 0 | System.exe [4] | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
| 5357 | LISTENING | 0.0.0.0 | 0 | System.exe [4] | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
| 49192 | TIME_WAIT | 212.33.231.148 | 80 | [0] | ошибка получения информации о файле
| 49198 | TIME_WAIT | 91.203.99.18 | 443 | [0] | ошибка получения информации о файле
| Порты UDP
| 137 | LISTENING | -- | -- | System.exe [4] | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
| 137 | LISTENING | -- | -- | System.exe [4] | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
| 138 | LISTENING | -- | -- | System.exe [4] | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
| 138 | LISTENING | -- | -- | System.exe [4] | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
| | ||||||||||||
| Имя файла | Описание | Производитель | CLSID | URL загрузки
| Обнаружено элементов - 0, опознано как безопасные - 0
| | ||||||
| Имя файла | Описание | Производитель
| Обнаружено элементов - 21, опознано как безопасные - 21
| | ||||||
| Имя файла | Описание | Производитель | CLSID
| Обнаружено элементов - 9, опознано как безопасные - 9
| | ||||||
| Запись файла Hosts |
| Имя файла | Тип | Описание | Производитель | CLSID
| Обнаружено элементов - 17, опознано как безопасные - 17
| | ||||||
| Сетевое имя | Путь | Примечания
| ADMIN$ | C:\Windows | Удаленный Admin
| C$ | C:\ | Стандартный общий ресурс
| D$ | D:\ | Стандартный общий ресурс
| IPC$ | Удаленный IPC
| |
| Файл | Описание | Тип |
Протокол антивирусной утилиты AVZ версии 4.45 Сканирование запущено в 05.01.2016 09:44:52 Загружена база: сигнатуры - 297570, нейропрофили - 2, микропрограммы лечения - 56, база от 05.01.2016 04:00 Загружены микропрограммы эвристики: 408 Загружены микропрограммы ИПУ: 9 Загружены цифровые подписи системных файлов: 783365 Режим эвристического анализатора: Средний уровень эвристики Режим лечения: выключено Версия Windows: 6.1.7600, "Windows 7 Ultimate", дата инсталляции 18.10.2015 13:54:16 ; AVZ работает с правами администратора (+) Восстановление системы: включено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=1689C0) Ядро ntkrnlpa.exe обнаружено в памяти по адресу 8284F000 SDT = 829B79C0 KiST = 828BE6F0 (401) Проверено функций: 401, перехвачено: 0, восстановлено: 0 1.3 Проверка IDT и SYSENTER Анализ для процессора 1 Анализ для процессора 2 Проверка IDT и SYSENTER завершена 1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM 1.5 Проверка обработчиков IRP Драйвер успешно загружен Проверка завершена 2. Проверка памяти Количество найденных процессов: 64 Количество загруженных модулей: 500 Проверка памяти завершена 3. Сканирование дисков 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами Проверка отключена пользователем 7. Эвристичеcкая проверка системы Проверка завершена 8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помощнику Проверка завершена 9. Мастер поиска и устранения проблем >> Разрешен автозапуск с HDD >> Разрешен автозапуск с сетевых дисков >> Разрешен автозапуск со сменных носителей Проверка завершена Просканировано файлов: 564, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0 Сканирование завершено в 05.01.2016 09:46:17 Сканирование длилось 00:01:30 Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам, то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18 Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ можно использовать сервис http://virusdetector.ru/ Выполняется исследование системы Диагностика сети DNS and Ping test Host="yandex.ru", IP="77.88.55.66,5.255.255.55,77.88.55.55,5.255.255.5", Ping=OK (0,39,77.88.55.66) Host="google.ru", IP="212.33.231.152,212.33.231.178,212.33.231.153,212.33.231.177,212.33.231.183,212.33.231.172,212.33.231.163,212.33.231.162,212.33.231.148,212.33.231.182,212.33.231.158,212.33.231.168,212.33.231.187,212.33.231.167,212.33.231.173,212.33.231.157", Ping=OK (0,2,212.33.231.152) Host="google.com", IP="212.33.231.162,212.33.231.187,212.33.231.177,212.33.231.173,212.33.231.153,212.33.231.172,212.33.231.183,212.33.231.178,212.33.231.152,212.33.231.163,212.33.231.182,212.33.231.167,212.33.231.148,212.33.231.157,212.33.231.158,212.33.231.168", Ping=OK (0,2,212.33.231.162) Host="www.kaspersky.com", IP="77.74.178.16", Ping=OK (0,24,77.74.178.16) Host="www.kaspersky.ru", IP="77.74.178.20", Ping=OK (0,22,77.74.178.20) Host="dnl-03.geo.kaspersky.com", IP="95.167.139.6", Ping=OK (0,23,95.167.139.6) Host="dnl-11.geo.kaspersky.com", IP="62.76.24.147", Ping=OK (0,40,62.76.24.147) Host="activation-v2.kaspersky.com", IP="212.5.89.37", Ping=OK (0,32,212.5.89.37) Host="odnoklassniki.ru", IP="217.20.147.94,217.20.156.159,217.20.155.58", Ping=OK (0,31,217.20.147.94) Host="vk.com", IP="87.240.131.118,87.240.131.119,87.240.131.120", Ping=OK (0,33,87.240.131.118) Host="vkontakte.ru", IP="95.213.4.246,95.213.4.247,95.213.4.248", Ping=OK (0,32,95.213.4.246) Host="twitter.com", IP="199.16.156.38,199.16.156.102,199.16.156.230,199.16.156.6", Ping=OK (0,175,199.16.156.38) Host="facebook.com", IP="66.220.158.68", Ping=OK (0,178,66.220.158.68) Host="ru-ru.facebook.com", IP="31.13.81.9", Ping=OK (0,49,31.13.81.9) Network IE settings IE setting AutoConfigURL= IE setting AutoConfigProxy=wininet.dll IE setting ProxyOverride=*.local IE setting ProxyServer= IE setting Internet\ManualProxies= Network TCP/IP settings Network Persistent RoutesДобавить в скрипт команды:
Исследование системы завершено
Команды скрипта