Протокол исследования системы

AVZ 4.45 http://z-oleg.com/secur/avz/

Список процессов

Имя файлаPIDОписаниеCopyrightMD5Информация
c:\program files\nvidia corporation\update core\nvbackend.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
2744NVIDIA Backend(C) 2015 NVIDIA Corporation. All rights reserved.059E588FDF6B7E83227D45D026D218742525,14 кб, rsAh,создан: 18.10.2015 15:26:00,изменен: 18.08.2015 13:47:15
Командная строка:
"C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe"
c:\program files\steam\steam.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
2804Steam Client BootstrapperCopyright (C) 2010 Valve Corporation7AB06BB56EA5AAB7340CDCED56A0486F2943,08 кб, rsAh,создан: 05.06.2015 02:11:32,изменен: 15.12.2015 01:01:12
Командная строка:
"C:\Program Files\Steam\Steam.exe" -silent
Обнаружено:67, из них опознаны как безопасные 67
Имя модуляHandleОписаниеCopyrightAVZ0311Используется процессами
c:\program files\steam\bin\friendsui.DLL
Скрипт: Kарантин, Удалить, Удалить через BC
1626472448Steam Friends UICopyright (C) 2005 Valve CorporationMD5=37E8BF56A123D46B1B9CFF8D90F19BCF
2616,08 кб, rsAh, создан: 13.11.2015 19:32:02, изменен: 15.12.2015 01:01:12
2804
C:\Program Files\Steam\steamui.dll
Скрипт: Kарантин, Удалить, Удалить через BC
1695547392SteamUI Dynamic Link LibraryCopyright (C) 2007MD5=D03C2B9E487E534A4BD2A797990F91A9
9973,58 кб, rsAh, создан: 13.11.2015 19:32:03, изменен: 02.01.2016 04:33:17
2804
C:\Users\Alexander\AppData\Local\NVIDIA\NvBackend\ApplicationOntology\Ontology.dll
Скрипт: Kарантин, Удалить, Удалить через BC
1759641600Application Ontology library(C) 2015 NVIDIA Corporation. All rights reserved.MD5=83A373FD78EEDDDEC3B98BE116ACF4A1
1343,93 кб, rsAh, создан: 29.12.2015 15:00:06, изменен: 29.12.2015 15:00:06
2744
Обнаружено модулей:518, из них опознаны как безопасные 515

Модули пространства ядра

МодульБазовый адресРазмер в памятиОписаниеПроизводитель
C:\Windows\System32\Drivers\dump_atapi.sys
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
8209C000009000 (36864)
C:\Windows\System32\Drivers\dump_dumpata.sys
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
8209100000B000 (45056)
C:\Windows\System32\Drivers\dump_dumpfve.sys
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
820A5000011000 (69632)
Обнаружено модулей - 189, опознано как безопасные - 186

Службы

СлужбаОписаниеСтатусФайлГруппаЗависимости
Обнаружено - 160, опознано как безопасные - 160

Драйверы

СлужбаОписаниеСтатусФайлГруппаЗависимости
Обнаружено - 245, опознано как безопасные - 245

Автозапуск

Имя файлаСтатусМетод запускаОписание
C:\Windows\system32\psxss.exe
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
--Ключ реестраHKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix
progman.exe
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
АктивенКлюч реестраHKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, shell
Удалить
c:\postgreSQL\lib\pgevent.dll
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
--Ключ реестраHKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\PostgreSQL, EventMessageFile
C:\e562bca571c496a781798e7a01f2\DW\DW20.exe
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
--Ключ реестраHKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\VSSetup, EventMessageFile
Обнаружено элементов автозапуска - 702, опознано как безопасные - 698

Модули расширения Internet Explorer (BHO, панели ...)

Имя файлаТипОписаниеПроизводительCLSID

ошибка получения информации о файле
Модуль расширения{2670000A-7350-4f3c-8081-5663EE0C6C49}
Удалить

ошибка получения информации о файле
Модуль расширения{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}
Удалить
Обнаружено элементов - 5, опознано как безопасные - 3

Модули расширения проводника

Имя файлаНазначениеОписаниеПроизводительCLSID
Обнаружено элементов - 26, опознано как безопасные - 26

Модули расширения системы печати (мониторы печати, провайдеры)

Имя файлаТипНаименованиеОписаниеПроизводитель
Обнаружено элементов - 7, опознано как безопасные - 7

Задания планировщика задач Task Scheduler

Имя файлаИмя заданияСостояние заданияОписаниеПроизводительПутьКомандная строкаТип
aitagent
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
AitAgent
Скрипт: Удалить
C:\Windows\system32\Tasks\Microsoft\Windows\Application Experience\ aitagent 32
C:\Windows\ehome\mcupdate
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
mcupdate
Скрипт: Удалить
C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\ %SystemRoot%\ehome\mcupdate $(Arg0)32
C:\Windows\ehome\ehrec
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC
RecordingRestart
Скрипт: Удалить
C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\ %SystemRoot%\ehome\ehrec /RestartRecording32
Обнаружено элементов - 61, опознано как безопасные - 58

Настройки SPI/LSP

Поставщики пространства имен (NSP)
ПоставщикСтатусИсп. файлОписаниеGUID
Обнаружено - 7, опознано как безопасные - 7
Поставщики транспортных протоколов (TSP, LSP)
ПоставщикИсп. файлОписание
Обнаружено - 22, опознано как безопасные - 22
Результаты автоматического анализа настроек SPI
Настройки LSP проверены. Ошибок не обнаружено

Порты TCP/UDP

ПортСтатусRemote HostRemote PortПриложениеПримечания
Порты TCP
139LISTENING0.0.0.00System.exe [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
 
139LISTENING0.0.0.00System.exe [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
 
445LISTENING0.0.0.00System.exe [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
 
5357LISTENING0.0.0.00System.exe [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
 
49192TIME_WAIT212.33.231.14880  [0]
ошибка получения информации о файле
 
49198TIME_WAIT91.203.99.18443  [0]
ошибка получения информации о файле
 
Порты UDP
137LISTENING----System.exe [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
 
137LISTENING----System.exe [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
 
138LISTENING----System.exe [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
 
138LISTENING----System.exe [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
 

Downloaded Program Files (DPF)

Имя файлаОписаниеПроизводительCLSIDURL загрузки
Обнаружено элементов - 0, опознано как безопасные - 0

Апплеты панели управления (CPL)

Имя файлаОписаниеПроизводитель
Обнаружено элементов - 21, опознано как безопасные - 21

Active Setup

Имя файлаОписаниеПроизводительCLSID
Обнаружено элементов - 9, опознано как безопасные - 9

Файл HOSTS

Запись файла Hosts

Протоколы и обработчики

Имя файлаТипОписаниеПроизводительCLSID
Обнаружено элементов - 17, опознано как безопасные - 17

Общие ресурсы

Сетевое имяПутьПримечания
ADMIN$C:\WindowsУдаленный Admin
C$C:\Стандартный общий ресурс
D$D:\Стандартный общий ресурс
IPC$Удаленный IPC

Подозрительные объекты

ФайлОписаниеТип


Протокол антивирусной утилиты AVZ версии 4.45
Сканирование запущено в 05.01.2016 09:44:52
Загружена база: сигнатуры - 297570, нейропрофили - 2, микропрограммы лечения - 56, база от 05.01.2016 04:00
Загружены микропрограммы эвристики: 408
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 783365
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 6.1.7600,  "Windows 7 Ultimate", дата инсталляции 18.10.2015 13:54:16 ; AVZ работает с правами администратора (+)
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=1689C0)
 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 8284F000
   SDT = 829B79C0
   KiST = 828BE6F0 (401)
Проверено функций: 401, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Анализ для процессора 2
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
 Драйвер успешно загружен
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 64
 Количество загруженных модулей: 500
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 564, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 05.01.2016 09:46:17
Сканирование длилось 00:01:30
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ 
можно использовать сервис http://virusdetector.ru/
Выполняется исследование системы
Диагностика сети
 DNS and Ping test
  Host="yandex.ru", IP="77.88.55.66,5.255.255.55,77.88.55.55,5.255.255.5", Ping=OK (0,39,77.88.55.66)
  Host="google.ru", IP="212.33.231.152,212.33.231.178,212.33.231.153,212.33.231.177,212.33.231.183,212.33.231.172,212.33.231.163,212.33.231.162,212.33.231.148,212.33.231.182,212.33.231.158,212.33.231.168,212.33.231.187,212.33.231.167,212.33.231.173,212.33.231.157", Ping=OK (0,2,212.33.231.152)
  Host="google.com", IP="212.33.231.162,212.33.231.187,212.33.231.177,212.33.231.173,212.33.231.153,212.33.231.172,212.33.231.183,212.33.231.178,212.33.231.152,212.33.231.163,212.33.231.182,212.33.231.167,212.33.231.148,212.33.231.157,212.33.231.158,212.33.231.168", Ping=OK (0,2,212.33.231.162)
  Host="www.kaspersky.com", IP="77.74.178.16", Ping=OK (0,24,77.74.178.16)
  Host="www.kaspersky.ru", IP="77.74.178.20", Ping=OK (0,22,77.74.178.20)
  Host="dnl-03.geo.kaspersky.com", IP="95.167.139.6", Ping=OK (0,23,95.167.139.6)
  Host="dnl-11.geo.kaspersky.com", IP="62.76.24.147", Ping=OK (0,40,62.76.24.147)
  Host="activation-v2.kaspersky.com", IP="212.5.89.37", Ping=OK (0,32,212.5.89.37)
  Host="odnoklassniki.ru", IP="217.20.147.94,217.20.156.159,217.20.155.58", Ping=OK (0,31,217.20.147.94)
  Host="vk.com", IP="87.240.131.118,87.240.131.119,87.240.131.120", Ping=OK (0,33,87.240.131.118)
  Host="vkontakte.ru", IP="95.213.4.246,95.213.4.247,95.213.4.248", Ping=OK (0,32,95.213.4.246)
  Host="twitter.com", IP="199.16.156.38,199.16.156.102,199.16.156.230,199.16.156.6", Ping=OK (0,175,199.16.156.38)
  Host="facebook.com", IP="66.220.158.68", Ping=OK (0,178,66.220.158.68)
  Host="ru-ru.facebook.com", IP="31.13.81.9", Ping=OK (0,49,31.13.81.9)
 Network IE settings
  IE setting AutoConfigURL=
  IE setting AutoConfigProxy=wininet.dll
  IE setting ProxyOverride=*.local
  IE setting ProxyServer=
  IE setting Internet\ManualProxies=
 Network TCP/IP settings
 Network Persistent Routes

Исследование системы завершено
Команды скрипта
Добавить в скрипт команды:
Дополнительные операции:
Список файлов