Kaspersky Virus Removal Tool 7.0.0.290 (база от 17/05/2009; 05:06)
| Имя файла | PID | Описание | Copyright | MD5 | Информация
| c:\program files\ati technologies\ati control panel\atiptaxx.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 284 | ATI Desktop Control Panel | Copyright (C) 1998-2005 ATI Technologies Inc. | ?? | 404.00 КБ, rsAh, | создан: 11.10.2008 3:45:04, изменен: 05.08.2005 21:05:00 Командная строка: "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" c:\windows\system32\bgsvcgen.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1236 | B's Recorder GOLD Service Library | Copyright(c) 2004 B.H.A Corporation All rights reserved. | ?? | 84.00 КБ, rsah, | создан: 13.10.2008 1:39:20, изменен: 30.04.2005 17:02:26 Командная строка: C:\WINDOWS\system32\bgsvcgen.exe c:\windows\explorer.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1964 | Windows Explorer | © Microsoft Corporation. All rights reserved. | ?? | 1008.00 КБ, rsAh, | создан: 04.08.2004 3:56:50, изменен: 04.08.2004 3:56:50 Командная строка: C:\WINDOWS\Explorer.EXE c:\program files\internet explorer\iexplore.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1440 | Internet Explorer | © Microsoft Corporation. All rights reserved. | ?? | 695.84 КБ, rsAh, | создан: 11.10.2008 3:26:47, изменен: 08.03.2009 14:09:26 Командная строка: "C:\Program Files\Internet Explorer\iexplore.exe" c:\program files\internet explorer\iexplore.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 520 | Internet Explorer | © Microsoft Corporation. All rights reserved. | ?? | 695.84 КБ, rsAh, | создан: 11.10.2008 3:26:47, изменен: 08.03.2009 14:09:26 Командная строка: "C:\Program Files\Internet Explorer\iexplore.exe" SCODEF:1440 CREDAT:14337 c:\program files\java\jre6\bin\jqs.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1280 | Java(TM) Quick Starter Service | Copyright © 2004 | ?? | 149.40 КБ, rsAh, | создан: 01.04.2009 19:05:05, изменен: 01.04.2009 19:05:05 Командная строка: "C:\Program Files\Java\jre6\bin\jqs.exe" -service -config "C:\Program Files\Java\jre6\lib\deploy\jqs\jqs.conf" c:\program files\common files\lightscribe\lssrvc.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1312 | LightScribe Service | © Copyright 2003-2006 Hewlett-Packard Development Company, LP | ?? | 77.28 КБ, rsAh, | создан: 28.06.2007 11:31:38, изменен: 28.06.2007 11:31:38 Командная строка: "C:\Program Files\Common Files\LightScribe\LSSrvc.exe" Обнаружено:25, из них опознаны как безопасные 19
| | |||||
| Плагин | Базовый адрес | Размер в памяти | Описание | Производитель
| C:\WINDOWS\system32\drivers\Afc.sys | Скрипт: Kарантин, Удалить, Удалить через BC F8866000 | 008000 (32768) | Arcsoft(R) ASPI Shell | (C) Arcsoft, Inc. 1999-2005. All rights reserved.
| C:\WINDOWS\system32\DRIVERS\AmosNt.SYS | Скрипт: Kарантин, Удалить, Удалить через BC F7FB3000 | 025000 (151552) | AmosNT driver | Copyright© Conexant Systems, Inc. 1999-2001
| C:\WINDOWS\system32\DRIVERS\basic2.sys | Скрипт: Kарантин, Удалить, Удалить через BC F805E000 | 011000 (69632) | NTRksample driver | Copyright© Conexant Systems, Inc. 1999-2001
| C:\WINDOWS\System32\Drivers\dump_atapi.sys | Скрипт: Kарантин, Удалить, Удалить через BC AAD7C000 | 018000 (98304) |
| C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS | Скрипт: Kарантин, Удалить, Удалить через BC F8A68000 | 002000 (8192) |
| C:\WINDOWS\system32\DRIVERS\fallback.sys | Скрипт: Kарантин, Удалить, Удалить через BC A88F8000 | 047000 (290816) | Fallback driver | Copyright© Conexant Systems, Inc. 1999-2000
| C:\WINDOWS\system32\DRIVERS\faxnt.sys | Скрипт: Kарантин, Удалить, Удалить через BC A877F000 | 031000 (200704) | FaxNT driver | Copyright© Conexant Systems, Inc. 1999-2000
| C:\WINDOWS\system32\DRIVERS\fsksnt.sys | Скрипт: Kарантин, Удалить, Удалить через BC A88DB000 | 01D000 (118784) | FSKsNT driver | Copyright© Conexant Systems, Inc. 1999-2000
| C:\WINDOWS\System32\drivers\GEARAspiWDM.sys | Скрипт: Kарантин, Удалить, Удалить через BC F89FE000 | 003000 (12288) | CD DVD Filter | Copyright (C) GEAR Software Inc. 1997-2008
| C:\WINDOWS\system32\DRIVERS\HSF_CNXT.sys | Скрипт: Kарантин, Удалить, Удалить через BC F7FD8000 | 086000 (548864) | WinACHSF driver | Copyright© Conexant Systems, Inc. 1999-2001
| C:\Program Files\UltraISO\drivers\ISODrive.sys | Скрипт: Kарантин, Удалить, Удалить через BC AADBC000 | 016000 (90112) | ISO DVD/CD-ROM Device Driver | Copyright (c)2006-2008 EZB Systems, Inc.
| C:\WINDOWS\system32\DRIVERS\k56nt.sys | Скрипт: Kарантин, Удалить, Удалить через BC A887B000 | 060000 (393216) | K56NT driver | Copyright© Conexant Systems, Inc. 1999-2000
| C:\WINDOWS\system32\DRIVERS\klmouflt.sys | Скрипт: Kарантин, Удалить, Удалить через BC F8656000 | 009000 (36864) | KLMOUFLT Mouse Device Filter [fre_wnet_x86] | Copyright © Kaspersky Lab 1996-2009.
| C:\WINDOWS\system32\DRIVERS\rksample.sys | Скрипт: Kарантин, Удалить, Удалить через BC F8626000 | 00F000 (61440) | Rksample WDM driver | Copyright© Conexant Systems, Inc. 1999-2001
| C:\WINDOWS\system32\DRIVERS\SOAR.SYS | Скрипт: Kарантин, Удалить, Удалить через BC F8616000 | 00B000 (45056) | Soar driver | Copyright© Conexant Systems, Inc. 1999-2001
| spcg.sys | Скрипт: Kарантин, Удалить, Удалить через BC F8417000 | 0FE000 (1040384) |
| C:\WINDOWS\system32\DRIVERS\spkpnt.sys | Скрипт: Kарантин, Удалить, Удалить через BC A876D000 | 012000 (73728) | SpkpNT driver | Copyright© Conexant Systems, Inc. 1999-2000
| C:\WINDOWS\system32\drivers\tbhsd.sys | Скрипт: Kарантин, Удалить, Удалить через BC F86A6000 | 009000 (36864) | Tunebite High-Speed Dubbing | Copyright (C) 2005-2008 RapidSolution Software AG
| C:\WINDOWS\system32\DRIVERS\tonesnt.sys | Скрипт: Kарантин, Удалить, Удалить через BC F7BA2000 | 00D000 (53248) | TonesNT driver | Copyright© Conexant Systems, Inc. 1999-2000
| C:\WINDOWS\system32\drivers\utnpl.sys | Скрипт: Kарантин, Удалить, Удалить через BC F8A62000 | 002000 (8192) |
| C:\WINDOWS\system32\DRIVERS\v124nt.sys | Скрипт: Kарантин, Удалить, Удалить через BC A86F5000 | 078000 (491520) | V124NT driver | Copyright© Conexant Systems, Inc. 1999-2001
| Обнаружено модулей - 142, опознано как безопасные - 121
| | ||||||||
| Имя файла | Статус | Метод запуска | Описание
| C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, ATIPTA
| C:\WINDOWS\system32\wmpnetw.sys | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run, application
| osk.exe | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\Utility Manager\On-Screen Keyboard, Application path
| Обнаружено элементов автозапуска - 63, опознано как безопасные - 60
| | ||||||
| Имя файла | Тип | Описание | Производитель | CLSID
| C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll | Скрипт: Kарантин, Удалить, Удалить через BC BHO | Adobe PDF Helper for Internet Explorer | Copyright 1984-2009 Adobe Systems Incorporated and its licensors. All rights reserved. | {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} | Удалить C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll | Скрипт: Kарантин, Удалить, Удалить через BC BHO | Adobe PDF Helper for Internet Explorer | Copyright 1984-2009 Adobe Systems Incorporated and its licensors. All rights reserved. | {18DF081C-E8AD-4283-A596-FA578C2EBDC3} | Удалить C:\Program Files\AVG\AVG8\avgssie.dll | Скрипт: Kарантин, Удалить, Удалить через BC BHO | {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} | Удалить BHO | {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} | Удалить C:\Program Files\RapidSolution\Tunebite\plugins\IE\TB_WebRipIePlugin.dll | Скрипт: Kарантин, Удалить, Удалить через BC BHO | WebRip Plugin for Internet Explorer | (C) RapidSolution 2007 | {AA102584-3B97-47e7-B9BC-75D54C110A7D} | Удалить C:\Program Files\WebMoney Advisor\wmadvisor.dll | Скрипт: Kарантин, Удалить, Удалить через BC BHO | WM Toolbar Engine | Copyright © 2001-2008. All rights reserved. | {B4806C1A-FE8A-4008-9DA3-8CEDB6E82C10} | Удалить C:\Program Files\Java\jre6\bin\jp2ssv.dll | Скрипт: Kарантин, Удалить, Удалить через BC BHO | Java(TM) Platform SE binary | Copyright © 2004 | {DBC80044-A445-435b-BC74-9C25C1C588A9} | Удалить BHO | {E33CF602-D945-461A-83F0-819F76A199F8} | Удалить C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll | Скрипт: Kарантин, Удалить, Удалить через BC BHO | Java(TM) Quick Starter binary | Copyright © 2004 | {E7E6F031-17CE-4C07-BC86-EABFE594F69C} | Удалить G:\Adblock Pro\AdblockPro.dll | Скрипт: Kарантин, Удалить, Удалить через BC BHO | IE Anti-AD Add-ons | (c) adblockpro.com. All rights reserved. | {F385C231-605B-4d8f-ACA9-DBFF765BBE17} | Удалить C:\Program Files\Rambler Assistant\ramblertoolbarU0.dll | Скрипт: Kарантин, Удалить, Удалить через BC Панель | Rambler Assistant Module | Copyright 2006-2008 | {468CD8A9-7C25-45FA-969E-3D925C689DC4} | Удалить C:\Program Files\WebMoney Advisor\wmadvisor.dll | Скрипт: Kарантин, Удалить, Удалить через BC Панель | WM Toolbar Engine | Copyright © 2001-2008. All rights reserved. | {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} | Удалить G:\PRMT8\PRMTIE\prmtie.dll | Скрипт: Kарантин, Удалить, Удалить через BC Панель | PROMT for Internet Explorer | Copyright (c) PROMT Ltd., 2003-2006 | {892E81F6-EC63-4d13-8422-835A7A05D6EB} | Удалить Плагин | {2670000A-7350-4f3c-8081-5663EE0C6C49} | Удалить C:\Program Files\WebMoney Advisor\wmadvisor.dll | Скрипт: Kарантин, Удалить, Удалить через BC Плагин | WM Toolbar Engine | Copyright © 2001-2008. All rights reserved. | {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} | Удалить G:\PRMT8\PRMTIE\options.htm | Скрипт: Kарантин, Удалить, Удалить через BC Плагин | {4034D172-4C52-49de-A6A1-E75F8F591FEC} | Удалить Плагин | {820C0D1D-403D-456e-A064-CFC4C635382A} | Удалить G:\Flash Decompiler Trillix\saveflash\iebt.dll | Скрипт: Kарантин, Удалить, Удалить через BC Плагин | Swf capturer plugin for IE | (c) Eltima. All rights reserved. | {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} | Удалить G:\Flash Decompiler Trillix\saveflash\iebt.dll | Скрипт: Kарантин, Удалить, Удалить через BC Плагин | Swf capturer plugin for IE | (c) Eltima. All rights reserved. | {92780B25-18CC-41C8-B9BE-3C9C571A8263} | Удалить G:\PRMT8\PRMTIE\prmtie5.htm | Скрипт: Kарантин, Удалить, Удалить через BC Плагин | {A2DA13D5-AC77-43b7-963B-40445EBCB8E0} | Удалить Плагин | {AE3F5668-6308-46c4-9E5F-D7645E1FED55} | Удалить C:\Program Files\FlashGet\FlashGet.exe | Скрипт: Kарантин, Удалить, Удалить через BC Плагин | {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} | Удалить Плагин | {E7FD3540-AB30-40f1-91E7-101F733C1FD5} | Удалить C:\Program Files\Messenger\msmsgs.exe | Скрипт: Kарантин, Удалить, Удалить через BC Плагин | Windows Messenger | Copyright (c) Microsoft Corporation 2004 | {FB5F1910-F110-11d2-BB9E-00C04F795683} | Удалить Обнаружено элементов - 25, опознано как безопасные - 1
| | ||||||||||||||||||||||||||||||||
| Имя файла | Назначение | Описание | Производитель | CLSID
| deskpan.dll | Скрипт: Kарантин, Удалить, Удалить через BC Display Panning CPL Extension | {42071714-76d4-11d1-8b24-00a0c9068ff3}
| Shell extensions for file compression | {764BF0E1-F219-11ce-972D-00AA00A14F56}
| Encryption Context Menu | {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}
| HyperTerminal Icon Ext | {88895560-9AA2-1069-930E-00AA0030EBC8}
| Taskbar and Start Menu | {0DF44EAA-FF21-4412-828E-260A8728E7F1}
| rundll32.exe C:\WINDOWS\system32\shimgvw.dll,ImageView_COMServer {00E7B358-F65B-4dcf-83DF-CD026B94BFD4} | Скрипт: Kарантин, Удалить, Удалить через BC Autoplay for SlideShow | {00E7B358-F65B-4dcf-83DF-CD026B94BFD4}
| User Accounts | {7A9D77BD-5403-11d2-8785-2E0420524153}
| C:\WINDOWS\system32\zipfldr.dll | Скрипт: Kарантин, Удалить, Удалить через BC Compressed (zipped) Folder | Compressed (zipped) Folders | © Microsoft Corporation. All rights reserved. | {E88DCCE0-B7B3-11d1-A9F0-00AA0060FA31}
| C:\WINDOWS\system32\zipfldr.dll | Скрипт: Kарантин, Удалить, Удалить через BC Compressed (zipped) Folder Right Drag Handler | Compressed (zipped) Folders | © Microsoft Corporation. All rights reserved. | {BD472F60-27FA-11cf-B8B4-444553540000}
| C:\WINDOWS\system32\zipfldr.dll | Скрипт: Kарантин, Удалить, Удалить через BC Compressed (zipped) Folder SendTo Target | Compressed (zipped) Folders | © Microsoft Corporation. All rights reserved. | {888DCA60-FC0A-11CF-8F0F-00C04FD7D062}
| Microsoft Browser Architecture | {BC476F4C-D9D7-4100-8D4E-E043F6DEC409}
| IE User Assist | {FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75}
| C:\Program Files\WinRAR\rarext.dll | Скрипт: Kарантин, Удалить, Удалить через BC WinRAR shell extension | {B41DB860-8EE4-11D2-9906-E49FADC173CA}
| D:\Right Click Image Converter\extRCIC.dll | Скрипт: Kарантин, Удалить, Удалить через BC Right Click Image Converter Extension | {13311DA7-1D24-40e5-AE07-7E3750F5DE3C}
| C:\Program Files\Unlocker\UnlockerCOM.dll | Скрипт: Kарантин, Удалить, Удалить через BC UnlockerShellExtension | {DDE4BEEB-DDE6-48fd-8EB5-035C09923F83}
| Universal Plug and Play Devices | {e57ce731-33e8-4c51-8354-bb4de9d215d1}
| G:\CuteFTP 8 Professional\CuteShell.dll | Скрипт: Kарантин, Удалить, Удалить через BC CuteFTP 8 Professional Shell Extension | CuteFTP Shell Integration Module | (c) 1999-2008 GlobalSCAPE, Inc. All rights reserved. | {8f7261d0-d2b9-11d2-9909-00605205b24c}
| C:\Program Files\Nokia\Nokia PC Suite 7\PhoneBrowser.dll | Скрипт: Kарантин, Удалить, Удалить через BC Nokia Phone Browser | Phone Browser | Copyright © 2006-2008 Nokia. All rights reserved. | {416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A}
| G:\ABBYY FineReader 9.0\FRIntegration.dll | Скрипт: Kарантин, Удалить, Удалить через BC FineReader9ContextMenu | ABBYY FineReader Integration | Copyright(c) 1993-2008 ABBYY. | {59A3380E-5305-4cea-BD99-4F2FF510C91F}
| Shell Extension for Malware scanning | {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
| Обнаружено элементов - 226, опознано как безопасные - 206
| | |||||||||||||||||||||||||||||||||||||||||||
| Имя файла | Тип | Наименование | Описание | Производитель
| Обнаружено элементов - 9, опознано как безопасные - 9
| | ||||||
| Имя файла | Имя задания | Состояние задания | Описание | Производитель
| C:\Program Files\Apple Software Update\SoftwareUpdate.exe | Скрипт: Kарантин, Удалить, Удалить через BC AppleSoftwareUpdate.job | The task is ready to run at its next scheduled time. | Apple Software Update | (c) 2006-2008 Apple Inc. All rights reserved.
| Обнаружено элементов - 2, опознано как безопасные - 1
| | ||||||
| Поставщик | Статус | Исполняемый файл | Описание | GUID
| Обнаружено - 3, опознано как безопасные - 3
| | ||||||
| Поставщик | Исполняемый файл | Описание
| Обнаружено - 13, опознано как безопасные - 13
| | ||||||
| Имя файла | Описание | Производитель | CLSID | URL-загрузки
| C:\WINDOWS\Downloaded Program Files\WMAcceptor.dll | Скрипт: Kарантин, Удалить, Удалить через BC WMAcceptor Module | Copyright © 1998-2008 CJSC "Computer and Information Technologies" | {463ED66E-431B-11D2-ADB0-0080C83DA4EB} | Удалить https://w3s.webmoney.ru/WMAcceptor.dll
| C:\Program Files\Java\jre6\bin\jp2iexp.dll | Скрипт: Kарантин, Удалить, Удалить через BC {8AD9C840-044E-11D1-B3E9-00805F499D93} | Удалить http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab
| {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} | Удалить http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab
| C:\Program Files\Java\jre6\bin\jp2iexp.dll | Скрипт: Kарантин, Удалить, Удалить через BC {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} | Удалить http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab
| C:\Program Files\Java\jre6\bin\npjpi160_13.dll | Скрипт: Kарантин, Удалить, Удалить через BC Java Plug-in 1.6.0_13 for Netscape Navigator (DLL Helper) | Copyright © 2004 | {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} | Удалить http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab
| C:\WINDOWS\system32\Macromed\Flash\Flash10b.ocx | Скрипт: Kарантин, Удалить, Удалить через BC Adobe Flash Player 10.0 r22 | Adobe® Flash® Player. Copyright © 1996-2009 Adobe Systems Incorporated. All Rights Reserved. Protected by U.S. Patent 6,879,327; Patents Pending in the United States and other countries. Adobe and Flash are either trademarks or registered trademarks in the United States and/or other countries. | {D27CDB6E-AE6D-11CF-96B8-444553540000} | Удалить http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
| Обнаружено элементов - 6, опознано как безопасные - 0
| | |||||||||||||
| Имя файла | Описание | Производитель
| C:\WINDOWS\system32\csacpl.cpl | Скрипт: Kарантин, Удалить, Удалить через BC HSF Modem country select | Copyright© Conexant Systems, Inc. 1999-2000
| C:\WINDOWS\system32\javacpl.cpl | Скрипт: Kарантин, Удалить, Удалить через BC Java(TM) Control Panel | Copyright © 2004
| Обнаружено элементов - 26, опознано как безопасные - 24
| | ||||||
| Имя файла | Описание | Производитель | CLSID
| C:\Program Files\Common Files\LightScribe\LSRunOnce.exe | Скрипт: Kарантин, Удалить, Удалить через BC © Copyright 2003-2006 Hewlett-Packard Development Company, LP | {10880D85-AAD9-4558-ABDC-2AB1552D831F}
| C:\Program Files\PixiePack Codec Pack\InstallerHelper.exe | Скрипт: Kарантин, Удалить, Удалить через BC Copyright (C) 2008 | {B2C3BB6B-E005-4246-B8E5-DF0A4D073CDC}
| Обнаружено элементов - 17, опознано как безопасные - 15
| | ||||||||
Запись файла hosts
|
| Имя файла | Тип | Описание | Производитель | CLSID
| mscoree.dll | Скрипт: Kарантин, Удалить, Удалить через BC Protocol | Microsoft .NET Runtime Execution Engine () | © Microsoft Corporation. All rights reserved. | {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
| mscoree.dll | Скрипт: Kарантин, Удалить, Удалить через BC Protocol | Microsoft .NET Runtime Execution Engine () | © Microsoft Corporation. All rights reserved. | {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
| mscoree.dll | Скрипт: Kарантин, Удалить, Удалить через BC Protocol | Microsoft .NET Runtime Execution Engine () | © Microsoft Corporation. All rights reserved. | {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
| Обнаружено элементов - 31, опознано как безопасные - 28
| | ||||||
| Файл | Описание | Тип |
Версия Microsoft Windows: Microsoft Windows XP, Build=2600, SP="Service Pack 2" Восстановление системы: включено 1.1 Поиск перехватчиков API, работающих в пользовательском режиме Анализ kernel32.dll, таблица экспорта найдена в секции .text Функция kernel32.dll:CreateProcessA (99) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C802367->61F03F42 Перехватчик kernel32.dll:CreateProcessA (99) нейтрализован Функция kernel32.dll:CreateProcessW (103) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C802332->61F04040 Перехватчик kernel32.dll:CreateProcessW (103) нейтрализован Функция kernel32.dll:FreeLibrary (241) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AA66->61F041FC Перехватчик kernel32.dll:FreeLibrary (241) нейтрализован Функция kernel32.dll:GetModuleFileNameA (372) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80B357->61F040FB Перехватчик kernel32.dll:GetModuleFileNameA (372) нейтрализован Функция kernel32.dll:GetModuleFileNameW (373) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80B25D->61F041A0 Перехватчик kernel32.dll:GetModuleFileNameW (373) нейтрализован Функция kernel32.dll:GetProcAddress (408) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AC28->61F04648 Перехватчик kernel32.dll:GetProcAddress (408) нейтрализован Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D77->61F03C6F Перехватчик kernel32.dll:LoadLibraryA (578) нейтрализован >>> Функции LoadLibraryA - прививка процесса AVZ от перехвата подменой адреса !!) Функция kernel32.dll:LoadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D4F->61F03DAF Перехватчик kernel32.dll:LoadLibraryExA (579) нейтрализован >>> Функции LoadLibraryExA - прививка процесса AVZ от перехвата подменой адреса !!) Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF1->61F03E5A Перехватчик kernel32.dll:LoadLibraryExW (580) нейтрализован Функция kernel32.dll:LoadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80ACD3->61F03D0C Перехватчик kernel32.dll:LoadLibraryW (581) нейтрализован Обнаружена модификация IAT: LoadLibraryW - 00C10010<>7C80ACD3 Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в привилегированном режиме Драйвер успешно загружен SDT найдена (RVA=082B80) Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000 SDT = 80559B80 KiST = 804E2D20 (284) Проверено функций: 284, перехвачено: 0, восстановлено: 0 1.3 Проверка IDT и SYSENTER Анализ для процессора 1 Проверка IDT и SYSENTER завершена 1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM Драйвер успешно загружен 1.5 Проверка обработчиков IRP \FileSystem\ntfs[IRP_MJ_CREATE] = 8236E1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_CLOSE] = 8236E1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_WRITE] = 8236E1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8236E1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8236E1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8236E1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_EA] = 8236E1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8236E1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8236E1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8236E1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8236E1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8236E1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8236E1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8236E1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8236E1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_PNP] = 8236E1F8 -> перехватчик не определен Проверка завершена >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Отключить автозапуск с CD-ROM >> Отключено автоматическое обновление системы (Windows Update) Выполняется исследование системы...Добавить в скрипт команды:
Команды скрипта