AVZ 4.32 http://z-oleg.com/secur/avz/
| Имя файла | PID | Описание | Copyright | MD5 | Информация
| c:\program files\avira\antivir desktop\avguard.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 780 | Antivirus On-Access Service | Copyright © 2000 - 2009 Avira GmbH. All rights reserved. | ?? | 180,75 кб, rsAh, | создан: 25.06.2009 18:27:06, изменен: 05.08.2009 13:25:09 Командная строка: "C:\Program Files\Avira\AntiVir Desktop\avguard.exe" c:\program files\valve\hl.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 4064 | Half-Life Launcher | Copyright (c) 1996-2003 | ?? | 80,00 кб, rsAh, | создан: 05.10.2009 13:43:06, изменен: 22.11.2005 18:33:30 Командная строка: "C:\Program Files\Valve\hl.exe" -game cstrike -dev -noforcemaccel -noforcemparms c:\program files\rocketdock\rocketdock.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 900 | | | ?? | 484,00 кб, rsAh, | создан: 27.05.2008 17:58:57, изменен: 02.09.2007 12:58:52 Командная строка: "C:\Program Files\RocketDock\RocketDock.exe" c:\windows\system32\svchost.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2164 | Generic Host Process for Win32 Services | © Microsoft Corporation. All rights reserved. | ?? | 14,00 кб, rsAh, | создан: 17.08.2004 15:05:08, изменен: 17.08.2004 15:05:08 Командная строка: svchost.exe c:\program files\webmoney agent\wmagent.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 724 | | | ?? | 205,47 кб, rsAh, | создан: 19.10.2009 13:47:30, изменен: 19.10.2009 13:47:30 Командная строка: "C:\Program Files\WebMoney Agent\wmagent.exe" Обнаружено:28, из них опознаны как безопасные 27
| | |||||
| Модуль | Базовый адрес | Размер в памяти | Описание | Производитель
| spoy.sys | Скрипт: Kарантин, Удалить, Удалить через BC F7410000 | 0FD000 (1036288) |
| Обнаружено модулей - 126, опознано как безопасные - 125
| | |||||
| Служба | Описание | Статус | Файл | Группа | Зависимости
| Обнаружено - 30, опознано как безопасные - 30
| | ||||||
| Служба | Описание | Статус | Файл | Группа | Зависимости
| sptd | Драйвер: Выгрузить, Удалить, Отключить sptd | Работает | C:\WINDOWS\System32\Drivers\sptd.sys | Скрипт: Kарантин, Удалить, Удалить через BC Boot Bus Extender |
| Обнаружено - 89, опознано как безопасные - 88
| | ||||||
| Имя файла | Статус | Метод запуска | Описание
| C:\Documents and Settings\King Maxim\Application Data\Microsoft\Internet Explorer\Quick Launch\setup.ini | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Файл в папке автозагрузки | C:\Documents and Settings\King Maxim\Application Data\Microsoft\Internet Explorer\Quick Launch\, C:\Documents and Settings\King Maxim\Application Data\Microsoft\Internet Explorer\Quick Launch\setup.ini,
| C:\Documents and Settings\King Maxim\Application Data\Microsoft\Internet Explorer\Quick Launch\tlbdata.xml | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Файл в папке автозагрузки | C:\Documents and Settings\King Maxim\Application Data\Microsoft\Internet Explorer\Quick Launch\, C:\Documents and Settings\King Maxim\Application Data\Microsoft\Internet Explorer\Quick Launch\tlbdata.xml,
| C:\Program Files\Bonjour\mDNSResponder.exe | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Bonjour Service, EventMessageFile | Удалить C:\Program Files\WebMoney Agent\wmagent.exe | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, wmagent.exe | Удалить C:\WINDOWS\System32\hidserv.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\HidServ\Parameters, ServiceDll | Удалить C:\WINDOWS\System32\igmpv2.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IGMPv2, EventMessageFile | Удалить C:\WINDOWS\System32\ipbootp.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IPBOOTP, EventMessageFile | Удалить C:\WINDOWS\System32\iprip2.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IPRIP2, EventMessageFile | Удалить C:\WINDOWS\System32\ospf.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\OSPF, EventMessageFile | Удалить C:\WINDOWS\System32\ospfmib.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\OSPFMib, EventMessageFile | Удалить C:\WINDOWS\System32\polagent.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\PolicyAgent, EventMessageFile | Удалить C:\WINDOWS\System32\tssdis.exe | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\TermServSessDir, EventMessageFile | Удалить C:\WINDOWS\system32\MsSip1.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\MS Subjects 1, $DLL | Удалить C:\WINDOWS\system32\MsSip2.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\MS Subjects 2, $DLL | Удалить C:\WINDOWS\system32\MsSip3.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\MS Subjects 3, $DLL | Удалить C:\WINDOWS\system32\psxss.exe | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix
| C:\WINDOWS\system32\servises.exe | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run, servises | Удалить C:\WINDOWS\system32\servises.exe | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run, servises | Удалить C:\WINDOWS\system32\stisvc.exe | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System, EventMessageFile | Удалить Z:\usr\local\mysql5\bin\mysqld.exe | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\MySQL, EventMessageFile | Удалить c:\windows\system32\winagent.exe | Скрипт: Kарантин, Удалить, Удалить через BC Отключен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run-, Microsoft Internet Agent | Удалить kbd101.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\i8042prt\Parameters, LayerDriver JPN | Удалить kbd101a.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\i8042prt\Parameters, LayerDriver KOR | Удалить mvfs32.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_USERS, .DEFAULT\Control Panel\IOProcs, MVB | Удалить mvfs32.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_USERS, S-1-5-19\Control Panel\IOProcs, MVB | Удалить mvfs32.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_USERS, S-1-5-20\Control Panel\IOProcs, MVB | Удалить mvfs32.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_USERS, S-1-5-18\Control Panel\IOProcs, MVB | Удалить mvfs32.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_CURRENT_USER, Control Panel\IOProcs, MVB | Удалить vgafix.fon | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fixedfon.fon | Удалить vgaoem.fon | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, oemfonts.fon | Удалить vgasys.fon | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fonts.fon | Удалить Обнаружено элементов автозапуска - 540, опознано как безопасные - 509
| | ||||||
| Имя файла | Тип | Описание | Производитель | CLSID
| Модуль расширения | {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} | Удалить Модуль расширения | {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} | Удалить Обнаружено элементов - 16, опознано как безопасные - 14
| | ||||||||||||
| Имя файла | Назначение | Описание | Производитель | CLSID
| Панель задач и меню ''Пуск'' | {0DF44EAA-FF21-4412-828E-260A8728E7F1} | Удалить rundll32.exe C:\WINDOWS\system32\shimgvw.dll,ImageView_COMServer {00E7B358-F65B-4dcf-83DF-CD026B94BFD4} | Скрипт: Kарантин, Удалить, Удалить через BC Autoplay for SlideShow | {00E7B358-F65B-4dcf-83DF-CD026B94BFD4} | Удалить Учетные записи пользователей | {7A9D77BD-5403-11d2-8785-2E0420524153} | Удалить Обнаружено элементов - 205, опознано как безопасные - 202
| | ||||||||||||||
| Имя файла | Тип | Наименование | Описание | Производитель
| Обнаружено элементов - 9, опознано как безопасные - 9
| | ||||||
| Имя файла | Имя задания | Состояние задания | Описание | Производитель
| C:\Documents and Settings\King Maxim\Local Settings\Application Data\Google\Update\GoogleUpdate.exe | Скрипт: Kарантин, Удалить, Удалить через BC GoogleUpdateTaskUser.job | The task has not yet run. |
| Обнаружено элементов - 1, опознано как безопасные - 0
| | |||||||
| Поставщик | Статус | Исп. файл | Описание | GUID
| mdnsNSP | C:\Program Files\Bonjour\mdnsNSP.dll | Скрипт: Kарантин, Удалить, Удалить через BC | {B600E6E9-553B-4A19-8696-335E5C896153}
| Обнаружено - 4, опознано как безопасные - 3
| | |||||||
| Поставщик | Исп. файл | Описание
| Обнаружено - 17, опознано как безопасные - 17
| | ||||||
| Имя файла | Описание | Производитель | CLSID | URL загрузки
| {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} | Удалить http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab
| Обнаружено элементов - 4, опознано как безопасные - 3
| | |||||||||
| Имя файла | Описание | Производитель
| Обнаружено элементов - 27, опознано как безопасные - 27
| | ||||||
| Имя файла | Описание | Производитель | CLSID
| Обнаружено элементов - 15, опознано как безопасные - 15
| | ||||||
Запись файла Hosts
|
| Имя файла | Тип | Описание | Производитель | CLSID
| mscoree.dll | Скрипт: Kарантин, Удалить, Удалить через BC Protocol | Microsoft .NET Runtime Execution Engine () | © Microsoft Corporation. All rights reserved. | {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
| mscoree.dll | Скрипт: Kарантин, Удалить, Удалить через BC Protocol | Microsoft .NET Runtime Execution Engine () | © Microsoft Corporation. All rights reserved. | {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
| mscoree.dll | Скрипт: Kарантин, Удалить, Удалить через BC Protocol | Microsoft .NET Runtime Execution Engine () | © Microsoft Corporation. All rights reserved. | {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
| Обнаружено элементов - 30, опознано как безопасные - 27
| | ||||||
| Файл | Описание | Тип
| C:\WINDOWS\System32\DRIVERS\cmdmon.sys | Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit | Перехватчик KernelMode
| spoy.sys | Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit | Перехватчик KernelMode
| D:\PDA\Документация\FAQ_sgh_i710.chm | Скрипт: Kарантин, Удалить, Удалить через BC Подозрение эвристического анализа | >>> Опасно - исполняемый файл в CHM файле - возможно, маскировка исполняемого файла
| D:\PDA\Новые\spb.mobile.shell.3.kg.rar | Скрипт: Kарантин, Удалить, Удалить через BC Вредоносный объект | Trojan-Downloader.Win32.Agent.bzoe
| |
Протокол антивирусной утилиты AVZ версии 4.32
Сканирование запущено в 01.11.2009 16:53:28
Загружена база: сигнатуры - 247554, нейропрофили - 2, микропрограммы лечения - 56, база от 31.10.2009 09:42
Загружены микропрограммы эвристики: 374
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 151774
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
Восстановление системы: Отключено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082480)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559480
KiST = 804E26A8 (284)
Функция NtConnectPort (1F) перехвачена (805894AD->BA7430D2), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасный
Функция NtCreateFile (25) перехвачена (80570D48->BA745302), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасный
Функция NtCreateKey (29) перехвачена (8056E761->F7C39CB6), перехватчик не определен
Функция NtCreatePort (2E) перехвачена (805963A9->BA74302C), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасный
Функция NtCreateSection (32) перехвачена (8056441B->BA743AAE), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасный
Функция NtCreateThread (35) перехвачена (8057B1C5->F7C39CAC), перехватчик не определен
Функция NtDeleteFile (3E) перехвачена (805D3C07->BA744CB0), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасный
Функция NtDeleteKey (3F) перехвачена (80590F78->F7C39CBB), перехватчик не определен
Функция NtDeleteValueKey (41) перехвачена (8058E9FA->F7C39CC5), перехватчик не определен
Функция NtEnumerateKey (47) перехвачена (8056EE68->F742ECA2), перехватчик spoy.sys
Функция NtEnumerateValueKey (49) перехвачена (8057EB28->F742F030), перехватчик spoy.sys
Функция NtLoadKey (62) перехвачена (805AACF0->F7C39CCA), перехватчик не определен
Функция NtOpenKey (77) перехвачена (80567AFB->F74110C0), перехватчик spoy.sys
Функция NtOpenProcess (7A) перехвачена (80573C96->F7C39C98), перехватчик не определен
Функция NtOpenSection (7D) перехвачена (8057769B->BA7439E0), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасный
Функция NtOpenThread (80) перехвачена (80588974->F7C39C9D), перехватчик не определен
Функция NtQueryKey (A0) перехвачена (8056EB71->F742F108), перехватчик spoy.sys
Функция NtQueryValueKey (B1) перехвачена (8056B0BB->F742EF88), перехватчик spoy.sys
Функция NtReplaceKey (C1) перехвачена (8064D232->F7C39CD4), перехватчик не определен
Функция NtRestoreKey (CC) перехвачена (8064BD56->F7C39CCF), перехватчик не определен
Функция NtSetContextThread (D5) перехвачена (8062C143->BA742BB4), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасный
Функция NtSetInformationFile (E0) перехвачена (80577E2C->BA744DE0), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасный
Функция NtSetValueKey (F7) перехвачена (80574C1D->F7C39CC0), перехватчик не определен
Функция NtShutdownSystem (F9) перехвачена (80645557->BA743FA0), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасный
Функция NtTerminateProcess (101) перехвачена (80582C2B->F7C39CA7), перехватчик не определен
Функция NtWriteFile (112) перехвачена (805780D5->BA74514A), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасный
Функция NtWriteFileGather (113) перехвачена (805D62EE->BA744FB4), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасный
Проверено функций: 284, перехвачено: 27, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 82F6E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 82F6E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 82F6E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 82F6E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 82F6E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 82F6E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 82F6E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 82F6E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 82F6E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 82F6E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 82F6E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 82F6E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 82F6E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 82F6E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 82F6E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 82F6E1F8 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 31
Количество загруженных модулей: 266
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Documents and Settings\King Maxim\Local Settings\Application Data\Opera\Opera\vps\0000\wb.vx
Прямое чтение C:\Documents and Settings\King Maxim\Local Settings\Application Data\Opera\Opera\vps\0001\wb.vx
Прямое чтение C:\Documents and Settings\King Maxim\Local Settings\Application Data\Opera\Opera\vps\0002\wb.vx
Прямое чтение C:\Documents and Settings\King Maxim\Local Settings\Application Data\Opera\Opera\vps\0003\wb.vx
Прямое чтение C:\Documents and Settings\King Maxim\Local Settings\Application Data\Opera\Opera\vps\0004\wb.vx
Прямое чтение C:\Documents and Settings\King Maxim\Local Settings\Application Data\Opera\Opera\vps\0005\wb.vx
Прямое чтение C:\Documents and Settings\King Maxim\Local Settings\Application Data\Opera\Opera\vps\0006\wb.vx
Прямое чтение C:\Documents and Settings\King Maxim\Local Settings\Application Data\Opera\Opera\vps\0007\wb.vx
Прямое чтение C:\Documents and Settings\King Maxim\Local Settings\Application Data\Opera\Opera\vps\0008\wb.vx
Прямое чтение C:\Documents and Settings\King Maxim\Local Settings\Application Data\Opera\Opera\vps\0009\wb.vx
Прямое чтение C:\Documents and Settings\King Maxim\Local Settings\Temp\~DF4169.tmp
Прямое чтение C:\Program Files\Opera\skin\standard_skin.zip
Прямое чтение C:\Program Files\Total Commander\Plugins\wlx\Imagine\Imagine.dll
Прямое чтение C:\Program Files\uTorrent Extreme Leecher Edition\Azureus 2504\uTorrent Extreme LE (Original).exe
Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys
D:\PDA\Документация\FAQ_sgh_i710.chm/{CHM}//Tip & Tweak (настройка Рё твики системы)/Убираем выскакивающее сообщение Рѕ переадресации.files/dci710notify.exe >>> Опасно - исполняемый файл в CHM файле - возможно, маскировка исполняемого файла
D:\PDA\Новые\spb.mobile.shell.3.kg.rar/{RAR}/cr-keymaker.exe >>>>> Trojan-Downloader.Win32.Agent.bzoe
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Ошибка LSP NameSpace: "mdnsNSP" --> отсутствует файл C:\Program Files\Bonjour\mdnsNSP.dll
Внимание ! Обнаружены ошибки в SPI/LSP. Количество ошибок - 1
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Нестандартный ключ Winlogon\Shell, подозрение на скрытый запуск "explorer.exe rundll32.exe dckp.suo printer"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
>> Модифицирован ключ запуска проводника
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 85370, извлечено из архивов: 59260, найдено вредоносных программ 1, подозрений - 0
Сканирование завершено в 01.11.2009 17:46:51
Сканирование длилось 00:53:25
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info
Команды скрипта
Добавить в скрипт команды: