Протокол исследования системы

Kaspersky Virus Removal Tool 2010 9.0.0.722 (база от 09/03/2010; 00:26)

Список процессов

Имя файла	PID	Описание	Copyright	MD5	Информация
c:\program files\drweb\drwebupw.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	2312	DrWU	Copyright © mr_eoi 2004/2009	??	58.50 КБ, rsAh, создан: 02.02.2010 18:57:04, изменен: 02.02.2010 19:55:25 Командная строка: "C:\Program Files\DrWeb\DrWebUpW.exe"
c:\windows\explorer.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1804	Проводник	© Корпорация Майкрософт. Все права защищены.	??	2572.00 КБ, rsAh, создан: 06.10.2009 4:48:11, изменен: 01.02.2010 13:58:08 Командная строка: C:\Windows\Explorer.EXE
c:\program files\killsoft\hkm\hkm.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	2212		Killer{R}	??	561.50 КБ, rsAh, создан: 12.03.2010 19:55:40, изменен: 12.03.2010 19:55:45 Командная строка: "C:\Program Files\KillSoft\HKM\hkm.exe"
f:\program files\opera ac 3.6\opera.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	2920	Opera Internet Browser	Copyright © Opera Software 1995-2009	??	100.00 КБ, rsAh, создан: 31.01.2010 11:52:04, изменен: 02.02.2010 20:06:58 Командная строка: "F:\Program Files\Opera AC 3.6\opera.exe"
c:\program files\godlike developers\ram saver professional\ramsaverpro.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	2080			??	196.50 КБ, rsAh, создан: 22.02.2010 13:26:36, изменен: 19.02.2009 17:47:38 Командная строка: "C:\Program Files\Godlike Developers\RAM Saver Professional\ramsaverpro.exe"
c:\windows\system32\taskhost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1796	Хост-процесс для задач Windows	© Корпорация Майкрософт. Все права защищены.	??	51.00 КБ, rsAh, создан: 31.01.2010 11:52:04, изменен: 01.02.2010 13:42:11 Командная строка: "taskhost.exe"
c:\program files\virtual cd v10\system\vc10secs.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1892	Virtual CD - Management Service	Copyright © 2001 - 2008 by H+H Software GmbH	??	141.82 КБ, rsAh, создан: 31.10.2009 22:21:24, изменен: 08.10.2009 11:24:48 Командная строка: "C:\Program Files\Virtual CD v10\System\VC10SecS.exe"
c:\windows\system32\wuauclt.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	3504	Windows Update	© Microsoft Corporation. All rights reserved.	??	49.00 КБ, rsAh, создан: 31.01.2010 11:52:04, изменен: 01.02.2010 13:43:27 Командная строка: "C:\Windows\system32\wuauclt.exe"
Обнаружено:44, из них опознаны как безопасные 37

Имя модуля	Handle	Описание	Copyright	MD5	Используется процессами
C:\Program Files\DrWeb\DrWebUpW.exe Скрипт: Kарантин, Удалить, Удалить через BC	4194304	DrWU	Copyright © mr_eoi 2004/2009	??	2312
C:\Program Files\Godlike Developers\RAM Saver Professional\ramsaverpro.exe Скрипт: Kарантин, Удалить, Удалить через BC	4194304			??	2080
C:\Program Files\KillSoft\HKM\hkm.exe Скрипт: Kарантин, Удалить, Удалить через BC	4194304		Killer{R}	??	2212
C:\Program Files\KillSoft\HKM\hkmctr.dll Скрипт: Kарантин, Удалить, Удалить через BC	3407872			--	2212
C:\Program Files\Virtual CD v10\System\BCGCBPRO103090.dll Скрипт: Kарантин, Удалить, Удалить через BC	7471104	BCGControlBar Professional DLL	Copyright (c) 2000-2009 BCGSoft Ltd. All rights reserved	--	1892
C:\Windows\Explorer.EXE Скрипт: Kарантин, Удалить, Удалить через BC	16777216	Проводник	© Корпорация Майкрософт. Все права защищены.	??	1804
C:\Windows\system32\Bs2Res.dll Скрипт: Kарантин, Удалить, Удалить через BC	127074304	Bluetooth Application	Copyright (C) IVT Corp. 2002-2008.	--	1804
C:\Windows\system32\BsCommon.dll Скрипт: Kарантин, Удалить, Удалить через BC	1696595968	Bluetooth Application	Copyright (C) IVT Corp. 2002-2008.	--	1804
C:\Windows\system32\BsMobileSDK.dll Скрипт: Kарантин, Удалить, Удалить через BC	128778240	Bluetooth Application	Copyright (C) IVT Corp. 2002-2008.	--	1804
C:\Windows\system32\BsSDK.dll Скрипт: Kарантин, Удалить, Удалить через BC	1699741696	Bluetooth Application	Copyright (C) IVT Corp. 2002-2008.	--	1804
C:\Windows\system32\taskhost.exe Скрипт: Kарантин, Удалить, Удалить через BC	16777216	Хост-процесс для задач Windows	© Корпорация Майкрософт. Все права защищены.	??	1796
C:\Windows\system32\wuauclt.exe Скрипт: Kарантин, Удалить, Удалить через BC	4194304	Windows Update	© Microsoft Corporation. All rights reserved.	??	3504
F:\Program Files\Opera AC 3.6\opera.exe Скрипт: Kарантин, Удалить, Удалить через BC	4194304	Opera Internet Browser	Copyright © Opera Software 1995-2009	??	2920
Обнаружено модулей:526, из них опознаны как безопасные 513

Модули пространства ядра

Плагин	Базовый адрес	Размер в памяти	Описание	Производитель
C:\Windows\System32\Drivers\dump_atapi.sys Скрипт: Kарантин, Удалить, Удалить через BC	82520000	009000 (36864)
C:\Windows\System32\Drivers\dump_dumpata.sys Скрипт: Kарантин, Удалить, Удалить через BC	82515000	00B000 (45056)
C:\Windows\System32\Drivers\dump_dumpfve.sys Скрипт: Kарантин, Удалить, Удалить через BC	82529000	011000 (69632)
C:\Windows\System32\Drivers\spav.sys Скрипт: Kарантин, Удалить, Удалить через BC	87A7F000	0F3000 (995328)
Обнаружено модулей - 218, опознано как безопасные - 214

Службы

Служба	Описание	Статус	Файл	Группа	Зависимости
2GIS UpdateClientService Служба: Стоп, Удалить, Отключить	2GIS UpdateClientService	Не запущен	C:\Windows\TEMP\VRT7A39.tmp Скрипт: Kарантин, Удалить, Удалить через BC		RPCSS
acssrv Служба: Стоп, Удалить, Отключить	acssrv	Не запущен	C:\Windows\TEMP\VRT7A39.tmp Скрипт: Kарантин, Удалить, Удалить через BC
ALG Служба: Стоп, Удалить, Отключить	ALG	Не запущен	C:\Windows\System32\alg.exe Скрипт: Kарантин, Удалить, Удалить через BC
AsSysCtrlService Служба: Стоп, Удалить, Отключить	AsSysCtrlService	Не запущен	C:\Program Files\ASUS\AsSysCtrlService\1.00.02\AsSysCtrlService.exe Скрипт: Kарантин, Удалить, Удалить через BC
astcc Служба: Стоп, Удалить, Отключить	astcc	Не запущен	C:\Windows\system32\ASTSRV.EXE Скрипт: Kарантин, Удалить, Удалить через BC
ehRecvr Служба: Стоп, Удалить, Отключить	ehRecvr	Не запущен	C:\Windows\ehome\ehRecvr.exe Скрипт: Kарантин, Удалить, Удалить через BC		RPCSS
ehSched Служба: Стоп, Удалить, Отключить	ehSched	Не запущен	C:\Windows\ehome\ehsched.exe Скрипт: Kарантин, Удалить, Удалить через BC		RPCSS
Fax Служба: Стоп, Удалить, Отключить	Факс	Не запущен	C:\Windows\system32\fxssvc.exe Скрипт: Kарантин, Удалить, Удалить через BC		TapiSrv
FLEXnet Licensing Service Служба: Стоп, Удалить, Отключить	FLEXnet Licensing Service	Не запущен	C:\Windows\TEMP\VRTFE7C.tmp Скрипт: Kарантин, Удалить, Удалить через BC
FWEUNRQX Служба: Стоп, Удалить, Отключить	FWEUNRQX	Не запущен	C:\Users\73B5~1\AppData\Local\Temp\FWEUNRQX.exe Скрипт: Kарантин, Удалить, Удалить через BC
FXLWRKXFTDSIMB Служба: Стоп, Удалить, Отключить	FXLWRKXFTDSIMB	Не запущен	C:\Users\73B5~1\AppData\Local\Temp\FXLWRKXFTDSIMB.exe Скрипт: Kарантин, Удалить, Удалить через BC
IDriverT Служба: Стоп, Удалить, Отключить	InstallDriver Table Manager	Не запущен	C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe Скрипт: Kарантин, Удалить, Удалить через BC
mi-raysat_3dsmax2010_32 Служба: Стоп, Удалить, Отключить	mental ray 3.7 Satellite for Autodesk 3ds Max Design 2010 32-bit 32-bit	Не запущен	mi-raysat_3dsmax2010_32.sys Скрипт: Kарантин, Удалить, Удалить через BC
MSDTC Служба: Стоп, Удалить, Отключить	Координатор распределенных транзакций	Не запущен	C:\Windows\System32\msdtc.exe Скрипт: Kарантин, Удалить, Удалить через BC		RPCSS
msiserver Служба: Стоп, Удалить, Отключить	Установщик Windows	Не запущен	C:\Windows\system32\msiexec.exe Скрипт: Kарантин, Удалить, Удалить через BC		rpcss
MsMpSvc Служба: Стоп, Удалить, Отключить	MsMpSvc	Не запущен	MsMpSvc.sys Скрипт: Kарантин, Удалить, Удалить через BC	COM Infrastructure	RpcSs
prio_svc Служба: Стоп, Удалить, Отключить	Prio Service	Не запущен	prio_svc.sys Скрипт: Kарантин, Удалить, Удалить через BC
ServiceLayer Служба: Стоп, Удалить, Отключить	ServiceLayer	Не запущен	C:\Program Files\PC Connectivity Solution\ServiceLayer.exe Скрипт: Kарантин, Удалить, Удалить через BC		RPCSS
SNMPTRAP Служба: Стоп, Удалить, Отключить	Ловушка SNMP	Не запущен	C:\Windows\System32\snmptrap.exe Скрипт: Kарантин, Удалить, Удалить через BC
Spooler Служба: Стоп, Удалить, Отключить	Диспетчер печати	Не запущен	C:\Windows\System32\spoolsv.exe Скрипт: Kарантин, Удалить, Удалить через BC	SpoolerGroup	RPCSS
StarWindServiceAE Служба: Стоп, Удалить, Отключить	StarWind AE Service	Не запущен	StarWindServiceAE.sys Скрипт: Kарантин, Удалить, Удалить через BC
UFPHHOTGYRZ Служба: Стоп, Удалить, Отключить	UFPHHOTGYRZ	Не запущен	C:\Users\73B5~1\AppData\Local\Temp\UFPHHOTGYRZ.exe Скрипт: Kарантин, Удалить, Удалить через BC
UI0Detect Служба: Стоп, Удалить, Отключить	Обнаружение интерактивных служб	Не запущен	C:\Windows\system32\UI0Detect.exe Скрипт: Kарантин, Удалить, Удалить через BC
vds Служба: Стоп, Удалить, Отключить	Виртуальный диск	Не запущен	C:\Windows\System32\vds.exe Скрипт: Kарантин, Удалить, Удалить через BC		RpcSs
wbengine Служба: Стоп, Удалить, Отключить	Служба модуля архивации на уровне блоков	Не запущен	C:\Windows\system32\wbengine.exe Скрипт: Kарантин, Удалить, Удалить через BC
wmiApSrv Служба: Стоп, Удалить, Отключить	WMI Performance Adapter	Не запущен	C:\Windows\system32\wbem\WmiApSrv.exe Скрипт: Kарантин, Удалить, Удалить через BC
WMPNetworkSvc Служба: Стоп, Удалить, Отключить	Служба общих сетевых ресурсов проигрывателя Windows Media	Не запущен	C:\Program Files\Windows Media Player\wmpnetwk.exe Скрипт: Kарантин, Удалить, Удалить через BC		http
WSearch Служба: Стоп, Удалить, Отключить	Windows Search	Не запущен	C:\Windows\system32\SearchIndexer.exe Скрипт: Kарантин, Удалить, Удалить через BC		RPCSS
ZGIA Служба: Стоп, Удалить, Отключить	ZGIA	Не запущен	C:\Users\73B5~1\AppData\Local\Temp\ZGIA.exe Скрипт: Kарантин, Удалить, Удалить через BC
ZRHTJR Служба: Стоп, Удалить, Отключить	ZRHTJR	Не запущен	C:\Users\73B5~1\AppData\Local\Temp\ZRHTJR.exe Скрипт: Kарантин, Удалить, Удалить через BC
Обнаружено - 170, опознано как безопасные - 140

Драйверы

Служба	Описание	Статус	Файл	Группа	Зависимости
sptd Драйвер: Выгрузить, Удалить, Отключить	sptd	Работает	C:\Windows\System32\Drivers\sptd.sys Скрипт: Kарантин, Удалить, Удалить через BC	Boot Bus Extender
ASInsHelp Драйвер: Выгрузить, Удалить, Отключить	ASInsHelp	Не запущен	ASInsHelp.sys Скрипт: Kарантин, Удалить, Удалить через BC
diskmgr Драйвер: Выгрузить, Удалить, Отключить	diskmgr	Не запущен	diskmgr.sys Скрипт: Kарантин, Удалить, Удалить через BC
HH10Help.sys Драйвер: Выгрузить, Удалить, Отключить	HH10Help.sys	Не запущен	C:\Windows\system32\drivers\HH10Help.sys Скрипт: Kарантин, Удалить, Удалить через BC
MEMSWEEP2 Драйвер: Выгрузить, Удалить, Отключить	MEMSWEEP2	Не запущен	C:\Windows\system32\DFB8.tmp Скрипт: Kарантин, Удалить, Удалить через BC
Обнаружено - 303, опознано как безопасные - 298

Автозапуск

Имя файла	Статус	Метод запуска	Описание
C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\NeroCheck, EventMessageFile Удалить
C:\Program Files\DrWeb\DrWebUpW.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ярлык в папке автозагрузки	C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\, C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DrWU.lnk,
C:\Program Files\Godlike Developers\RAM Saver Professional\ramsaverpro.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-21-3156277259-4287603748-181186429-1000\Software\Microsoft\Windows\CurrentVersion\Run, RAMSaverPro Удалить
C:\Program Files\Graphisoft\ArchiCAD 13\ArchiCAD.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ярлык в папке автозагрузки	C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ArchiCAD 13.lnk,
C:\Program Files\JetAudio\JetAudio.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ярлык в папке автозагрузки	C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\jetAudio.lnk,
C:\Program Files\KillSoft\HKM\hkm.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-21-3156277259-4287603748-181186429-1000\Software\Microsoft\Windows\CurrentVersion\Run, HotKeyManager Удалить
C:\Program Files\\DVD Maker\DVDMaker.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Dvd Maker, EventMessageFile Удалить
C:\Program Files\\Windows Sidebar\Sidebar.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run, Sidebar Удалить
C:\Program Files\\Windows Sidebar\Sidebar.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run, Sidebar Удалить
C:\Windows\System32\EhStorAuthn.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\Microsoft-Windows-EnhancedStorage-EhStorCertDrv, EventMessageFile Удалить
C:\Windows\System32\LocationNotifications.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\LocationNotifications, EventMessageFile Удалить
C:\Windows\System32\UI0Detect.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Interactive Services detection, EventMessageFile Удалить
C:\Windows\System32\VSSVC.EXE Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Security\VSSAudit, EventMessageFile Удалить
C:\Windows\System32\cleanmgr.exe /D %c Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\cleanuppath,
C:\Windows\System32\mctadmin.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce, mctadmin Удалить
C:\Windows\System32\mctadmin.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_USERS, S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce, mctadmin Удалить
C:\Windows\System32\mdsched.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\Microsoft-Windows-MemoryDiagnostics-Schedule, EventMessageFile Удалить
C:\Windows\System32\relpost.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\Microsoft-Windows-MemoryDiagnostics-Results, EventMessageFile Удалить
C:\Windows\System32\snmptrap.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\SNMPTRAP, EventMessageFile Удалить
C:\Windows\ehome\ehRecvr.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Media Center\ehRecvr, EventMessageFile Удалить
C:\Windows\ehome\ehSched.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Media Center\ehSched, EventMessageFile Удалить
C:\Windows\system32\WINSAT.EXE Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Microsoft-Windows-WindowsSystemAssessmentTool, EventMessageFile Удалить
C:\Windows\system32\WUDFHost.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WUDF\Services\{193a1820-d9ac-4997-8c55-be817523f6aa}, HostProcessImagePath Удалить
C:\Windows\system32\cmd.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\Environment, ComSpec
C:\Windows\system32\dfrgui.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\DefragPath,
C:\Windows\system32\lpksetup.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\Microsoft-Windows-LanguagePackSetup, EventMessageFile Удалить
C:\Windows\system32\msra.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Microsoft-Windows-RemoteAssistance, EventMessageFile Удалить
C:\Windows\system32\sdclt.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\BackupPath,
C:\Windows\system32\sppsvc.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Software Protection Platform Service, EventMessageFile Удалить
C:\Windows\system32\sppsvc.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Key Management Service\KmsRequests, EventMessageFile Удалить
C:\Windows\system32\userinit.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit
Drwtsn32 -p %ld -e %ld Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\AeDebug, Debugger
F:\Games\XTCS Counter-Strike 1.6 Final Release\cstrike.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ярлык в папке автозагрузки	C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\XTCS Counter-Strike 1.6 Final Release.lnk,
SystemPropertiesPerformance.exe /pagefile Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, VmApplet
progman.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, shell Удалить
rdpclip Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd, StartupPrograms Удалить
vgafix.fon Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fixedfon.fon Удалить
vgaoem.fon Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, oemfonts.fon Удалить
vgasys.fon Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fonts.fon Удалить
Обнаружено элементов автозапуска - 585, опознано как безопасные - 546

Плагины Microsoft Internet Explorer (BHO, панели ...)

Имя файла	Тип	Описание	Производитель	CLSID
	BHO			AutorunsDisabled Удалить
	Плагин			{3CC3D8FE-F0E0-4dd1-A69A-8C56BCC7BEBF} Удалить
	Плагин			{3CC3D8FE-F0E0-4dd1-A69A-8C56BCC7BEC0} Удалить
	Плагин			{92780B25-18CC-41C8-B9BE-3C9C571A8263} Удалить
	Explorer Bar			{8BCB5337-EC01-4E38-840C-A964F174255B} Удалить
Обнаружено элементов - 10, опознано как безопасные - 5

Плагины Проводника

Имя файла	Назначение	Описание	Производитель	CLSID
	ColumnHandler			AutorunsDisabled Удалить
Обнаружено элементов - 18, опознано как безопасные - 17

Плагины системы печати (мониторы печати, провайдеры)

Имя файла	Тип	Наименование	Описание	Производитель
Обнаружено элементов - 7, опознано как безопасные - 7

Задания планировщика задач Task Scheduler

Имя файла	Имя задания	Состояние задания	Описание	Производитель
C:\Program Files\DrWeb\DrWebUpW.exe Скрипт: Kарантин, Удалить, Удалить через BC	Dr.Web Update.job	The task is ready to run at its next scheduled time.	DrWU	Copyright © mr_eoi 2004/2009
Обнаружено элементов - 3, опознано как безопасные - 2

Параметры SPI/LSP

Поставщики пространства имен (NSP)

Поставщик	Статус	Исполняемый файл	Описание	GUID
Обнаружено - 7, опознано как безопасные - 7

Поставщики транспортных протоколов (TSP, LSP)

Поставщик Исполняемый файл Описание
Обнаружено - 47, опознано как безопасные - 47
Результаты автоматического анализа параметров SPI
Параметры LSP проверены. Ошибок не обнаружено

Порты TCP/UDP

Порт Статус Remote Host Remote Port Программа Примечания
Порты TCP
135 LISTENING 0.0.0.0 0 [1072] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
139 LISTENING 0.0.0.0 0 [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445 ESTABLISHED 90.150.223.53 4345 [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445 LISTENING 0.0.0.0 0 [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49152 LISTENING 0.0.0.0 0 [708] c:\windows\system32\wininit.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49153 LISTENING 0.0.0.0 0 [1144] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49154 LISTENING 0.0.0.0 0 [808] c:\windows\system32\lsass.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49155 LISTENING 0.0.0.0 0 [1264] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49156 LISTENING 0.0.0.0 0 [764] c:\windows\system32\services.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49199 ESTABLISHED 83.133.119.206 80 [708] c:\windows\system32\wininit.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49206 CLOSE_WAIT 91.212.41.97 80 [708] c:\windows\system32\wininit.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49210 CLOSE_WAIT 93.174.92.220 80 [708] c:\windows\system32\wininit.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49563 FIN_WAIT 91.203.99.45 80 [2920] f:\program files\opera ac 3.6\opera.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49716 TIME_WAIT 74.125.43.113 80 [0]
49717 TIME_WAIT 74.125.43.113 80 [0]
49718 TIME_WAIT 74.125.43.147 80 [0]
49719 TIME_WAIT 209.85.135.102 80 [0]
49720 TIME_WAIT 93.158.134.8 80 [0]
49723 FIN_WAIT 91.203.99.45 80 [2920] f:\program files\opera ac 3.6\opera.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49724 TIME_WAIT 195.191.128.59 80 [0]
49725 TIME_WAIT 195.191.128.59 80 [0]
49727 TIME_WAIT 89.108.72.16 80 [0]
49728 TIME_WAIT 91.213.117.190 80 [0]
49729 TIME_WAIT 209.85.135.113 80 [0]
49730 TIME_WAIT 92.123.83.190 80 [0]
Порты UDP
68 LISTENING -- -- [1144] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
137 LISTENING -- -- [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138 LISTENING -- -- [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
500 LISTENING -- -- [1264] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900 LISTENING -- -- [3920] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900 LISTENING -- -- [3920] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900 LISTENING -- -- [3920] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
4500 LISTENING -- -- [1264] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
5355 LISTENING -- -- [1580] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49697 LISTENING -- -- [504] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
63838 LISTENING -- -- [3920] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
63839 LISTENING -- -- [3920] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
63840 LISTENING -- -- [3920] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
65380 LISTENING -- -- [1952] c:\program files\cfosspeed\spd.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить

Downloaded Program Files (DPF)

Имя файла Описание Производитель CLSID URL-загрузки
Обнаружено элементов - 3, опознано как безопасные - 3

Апплеты Панели управления (CPL)

Имя файла Описание Производитель
Обнаружено элементов - 24, опознано как безопасные - 24

Active Setup

Имя файла Описание Производитель CLSID
C:\Windows\system32\unregmp2.exe
Скрипт: Kарантин, Удалить, Удалить через BC Программа установки проигрывателя Windows Media (Microsoft) (C) Корпорация Майкрософт. Все права защищены. >{22d6f312-b0f6-11d0-94ab-0080c74c7e95}
C:\Windows\System32\ie4uinit.exe
Скрипт: Kарантин, Удалить, Удалить через BC Служебная программа пользовательской инициализации IE © Корпорация Майкрософт. Все права защищены. >{26923b43-4d38-484f-9b9e-de460746276c}
C:\Windows\system32\regsvr32.exe
Скрипт: Kарантин, Удалить, Удалить через BC Сервер регистрации, (C) Microsoft © Корпорация Майкрософт. Все права защищены. {2C7339CF-2B09-4501-B3F3-F3508C9228ED}
C:\Program Files\\Windows Mail\WinMail.exe
Скрипт: Kарантин, Удалить, Удалить через BC Windows Mail © Microsoft Corporation. All rights reserved. {44BBA840-CC51-11CF-AAFA-00AA00B6015C}
C:\Windows\system32\unregmp2.exe
Скрипт: Kарантин, Удалить, Удалить через BC Программа установки проигрывателя Windows Media (Microsoft) (C) Корпорация Майкрософт. Все права защищены. {6BF52A52-394A-11d3-B153-00C04F79FAA6}
C:\Windows\system32\regsvr32.exe
Скрипт: Kарантин, Удалить, Удалить через BC Сервер регистрации, (C) Microsoft © Корпорация Майкрософт. Все права защищены. {89820200-ECBD-11cf-8B85-00AA005B4340}
C:\Windows\System32\ie4uinit.exe
Скрипт: Kарантин, Удалить, Удалить через BC Служебная программа пользовательской инициализации IE © Корпорация Майкрософт. Все права защищены. {89820200-ECBD-11cf-8B85-00AA005B4383}
Обнаружено элементов - 7, опознано как безопасные - 0

Файл hosts

Запись файла hosts
127.0.0.1 www.Trenz.pl
127.0.0.1 localhost
127.0.0.1 activate.adobe.com
127.0.0.1 practivate.adobe.com
127.0.0.1 ereg.adobe.com
127.0.0.1 activate.wip3.adobe.com
127.0.0.1 wip3.adobe.com
127.0.0.1 3dns-3.adobe.com
127.0.0.1 3dns-2.adobe.com
127.0.0.1 adobe-dns.adobe.com
127.0.0.1 adobe-dns-2.adobe.com
127.0.0.1 adobe-dns-3.adobe.com
127.0.0.1 ereg.wip3.adobe.com
127.0.0.1 activate-sea.adobe.com
127.0.0.1 wwis-dubc1-vip60.adobe.com
127.0.0.1 activate-sjc0.adobe.com
127.0.0.1 adobeereg.com

Протоколы и обработчики

Имя файла Тип Описание Производитель CLSID
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Обнаружено элементов - 17, опознано как безопасные - 14

Подозрительные объекты

Файл Описание Тип
C:\Windows\system32\drivers\SandBox.sys
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на руткит Перехватчик привилегированного режима (KernelMode)

Основной скрипт исследования Версия Microsoft Windows: Windows 7 Ultimate, Build=7600, SP="" Восстановление системы: Отключено 1.1 Поиск перехватчиков API, работающих в пользовательском режиме Анализ kernel32.dll, таблица экспорта найдена в секции .text Обнаружена модификация IAT: CreateProcessA - 003C0010<>76102062 Обнаружена модификация IAT: GetModuleFileNameA - 003C0080<>76151074 Обнаружена модификация IAT: GetModuleFileNameW - 003C00F0<>761529F4 Обнаружена модификация IAT: CreateProcessW - 003C0160<>7610202D Обнаружена модификация IAT: LoadLibraryW - 003C0240<>761528B2 Обнаружена модификация IAT: LoadLibraryA - 003C0320<>76152864 Обнаружена модификация IAT: GetProcAddress - 003C0390<>76151837 Обнаружена модификация IAT: FreeLibrary - 003C0400<>761519E9 Анализ ntdll.dll, таблица экспорта найдена в секции .text Функция ntdll.dll:NtCreateFile (243) перехвачена, метод CodeHijack (метод не определен) Функция ntdll.dll:NtCreateProcess (256) перехвачена, метод CodeHijack (метод не определен) Функция ntdll.dll:NtCreateProcessEx (257) перехвачена, метод CodeHijack (метод не определен) Функция ntdll.dll:NtCreateUserProcess (270) перехвачена, метод CodeHijack (метод не определен) Функция ntdll.dll:NtDeviceIoControlFile (285) перехвачена, метод CodeHijack (метод не определен) Функция ntdll.dll:NtOpenFile (358) перехвачена, метод CodeHijack (метод не определен) Функция ntdll.dll:NtQueryInformationProcess (413) перехвачена, метод CodeHijack (метод не определен) Функция ntdll.dll:ZwCreateFile (1472) перехвачена, метод CodeHijack (метод не определен) Функция ntdll.dll:ZwCreateProcess (1485) перехвачена, метод CodeHijack (метод не определен) Функция ntdll.dll:ZwCreateProcessEx (1486) перехвачена, метод CodeHijack (метод не определен) Функция ntdll.dll:ZwCreateUserProcess (1499) перехвачена, метод CodeHijack (метод не определен) Функция ntdll.dll:ZwDeviceIoControlFile (1513) перехвачена, метод CodeHijack (метод не определен) Функция ntdll.dll:ZwOpenFile (1585) перехвачена, метод CodeHijack (метод не определен) Функция ntdll.dll:ZwQueryInformationProcess (1640) перехвачена, метод CodeHijack (метод не определен) Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Функция advapi32.dll:AddMandatoryAce (1029) перехвачена, метод ProcAddressHijack.GetProcAddress ->777624B5->75BC193A Функция advapi32.dll:I_QueryTagInformation (1361) перехвачена, метод ProcAddressHijack.GetProcAddress ->77762655->77A372D8 Функция advapi32.dll:I_ScIsSecurityProcess (1362) перехвачена, метод ProcAddressHijack.GetProcAddress ->7776268C->77A3733F Функция advapi32.dll:I_ScPnPGetServiceName (1363) перехвачена, метод ProcAddressHijack.GetProcAddress ->777626C3->77A37C40 Функция advapi32.dll:I_ScQueryServiceConfig (1364) перехвачена, метод ProcAddressHijack.GetProcAddress ->777626FA->77A35F8A Функция advapi32.dll:I_ScSendPnPMessage (1365) перехвачена, метод ProcAddressHijack.GetProcAddress ->77762732->77A35E7D Функция advapi32.dll:I_ScSendTSMessage (1366) перехвачена, метод ProcAddressHijack.GetProcAddress ->77762766->77A371C5 Функция advapi32.dll:I_ScValidatePnPService (1369) перехвачена, метод ProcAddressHijack.GetProcAddress ->77762799->77A36B9D Функция advapi32.dll:IsValidRelativeSecurityDescriptor (1389) перехвачена, метод ProcAddressHijack.GetProcAddress ->777627D1->75BB977E Функция advapi32.dll:PerfCreateInstance (1515) перехвачена, метод ProcAddressHijack.GetProcAddress ->77762858->74FF2187 Функция advapi32.dll:PerfDecrementULongCounterValue (1516) перехвачена, метод ProcAddressHijack.GetProcAddress ->77762871->74FF2A1D Функция advapi32.dll:PerfDecrementULongLongCounterValue (1517) перехвачена, метод ProcAddressHijack.GetProcAddress ->77762896->74FF2B3C Функция advapi32.dll:PerfDeleteInstance (1519) перехвачена, метод ProcAddressHijack.GetProcAddress ->777628BF->74FF2259 Функция advapi32.dll:PerfIncrementULongCounterValue (1522) перехвачена, метод ProcAddressHijack.GetProcAddress ->777628D8->74FF27B9 Функция advapi32.dll:PerfIncrementULongLongCounterValue (1523) перехвачена, метод ProcAddressHijack.GetProcAddress ->777628FD->74FF28D6 Функция advapi32.dll:PerfQueryInstance (1528) перехвачена, метод ProcAddressHijack.GetProcAddress ->77762926->74FF2373 Функция advapi32.dll:PerfSetCounterRefValue (1529) перехвачена, метод ProcAddressHijack.GetProcAddress ->7776293E->74FF2447 Функция advapi32.dll:PerfSetCounterSetInfo (1530) перехвачена, метод ProcAddressHijack.GetProcAddress ->7776295B->74FF20B0 Функция advapi32.dll:PerfSetULongCounterValue (1531) перехвачена, метод ProcAddressHijack.GetProcAddress ->77762977->74FF2565 Функция advapi32.dll:PerfSetULongLongCounterValue (1532) перехвачена, метод ProcAddressHijack.GetProcAddress ->77762996->74FF2680 Функция advapi32.dll:PerfStartProvider (1533) перехвачена, метод ProcAddressHijack.GetProcAddress ->777629B9->74FF1FED Функция advapi32.dll:PerfStartProviderEx (1534) перехвачена, метод ProcAddressHijack.GetProcAddress ->777629D1->74FF1F34 Функция advapi32.dll:PerfStopProvider (1535) перехвачена, метод ProcAddressHijack.GetProcAddress ->777629EB->74FF2026 Функция advapi32.dll:SystemFunction035 (1753) перехвачена, метод ProcAddressHijack.GetProcAddress ->77762A3C->75463EA8 Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text Функция netapi32.dll:DavAddConnection (1) перехвачена, метод ProcAddressHijack.GetProcAddress ->74183B10->742D29DD Функция netapi32.dll:DavDeleteConnection (2) перехвачена, метод ProcAddressHijack.GetProcAddress ->74183B29->742D181B Функция netapi32.dll:DavFlushFile (3) перехвачена, метод ProcAddressHijack.GetProcAddress ->74183B45->742D1713 Функция netapi32.dll:DavGetExtendedError (4) перехвачена, метод ProcAddressHijack.GetProcAddress ->74183B5A->742D2347 Функция netapi32.dll:DavGetHTTPFromUNCPath (5) перехвачена, метод ProcAddressHijack.GetProcAddress ->74183B76->742D275B Функция netapi32.dll:DavGetUNCFromHTTPPath (6) перехвачена, метод ProcAddressHijack.GetProcAddress ->74183B94->742D257D Функция netapi32.dll:DsAddressToSiteNamesA (7) перехвачена, метод ProcAddressHijack.GetProcAddress ->74183BB2->752C4A4D Функция netapi32.dll:DsAddressToSiteNamesExA (8) перехвачена, метод ProcAddressHijack.GetProcAddress ->74183BD1->752C4D79 Функция netapi32.dll:DsAddressToSiteNamesExW (9) перехвачена, метод ProcAddressHijack.GetProcAddress ->74183BF2->752C5049 Функция netapi32.dll:DsAddressToSiteNamesW (10) перехвачена, метод ProcAddressHijack.GetProcAddress ->74183C13->752C4C29 Функция netapi32.dll:DsDeregisterDnsHostRecordsA (11) перехвачена, метод ProcAddressHijack.GetProcAddress ->74183C32->752C6DD9 Функция netapi32.dll:DsDeregisterDnsHostRecordsW (12) перехвачена, метод ProcAddressHijack.GetProcAddress ->74183C57->752C6D59 Функция netapi32.dll:DsEnumerateDomainTrustsA (13) перехвачена, метод ProcAddressHijack.GetProcAddress ->74183C7C->752C6771 Функция netapi32.dll:DsEnumerateDomainTrustsW (14) перехвачена, метод ProcAddressHijack.GetProcAddress ->74183C9E->752B60BC Функция netapi32.dll:DsGetDcCloseW (15) перехвачена, метод ProcAddressHijack.GetProcAddress ->74183CC0->752C495D Функция netapi32.dll:DsGetDcNameA (16) перехвачена, метод ProcAddressHijack.GetProcAddress ->74183CD7->752C5BB2 Функция netapi32.dll:DsGetDcNameW (17) перехвачена, метод ProcAddressHijack.GetProcAddress ->74183CED->752B4CA8 Функция netapi32.dll:DsGetDcNameWithAccountA (18) перехвачена, метод ProcAddressHijack.GetProcAddress ->74183D03->752C55E9 Функция netapi32.dll:DsGetDcNameWithAccountW (19) перехвачена, метод ProcAddressHijack.GetProcAddress ->74183D24->752B4CD1 Функция netapi32.dll:DsGetDcNextA (20) перехвачена, метод ProcAddressHijack.GetProcAddress ->74183D45->752C4896 Функция netapi32.dll:DsGetDcNextW (21) перехвачена, метод ProcAddressHijack.GetProcAddress ->74183D5B->752C47ED Функция netapi32.dll:DsGetDcOpenA (22) перехвачена, метод ProcAddressHijack.GetProcAddress ->74183D71->752C473D Функция netapi32.dll:DsGetDcOpenW (23) перехвачена, метод ProcAddressHijack.GetProcAddress ->74183D87->752C46AB Функция netapi32.dll:DsGetDcSiteCoverageA (24) перехвачена, метод ProcAddressHijack.GetProcAddress ->74183D9D->752C5239 Функция netapi32.dll:DsGetDcSiteCoverageW (25) перехвачена, метод ProcAddressHijack.GetProcAddress ->74183DBB->752C5409 Функция netapi32.dll:DsGetForestTrustInformationW (26) перехвачена, метод ProcAddressHijack.GetProcAddress ->74183DD9->752C6E6F Функция netapi32.dll:DsGetSiteNameA (27) перехвачена, метод ProcAddressHijack.GetProcAddress ->74183DFF->752C5B39 Функция netapi32.dll:DsGetSiteNameW (28) перехвачена, метод ProcAddressHijack.GetProcAddress ->74183E17->752B5F24 Функция netapi32.dll:DsMergeForestTrustInformationW (29) перехвачена, метод ProcAddressHijack.GetProcAddress ->74183E2F->752C6F71 Функция netapi32.dll:DsRoleAbortDownlevelServerUpgrade (30) перехвачена, метод ProcAddressHijack.GetProcAddress ->74183E57->73CB4339 Функция netapi32.dll:DsRoleCancel (31) перехвачена, метод ProcAddressHijack.GetProcAddress ->74183E80->73CB34A9 Функция netapi32.dll:DsRoleDcAsDc (32) перехвачена, метод ProcAddressHijack.GetProcAddress ->74183E94->73CB3EAD Функция netapi32.dll:DsRoleDcAsReplica (33) перехвачена, метод ProcAddressHijack.GetProcAddress ->74183EA8->73CB3F99 Функция netapi32.dll:DsRoleDemoteDc (34) перехвачена, метод ProcAddressHijack.GetProcAddress ->74183EC1->73CB4189 Функция netapi32.dll:DsRoleDnsNameToFlatName (35) перехвачена, метод ProcAddressHijack.GetProcAddress ->74183ED7->73CB32B5 Функция netapi32.dll:DsRoleFreeMemory (36) перехвачена, метод ProcAddressHijack.GetProcAddress ->74183EF6->73CB19A9 Функция netapi32.dll:DsRoleGetDatabaseFacts (37) перехвачена, метод ProcAddressHijack.GetProcAddress ->74183F0E->73CB3651 Функция netapi32.dll:DsRoleGetDcOperationProgress (38) перехвачена, метод ProcAddressHijack.GetProcAddress ->74183F2C->73CB3351 Функция netapi32.dll:DsRoleGetDcOperationResults (39) перехвачена, метод ProcAddressHijack.GetProcAddress ->74183F50->73CB3401 Функция netapi32.dll:DsRoleGetPrimaryDomainInformation (40) перехвачена, метод ProcAddressHijack.GetProcAddress ->74183F73->73CB1F3D Функция netapi32.dll:DsRoleIfmHandleFree (41) перехвачена, метод ProcAddressHijack.GetProcAddress ->74183F9C->73CB3539 Функция netapi32.dll:DsRoleServerSaveStateForUpgrade (42) перехвачена, метод ProcAddressHijack.GetProcAddress ->74183FB7->73CB35C9 Функция netapi32.dll:DsRoleUpgradeDownlevelServer (43) перехвачена, метод ProcAddressHijack.GetProcAddress ->74183FDE->73CB4261 Функция netapi32.dll:DsValidateSubnetNameA (44) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184002->752C5AF9 Функция netapi32.dll:DsValidateSubnetNameW (45) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184021->752C49E1 Функция netapi32.dll:I_BrowserDebugCall (46) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184040->709524A9 Функция netapi32.dll:I_BrowserDebugTrace (47) перехвачена, метод ProcAddressHijack.GetProcAddress ->7418405B->70952581 Функция netapi32.dll:I_BrowserQueryEmulatedDomains (48) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184077->709529F9 Функция netapi32.dll:I_BrowserQueryOtherDomains (49) перехвачена, метод ProcAddressHijack.GetProcAddress ->7418409D->709522C1 Функция netapi32.dll:I_BrowserQueryStatistics (50) перехвачена, метод ProcAddressHijack.GetProcAddress ->741840C0->70952651 Функция netapi32.dll:I_BrowserResetNetlogonState (51) перехвачена, метод ProcAddressHijack.GetProcAddress ->741840E1->709523D1 Функция netapi32.dll:I_BrowserResetStatistics (52) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184105->70952729 Функция netapi32.dll:I_BrowserServerEnum (53) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184126->709520BF Функция netapi32.dll:I_BrowserSetNetlogonState (54) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184142->70952919 Функция netapi32.dll:I_DsUpdateReadOnlyServerDnsRecords (55) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184164->752C5569 Функция netapi32.dll:I_NetAccountDeltas (56) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184190->752C63AB Функция netapi32.dll:I_NetAccountSync (57) перехвачена, метод ProcAddressHijack.GetProcAddress ->741841AC->752C63AB Функция netapi32.dll:I_NetChainSetClientAttributes (59) перехвачена, метод ProcAddressHijack.GetProcAddress ->741841C6->752C6FA6 Функция netapi32.dll:I_NetChainSetClientAttributes2 (58) перехвачена, метод ProcAddressHijack.GetProcAddress ->741841ED->752C7029 Функция netapi32.dll:I_NetDatabaseDeltas (60) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184215->752C6391 Функция netapi32.dll:I_NetDatabaseRedo (61) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184232->752C6521 Функция netapi32.dll:I_NetDatabaseSync (63) перехвачена, метод ProcAddressHijack.GetProcAddress ->7418424D->752C6391 Функция netapi32.dll:I_NetDatabaseSync2 (62) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184268->752C639E Функция netapi32.dll:I_NetDfsGetVersion (64) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184284->75837CA1 Функция netapi32.dll:I_NetDfsIsThisADomainName (65) перехвачена, метод ProcAddressHijack.GetProcAddress ->7418429E->73F84E39 Функция netapi32.dll:I_NetGetDCList (66) перехвачена, метод ProcAddressHijack.GetProcAddress ->741842BF->752C5D9C Функция netapi32.dll:I_NetGetForestTrustInformation (67) перехвачена, метод ProcAddressHijack.GetProcAddress ->741842D7->752C6EF1 Функция netapi32.dll:I_NetLogonControl (69) перехвачена, метод ProcAddressHijack.GetProcAddress ->741842FF->752C63B8 Функция netapi32.dll:I_NetLogonControl2 (68) перехвачена, метод ProcAddressHijack.GetProcAddress ->7418431A->752C6439 Функция netapi32.dll:I_NetLogonGetDomainInfo (70) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184336->752B64A4 Функция netapi32.dll:I_NetLogonSamLogoff (71) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184357->752C6091 Функция netapi32.dll:I_NetLogonSamLogon (72) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184374->752C5F39 Функция netapi32.dll:I_NetLogonSamLogonEx (73) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184390->752C5FE1 Функция netapi32.dll:I_NetLogonSamLogonWithFlags (74) перехвачена, метод ProcAddressHijack.GetProcAddress ->741843AE->752BB22A Функция netapi32.dll:I_NetLogonSendToSam (75) перехвачена, метод ProcAddressHijack.GetProcAddress ->741843D3->752C6111 Функция netapi32.dll:I_NetLogonUasLogoff (76) перехвачена, метод ProcAddressHijack.GetProcAddress ->741843F0->752C5EC9 Функция netapi32.dll:I_NetLogonUasLogon (77) перехвачена, метод ProcAddressHijack.GetProcAddress ->7418440D->752C5E53 Функция netapi32.dll:I_NetServerAuthenticate (80) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184429->752C6191 Функция netapi32.dll:I_NetServerAuthenticate2 (78) перехвачена, метод ProcAddressHijack.GetProcAddress ->7418444A->752C6211 Функция netapi32.dll:I_NetServerAuthenticate3 (79) перехвачена, метод ProcAddressHijack.GetProcAddress ->7418446C->752B6393 Функция netapi32.dll:I_NetServerGetTrustInfo (81) перехвачена, метод ProcAddressHijack.GetProcAddress ->7418448E->752C6C61 Функция netapi32.dll:I_NetServerPasswordGet (82) перехвачена, метод ProcAddressHijack.GetProcAddress ->741844AF->752C6B61 Функция netapi32.dll:I_NetServerPasswordSet (84) перехвачена, метод ProcAddressHijack.GetProcAddress ->741844CF->752C6291 Функция netapi32.dll:I_NetServerPasswordSet2 (83) перехвачена, метод ProcAddressHijack.GetProcAddress ->741844EF->752C6311 Функция netapi32.dll:I_NetServerReqChallenge (85) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184510->752B6424 Функция netapi32.dll:I_NetServerSetServiceBits (86) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184531->7583426D Функция netapi32.dll:I_NetServerSetServiceBitsEx (87) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184552->75836D11 Функция netapi32.dll:I_NetServerTrustPasswordsGet (88) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184575->752C6BE1 Функция netapi32.dll:I_NetlogonComputeClientDigest (89) перехвачена, метод ProcAddressHijack.GetProcAddress ->7418459B->752B5C20 Функция netapi32.dll:I_NetlogonComputeServerDigest (90) перехвачена, метод ProcAddressHijack.GetProcAddress ->741845C2->752C6AEC Функция netapi32.dll:NetAddAlternateComputerName (97) перехвачена, метод ProcAddressHijack.GetProcAddress ->741845E9->74165B21 Функция netapi32.dll:NetAddServiceAccount (98) перехвачена, метод ProcAddressHijack.GetProcAddress ->7418460C->752C70B1 Функция netapi32.dll:NetApiBufferAllocate (101) перехвачена, метод ProcAddressHijack.GetProcAddress ->7418462A->74171415 Функция netapi32.dll:NetApiBufferFree (102) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184648->741713D2 Функция netapi32.dll:NetApiBufferReallocate (103) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184662->74173729 Функция netapi32.dll:NetApiBufferSize (104) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184682->74173771 Функция netapi32.dll:NetBrowserStatisticsGet (108) перехвачена, метод ProcAddressHijack.GetProcAddress ->7418469C->70952801 Функция netapi32.dll:NetConnectionEnum (112) перехвачена, метод ProcAddressHijack.GetProcAddress ->741846BC->75835521 Функция netapi32.dll:NetDfsAdd (113) перехвачена, метод ProcAddressHijack.GetProcAddress ->741846D5->73F878FD Функция netapi32.dll:NetDfsAddFtRoot (114) перехвачена, метод ProcAddressHijack.GetProcAddress ->741846E6->73F86859 Функция netapi32.dll:NetDfsAddRootTarget (115) перехвачена, метод ProcAddressHijack.GetProcAddress ->741846FD->73F87401 Функция netapi32.dll:NetDfsAddStdRoot (116) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184718->73F82B1E Функция netapi32.dll:NetDfsAddStdRootForced (117) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184730->73F82BB1 Функция netapi32.dll:NetDfsEnum (118) перехвачена, метод ProcAddressHijack.GetProcAddress ->7418474E->73F870F9 Функция netapi32.dll:NetDfsGetClientInfo (119) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184760->73F83F25 Функция netapi32.dll:NetDfsGetDcAddress (120) перехвачена, метод ProcAddressHijack.GetProcAddress ->7418477B->73F82C51 Функция netapi32.dll:NetDfsGetFtContainerSecurity (121) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184795->73F85363 Функция netapi32.dll:NetDfsGetInfo (122) перехвачена, метод ProcAddressHijack.GetProcAddress ->741847B9->73F82D69 Функция netapi32.dll:NetDfsGetSecurity (123) перехвачена, метод ProcAddressHijack.GetProcAddress ->741847CE->73F87741 Функция netapi32.dll:NetDfsGetStdContainerSecurity (124) перехвачена, метод ProcAddressHijack.GetProcAddress ->741847E7->73F83AD5 Функция netapi32.dll:NetDfsGetSupportedNamespaceVersion (125) перехвачена, метод ProcAddressHijack.GetProcAddress ->7418480C->73F85C19 Функция netapi32.dll:NetDfsManagerGetConfigInfo (126) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184836->73F82E9C Функция netapi32.dll:NetDfsManagerInitialize (127) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184858->73F82F91 Функция netapi32.dll:NetDfsManagerSendSiteInfo (128) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184877->73F872C5 Функция netapi32.dll:NetDfsMove (129) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184898->73F85651 Функция netapi32.dll:NetDfsRemove (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->741848AA->73F87A19 Функция netapi32.dll:NetDfsRemoveFtRoot (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->741848BE->73F86A99 Функция netapi32.dll:NetDfsRemoveFtRootForced (132) перехвачена, метод ProcAddressHijack.GetProcAddress ->741848D8->73F86BE5 Функция netapi32.dll:NetDfsRemoveRootTarget (133) перехвачена, метод ProcAddressHijack.GetProcAddress ->741848F8->73F85879 Функция netapi32.dll:NetDfsRemoveStdRoot (134) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184916->73F82CE1 Функция netapi32.dll:NetDfsRename (135) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184931->73F82E91 Функция netapi32.dll:NetDfsSetClientInfo (136) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184945->73F84301 Функция netapi32.dll:NetDfsSetFtContainerSecurity (137) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184960->73F853AF Функция netapi32.dll:NetDfsSetInfo (138) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184984->73F86D8B Функция netapi32.dll:NetDfsSetSecurity (139) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184999->73F87822 Функция netapi32.dll:NetDfsSetStdContainerSecurity (140) перехвачена, метод ProcAddressHijack.GetProcAddress ->741849B2->73F83B24 Функция netapi32.dll:NetEnumerateComputerNames (141) перехвачена, метод ProcAddressHijack.GetProcAddress ->741849D7->74165E39 Функция netapi32.dll:NetEnumerateServiceAccounts (142) перехвачена, метод ProcAddressHijack.GetProcAddress ->741849F8->752C7199 Функция netapi32.dll:NetEnumerateTrustedDomains (143) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184A1D->752C652E Функция netapi32.dll:NetFileClose (147) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184A41->75835659 Функция netapi32.dll:NetFileEnum (148) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184A55->75835729 Функция netapi32.dll:NetFileGetInfo (149) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184A68->75835859 Функция netapi32.dll:NetGetAnyDCName (150) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184A7E->752C496D Функция netapi32.dll:NetGetDCName (151) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184A97->752C5913 Функция netapi32.dll:NetGetDisplayInformationIndex (152) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184AAD->74154117 Функция netapi32.dll:NetGetJoinInformation (153) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184AD2->74162DC7 Функция netapi32.dll:NetGetJoinableOUs (154) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184AEF->741659D1 Функция netapi32.dll:NetGroupAdd (155) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184B08->741571C3 Функция netapi32.dll:NetGroupAddUser (156) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184B1B->741573AD Функция netapi32.dll:NetGroupDel (157) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184B32->741573CB Функция netapi32.dll:NetGroupDelUser (158) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184B45->741573EB Функция netapi32.dll:NetGroupEnum (159) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184B5C->74157409 Функция netapi32.dll:NetGroupGetInfo (160) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184B70->741578C8 Функция netapi32.dll:NetGroupGetUsers (161) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184B87->74157952 Функция netapi32.dll:NetGroupSetInfo (162) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184B9F->74157C02 Функция netapi32.dll:NetGroupSetUsers (163) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184BB6->74157DAE Функция netapi32.dll:NetIsServiceAccount (164) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184BCE->752C72D9 Функция netapi32.dll:NetJoinDomain (165) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184BEB->741654B9 Функция netapi32.dll:NetLocalGroupAdd (166) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184C00->7415875A Функция netapi32.dll:NetLocalGroupAddMember (167) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184C18->74158886 Функция netapi32.dll:NetLocalGroupAddMembers (168) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184C36->74158E99 Функция netapi32.dll:NetLocalGroupDel (169) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184C55->741588A4 Функция netapi32.dll:NetLocalGroupDelMember (170) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184C6D->74158928 Функция netapi32.dll:NetLocalGroupDelMembers (171) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184C8B->74158EBD Функция netapi32.dll:NetLocalGroupEnum (172) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184CAA->74158946 Функция netapi32.dll:NetLocalGroupGetInfo (173) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184CC3->74158CE4 Функция netapi32.dll:NetLocalGroupGetMembers (174) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184CDF->74152265 Функция netapi32.dll:NetLocalGroupSetInfo (175) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184CFE->74158D57 Функция netapi32.dll:NetLocalGroupSetMembers (176) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184D1A->74158E75 Функция netapi32.dll:NetLogonGetTimeServiceParentDomain (177) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184D39->752C6CE9 Функция netapi32.dll:NetLogonSetServiceBits (178) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184D65->752B603C Функция netapi32.dll:NetProvisionComputerAccount (184) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184D85->7554F2D3 Функция netapi32.dll:NetQueryDisplayInformation (185) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184DA9->74153D87 Функция netapi32.dll:NetQueryServiceAccount (186) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184DCB->752C7249 Функция netapi32.dll:NetRemoteComputerSupports (188) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184DEB->74172160 Функция netapi32.dll:NetRemoteTOD (189) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184E0E->75836C11 Функция netapi32.dll:NetRemoveAlternateComputerName (190) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184E22->74165C29 Функция netapi32.dll:NetRemoveServiceAccount (191) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184E48->752C7129 Функция netapi32.dll:NetRenameMachineInDomain (192) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184E69->74165751 Функция netapi32.dll:NetRequestOfflineDomainJoin (208) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184E89->7554B52F Функция netapi32.dll:NetScheduleJobAdd (209) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184EAD->739719D1 Функция netapi32.dll:NetScheduleJobDel (210) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184EC8->73971AC9 Функция netapi32.dll:NetScheduleJobEnum (211) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184EE3->73971BC1 Функция netapi32.dll:NetScheduleJobGetInfo (212) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184EFF->73971CE1 Функция netapi32.dll:NetServerAliasAdd (213) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184F1E->75837843 Функция netapi32.dll:NetServerAliasDel (214) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184F37->75837A79 Функция netapi32.dll:NetServerAliasEnum (215) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184F50->75837931 Функция netapi32.dll:NetServerComputerNameAdd (216) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184F6A->75837411 Функция netapi32.dll:NetServerComputerNameDel (217) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184F8A->758376FB Функция netapi32.dll:NetServerDiskEnum (218) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184FAA->75836559 Функция netapi32.dll:NetServerEnum (219) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184FC3->70952F61 Функция netapi32.dll:NetServerEnumEx (220) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184FD9->70952C5F Функция netapi32.dll:NetServerGetInfo (221) перехвачена, метод ProcAddressHijack.GetProcAddress ->74184FF1->75833CFA Функция netapi32.dll:NetServerSetInfo (222) перехвачена, метод ProcAddressHijack.GetProcAddress ->74185009->75836681 Функция netapi32.dll:NetServerTransportAdd (223) перехвачена, метод ProcAddressHijack.GetProcAddress ->74185021->75836851 Функция netapi32.dll:NetServerTransportAddEx (224) перехвачена, метод ProcAddressHijack.GetProcAddress ->7418503E->75837329 Функция netapi32.dll:NetServerTransportDel (225) перехвачена, метод ProcAddressHijack.GetProcAddress ->7418505D->75836A01 Функция netapi32.dll:NetServerTransportEnum (226) перехвачена, метод ProcAddressHijack.GetProcAddress ->7418507A->75836AD9 Функция netapi32.dll:NetSessionDel (231) перехвачена, метод ProcAddressHijack.GetProcAddress ->74185098->75835941 Функция netapi32.dll:NetSessionEnum (232) перехвачена, метод ProcAddressHijack.GetProcAddress ->741850AD->75835A11 Функция netapi32.dll:NetSessionGetInfo (233) перехвачена, метод ProcAddressHijack.GetProcAddress ->741850C3->75835B41 Функция netapi32.dll:NetSetPrimaryComputerName (234) перехвачена, метод ProcAddressHijack.GetProcAddress ->741850DC->74165D31 Функция netapi32.dll:NetShareAdd (235) перехвачена, метод ProcAddressHijack.GetProcAddress ->741850FD->75835C81 Функция netapi32.dll:NetShareCheck (236) перехвачена, метод ProcAddressHijack.GetProcAddress ->74185110->75835E91 Функция netapi32.dll:NetShareDel (237) перехвачена, метод ProcAddressHijack.GetProcAddress ->74185125->75835F81 Функция netapi32.dll:NetShareDelEx (238) перехвачена, метод ProcAddressHijack.GetProcAddress ->74185138->75837B61 Функция netapi32.dll:NetShareDelSticky (239) перехвачена, метод ProcAddressHijack.GetProcAddress ->7418514D->758360D1 Функция netapi32.dll:NetShareEnum (240) перехвачена, метод ProcAddressHijack.GetProcAddress ->74185166->75833F91 Функция netapi32.dll:NetShareEnumSticky (241) перехвачена, метод ProcAddressHijack.GetProcAddress ->7418517A->758361C9 Функция netapi32.dll:NetShareGetInfo (242) перехвачена, метод ProcAddressHijack.GetProcAddress ->74185194->7583433F Функция netapi32.dll:NetShareSetInfo (243) перехвачена, метод ProcAddressHijack.GetProcAddress ->741851AB->75836341 Функция netapi32.dll:NetUnjoinDomain (245) перехвачена, метод ProcAddressHijack.GetProcAddress ->741851C2->74165641 Функция netapi32.dll:NetUseAdd (247) перехвачена, метод ProcAddressHijack.GetProcAddress ->741851D9->74163693 Функция netapi32.dll:NetUseDel (248) перехвачена, метод ProcAddressHijack.GetProcAddress ->741851EA->74165FA9 Функция netapi32.dll:NetUseEnum (249) перехвачена, метод ProcAddressHijack.GetProcAddress ->741851FB->74163184 Функция netapi32.dll:NetUseGetInfo (250) перехвачена, метод ProcAddressHijack.GetProcAddress ->7418520D->74166039 Функция netapi32.dll:NetUserAdd (251) перехвачена, метод ProcAddressHijack.GetProcAddress ->74185222->7415464F Функция netapi32.dll:NetUserChangePassword (252) перехвачена, метод ProcAddressHijack.GetProcAddress ->74185234->74155A06 Функция netapi32.dll:NetUserDel (253) перехвачена, метод ProcAddressHijack.GetProcAddress ->74185251->74154826 Функция netapi32.dll:NetUserEnum (254) перехвачена, метод ProcAddressHijack.GetProcAddress ->74185263->741549D6 Функция netapi32.dll:NetUserGetGroups (255) перехвачена, метод ProcAddressHijack.GetProcAddress ->74185276->74154E01 Функция netapi32.dll:NetUserGetInfo (256) перехвачена, метод ProcAddressHijack.GetProcAddress ->7418528E->74151C60 Функция netapi32.dll:NetUserGetLocalGroups (257) перехвачена, метод ProcAddressHijack.GetProcAddress ->741852A4->74152875 Функция netapi32.dll:NetUserModalsGet (258) перехвачена, метод ProcAddressHijack.GetProcAddress ->741852C1->7415206B Функция netapi32.dll:NetUserModalsSet (259) перехвачена, метод ProcAddressHijack.GetProcAddress ->741852D9->741554AA Функция netapi32.dll:NetUserSetGroups (260) перехвачена, метод ProcAddressHijack.GetProcAddress ->741852F1->74155095 Функция netapi32.dll:NetUserSetInfo (261) перехвачена, метод ProcAddressHijack.GetProcAddress ->74185309->74154D1D Функция netapi32.dll:NetValidateName (262) перехвачена, метод ProcAddressHijack.GetProcAddress ->7418531F->74165859 Функция netapi32.dll:NetValidatePasswordPolicy (263) перехвачена, метод ProcAddressHijack.GetProcAddress ->74185336->74159967 Функция netapi32.dll:NetValidatePasswordPolicyFree (264) перехвачена, метод ProcAddressHijack.GetProcAddress ->74185357->74159B6B Функция netapi32.dll:NetWkstaTransportAdd (267) перехвачена, метод ProcAddressHijack.GetProcAddress ->7418537C->74164E45 Функция netapi32.dll:NetWkstaTransportDel (268) перехвачена, метод ProcAddressHijack.GetProcAddress ->74185398->74164F21 Функция netapi32.dll:NetWkstaTransportEnum (269) перехвачена, метод ProcAddressHijack.GetProcAddress ->741853B4->74164CF9 Функция netapi32.dll:NetWkstaUserEnum (270) перехвачена, метод ProcAddressHijack.GetProcAddress ->741853D1->74164AD1 Функция netapi32.dll:NetWkstaUserGetInfo (271) перехвачена, метод ProcAddressHijack.GetProcAddress ->741853E9->74163280 Функция netapi32.dll:NetWkstaUserSetInfo (272) перехвачена, метод ProcAddressHijack.GetProcAddress ->74185404->74164C15 Функция netapi32.dll:NetapipBufferAllocate (273) перехвачена, метод ProcAddressHijack.GetProcAddress ->7418541F->741737AA Функция netapi32.dll:NetpIsRemote (289) перехвачена, метод ProcAddressHijack.GetProcAddress ->7418543E->7417382D Функция netapi32.dll:NetpwNameCanonicalize (296) перехвачена, метод ProcAddressHijack.GetProcAddress ->74185454->74171C30 Функция netapi32.dll:NetpwNameCompare (297) перехвачена, метод ProcAddressHijack.GetProcAddress ->74185473->74171F2E Функция netapi32.dll:NetpwNameValidate (298) перехвачена, метод ProcAddressHijack.GetProcAddress ->7418548D->74171990 Функция netapi32.dll:NetpwPathCanonicalize (299) перехвачена, метод ProcAddressHijack.GetProcAddress ->741854A8->7417275D Функция netapi32.dll:NetpwPathCompare (300) перехвачена, метод ProcAddressHijack.GetProcAddress ->741854C7->74174086 Функция netapi32.dll:NetpwPathType (301) перехвачена, метод ProcAddressHijack.GetProcAddress ->741854E1->74172533 Функция netapi32.dll:NlBindingAddServerToCache (302) перехвачена, метод ProcAddressHijack.GetProcAddress ->741854F8->752B61F8 Функция netapi32.dll:NlBindingRemoveServerFromCache (303) перехвачена, метод ProcAddressHijack.GetProcAddress ->7418551B->752B5D67 Функция netapi32.dll:NlBindingSetAuthInfo (304) перехвачена, метод ProcAddressHijack.GetProcAddress ->74185543->752B6198 1.2 Поиск перехватчиков API, работающих в привилегированном режиме Драйвер успешно загружен SDT найдена (RVA=1689C0) Ядро ntkrnlpa.exe обнаружено в памяти по адресу 83448000 SDT = 835B09C0 KiST = 834B77E0 (401) Функция NtAlpcConnectPort (16) перехвачена (8369B821->8D938B60), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtAlpcSendWaitReceivePort (27) перехвачена (836BD0A3->8D93A3D0), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtAssignProcessToJobObject (2B) перехвачена (8363F70E->8D933C60), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtClose (32) перехвачена (8368F09C->8D918C80), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtConnectPort (3B) перехвачена (836C0894->8D937380), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtCreateFile (42) перехвачена (83692E82->8D914FF0), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtCreateKey (46) перехвачена (836569FF->8D920290), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtCreateProcess (4F) перехвачена (83722E07->8D92C4B0), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtCreateProcessEx (50) перехвачена (83722E52->8D92CDB0), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtCreateSection (54) перехвачена (83678CE3->8D913DA0), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtCreateSymbolicLinkObject (56) перехвачена (83657059->8D920040), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtCreateThread (57) перехвачена (83722C0E->8D92AF70), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtCreateThreadEx (58) перехвачена (83680D51->8D92B9F0), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtCreateUserProcess (5D) перехвачена (8369DDE0->8D92D6C0), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtDebugActiveProcess (60) перехвачена (836F8150->8D93AE10), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtDeleteFile (66) перехвачена (836029EC->8D91ED20), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtDeleteKey (67) перехвачена (83645219->8D921B00), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtDeleteValueKey (6A) перехвачена (8362B1C9->8D9285A0), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtLoadDriver (9B) перехвачена (835E9279->8D929DB0), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtMakeTemporaryObject (A4) перехвачена (8364F363->8D91F8B0), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtOpenFile (B3) перехвачена (836C25C4->8D917CA0), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtOpenKey (B6) перехвачена (8368A704->8D9211C0), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtOpenProcess (BE) перехвачена (836C9531->8D92EEA0), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtOpenSection (C2) перехвачена (836C71BA->8D914610), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtOpenThread (C6) перехвачена (836C7E88->8D92E260), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtProtectVirtualMemory (D7) перехвачена (836C7C41->8D934FA0), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtQueryDirectoryFile (DF) перехвачена (836C262F->8D919AA0), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtQueryKey (F4) перехвачена (8369E6F9->8D923950), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtQueryValueKey (10A) перехвачена (836C370E->8D9241A0), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtQueueApcThread (10D) перехвачена (83634AF1->8D9330D0), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtRenameKey (122) перехвачена (836E556D->8D927790), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtReplaceKey (124) перехвачена (836E50BA->8D925700), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtRequestPort (12A) перехвачена (836D2D31->8D939620), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtRequestWaitReplyPort (12B) перехвачена (836BEACB->8D939940), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtRestoreKey (12E) перехвачена (836DDF4F->8D926F20), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtSaveKey (135) перехвачена (836DC060->8D925E80), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtSaveKeyEx (136) перехвачена (836DCB93->8D9266D0), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtSecureConnectPort (138) перехвачена (836A7A01->8D937F60), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtSetContextThread (13C) перехвачена (83723D13->8D932640), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtSetInformationDebugObject (147) перехвачена (836F89D7->8D93B400), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtSetInformationFile (149) перехвачена (83697EB3->8D91ADF0), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtSetSystemInformation (15E) перехвачена (836D2DF5->8D9293C0), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtSetValueKey (166) перехвачена (836485B1->8D924A20), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtSuspendProcess (16E) перехвачена (837248B3->8D931390), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtSuspendThread (16F) перехвачена (836E1650->8D931CC0), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtSystemDebugControl (170) перехвачена (836512FC->8D93A650), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtTerminateProcess (172) перехвачена (836A9B3D->8D92F990), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtTerminateThread (173) перехвачена (836BC8E4->8D930820), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtUnloadDriver (17B) перехвачена (83703827->8D92A730), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Функция NtWriteVirtualMemory (18F) перехвачена (836CF5B5->8D9344B0), перехватчик C:\Windows\system32\drivers\SandBox.sys, драйвер опознан как безопасный Проверено функций: 401, перехвачено: 50, восстановлено: 0 1.3 Проверка IDT и SYSENTER Анализ для процессора 1 Анализ для процессора 2 Проверка IDT и SYSENTER завершена 1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM Драйвер успешно загружен 1.5 Проверка обработчиков IRP \FileSystem\ntfs[IRP_MJ_CREATE] = 851741F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_CLOSE] = 851741F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_WRITE] = 851741F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 851741F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 851741F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 851741F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_EA] = 851741F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 851741F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 851741F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 851741F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 851741F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 851741F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 851741F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 851741F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 851741F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_PNP] = 851741F8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_CREATE] = 867AA500 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_CLOSE] = 867AA500 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_WRITE] = 867AA500 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 867AA500 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 867AA500 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_QUERY_EA] = 867AA500 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_SET_EA] = 867AA500 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 867AA500 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 867AA500 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 867AA500 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 867AA500 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 867AA500 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 867AA500 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_PNP] = 867AA500 -> перехватчик не определен Проверка завершена Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "sxehack.dll prio.dll" >>> Подозрение на маскировку ключа реестра службы/драйвера "vdrv1000" >> Службы: разрешена потенциально опасная служба TermService (@%SystemRoot%\System32\termsrv.dll,-268) >> Службы: разрешена потенциально опасная служба SSDPSRV (@%systemroot%\system32\ssdpsrv.dll,-100) >> Службы: разрешена потенциально опасная служба Schedule (@%SystemRoot%\system32\schedsvc.dll,-100) > Службы: набор применяемых на компьютере служб зависит от области его применения (домашний, компьютер в сети предприятия и т.д.)! >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к компьютеру разрешен доступ анонимного пользователя >> Безопасность: разрешена отправка приглашений удаленному помощнику >> Отключить автозапуск с жестких дисков >> Отключить автозапуск с сетевых дисков >> Отключить автозапуск с CD-ROM >> Отключить автозапуск со съемных дисков >> Проводник: включить отображение расширений для файлов известных системе типов Выполняется исследование системы...
Исследование системы завершено
Команды скрипта

Добавить в скрипт команды:
Нейтрализация перехватов функций при помощи антируткита
Включить AVZGuard
Управление AVZPM (true-включить, false-отключить)
BootCleaner: импорт списка удаленных файлов
Чистка реестра после удаления файлов
BootCleaner: активация
Перезагрузка
Вставить заготовку для QuarantineFile() - помещение файла на карантин
Вставить заготовку для BC_QrFile() - помещение файла на карантин через BC
Вставить заготовку для DeleteFile() - удаление файла
Вставить заготовку для DelCLSID() - удаление CLSID-класса из реестра
Дополнительные операции:
Оптимизация: отключить службу TermService (@%SystemRoot%\System32\termsrv.dll,-268)
Оптимизация: отключить службу SSDPSRV (@%systemroot%\system32\ssdpsrv.dll,-100)
Оптимизация: отключить службу Schedule (@%SystemRoot%\system32\schedsvc.dll,-100)
Оптимизация - безопасность: отключить административный доступ к локальным дискам
Оптимизация - безопасность: блокировать возможность подключения анонимных пользователей
Безопасность: запретить отправку приглашений удаленному помощнику
Список файлов

Порт	Статус	Remote Host	Remote Port	Программа	Примечания
Порты TCP
135	LISTENING	0.0.0.0	0	[1072] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
139	LISTENING	0.0.0.0	0	[4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445	ESTABLISHED	90.150.223.53	4345	[4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445	LISTENING	0.0.0.0	0	[4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49152	LISTENING	0.0.0.0	0	[708] c:\windows\system32\wininit.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49153	LISTENING	0.0.0.0	0	[1144] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49154	LISTENING	0.0.0.0	0	[808] c:\windows\system32\lsass.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49155	LISTENING	0.0.0.0	0	[1264] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49156	LISTENING	0.0.0.0	0	[764] c:\windows\system32\services.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49199	ESTABLISHED	83.133.119.206	80	[708] c:\windows\system32\wininit.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49206	CLOSE_WAIT	91.212.41.97	80	[708] c:\windows\system32\wininit.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49210	CLOSE_WAIT	93.174.92.220	80	[708] c:\windows\system32\wininit.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49563	FIN_WAIT	91.203.99.45	80	[2920] f:\program files\opera ac 3.6\opera.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49716	TIME_WAIT	74.125.43.113	80	[0]
49717	TIME_WAIT	74.125.43.113	80	[0]
49718	TIME_WAIT	74.125.43.147	80	[0]
49719	TIME_WAIT	209.85.135.102	80	[0]
49720	TIME_WAIT	93.158.134.8	80	[0]
49723	FIN_WAIT	91.203.99.45	80	[2920] f:\program files\opera ac 3.6\opera.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49724	TIME_WAIT	195.191.128.59	80	[0]
49725	TIME_WAIT	195.191.128.59	80	[0]
49727	TIME_WAIT	89.108.72.16	80	[0]
49728	TIME_WAIT	91.213.117.190	80	[0]
49729	TIME_WAIT	209.85.135.113	80	[0]
49730	TIME_WAIT	92.123.83.190	80	[0]
Порты UDP
68	LISTENING	--	--	[1144] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
137	LISTENING	--	--	[4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138	LISTENING	--	--	[4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
500	LISTENING	--	--	[1264] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900	LISTENING	--	--	[3920] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900	LISTENING	--	--	[3920] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900	LISTENING	--	--	[3920] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
4500	LISTENING	--	--	[1264] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
5355	LISTENING	--	--	[1580] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49697	LISTENING	--	--	[504] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
63838	LISTENING	--	--	[3920] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
63839	LISTENING	--	--	[3920] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
63840	LISTENING	--	--	[3920] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
65380	LISTENING	--	--	[1952] c:\program files\cfosspeed\spd.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить