Протокол исследования системы

Список процессов

Имя файла	PID	Описание	Copyright	MD5	Информация
c:\windows\explorer.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	5712	Проводник	© Корпорация Майкрософт. Все права защищены.	??	2555.00 кб, rsAh, создан: 18.09.2011 22:59:55, изменен: 25.02.2011 09:30:54 Командная строка: explorer.exe
c:\program files\mail.ru\guard\guardmailru.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1312	GuardMailRu Module	Copyright 2010	??	2206.60 кб, rsAh, создан: 23.05.2012 13:21:12, изменен: 19.11.2012 22:11:52 Командная строка: "C:\Program Files\Mail.Ru\Guard\GuardMailRu.exe"
c:\program files\mail.ru\guard\guardmailru.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	3268	GuardMailRu Module	Copyright 2010	??	2206.60 кб, rsAh, создан: 23.05.2012 13:21:12, изменен: 19.11.2012 22:11:52 Командная строка: "C:\Program Files\Mail.Ru\Guard\GuardMailRu.exe" /gui
c:\program files\mail.ru\guard\guardmailru.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	944	GuardMailRu Module	Copyright 2010	??	2206.60 кб, rsAh, создан: 23.05.2012 13:21:12, изменен: 19.11.2012 22:11:52 Командная строка: "C:\Program Files\Mail.Ru\Guard\GuardMailRu.exe"
c:\program files\intel\intel(r) rapid storage technology\iastordatamgrsvc.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	4140	IAStorDataSvc	Copyright © Intel Corporation 2009-2010	??	13.02 кб, rsAh, создан: 12.05.2011 14:25:09, изменен: 06.11.2010 10:54:22 Командная строка: "C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe"
c:\program files\intel\intel(r) rapid storage technology\iastoricon.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	2520	IAStorIcon	Copyright © Intel Corporation 2009-2010	??	276.52 кб, rsAh, создан: 12.05.2011 14:25:09, изменен: 06.11.2010 10:54:20 Командная строка: "C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe"
c:\program files\ipod\bin\ipodservice.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	3728	iPodService Module (32-bit)	© 2003-2012 Apple Inc. All rights reserved.	??	539.89 кб, rsAh, создан: 29.11.2012 00:49:00, изменен: 29.11.2012 00:49:00 Командная строка: "C:\Program Files\iPod\bin\iPodService.exe"
c:\program files\acer\android manager\isync.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	3048	Sync Data	(c) 2009 Insyde Software Corp. All rights reserved	??	398.56 кб, rsAh, создан: 10.05.2011 09:01:32, изменен: 10.05.2011 09:01:32 Командная строка: "C:\Program Files\Acer\Android Manager\iSync.exe"
c:\program files\itunes\ituneshelper.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	3376	iTunesHelper	© 2003-2012 Apple Inc. All rights reserved.	??	148.39 кб, rsAh, создан: 29.11.2012 00:49:26, изменен: 29.11.2012 00:49:26 Командная строка: "C:\Program Files\iTunes\iTunesHelper.exe"
c:\program files\acer\updater\iupdate.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	3152	Acer Updater for Android™	(c) 2009-2010 Insyde Software Corp. All rights reserved.	??	480.56 кб, rsAh, создан: 10.05.2011 09:01:33, изменен: 10.05.2011 09:01:33 Командная строка: "C:\Program Files\Acer\Updater\iUpdate.exe"
c:\program files\common files\java\java update\jusched.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	3364	Java(TM) Update Scheduler	Copyright (C) 2004	??	246.92 кб, rsAh, создан: 03.07.2012 09:04:54, изменен: 03.07.2012 09:04:54 Командная строка: "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
c:\program files\microsoft security client\msmpeng.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	2976	Antimalware Service Executable	© Microsoft Corporation. All rights reserved.	??	11.28 кб, rsAh, создан: 26.03.2012 17:03:40, изменен: 26.03.2012 17:03:40 Командная строка: "c:\Program Files\Microsoft Security Client\MsMpEng.exe"
c:\program files\utorrent\utorrent.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	1308	µTorrent	©2012 BitTorrent, Inc. All Rights Reserved.	??	859.89 кб, rsAh, создан: 03.10.2011 11:23:13, изменен: 09.06.2012 20:07:58 Командная строка: "C:\Program Files\uTorrent\uTorrent.exe" "C:\Users\Денис\Downloads\[rutracker.org].t3719557.torrent"
Обнаружено:84, из них опознаны как безопасные 75

Имя модуля	Handle	Описание	Copyright	MD5	Используется процессами
C:\Program Files\Acer\Android Manager\RUS.dll Скрипт: Kарантин, Удалить, Удалить через BC	268435456	Acer Configuration Manager for Android™	(c) 2011 Insyde Software Corp. Все права защищены.	--	3152
C:\Program Files\Common Files\Apple\Apple Application Support\ASL.dll Скрипт: Kарантин, Удалить, Удалить через BC	1868103680	ASL.dll	© 2012 Apple Inc. All rights reserved.	--	3376
C:\Program Files\Common Files\Apple\Apple Application Support\CFNetwork.dll Скрипт: Kарантин, Удалить, Удалить через BC	1797390336	CFNetwork	Copyright (C) 2007-2011	--	3376
C:\Program Files\Common Files\Apple\Apple Application Support\CoreFoundation.dll Скрипт: Kарантин, Удалить, Удалить через BC	1804009472	CoreFoundation	Copyright (C) 2007-2011, Apple Inc.	--	3376
C:\Program Files\Common Files\Apple\Apple Application Support\libdispatch.dll Скрипт: Kарантин, Удалить, Удалить через BC	1876099072	Dispatch Runtime Library	Copyright (c) 2009-2010 Apple Inc.	--	3376
C:\Program Files\Common Files\Apple\Apple Application Support\objc.dll Скрипт: Kарантин, Удалить, Удалить через BC	1871446016	Objective-C Runtime Library	Copyright (C) 2007-2009, Apple Inc.	--	3376
C:\Program Files\Common Files\Apple\Mobile Device Support\iTunesMobileDevice.dll Скрипт: Kарантин, Удалить, Удалить через BC	1783824384	iTunesMobileDevice	Copyright (C) 2009	--	3376
C:\Program Files\iPod\bin\iPodService.Resources\iPodService.DLL Скрипт: Kарантин, Удалить, Удалить через BC	1788739584	iPodService Resource Library (32-bit)	© 2003-2012 Apple Inc. All rights reserved.	--	3728
C:\Program Files\iPod\bin\iPodService.Resources\ru.lproj\iPodServiceLocalized.DLL Скрипт: Kарантин, Удалить, Удалить через BC	1869938688	Медиатека ресурсов iPodService (32-бит)	© 2003-2012 Apple Inc. Все права защищены.	--	3728
C:\Program Files\iTunes\iTunesHelper.dll Скрипт: Kарантин, Удалить, Удалить через BC	1808662528	iTunesHelper DLL	© 2003-2012 Apple Inc. All rights reserved.	--	3376
C:\Program Files\iTunes\iTunesHelper.Resources\iTunesHelper.DLL Скрипт: Kарантин, Удалить, Удалить через BC	1876033536	iTunesHelper Resource Library	© 2003-2012 Apple Inc. All rights reserved.	--	3376
C:\Program Files\iTunes\iTunesHelper.Resources\ru.lproj\iTunesHelperLocalized.DLL Скрипт: Kарантин, Удалить, Удалить через BC	1876492288	Библиотека ресурсов iTunesHelper	© 2003-2012 Apple Inc. Все права защищены.	--	3376
c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{F8678491-22CA-4F14-BE43-2B2A4273E639}\mpengine.dll Скрипт: Kарантин, Удалить, Удалить через BC	1527840768	Microsoft Malware Protection Engine	© Microsoft Corporation. All rights reserved.	--	2976
C:\Windows\assembly\NativeImages_v2.0.50727_32\IAStorCommon\3b2b9f4ec1819e4b95792d92f56d26f9\IAStorCommon.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1764884480	IAStorCommon	Copyright © Intel Corp. 2009-2010	--	4140, 2520
C:\Windows\assembly\NativeImages_v2.0.50727_32\IAStorDataMgr\d30c0ec7210484cba6db59882aaaba1a\IAStorDataMgr.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1765277696	IAStorService	Copyright © Intel Corporation 2009-2010	--	4140
C:\Windows\assembly\NativeImages_v2.0.50727_32\IAStorDataMgrSvc\65191c7d58ab0c3666d5d9f26d3b899b\IAStorDataMgrSvc.ni.exe Скрипт: Kарантин, Удалить, Удалить через BC	1766129664	IAStorDataSvc	Copyright © Intel Corporation 2009-2010	--	4140
C:\Windows\assembly\NativeImages_v2.0.50727_32\IAStorUtil\2e16482769fcdf856919e292a968f16c\IAStorUtil.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1786314752	IAStorUtil	Copyright © Intel Corporation 2009-2010	--	4140, 2520
C:\Windows\assembly\NativeImages_v2.0.50727_32\IsdiInterop\76632f5376aa57887b9cd7a5662c6d4f\IsdiInterop.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1765081088			--	4140
C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Drawing\6bb439b3f87736d3248ae27d43e2c0d6\System.Drawing.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1781923840	.NET Framework	© Microsoft Corporation. All rights reserved.	--	2520
C:\Windows\assembly\NativeImages_v2.0.50727_32\System.ServiceProce#\69ca4a43ba14b66689715ad62aed70e6\System.ServiceProcess.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1765539840	.NET Framework	© Microsoft Corporation. All rights reserved.	--	4140
C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Web\a501b7960f6c6e2e39162b83f3303aaa\System.Web.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1663762432	System.Web.dll	© Microsoft Corporation. All rights reserved.	--	4140
C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Windows.Forms\7b7fbe651c6e72f12099a298654c9594\System.Windows.Forms.ni.dll Скрипт: Kарантин, Удалить, Удалить через BC	1767636992	.NET Framework	© Microsoft Corporation. All rights reserved.	--	2520
C:\Windows\system32\IconCodecService.dll Скрипт: Kарантин, Удалить, Удалить через BC	1872035840	Converts a PNG part of the icon to a legacy bmp icon	© Microsoft Corporation. All rights reserved.	--	5712, 1308
Обнаружено модулей:533, из них опознаны как безопасные 510

Модули пространства ядра

Модуль	Базовый адрес	Размер в памяти	Описание	Производитель
C:\Windows\System32\Drivers\dump_dumpfve.sys Скрипт: Kарантин, Удалить, Удалить через BC	815AD000	011000 (69632)
C:\Windows\System32\Drivers\dump_iaStor.sys Скрипт: Kарантин, Удалить, Удалить через BC	8C60E000	101000 (1052672)
Обнаружено модулей - 187, опознано как безопасные - 185

Службы

Служба	Описание	Статус	Файл	Группа	Зависимости
Guard.Mail.ru Служба: Стоп, Удалить, Отключить, Удалить через BC	Guard.Mail.ru	Работает	C:\Program Files\Mail.Ru\Guard\GuardMailRu.exe Скрипт: Kарантин, Удалить, Удалить через BC
iPod Service Служба: Стоп, Удалить, Отключить, Удалить через BC	Сервис iPod	Работает	C:\Program Files\iPod\bin\iPodService.exe Скрипт: Kарантин, Удалить, Удалить через BC		RpcSs
Apple Mobile Device Служба: Стоп, Удалить, Отключить, Удалить через BC	Apple Mobile Device	Не запущен	C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe Скрипт: Kарантин, Удалить, Удалить через BC		Tcpip
EgisTec Ticket Service Служба: Стоп, Удалить, Отключить, Удалить через BC	EgisTec Ticket Service	Не запущен	C:\Program Files\Common Files\EgisTec\Services\EgisTicketService.exe Скрипт: Kарантин, Удалить, Удалить через BC	PNP_TDI
NisSrv Служба: Стоп, Удалить, Отключить, Удалить через BC	Проверка сети (Майкрософт)	Не запущен	c:\Program Files\Microsoft Security Client\NisSrv.exe Скрипт: Kарантин, Удалить, Удалить через BC		NisDrv
wlcrasvc Служба: Стоп, Удалить, Отключить, Удалить через BC	Windows Live Mesh remote connections service	Не запущен	C:\Program Files\Windows Live\Mesh\wlcrasvc.exe Скрипт: Kарантин, Удалить, Удалить через BC
Обнаружено - 160, опознано как безопасные - 154

Драйверы

Служба	Описание	Статус	Файл	Группа	Зависимости
btwaudio Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Аудиоустройствоi Bluetooth	Не запущен	C:\Windows\system32\drivers\btwaudio.sys Скрипт: Kарантин, Удалить, Удалить через BC
btwavdt Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Bluetooth AVDT	Не запущен	C:\Windows\system32\DRIVERS\btwavdt.sys Скрипт: Kарантин, Удалить, Удалить через BC
btwl2cap Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Bluetooth L2CAP Service	Не запущен	C:\Windows\system32\DRIVERS\btwl2cap.sys Скрипт: Kарантин, Удалить, Удалить через BC	Extended Base
btwrchid Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	btwrchid	Не запущен	C:\Windows\system32\DRIVERS\btwrchid.sys Скрипт: Kарантин, Удалить, Удалить через BC
MpKsl3d7c9355 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	MpKsl3d7c9355	Не запущен	c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{AC77E2DF-F886-4C39-B853-B1B38C18D036}\MpKsl3d7c9355.sys Скрипт: Kарантин, Удалить, Удалить через BC
USBAAPL Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Apple Mobile USB Driver	Не запущен	C:\Windows\system32\Drivers\usbaapl.sys Скрипт: Kарантин, Удалить, Удалить через BC	Base
Обнаружено - 263, опознано как безопасные - 257

Автозапуск

Имя файла	Статус	Метод запуска	Описание
C:\PROGRA~1\COMMON~1\MICROS~1\MODI\12.0\MSPFILT.DLL Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Microsoft Office Document Imaging, EventMessageFile
C:\PROGRA~1\MIF5BA~1\Office12\1049\MAPIR.DLL Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Outlook, EventMessageFile
C:\PROGRA~1\MIF5BA~1\Office12\MLCFG32.CPL Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Cpls, mlcfg32.cpl Удалить
C:\PROGRA~1\MIF5BA~1\Office12\OLKFSTUB.DLL Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved, {0006F045-0000-0000-C000-000000000046} Удалить
C:\PROGRA~1\MIF5BA~1\Office12\OLMAPI32.DLL Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Outlook\Performance, Library Удалить
C:\Program Files\Acer\Android Manager\AML.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, AndroidManager Удалить
C:\Program Files\Acer\Android Manager\iSync.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, iSyncData Удалить
C:\Program Files\Acer\Updater\iUpdate.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, iPatchData Удалить
C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, APSDaemon Удалить
C:\Program Files\Common Files\Java\Java Update\jusched.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, SunJavaUpdateSched Удалить
C:\Program Files\Common Files\Microsoft Shared\DW\DW.EXE Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Microsoft Visual Studio Tools for Applications, EventMessageFile
C:\Program Files\Google\Chrome\Application\chrome.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ярлык в папке автозагрузки	C:\Users\Денис\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Денис\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk,
C:\Program Files\Mail.Ru\Guard\GuardMailRu.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, Guard.Mail.ru.gui Удалить
C:\Program Files\iTunes\iTunesHelper.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, iTunesHelper Удалить
C:\Program Files\iTunes\iTunesMiniPlayer.dll Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved, {B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} Удалить
C:\Users\Денис\AppData\Local\Temp\_uninst_00394507.bat Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ярлык в папке автозагрузки	C:\Users\Денис\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\, C:\Users\Денис\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_uninst_00394507.lnk,
C:\Users\Денис\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Shows Desktop.lnk Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Файл в папке автозагрузки	C:\Users\Денис\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Денис\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Shows Desktop.lnk,
C:\Users\Денис\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Window Switcher.lnk Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Файл в папке автозагрузки	C:\Users\Денис\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Денис\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Window Switcher.lnk,
C:\Windows\system32\psxss.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix
c:\users\Денис\appdata\local\temp\4CB383E1-F397CBF0-37142053-7EE143EA\eqm2yq5x.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Doctor Web\DrWebARKDaemon, EventMessageFile
c:\users\Денис\appdata\local\temp\4CB383E1-F397CBF0-37142053-7EE143EA\m9l6zzkn.exe Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Doctor Web\Dr.Web Engine, EventMessageFile
iexplore.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, 9bdf314a5e6cf1d9be07f775 Удалить
progman.exe Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, shell Удалить
rdpclip Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd, StartupPrograms Удалить
vgafix.fon Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fixedfon.fon Удалить
vgaoem.fon Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, oemfonts.fon Удалить
vgasys.fon Скрипт: Kарантин, Удалить, Удалить через BC	Активен	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fonts.fon Удалить
Обнаружено элементов автозапуска - 708, опознано как безопасные - 681

Модули расширения Internet Explorer (BHO, панели ...)

Имя файла	Тип	Описание	Производитель	CLSID
C:\Program Files\Java\jre7\bin\ssv.dll Скрипт: Kарантин, Удалить, Удалить через BC	BHO	Java(TM) Platform SE binary	Copyright © 2012	{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} Удалить
"C:\Program Files\Microsoft\BingBar\BingExt.dll" Скрипт: Kарантин, Удалить, Удалить через BC	BHO			{d2ce3e00-f94a-4740-988e-03dc2f38c34f} Удалить
C:\Program Files\Java\jre7\bin\jp2ssv.dll Скрипт: Kарантин, Удалить, Удалить через BC	BHO	Java(TM) Platform SE binary	Copyright © 2012	{DBC80044-A445-435b-BC74-9C25C1C588A9} Удалить
"C:\Program Files\Microsoft\BingBar\BingExt.dll" Скрипт: Kарантин, Удалить, Удалить через BC	Панель			{8dcb7100-df86-4384-8842-8fa844297b3f} Удалить
	Модуль расширения			{219C3416-8CB2-491a-A3C7-D9FCDDC9D600} Удалить
	Модуль расширения			{2670000A-7350-4f3c-8081-5663EE0C6C49} Удалить
	Модуль расширения			{7815BE26-237D-41A8-A98F-F7BD75F71086} Удалить
	Модуль расширения			{92780B25-18CC-41C8-B9BE-3C9C571A8263} Удалить
Обнаружено элементов - 16, опознано как безопасные - 8

Модули расширения проводника

Имя файла	Назначение	Описание	Производитель	CLSID
	WLMD Message Handler			{0563DB41-F538-4B37-A92D-4659049B7766} Удалить
	WebCheck			{E6FB5E20-DE35-11CF-9C87-00AA005127ED} Удалить
C:\PROGRA~1\MIF5BA~1\Office12\OLKFSTUB.DLL Скрипт: Kарантин, Удалить, Удалить через BC	Microsoft Office Outlook Custom Icon Handler	Outlook Shell Hook for Start/Find	© 2006 Microsoft Corporation. All rights reserved.	{0006F045-0000-0000-C000-000000000046} Удалить
C:\Program Files\iTunes\iTunesMiniPlayer.dll Скрипт: Kарантин, Удалить, Удалить через BC	iTunes	iTunes Miniplayer DLL	© 2003-2012 Apple Inc. All rights reserved.	{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} Удалить
Обнаружено элементов - 43, опознано как безопасные - 39

Модули расширения системы печати (мониторы печати, провайдеры)

Имя файла	Тип	Наименование	Описание	Производитель
Обнаружено элементов - 8, опознано как безопасные - 8

Задания планировщика задач Task Scheduler

Имя файла	Имя задания	Состояние задания	Описание	Производитель
Обнаружено элементов - 5, опознано как безопасные - 5

Настройки SPI/LSP

Поставщики пространства имен (NSP)

Поставщик	Статус	Исп. файл	Описание	GUID
Обнаружено - 10, опознано как безопасные - 10

Поставщики транспортных протоколов (TSP, LSP)

Поставщик Исп. файл Описание
Обнаружено - 35, опознано как безопасные - 35
Результаты автоматического анализа настроек SPI
Настройки LSP проверены. Ошибок не обнаружено

Порты TCP/UDP

Порт Статус Remote Host Remote Port Приложение Примечания
Порты TCP
135 LISTENING 0.0.0.0 0 [780] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445 LISTENING 0.0.0.0 0 [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
3826 LISTENING 0.0.0.0 0 [828] c:\program files\acer\acer vcm\rs_service.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
5357 LISTENING 0.0.0.0 0 [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
10000 LISTENING 0.0.0.0 0 [1308] c:\program files\utorrent\utorrent.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
44051 LISTENING 0.0.0.0 0 [1308] c:\program files\utorrent\utorrent.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49152 LISTENING 0.0.0.0 0 [492] c:\windows\system32\wininit.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49153 LISTENING 0.0.0.0 0 [932] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49154 LISTENING 0.0.0.0 0 [596] c:\windows\system32\lsass.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49156 LISTENING 0.0.0.0 0 [588] c:\windows\system32\services.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49161 CLOSE_WAIT 80.239.178.163 80 [3152] c:\program files\acer\updater\iupdate.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49204 LISTENING 0.0.0.0 0 [1112] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
50677 CLOSE_WAIT 107.22.241.219 80 [2564] c:\program files\egistec ips\pmmupdate.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
52758 CLOSE_WAIT 89.108.67.190 80 [2764] c:\users\17d3~1\appdata\local\temp\rar$ex68.112\avz4\avz.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
54428 CLOSE_WAIT 217.69.133.27 80 [944] c:\program files\mail.ru\guard\guardmailru.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
Порты UDP
68 LISTENING -- -- [932] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
500 LISTENING -- -- [1112] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900 LISTENING -- -- [1308] c:\program files\utorrent\utorrent.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900 LISTENING -- -- [3784] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
3702 LISTENING -- -- [3784] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
3702 LISTENING -- -- [3784] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
4500 LISTENING -- -- [1112] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
6771 LISTENING -- -- [1308] c:\program files\utorrent\utorrent.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
44051 LISTENING -- -- [1308] c:\program files\utorrent\utorrent.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
52311 LISTENING -- -- [3784] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
54358 LISTENING -- -- [3784] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
63438 LISTENING -- -- [1308] c:\program files\utorrent\utorrent.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
63439 LISTENING -- -- [1308] c:\program files\utorrent\utorrent.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
63440 LISTENING -- -- [1308] c:\program files\utorrent\utorrent.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить

Downloaded Program Files (DPF)

Имя файла Описание Производитель CLSID URL загрузки
Обнаружено элементов - 0, опознано как безопасные - 0

Апплеты панели управления (CPL)

Имя файла Описание Производитель
C:\Windows\system32\FlashPlayerCPLApp.cpl
Скрипт: Kарантин, Удалить, Удалить через BC Adobe Flash Player Control Panel Applet Copyright © 1996 Adobe Systems Incorporated. All Rights Reserved. Adobe and Flash are either trademarks or registered trademarks in the United States and/or other countries.
Обнаружено элементов - 23, опознано как безопасные - 22

Active Setup

Имя файла Описание Производитель CLSID
Обнаружено элементов - 9, опознано как безопасные - 9

Файл HOSTS

Запись файла Hosts

Протоколы и обработчики

Имя файла Тип Описание Производитель CLSID
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
Обнаружено элементов - 19, опознано как безопасные - 16

Подозрительные объекты

Файл Описание Тип

Внимание !!! База поcледний раз обновлялась 20.05.2012 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.39
Сканирование запущено в 25.12.2012 21:31:23
Загружена база: сигнатуры - 297616, нейропрофили - 2, микропрограммы лечения - 56, база от 20.05.2012 20:01
Загружены микропрограммы эвристики: 399
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 410088
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 6.1.7601, Service Pack 1 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=169B00)
 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 82A15000
   SDT = 82B7EB00
   KiST = 82A93D5C (401)
Проверено функций: 401, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Анализ для процессора 2
 Анализ для процессора 3
 Анализ для процессора 4
CmpCallCallBacks = 00000000
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
 Драйвер успешно загружен
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 88
 Количество загруженных модулей: 589
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Users\Денис\AppData\Local\Opera\Opera\cache\g_0008\opr000UM.tmp
Прямое чтение C:\Users\Денис\AppData\Local\Opera\Opera\cache\g_0008\opr000UN.tmp
Прямое чтение C:\Users\Денис\AppData\Local\Opera\Opera\vps\0000\wb.vx
Прямое чтение C:\Users\Денис\AppData\Local\Opera\Opera\vps\0001\wb.vx
Прямое чтение C:\Users\Денис\AppData\Local\Opera\Opera\vps\0002\wb.vx
Прямое чтение C:\Users\Денис\AppData\Local\Opera\Opera\vps\0003\wb.vx
Прямое чтение C:\Windows\System32\IconCodecService.dll
Прямое чтение C:\Windows\winsxs\x86_microsoft-windows-iconcodecservice_31bf3856ad364e35_6.1.7600.16385_none_270ef9f0eb67d613\IconCodecService.dll
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
 Проверка отключена пользователем
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 82473, извлечено из архивов: 51556, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 25.12.2012 22:10:32
Сканирование длилось 00:39:12
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Создание архива с файлами из карантина
Создание архива с файлами из карантина завершено
Выполняется исследование системы

 Исследование системы завершено


Команды скрипта 
Добавить в скрипт команды:
Нейтрализация перехватов функций при помощи антируткита
Включить AVZGuard
Управление AVZPM (true-включить,false-отключить)
BootCleaner - импорт списка удаленных файлов
BootCleaner - импортировать все
Чистка реестра после удаления файлов
ExecuteWizard ('TSW',2,3,true) - Выполнение мастера поиска и устранения проблем
BootCleaner - активация
Перезагрузка
Вставить заготовку для QuarantineFile() - помещение файла в карантин
Вставить заготовку для BC_QrFile() - помещение файла в карантин через BC
Вставить заготовку для DeleteFile() - удаление файла
Вставить заготовку для DelCLSID() - удаление CLSID класса из реестра
Дополнительные операции:Оптимизация - отключить службу TermService (Службы удаленных рабочих столов)
Оптимизация - отключить службу SSDPSRV (Обнаружение SSDP)
Оптимизация - отключить службу Schedule (Планировщик заданий)
Оптимизация - безопасность - отключить автозапуск программ с CD
Оптимизация - безопасность - отключить административный доступ к локальным дискам
Оптимизация - безопасность - блокировать возможность подключения анонимных пользователей
Безопасность - запретить отправку приглашений удаленному помощнику

Список файлов

Порт	Статус	Remote Host	Remote Port	Приложение	Примечания
Порты TCP
135	LISTENING	0.0.0.0	0	[780] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
445	LISTENING	0.0.0.0	0	[4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
3826	LISTENING	0.0.0.0	0	[828] c:\program files\acer\acer vcm\rs_service.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
5357	LISTENING	0.0.0.0	0	[4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
10000	LISTENING	0.0.0.0	0	[1308] c:\program files\utorrent\utorrent.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
44051	LISTENING	0.0.0.0	0	[1308] c:\program files\utorrent\utorrent.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49152	LISTENING	0.0.0.0	0	[492] c:\windows\system32\wininit.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49153	LISTENING	0.0.0.0	0	[932] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49154	LISTENING	0.0.0.0	0	[596] c:\windows\system32\lsass.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49156	LISTENING	0.0.0.0	0	[588] c:\windows\system32\services.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49161	CLOSE_WAIT	80.239.178.163	80	[3152] c:\program files\acer\updater\iupdate.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49204	LISTENING	0.0.0.0	0	[1112] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
50677	CLOSE_WAIT	107.22.241.219	80	[2564] c:\program files\egistec ips\pmmupdate.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
52758	CLOSE_WAIT	89.108.67.190	80	[2764] c:\users\17d3~1\appdata\local\temp\rar$ex68.112\avz4\avz.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
54428	CLOSE_WAIT	217.69.133.27	80	[944] c:\program files\mail.ru\guard\guardmailru.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
Порты UDP
68	LISTENING	--	--	[932] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
500	LISTENING	--	--	[1112] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900	LISTENING	--	--	[1308] c:\program files\utorrent\utorrent.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900	LISTENING	--	--	[3784] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
3702	LISTENING	--	--	[3784] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
3702	LISTENING	--	--	[3784] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
4500	LISTENING	--	--	[1112] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
6771	LISTENING	--	--	[1308] c:\program files\utorrent\utorrent.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
44051	LISTENING	--	--	[1308] c:\program files\utorrent\utorrent.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
52311	LISTENING	--	--	[3784] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
54358	LISTENING	--	--	[3784] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
63438	LISTENING	--	--	[1308] c:\program files\utorrent\utorrent.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
63439	LISTENING	--	--	[1308] c:\program files\utorrent\utorrent.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
63440	LISTENING	--	--	[1308] c:\program files\utorrent\utorrent.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить