Продолжение
гг Модераторы!!!!
Извиняйте, что я рамку нарушил.
я ведь таких посланий отродясь никуда не писал.
Снесите в случае чего и объясните как надо. А то я не разобрался как ЗИПы цеплять.
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, oemfonts.fon
Удалить
vgasys.fon
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fonts.fon
Удалить
Обнаружено элементов автозапуска - 723, опознано как безопасные - 689
Модули расширения Internet Explorer (BHO, панели ...)
Имя файла Тип Описание Производитель CLSID
Модуль расширения {DFB852A3-47F8-48C4-A200-58CAB36FD2A2}
Удалить
Обнаружено элементов - 9, опознано как безопасные - 8
Модули расширения проводника
Имя файла Назначение Описание Производитель CLSID
lnkfile {00020d75-0000-0000-c000-000000000046}
Удалить
Color Control Panel Applet {b2c761c6-29bc-4f19-9251-e6195265baf1}
Удалить
Add New Hardware {7A979262-40CE-46ff-AEEE-7884AC3B6136}
Удалить
Get Programs Online {3e7efb4c-faf1-453d-89eb-56026875ef90}
Удалить
Taskbar and Start Menu {0DF44EAA-FF21-4412-828E-260A8728E7F1}
Удалить
ActiveDirectory Folder {1b24a030-9b20-49bc-97ac-1be4426f9e59}
Удалить
ActiveDirectory Folder {34449847-FD14-4fc8-A75A-7432F5181EFB}
Удалить
Sam Account Folder {C8494E42-ACDD-4739-B0FB-217361E4894F}
Удалить
Sam Account Folder {E29F9716-5C08-4FCD-955A-119FDB5A522D}
Удалить
Control Panel command object for Start menu {5399E694-6CE5-4D6C-8FCE-1D8870FDCBA0}
Удалить
Default Programs command object for Start menu {E44E5D18-0652-4508-A4E2-8A090067BCB0}
Удалить
Folder Options {6dfd7c5c-2451-11d3-a299-00c04f8ef6af}
Удалить
Explorer Query Band {2C2577C2-63A7-40e3-9B7F-586602617ECB}
Удалить
View Available Networks {38a98528-6cbf-4ca9-8dc0-b1e1d10f7b1b}
Удалить
Contacts folder {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}
Удалить
Windows Firewall {4026492f-2f69-46b8-b9bf-5654fc07e423}
Удалить
Problem Reports and Solutions {fcfeecae-ee1b-4849-ae50-685dcf7717ec}
Удалить
iSCSI Initiator {a304259d-52b8-4526-8b1a-a1d6cecc8243}
Удалить
.cab or .zip files {911051fa-c21c-4246-b470-070cd8df6dc4}
Удалить
Windows Search Shell Service {da67b8ad-e81b-4c70-9b91b417b5e33527}
Удалить
Microsoft.ScannersAndCameras {00f2886f-cd64-4fc9-8ec5-30ef6cdbe8c3}
Удалить
Windows Sidebar Properties {37efd44d-ef8d-41b1-940d-96973a50e9e0}
Удалить
Windows Features {67718415-c450-4f3c-bf8a-b487642dc39b}
Удалить
Windows Defender {d8559eb9-20c0-410e-beda-7ed416aecc2a}
Удалить
Mobility Center Control Panel {5ea4f148-308c-46d7-98a9-49041b1dd468}
Удалить
User Accounts {7A9D77BD-5403-11d2-8785-2E0420524153}
Удалить
SPTHandler {BD88A479-9623-4897-8546-BC62B9628F44}
Удалить
ColumnHandler AutorunsDisabled
Удалить
Обнаружено элементов - 292, опознано как безопасные - 264
Модули расширения системы печати (мониторы печати, провайдеры)
Имя файла Тип Наименование Описание Производитель
Обнаружено элементов - 7, опознано как безопасные - 7
Задания планировщика задач Task Scheduler
Имя файла Имя задания Состояние задания Описание Производитель
Обнаружено элементов - 2, опознано как безопасные - 2
Настройки SPI/LSP
Поставщики пространства имен (NSP) Поставщик Статус Исп. файл Описание GUID
Обнаружено - 6, опознано как безопасные - 6
Поставщики транспортных протоколов (TSP, LSP) Поставщик Исп. файл Описание
Обнаружено - 24, опознано как безопасные - 24
Результаты автоматического анализа настроек SPI Настройки LSP проверены. Ошибок не обнаружено
Порты TCP/UDP
Порт Статус Remote Host Remote Port Приложение Примечания
Порты TCP
135 LISTENING 0.0.0.0 0 [1032] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
139 LISTENING 0.0.0.0 0 [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
554 LISTENING 0.0.0.0 0 [2576] c:\program files\windows media player\wmpnetwk.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
990 LISTENING 0.0.0.0 0 [3436] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
5679 LISTENING 0.0.0.0 0 [3436] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
7438 LISTENING 0.0.0.0 0 [3436] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49152 LISTENING 0.0.0.0 0 [684] c:\windows\system32\wininit.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49153 LISTENING 0.0.0.0 0 [1064] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49154 LISTENING 0.0.0.0 0 [1388] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49155 LISTENING 0.0.0.0 0 [1128] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49156 LISTENING 0.0.0.0 0 [740] c:\windows\system32\lsass.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49157 LISTENING 0.0.0.0 0 [728] c:\windows\system32\services.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49158 LISTENING 0.0.0.0 0 [3472] c:\windows\system32\alg.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
Порты UDP
53 LISTENING -- -- [1128] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
67 LISTENING -- -- [1128] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
68 LISTENING -- -- [1128] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
137 LISTENING -- -- [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138 LISTENING -- -- [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
500 LISTENING -- -- [1128] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900 LISTENING -- -- [1388] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900 LISTENING -- -- [1388] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
3702 LISTENING -- -- [1388] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
3702 LISTENING -- -- [1388] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
4500 LISTENING -- -- [1128] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
5004 LISTENING -- -- [2576] c:\program files\windows media player\wmpnetwk.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
5005 LISTENING -- -- [2576] c:\program files\windows media player\wmpnetwk.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
5355 LISTENING -- -- [1528] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
51086 LISTENING -- -- [1128] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
51088 LISTENING -- -- [1128] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
54448 LISTENING -- -- [1128] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
57519 LISTENING -- -- [1128] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
57520 LISTENING -- -- [1128] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
59759 LISTENING -- -- [1388] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
59760 LISTENING -- -- [1388] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
59864 LISTENING -- -- [1388] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
Downloaded Program Files (DPF)
Имя файла Описание Производитель CLSID URL загрузки
Обнаружено элементов - 0, опознано как безопасные - 0
Апплеты панели управления (CPL)
Имя файла Описание Производитель
C:\Windows\system32\iproset.cpl
Скрипт: Kарантин, Удалить, Удалить через BC Intel PROSet/Wireless Control Panel Applet Copyright © Intel Corporation 1999-2008
Обнаружено элементов - 26, опознано как безопасные - 25
Active Setup
Имя файла Описание Производитель CLSID
Обнаружено элементов - 9, опознано как безопасные - 9
Файл HOSTS
Запись файла Hosts
127.0.0.1 localhost
Очистка файла Hosts
Протоколы и обработчики
Имя файла Тип Описание Производитель CLSID
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
Обнаружено элементов - 20, опознано как безопасные - 17
Подозрительные объекты
Файл Описание Тип
--------------------------------------------------------------------------------
Протокол антивирусной утилиты AVZ версии 4.35
Сканирование запущено в 10.06.2011 23:19:13
Загружена база: сигнатуры - 346503, нейропрофили - 2, микропрограммы лечения - 56, база от 31.05.2011 22:31
Загружены микропрограммы эвристики: 388
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 279390
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 6.0.6000, ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=131B00)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 82400000
SDT = 82531B00
KiST = 824807B4 (398)
Функция NtCreateThread (4E) перехвачена (8261217B->9942B3BC), перехватчик не определен
Функция NtOpenProcess (C2) перехвачена (82613AA7->9942B3A8), перехватчик не определен
Функция NtOpenThread (C9) перехвачена (82613E07->9942B3AD), перехватчик не определен
Функция NtTerminateProcess (152) перехвачена (8261B2B3->9942B3B7), перехватчик не определен
Проверено функций: 398, перехвачено: 4, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 52
Анализатор - изучается процесс 1780 C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 2356 C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Количество загруженных модулей: 483
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 13 TCP портов и 22 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\Windows\system32\nyakngm.dllC:\Windows\System32\adxtbu.dllC:\Windows\system32\nyakngm.dllC:\Windows\System32\adxtbu.dll
Ошибка выполнения команды ADDTOLOG, ошибка - RichEdit line insertion error
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 535, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 10.06.2011 23:19:59
Сканирование длилось 00:00:48
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в систему
http://kaspersky-911.ruВыполняется исследование системы
Исследование системы завершено
Команды скрипта
Добавить в скрипт команды:Нейтрализация перехватов функций при помощи антируткитаВключить AVZGuardУправление AVZPM (true-включить,false-отключить)BootCleaner - импорт списка удаленных файловBootCleaner - импортировать всеЧистка реестра после удаления файловExecuteWizard ('TSW',2,3,true) - Выполнение мастера поиска и устранения проблемBootCleaner - активацияПерезагрузкаВставить заготовку для QuarantineFile() - помещение файла в карантинВставить заготовку для BC_QrFile() - помещение файла в карантин через BCВставить заготовку для DeleteFile() - удаление файлаВставить заготовку для DelCLSID() - удаление CLSID класса из реестраДополнительные операции:Оптимизация - отключить службу SSDPSRV (Обнаружение SSDP)Оптимизация - отключить службу Schedule (Планировщик заданий)Оптимизация - безопасность - отключить автозапуск программ с CDОптимизация - безопасность - отключить административный доступ к локальным дискамОптимизация - безопасность - блокировать возможность подключения анонимных пользователей--------------------------------------------------------------------------------
Список файлов