AVZ 4.39 http://z-oleg.com/secur/avz/
| Имя файла | PID | Описание | Copyright | MD5 | Информация
| c:\documents and settings\admin\Рабочий стол\an-tiv-ir\a5v2s46\546453.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1144 | Антивирусная утилита AVZ | Антивирусная утилита AVZ | ?? | 747.00 кб, rsAh, | создан: 12.08.2012 13:11:54, изменен: 20.05.2012 09:51:48, имя содержит национальные символы Командная строка: "C:\Documents and Settings\Admin\Рабочий стол\an-tiv-ir\a5v2s46\546453.exe" c:\program files\anvir task manager\anvir.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1952 | AnVir Task Manager | Copyright (c) 2002-2012. AnVir Software | ?? | 5639.10 кб, rsAh, | создан: 25.04.2012 20:39:48, изменен: 25.04.2012 20:39:48 Командная строка: "C:\Program Files\AnVir Task Manager\anvir.exe" Minimized c:\windows\system32\ctfmon.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1912 | CTF Loader | © Microsoft Corporation. All rights reserved. | ?? | 15.00 кб, rsAh, | создан: 15.04.2008 15:00:00, изменен: 15.04.2008 15:00:00 Командная строка: "C:\WINDOWS\system32\ctfmon.exe" c:\windows\explorer.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1192 | Проводник | © Корпорация Майкрософт. Все права защищены. | ?? | 1010.00 кб, rsAh, | создан: 15.04.2008 15:00:00, изменен: 15.04.2008 15:00:00 Командная строка: C:\WINDOWS\Explorer.EXE c:\docume~1\admin\locals~1\temp\ins1f.tmp.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 144 | | | ?? | 20.00 кб, rsAh, | создан: 23.08.2012 23:01:15, изменен: 23.08.2012 23:01:15 Командная строка: "C:\DOCUME~1\Admin\LOCALS~1\Temp\Ins1F.tmp.exe" c:\windows\system32\28463\mkmp.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1180 | | | ?? | 647.50 кб, rsAh, | создан: 23.08.2012 23:00:53, изменен: 23.08.2012 23:00:53 Командная строка: "C:\WINDOWS\system32\28463\MKMP.exe" c:\documents and settings\admin\Рабочий стол\simolean-generator.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1772 | | | ?? | 111.00 кб, rsAh, | создан: 23.08.2012 23:01:14, изменен: 23.08.2012 17:54:41, имя содержит национальные символы Командная строка: "C:\Documents and Settings\Admin\Рабочий стол\Simolean-Generator.exe" c:\windows\system32\svchost.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 812 | Generic Host Process for Win32 Services | © Microsoft Corporation. All rights reserved. | ?? | 14.00 кб, rsAh, | создан: 15.04.2008 15:00:00, изменен: 15.04.2008 15:00:00 Командная строка: C:\WINDOWS\System32\svchost.exe -k netsvcs c:\windows\system32\vboxservice.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 660 | VirtualBox Guest Additions Service | Copyright (C) 2009-2012 Oracle Corporation | ?? | 1044.34 кб, rsAh, | создан: 05.06.2012 17:10:38, изменен: 05.06.2012 17:10:38 Командная строка: system32\VBoxService.exe c:\windows\system32\vboxtray.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1904 | VirtualBox Guest Additions Tray Application | Copyright (C) 2009-2012 Oracle Corporation | ?? | 932.34 кб, rsAh, | создан: 12.08.2012 13:30:29, изменен: 05.06.2012 17:10:40 Командная строка: "C:\WINDOWS\system32\VBoxTray.exe" c:\windows\system32\winlogon.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 444 | Программа входа в систему Windows NT | © Корпорация Майкрософт. Все права защищены. | ?? | 497.50 кб, rsAh, | создан: 15.04.2008 15:00:00, изменен: 15.04.2008 15:00:00 Командная строка: winlogon.exe Обнаружено:23, из них опознаны как безопасные 18
| | |||||
| Имя модуля | Handle | Описание | Copyright | MD5 | Используется процессами
| C:\WINDOWS\system32\28463\MKMP.006 | Скрипт: Kарантин, Удалить, Удалить через BC 30539776 | | | -- | 1144, 1952, 1912, 1192, 1180, 1904
| C:\WINDOWS\system32\28463\MKMP.007 | Скрипт: Kарантин, Удалить, Удалить через BC 268435456 | | | -- | 1144, 1952, 1912, 1192, 1180, 1904
| C:\WINDOWS\system32\VBoxHook.dll | Скрипт: Kарантин, Удалить, Удалить через BC 268435456 | VirtualBox Hook Driver | Copyright (C) 2009-2012 Oracle Corporation | -- | 1904
| C:\WINDOWS\system32\VBoxMRXNP.dll | Скрипт: Kарантин, Удалить, Удалить через BC 39911424 | VirtualBox Shared Folders Minirdr NP | Copyright (C) 2009-2012 Oracle Corporation | -- | 1144, 1952, 1192, 444
| c:\windows\system32\wuauserv.dll | Скрипт: Kарантин, Удалить, Удалить через BC 1342177280 | Windows Update AutoUpdate Service | © Microsoft Corporation. All rights reserved. | -- | 812
| Обнаружено модулей:237, из них опознаны как безопасные 232
| | |||||
| Модуль | Базовый адрес | Размер в памяти | Описание | Производитель
| C:\WINDOWS\System32\Drivers\dump_atapi.sys | Скрипт: Kарантин, Удалить, Удалить через BC F6E43000 | 018000 (98304) |
| C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS | Скрипт: Kарантин, Удалить, Удалить через BC F8A67000 | 002000 (8192) |
| C:\WINDOWS\System32\VBoxDisp.dll | Скрипт: Kарантин, Удалить, Удалить через BC BF012000 | 016000 (90112) | VirtualBox Display Driver | Copyright (C) 2009-2012 Oracle Corporation
| C:\WINDOWS\system32\Drivers\VBoxGuest.sys | Скрипт: Kарантин, Удалить, Удалить через BC F842C000 | 01F000 (126976) | VirtualBox Guest Driver | Copyright (C) 2009-2012 Oracle Corporation
| C:\WINDOWS\system32\DRIVERS\VBoxMouse.sys | Скрипт: Kарантин, Удалить, Удалить через BC F72DE000 | 01A000 (106496) | VirtualBox Mouse Filter | Copyright (C) 2009-2012 Oracle Corporation
| C:\WINDOWS\system32\drivers\VBoxSF.sys | Скрипт: Kарантин, Удалить, Удалить через BC F6FF6000 | 03D000 (249856) | VirtualBox Shared Folders Minirdr | Copyright (C) 2009-2012 Oracle Corporation
| C:\WINDOWS\system32\DRIVERS\VBoxVideo.sys | Скрипт: Kарантин, Удалить, Удалить через BC F72A6000 | 024000 (147456) | VirtualBox Video Driver | Copyright (C) 2009-2012 Oracle Corporation
| Обнаружено модулей - 109, опознано как безопасные - 102
| | ||||||
| Служба | Описание | Статус | Файл | Группа | Зависимости
| VBoxService | Служба: Стоп, Удалить, Отключить, Удалить через BC VirtualBox Guest Additions Service | Работает | C:\WINDOWS\system32\VBoxService.exe | Скрипт: Kарантин, Удалить, Удалить через BC Base |
| Обнаружено - 84, опознано как безопасные - 83
| | ||||||
| Имя файла | Статус | Метод запуска | Описание
| C:\Documents and Settings\Admin\Application Data\Tupumo\ovnab.exe | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, {41797A5E-B110-AD41-59E0-7F8F75FB5C9D} | Удалить C:\WINDOWS\SYSTEM32\PSXSS.EXE | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix
| C:\WINDOWS\System32\Drivers\AliIde.sys | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\aliide, EventMessageFile
| C:\WINDOWS\System32\Drivers\CmdIde.sys | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\cmdide, EventMessageFile
| C:\WINDOWS\System32\Drivers\PciIde.sys | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\pciide, EventMessageFile
| C:\WINDOWS\System32\Drivers\TosIde.sys | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\toside, EventMessageFile
| C:\WINDOWS\System32\Drivers\ViaIde.sys | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\viaide, EventMessageFile
| C:\WINDOWS\System32\Drivers\lbrtfdc.sys | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\lbrtfdc, EventMessageFile
| C:\WINDOWS\System32\drivers\VBoxVideo.sys | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\VBoxVideo, EventMessageFile
| C:\WINDOWS\System32\hidserv.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\HidServ\Parameters, ServiceDll | Удалить C:\WINDOWS\System32\igmpv2.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IGMPv2, EventMessageFile
| C:\WINDOWS\System32\ipbootp.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IPBOOTP, EventMessageFile
| C:\WINDOWS\System32\iprip2.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IPRIP2, EventMessageFile
| C:\WINDOWS\System32\ospf.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\OSPF, EventMessageFile
| C:\WINDOWS\System32\ospfmib.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\OSPFMib, EventMessageFile
| C:\WINDOWS\System32\polagent.dll | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\PolicyAgent, EventMessageFile
| C:\WINDOWS\System32\tssdis.exe | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\TermServSessDir, EventMessageFile
| C:\WINDOWS\system32\28463\MKMP.exe | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, MKMP Agent | Удалить C:\WINDOWS\system32\MsSip1.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\MS Subjects 1, $DLL | Удалить C:\WINDOWS\system32\MsSip2.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\MS Subjects 2, $DLL | Удалить C:\WINDOWS\system32\MsSip3.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\MS Subjects 3, $DLL | Удалить C:\WINDOWS\system32\VBoxMRXNP.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\VBoxSF\NetworkProvider, ProviderPath | Удалить C:\WINDOWS\system32\VBoxTray.exe | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, VBoxTray | Удалить C:\WINDOWS\system32\stisvc.exe | Скрипт: Kарантин, Удалить, Удалить через BC -- | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System, EventMessageFile
| C:\WINDOWS\system32\wuauserv.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\wuauserv\Parameters, ServiceDll | Удалить VBoxOGL.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\OpenGLDrivers\VBoxOGL, DLL | Удалить kbd101.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\i8042prt\Parameters, LayerDriver JPN | Удалить kbd101a.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\i8042prt\Parameters, LayerDriver KOR | Удалить mvfs32.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_USERS, .DEFAULT\Control Panel\IOProcs, MVB | Удалить mvfs32.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_USERS, S-1-5-19\Control Panel\IOProcs, MVB | Удалить mvfs32.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_USERS, S-1-5-20\Control Panel\IOProcs, MVB | Удалить mvfs32.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_USERS, S-1-5-18\Control Panel\IOProcs, MVB | Удалить mvfs32.dll | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_CURRENT_USER, Control Panel\IOProcs, MVB | Удалить vgafix.fon | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fixedfon.fon | Удалить vgaoem.fon | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, oemfonts.fon | Удалить vgasys.fon | Скрипт: Kарантин, Удалить, Удалить через BC Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fonts.fon | Удалить Обнаружено элементов автозапуска - 761, опознано как безопасные - 725
| | ||||||
| Имя файла | Тип | Описание | Производитель | CLSID
| Обнаружено элементов - 3, опознано как безопасные - 3
| | ||||||
| Имя файла | Назначение | Описание | Производитель | CLSID
| Расширение CPL панорамирования дисплея | {42071714-76d4-11d1-8b24-00a0c9068ff3} | Удалить Расширения оболочки для сжатия файлов | {764BF0E1-F219-11ce-972D-00AA00A14F56} | Удалить Контекстное меню шифрования | {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} | Удалить Панель задач и меню ''Пуск'' | {0DF44EAA-FF21-4412-828E-260A8728E7F1} | Удалить Учетные записи пользователей | {7A9D77BD-5403-11d2-8785-2E0420524153} | Удалить Обнаружено элементов - 179, опознано как безопасные - 174
| | |||||||||||||||||||||
| Имя файла | Тип | Наименование | Описание | Производитель
| Обнаружено элементов - 7, опознано как безопасные - 7
| | ||||||
| Имя файла | Имя задания | Состояние задания | Описание | Производитель
| Обнаружено элементов - 1, опознано как безопасные - 1
| | ||||||
| Поставщик | Статус | Исп. файл | Описание | GUID
| Обнаружено - 3, опознано как безопасные - 3
| | ||||||
| Поставщик | Исп. файл | Описание
| Обнаружено - 9, опознано как безопасные - 9
| | ||||||
| Имя файла | Описание | Производитель | CLSID | URL загрузки
| Обнаружено элементов - 0, опознано как безопасные - 0
| | ||||||
| Имя файла | Описание | Производитель
| Обнаружено элементов - 24, опознано как безопасные - 24
| | ||||||
| Имя файла | Описание | Производитель | CLSID
| Обнаружено элементов - 11, опознано как безопасные - 11
| | ||||||
Запись файла Hosts
|
| Имя файла | Тип | Описание | Производитель | CLSID
| Обнаружено элементов - 25, опознано как безопасные - 25
| | ||||||
| Файл | Описание | Тип
| c:\windows\system32\28463\mkmp.006 | Скрипт: Kарантин, Удалить, Удалить через BC Подозрение файлового сканера | Подозрение на Monitor.Win32.Ardamax.jk ( 09111FAA 03D9BC02 000792EB 00000000 8192)
| c:\windows\system32\28463\mkmp.007 | Скрипт: Kарантин, Удалить, Удалить через BC Подозрение файлового сканера | Подозрение на Monitor.Win32.Ardamax.271 ( 083DF033 01B1E987 000F8789 00000000 5632)
| C:\WINDOWS\system32\28463\MKMP.007 | Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на KeyLogger | Подозрение на Keylogger или троянскую DLL
| C:\WINDOWS\system32\28463\MKMP.006 | Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на KeyLogger | Подозрение на Keylogger или троянскую DLL
| C:\WINDOWS\system32\VBoxMRXNP.dll | Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на KeyLogger | Подозрение на Keylogger или троянскую DLL
| |
Протокол антивирусной утилиты AVZ версии 4.39 Сканирование запущено в 23.08.2012 23:02:40 Загружена база: сигнатуры - 297616, нейропрофили - 2, микропрограммы лечения - 56, база от 17.08.2012 16:00 Загружены микропрограммы эвристики: 399 Загружены микропрограммы ИПУ: 9 Загружены цифровые подписи системных файлов: 430969 Режим эвристического анализатора: Максимальный уровень эвристики Режим лечения: выключено Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора Восстановление системы: Отключено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=083320) Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000 SDT = 8055A320 KiST = 804E26B8 (284) Проверено функций: 284, перехвачено: 0, восстановлено: 0 1.3 Проверка IDT и SYSENTER Анализ для процессора 1 Проверка IDT и SYSENTER завершена 1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM 1.5 Проверка обработчиков IRP Драйвер успешно загружен Проверка завершена 2. Проверка памяти Количество найденных процессов: 22 Анализатор - изучается процесс 1904 C:\WINDOWS\system32\VBoxTray.exe [ES]:Может работать с сетью [ES]:Приложение не имеет видимых окон [ES]:Размещается в системной папке [ES]:Записан в автозапуск !! Анализатор - изучается процесс 1180 C:\WINDOWS\system32\28463\MKMP.exe [ES]:Может работать с сетью [ES]:Приложение не имеет видимых окон [ES]:EXE упаковщик ? [ES]:Размещается в системной папке [ES]:Записан в автозапуск !! Анализатор - изучается процесс 1772 C:\Documents and Settings\Admin\Рабочий стол\Simolean-Generator.exe [ES]:Может работать с сетью [ES]:Приложение не имеет видимых окон [ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ? Анализатор - изучается процесс 144 C:\DOCUME~1\Admin\LOCALS~1\Temp\Ins1F.tmp.exe [ES]:Может работать с сетью [ES]:Приложение не имеет видимых окон [ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ? Количество загруженных модулей: 237 c:\windows\system32\28463\mkmp.006 >>> подозрение на Monitor.Win32.Ardamax.jk ( 09111FAA 03D9BC02 000792EB 00000000 8192) c:\windows\system32\28463\mkmp.007 >>> подозрение на Monitor.Win32.Ardamax.271 ( 083DF033 01B1E987 000F8789 00000000 5632) Проверка памяти завершена 3. Сканирование дисков 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) C:\WINDOWS\system32\28463\MKMP.007 --> Подозрение на Keylogger или троянскую DLL C:\WINDOWS\system32\28463\MKMP.007>>> Поведенческий анализ 1. Реагирует на события: клавиатура, все события C:\WINDOWS\system32\28463\MKMP.007>>> Нейросеть: файл с вероятностью 0.00% похож на типовой перехватчик событий клавиатуры/мыши C:\WINDOWS\system32\28463\MKMP.006 --> Подозрение на Keylogger или троянскую DLL C:\WINDOWS\system32\28463\MKMP.006>>> Поведенческий анализ 1. Реагирует на события: клавиатура, все события 2. Передает данные процессу: 1180 C:\WINDOWS\system32\28463\MKMP.exe (окно = "AKLMW") 3. Опрашивает состояние клавиатуры 4. Опрашивает активную раскладку клавиатуры C:\WINDOWS\system32\28463\MKMP.006>>> Нейросеть: файл с вероятностью 0.00% похож на типовой перехватчик событий клавиатуры/мыши C:\WINDOWS\system32\VBoxMRXNP.dll --> Подозрение на Keylogger или троянскую DLL C:\WINDOWS\system32\VBoxMRXNP.dll>>> Поведенческий анализ Типичное для кейлоггеров поведение не зарегистрировано На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами Проверка отключена пользователем 7. Эвристичеcкая проверка системы Проверка завершена 8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя Проверка завершена 9. Мастер поиска и устранения проблем Проверка завершена Просканировано файлов: 259, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 2 Сканирование завершено в 23.08.2012 23:03:14 Сканирование длилось 00:00:35 Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам, то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18 Выполняется исследование системыДобавить в скрипт команды:
Исследование системы завершено
Команды скрипта