Протокол антивирусной утилиты AVZ версии 4.41
Сканирование запущено в 16.09.2013 22:24:01
Загружена база: сигнатуры - 297614, нейропрофили - 2, микропрограммы лечения - 56, база от 16.09.2013 16:00
Загружены микропрограммы эвристики: 404
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 588786
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: включено
Версия Windows: 6.1.7601, Service Pack 1 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 51
Анализатор - изучается процесс 1920 C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 328 C:\Program Files\NETGEAR Genie\bin\NETGEARGenieDaemon.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 1604 C:\Program Files\Tepfel\WebCakeDesktop.Updater.exe
[ES]:Приложение не имеет видимых окон
Количество загруженных модулей: 584
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Program Files\Steam\config\htmlcache\Cookies
Прямое чтение C:\Program Files\Steam\logs\appinfo_log.txt
Прямое чтение C:\Program Files\Steam\logs\bootstrap_log.txt
Прямое чтение C:\Program Files\Steam\logs\cloud_log.txt
Прямое чтение C:\Program Files\Steam\logs\connection_log.txt
Прямое чтение C:\ProgramData\Microsoft\Network\Downloader\qmgr0.dat
Прямое чтение C:\ProgramData\Microsoft\Network\Downloader\qmgr1.dat
Прямое чтение C:\ProgramData\Microsoft\Search\Data\Applications\Windows\MSS.log
Прямое чтение C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010001.wid
Прямое чтение C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010002.wid
Прямое чтение C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010003.wid
Прямое чтение C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010004.wid
Прямое чтение C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010005.wid
Прямое чтение C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010006.wid
Прямое чтение C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010007.wid
Прямое чтение C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010008.wid
Прямое чтение C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\0001000A.wid
Прямое чтение C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\0001000A.wsb
Прямое чтение C:\ProgramData\Microsoft\Search\Data\Applications\Windows\tmp.edb
C:\ProgramData\Microsoft\Windows\Power Efficiency Diagnostics\energy-trace.etl >>> подозрение на Trojan.Win32.Agent2.byu ( 1C0742FA 1E621768 004D6E44 004D6E44 131072)
Файл успешно помещен в карантин (C:\ProgramData\Microsoft\Windows\Power Efficiency Diagnostics\energy-trace.etl)
Прямое чтение C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_20.3.0.36\BASH\BHLINKS.DB
Прямое чтение C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_20.3.0.36\BASH\BHREG.DB
Прямое чтение C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_20.3.0.36\ErrMgmt\sqprocs.dat
Прямое чтение C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_20.3.0.36\Framework\EVT.db
Прямое чтение C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_20.3.0.36\Framework\OPS.db
Прямое чтение C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_20.3.0.36\IRON\Iron.db
Прямое чтение C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_20.3.0.36\NCW\ncwfoim.db
Прямое чтение C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_20.3.0.36\NCW\ncwperfm.db
Прямое чтение C:\System Volume Information\EfaData\SYMEFA.DB
Прямое чтение C:\System Volume Information\mdllog.dat
Прямое чтение C:\System Volume Information\Syscache.hve
Прямое чтение C:\System Volume Information\Syscache.hve.LOG1
Прямое чтение C:\Users\Галина\AppData\Local\Microsoft\Windows\Explorer\thumbcache_256.db
Прямое чтение C:\Users\Галина\AppData\Local\Microsoft\Windows\Explorer\thumbcache_32.db
Прямое чтение C:\Users\Галина\AppData\Local\Microsoft\Windows\Explorer\thumbcache_96.db
Прямое чтение C:\Users\Галина\AppData\Local\Microsoft\Windows\Explorer\thumbcache_idx.db
Прямое чтение C:\Users\Галина\AppData\Local\Microsoft\Windows\UsrClass.dat
Прямое чтение C:\Users\Галина\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG1
Прямое чтение C:\Users\Галина\AppData\Local\Microsoft\Windows\UsrClass.dat{966d0570-06a0-11e3-a8df-0024549b763b}.TM.blf
Прямое чтение C:\Users\Галина\AppData\Local\Microsoft\Windows\UsrClass.dat{966d0570-06a0-11e3-a8df-0024549b763b}.TMContainer00000000000000000001.regtrans-ms
Прямое чтение C:\Users\Галина\AppData\Local\Microsoft\Windows\UsrClass.dat{966d0570-06a0-11e3-a8df-0024549b763b}.TMContainer00000000000000000002.regtrans-ms
Прямое чтение C:\Users\Галина\AppData\Local\Microsoft\Windows\WebCache\V01.log
Прямое чтение C:\Users\Галина\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.tmp
C:\Users\Галина\AppData\Local\Temp\Rar$EX00.653\avz4\Quarantine\2013-09-17\avz00001.dta >>> подозрение на Trojan.Win32.Agent2.byu ( 1C0742FA 1E621768 004D6E44 004D6E44 131072)
Файл успешно помещен в карантин (C:\Users\Галина\AppData\Local\Temp\Rar$EX00.653\avz4\Quarantine\2013-09-17\avz00001.dta)
Прямое чтение C:\Users\Галина\NTUSER.DAT
Прямое чтение C:\Users\Галина\ntuser.dat.LOG1
Прямое чтение C:\Users\Галина\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TM.blf
Прямое чтение C:\Users\Галина\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TMContainer00000000000000000001.regtrans-ms
Прямое чтение C:\Users\Галина\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TMContainer00000000000000000002.regtrans-ms
Прямое чтение C:\Windows\ServiceProfiles\LocalService\AppData\Local\~FontCache-FontFace.dat
Прямое чтение C:\Windows\ServiceProfiles\LocalService\AppData\Local\~FontCache-S-1-5-21-3331656152-3070490900-784396055-1000.dat
Прямое чтение C:\Windows\ServiceProfiles\LocalService\AppData\Local\~FontCache-System.dat
Прямое чтение C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
Прямое чтение C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT.LOG1
Прямое чтение C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT{83e955ba-07ab-11e3-912d-0024549b763b}.TM.blf
Прямое чтение C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT{83e955ba-07ab-11e3-912d-0024549b763b}.TMContainer00000000000000000001.regtrans-ms
Прямое чтение C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT{83e955ba-07ab-11e3-912d-0024549b763b}.TMContainer00000000000000000002.regtrans-ms
Прямое чтение C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
Прямое чтение C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT.LOG1
Прямое чтение C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT{83e955b6-07ab-11e3-912d-806e6f6e6963}.TM.blf
Прямое чтение C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT{83e955b6-07ab-11e3-912d-806e6f6e6963}.TMContainer00000000000000000001.regtrans-ms
Прямое чтение C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT{83e955b6-07ab-11e3-912d-806e6f6e6963}.TMContainer00000000000000000002.regtrans-ms
Прямое чтение C:\Windows\SoftwareDistribution\ReportingEvents.log
Прямое чтение C:\Windows\System32\catroot2\edb.log
Прямое чтение C:\Windows\System32\config\DEFAULT
Прямое чтение C:\Windows\System32\config\DEFAULT.LOG1
Прямое чтение C:\Windows\System32\config\RegBack\DEFAULT
Прямое чтение C:\Windows\System32\config\RegBack\SAM
Прямое чтение C:\Windows\System32\config\RegBack\SECURITY
Прямое чтение C:\Windows\System32\config\RegBack\SYSTEM
Прямое чтение C:\Windows\System32\config\SAM
Прямое чтение C:\Windows\System32\config\SAM.LOG1
Прямое чтение C:\Windows\System32\config\SECURITY
Прямое чтение C:\Windows\System32\config\SECURITY.LOG1
Прямое чтение C:\Windows\System32\config\SOFTWARE.LOG1
Прямое чтение C:\Windows\System32\config\SYSTEM
Прямое чтение C:\Windows\System32\config\SYSTEM.LOG1
Прямое чтение C:\Windows\System32\config\TxR\{83e955af-07ab-11e3-912d-806e6f6e6963}.TxR.0.regtrans-ms
Прямое чтение C:\Windows\System32\config\TxR\{83e955af-07ab-11e3-912d-806e6f6e6963}.TxR.1.regtrans-ms
Прямое чтение C:\Windows\System32\config\TxR\{83e955af-07ab-11e3-912d-806e6f6e6963}.TxR.2.regtrans-ms
Прямое чтение C:\Windows\System32\config\TxR\{83e955af-07ab-11e3-912d-806e6f6e6963}.TxR.blf
Прямое чтение C:\Windows\System32\config\TxR\{83e955b0-07ab-11e3-912d-806e6f6e6963}.TM.blf
Прямое чтение C:\Windows\System32\config\TxR\{83e955b0-07ab-11e3-912d-806e6f6e6963}.TMContainer00000000000000000001.regtrans-ms
Прямое чтение C:\Windows\System32\config\TxR\{83e955b0-07ab-11e3-912d-806e6f6e6963}.TMContainer00000000000000000002.regtrans-ms
C:\Windows\System32\LogFiles\Scm\SCM.EVM.2 >>> подозрение на Trojan-Downloader.Win32.AutoIt.q ( 1CE8AFC6 1E621768 004D6E44 004D6E44 491520)
Файл успешно помещен в карантин (C:\Windows\System32\LogFiles\Scm\SCM.EVM.2)
C:\Windows\System32\LogFiles\Scm\SCM.EVM.4 >>> подозрение на Trojan-Downloader.Win32.AutoIt.q ( 1CECDCC3 1E621768 004D6E44 004D6E44 491520)
Файл успешно помещен в карантин (C:\Windows\System32\LogFiles\Scm\SCM.EVM.4)
Прямое чтение C:\Windows\System32\wbem\Repository\INDEX.BTR
Прямое чтение C:\Windows\System32\wbem\Repository\MAPPING1.MAP
Прямое чтение C:\Windows\System32\wbem\Repository\MAPPING2.MAP
Прямое чтение C:\Windows\System32\wbem\Repository\MAPPING3.MAP
Прямое чтение C:\Windows\System32\wbem\Repository\OBJECTS.DATA
Прямое чтение C:\Windows\System32\wdi\LogFiles\WdiContextLog.etl.001
C:\Windows\System32\wdi\LogFiles\WdiContextLog.etl.002 >>> подозрение на Trojan-Downloader.Win32.AutoIt.q ( 1CA0F20C 1E621768 004D6E44 004D6E44 491520)
Файл успешно помещен в карантин (C:\Windows\System32\wdi\LogFiles\WdiContextLog.etl.002)
Прямое чтение C:\Windows\System32\wfp\wfpdiag.etl
Прямое чтение C:\Windows\System32\winevt\Logs\Application.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Broadcom Wireless LAN.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\HardwareEvents.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Internet Explorer.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Key Management Service.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Application-Experience%4Problem-Steps-Recorder.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Application-Experience%4Program-Compatibility-Assistant.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Application-Experience%4Program-Compatibility-Troubleshooter.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Application-Experience%4Program-Inventory.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Application-Experience%4Program-Telemetry.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Bits-Client%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-CodeIntegrity%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Dhcp-Client%4Admin.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Dhcpv6-Client%4Admin.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Diagnosis-DPS%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Diagnosis-Scheduled%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Diagnostics-Performance%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-GroupPolicy%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Kernel-Power%4Thermal-Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Kernel-StoreMgr%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Kernel-WHEA%4Errors.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Kernel-WHEA%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Known Folders API Service.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-NCSI%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-NetworkAccessProtection%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-NetworkAccessProtection%4WHC.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-NetworkProfile%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-ReadyBoost%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Resource-Exhaustion-Detector%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-TerminalServices-LocalSessionManager%4Admin.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-UAC-FileVirtualization%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-User Profile Service%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Windows Defender%4WHC.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Windows Firewall With Advanced Security%4ConnectionSecurity.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Windows Firewall With Advanced Security%4Firewall.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-WindowsBackup%4ActionCenter.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-WindowsUpdateClient%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Winlogon%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-WLAN-AutoConfig%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Security.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\System.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Windows PowerShell.evtx
Прямое чтение C:\Windows\Tasks\SCHEDLGU.TXT
Прямое чтение C:\Windows\WindowsUpdate.log
Прямое чтение D:\System Volume Information\EfaData\SYMEFA.DB
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 13 TCP портов и 11 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Обнаружен вызов интерпретатора командной строки в автозапуске [DR=1] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\HotKeysCmds = [C:\Windows\system32\hkcmd.exe]
>>> C:\Program Files\Tepfel\WebCakeIEClient.dll ЭПС: подозрение на Файл с подозрительным именем (CH - CLSID)
Файл успешно помещен в карантин (C:\Program Files\Tepfel\WebCakeIEClient.dll)
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Разрешен автозапуск с HDD
>>> Разрешен автозапуск с HDD - исправлено
>> Разрешен автозапуск с сетевых дисков
>>> Разрешен автозапуск с сетевых дисков - исправлено
>> Разрешен автозапуск со сменных носителей
>>> Разрешен автозапуск со сменных носителей - исправлено
Проверка завершена
Просканировано файлов: 217612, извлечено из архивов: 95325, найдено вредоносных программ 0, подозрений - 5
Сканирование завершено в 17.09.2013 07:36:32
Сканирование длилось 09:12:33
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум
http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ
можно использовать сервис
http://virusdetector.ru/Скрыть