Протокол исследования системы

Список процессов

Имя файла	PID	Описание	Copyright	MD5	Информация
c:\users\vadick\desktop\autologger-test.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	8232	Автоматический сборщик логов	Все права на AutoLogger принадлежат regist & Drongo © Copyright 2013 - 2017	506BFC9FA4F6ABE06EF1CE6E367AC453	15735,68 кб, rsAh,создан: 23.09.2018 17:20:44,изменен: 23.09.2018 02:30:08 Командная строка: "C:\Users\Vadick\Desktop\AutoLogger-test.exe"
c:\users\vadick\desktop\autologger\avz\avz.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	8120			26A8BC4C323B6F0B7C69E74BB9466FA6	11840,00 кб, rsAh,создан: 23.09.2018 17:26:35,изменен: 22.09.2018 02:00:04 Командная строка: "C:\Users\Vadick\Desktop\AutoLogger\AVZ\avz.exe" Script=AVZ\GeneralScript.txt HiddenMode=0
c:\users\vadick\appdata\local\discord\app-0.0.301\discord.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	2248	Discord	Copyright (c) 2017 Discord Inc. All rights reserved.	D777FC49B6674A12EAE4FC5B286D2E4F	56461,84 кб, rsAh,создан: 01.05.2018 22:48:37,изменен: 30.04.2018 23:01:12 Командная строка: C:\Users\Vadick\AppData\Local\Discord\app-0.0.301\Discord.exe --overlay-host
c:\users\vadick\appdata\local\discord\app-0.0.301\discord.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	996	Discord	Copyright (c) 2017 Discord Inc. All rights reserved.	D777FC49B6674A12EAE4FC5B286D2E4F	56461,84 кб, rsAh,создан: 01.05.2018 22:48:37,изменен: 30.04.2018 23:01:12 Командная строка: "C:\Users\Vadick\AppData\Local\Discord\app-0.0.301\Discord.exe" --type=renderer --no-sandbox --primordial-pipe-token=87EAB0268F8D62AA5BC161C7F6FF7288 --lang=ru --app-user-model-id=com.squirrel.Discord.Discord --app-path="C:\Users\Vadick\AppData\Local\Discord\app-0.0.301\resources\app.asar" --node-integration=false --preload="C:\Users\Vadick\AppData\Roaming\discord\0.0.301\modules\discord_desktop_core\core.asar\app\mainScreenPreload.js" --background-color=#2f3136 --enable-blink-features=EnumerateDevices,AudioOutputDevices --enable-pinch --device-scale-factor=1 --num-raster-threads=2 --enable-main-frame-before-activation --content-image-texture-target=0,0,3553;0,1,3553;0,2,3553;0,3,3553;0,4,3553;0,5,3553;0,6,3553;0,7,3553;0,8,3553;0,9,3553;0,10,3553;0,11,3553;0,12,3553;0,13,3553;0,14,3553;0,15,3553;1,0,3553;1,1,3553;1,2,3553;1,3,3553;1,4,3553;1,5,3553;1,6,3553;1,7,3553;1,8,3553;1,9,3553;1,10,3553;1,11,3553;1,12,3553;1,13,3553;1,14,3553;1,15,3553;2,0,3553;2,1,3553;2,2,3553;2,3,3553;2,4,3553;2,5,3553;2,6,3553;2,7,3553;2,8,3553;2,9,3553;2,10,3553;2,11,3553;2,12,3553;2,13,3553;2,14,3553;2,15,3553;3,0,3553;3,1,3553;3,2,3553;3,3,3553;3,4,3553;3,5,3553;3,6,3553;3,7,3553;3,8,3553;3,9,3553;3,10,3553;3,11,3553;3,12,3553;3,13,3553;3,14,3553;3,15,3553 --service-request-channel-token=87EAB0268F8D62AA5BC161C7F6FF7288 --renderer-client-id=6 --mojo-platform-channel-handle=2460 /prefetch:1
c:\program files (x86)\asus\gpu tweakii\gputweakii.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	15264	GPUTweakII	TODO: (c) <Company name>. All rights reserved.	4BA2D90B41130BCEAC0309086CEE187C	10724,95 кб, rsAh,создан: 25.10.2017 20:17:00,изменен: 25.10.2017 20:17:00 Командная строка: "C:\Program Files (x86)\ASUS\GPU TweakII\GPUTweakII.exe"
c:\program files (x86)\asus\gpu tweakii\monitor.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	8020	Monitor	TODO: (c) <Company name>. All rights reserved.	817503EA77D770EBF5C272400913EBC7	3180,95 кб, rsAh,создан: 18.10.2017 09:55:30,изменен: 18.10.2017 09:55:30 Командная строка: "C:\Program Files (x86)\ASUS\GPU TweakII\Monitor.exe" -ByGPUTweakII -12 273
c:\program files (x86)\origin\originwebhelperservice.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	3824	OriginWebHelperService	Copyright (C) 2015	EDD3573040FAB52227EA692A93C05255	3000,32 кб, rsAh,создан: 02.12.2017 19:58:54,изменен: 12.06.2018 21:55:48 Командная строка: "C:\Program Files (x86)\Origin\OriginWebHelperService.exe"
c:\program files (x86)\razer\synapse\rzsynapse.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	7820	Razer Synapse	Copyright ?2013 Razer Inc. All rights reserved.	F299C185F480C49DCB6BCA0BB1649779	584,18 кб, rsAh,создан: 06.06.2018 09:51:08,изменен: 06.06.2018 09:51:08 Командная строка: "C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe"
Обнаружено:162, из них опознаны как безопасные 158

Имя модуля	Handle	Описание	Copyright	Информация	Используется процессами
\\?\C:\Users\Vadick\AppData\Roaming\discord\0.0.301\modules\discord_dispatch\discord_dispatch.node Скрипт: Kарантин, Удалить, Удалить через BC	469434368			MD5=85B85CA5F93B2084A6FC3B14DCE4A34D 21284,84 кб, rsAh, создан: 11.08.2018 14:47:36, изменен: 21.09.2018 20:13:32	996
\\?\C:\Users\Vadick\AppData\Roaming\discord\0.0.301\modules\discord_game_utils\discord_game_utils.node Скрипт: Kарантин, Удалить, Удалить через BC	1366753280			MD5=B655EC024677729A550440D6FCF70815 1602,84 кб, rsAh, создан: 02.05.2018 14:03:43, изменен: 11.08.2018 14:47:27	996
\\?\C:\Users\Vadick\AppData\Roaming\discord\0.0.301\modules\discord_hook\discord_hook.node Скрипт: Kарантин, Удалить, Удалить через BC	339804160			MD5=C63B7F5B63AA6FDC8E7206866F33BD68 1618,34 кб, rsAh, создан: 02.05.2018 14:03:43, изменен: 30.08.2018 20:02:15	996
\\?\C:\Users\Vadick\AppData\Roaming\discord\0.0.301\modules\discord_modules\discord_modules.node Скрипт: Kарантин, Удалить, Удалить через BC	1360592896			MD5=A4E21203A289306815F0460D34AEAC85 1228,34 кб, rsAh, создан: 11.08.2018 14:47:37, изменен: 19.09.2018 18:04:38	996
\\?\C:\Users\Vadick\AppData\Roaming\discord\0.0.301\modules\discord_overlay2\discord_overlay2.node Скрипт: Kарантин, Удалить, Удалить через BC	1364983808			MD5=00E3442B76C76B622AFD4C5A36FFF075 1702,84 кб, rsAh, создан: 02.05.2018 14:03:43, изменен: 21.09.2018 20:13:35	2248, 996
\\?\C:\Users\Vadick\AppData\Roaming\discord\0.0.301\modules\discord_utils\discord_utils.node Скрипт: Kарантин, Удалить, Удалить через BC	1465188352			MD5=C118614E12C0A03CF12012E658BF6CB7 1577,84 кб, rsAh, создан: 02.05.2018 14:03:44, изменен: 13.09.2018 14:30:05	996
\\?\C:\Users\Vadick\AppData\Roaming\discord\0.0.301\modules\discord_voice\discord_voice.node Скрипт: Kарантин, Удалить, Удалить через BC	222298112			MD5=E6511A0B3689F80A907DB9088EFEA740 11055,84 кб, rsAh, создан: 02.05.2018 14:03:44, изменен: 30.08.2018 20:02:16	996
C:\Program Files (x86)\ASUS\GPU TweakII\TweakInterface.dll Скрипт: Kарантин, Удалить, Удалить через BC	1657405440	TODO: <File description>	TODO: (c) <Company name>. All rights reserved.	MD5=133A2D7DE654A60FD5AC2F7929562286 1871,50 кб, rsAh, создан: 25.10.2017 20:05:30, изменен: 25.10.2017 20:05:30	15264, 8020
C:\Program Files (x86)\ASUS\GPU TweakII\Vender.dll Скрипт: Kарантин, Удалить, Удалить через BC	1655308288	Vender DLL	ASUS (C) 2014	MD5=9C07299F1E135BE21044D533708904BB 1726,50 кб, rsAh, создан: 18.10.2017 09:52:42, изменен: 18.10.2017 09:52:42	15264, 8020
C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPI.dll Скрипт: Kарантин, Удалить, Удалить через BC	1463877632	NVIDIA 3D Vision Control Panel API	(C) 2018 NVIDIA Corporation. All rights reserved.	MD5=8287CE71D985AF6B6B25CC1785DF87ED 626,38 кб, rsAh, создан: 07.08.2018 13:53:09, изменен: 30.07.2018 20:50:15	7820
Обнаружено модулей:366, из них опознаны как безопасные 356

Модули пространства ядра

Модуль	Редиректор	Базовый адрес	Размер в памяти	Описание	Производитель
C:\Windows\system32\DRIVERS\cm_km.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x64	2D400000	00038000 (229376)
C:\Windows\system32\DRIVERS\klbackupdisk.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x64	2D5D0000	00010000 (65536)
C:\Windows\System32\Drivers\dump_diskdump.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x64	2F1F0000	0000F000 (61440)
C:\Windows\System32\Drivers\dump_iaStorE.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x64	2E400000	00134000 (1261568)
C:\Windows\System32\Drivers\dump_dumpfve.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x64	32BC0000	0001D000 (118784)
Обнаружено элементов - 197, опознано как безопасные - 192

Службы

Служба	Описание	Статус	Имя файла	Редиректор	Описание	Производитель	Группа	Зависимости
BEService Служба: Стоп, Удалить, Отключить, Удалить через BC	BattlEye Service	Не запущен	C:\Program Files (x86)\Common Files\BattlEye\BEService.exe 5934,51 кб, rsAh, создан: 02.12.2017 18:09:48, изменен: 14.08.2018 17:16:37 Скрипт: Kарантин, Удалить, Удалить через BC	x64
Disc Soft Ultra Bus Service Служба: Стоп, Удалить, Отключить, Удалить через BC	Disc Soft Ultra Bus Service	Не запущен	C:\Program Files\DAEMON Tools Ultra\DiscSoftBusService.exe 1314,34 кб, rsAh, создан: 06.08.2015 10:56:22, изменен: 06.08.2015 10:56:22 Скрипт: Kарантин, Удалить, Удалить через BC	x64	Disc Soft Bus Service	© 2000-2015 Disc Soft Ltd.		RPCSS
EasyAntiCheat Служба: Стоп, Удалить, Отключить, Удалить через BC	EasyAntiCheat	Не запущен	C:\Program Files (x86)\EasyAntiCheat\EasyAntiCheat.exe 766,13 кб, rsAh, создан: 18.03.2018 00:27:22, изменен: 08.09.2018 14:05:45 Скрипт: Kарантин, Удалить, Удалить через BC	x64	EasyAntiCheat Service	Copyright © EasyAntiCheat Ltd 2018
Origin Client Service Служба: Стоп, Удалить, Отключить, Удалить через BC	Origin Client Service	Не запущен	C:\Program Files (x86)\Origin\OriginClientService.exe 2150,31 кб, rsAh, создан: 02.12.2017 19:58:54, изменен: 12.06.2018 21:55:42 Скрипт: Kарантин, Удалить, Удалить через BC	x64	OriginClientService	Copyright (C) 2012
Origin Web Helper Service Служба: Стоп, Удалить, Отключить, Удалить через BC	Origin Web Helper Service	Работает	C:\Program Files (x86)\Origin\OriginWebHelperService.exe 3000,32 кб, rsAh, создан: 02.12.2017 19:58:54, изменен: 12.06.2018 21:55:48 Скрипт: Kарантин, Удалить, Удалить через BC	x64	OriginWebHelperService	Copyright (C) 2015
MBAMService Служба: Стоп, Удалить, Отключить, Удалить через BC	Malwarebytes Service	Не запущен	C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe 6198,30 кб, rsAh, создан: 23.09.2018 17:02:23, изменен: 19.09.2018 08:00:06 Скрипт: Kарантин, Удалить, Удалить через BC	x64	Malwarebytes Service	(C) Malwarebytes. All rights reserved.		RPCSS
Обнаружено элементов - 254, опознано как безопасные - 248

Драйверы

Служба	Описание	Статус	Имя файла	Редиректор	Описание	Производитель	Группа	Зависимости
cm_km Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	AO Kaspersky Lab Cryptographic Module x64 (56 bit)	Работает	C:\Windows\system32\DRIVERS\cm_km.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x64			Boot Bus Extender
GPUZ Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	GPUZ	Не запущен	C:\Users\Vadick\AppData\Local\Temp\GPUZ.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x64
klbackupdisk Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Kaspersky Lab klbackupdisk	Работает	C:\Windows\system32\DRIVERS\klbackupdisk.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x64			System Bus Extender
Обнаружено элементов - 373, опознано как безопасные - 370

Автозапуск

Имя файла	Редиректор	Метод запуска	Описание
C:\Windows\System32\icardres.dll ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x64	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\CardSpace 4.0.0.0, EventMessageFile Удалить
C:\Windows\System32\icardres.dll ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x64	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\CardSpace 4.0.0.0, CategoryMessageFile Удалить
C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe 6198,30 кб, rsAh, создан: 23.09.2018 17:02:23, изменен: 19.09.2018 08:00:06 Скрипт: Kарантин, Удалить, Удалить через BC	x64	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\MBAMService, EventMessageFile Удалить
C:\Windows\System32\nvoglv64.dll ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x64	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\NVIDIA OpenGL Driver, EventMessageFile Удалить
d:\530f07cdbb2e753682e75a86\DW\DW20.exe ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x64	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\VSSetup, EventMessageFile Удалить
C:\Users\Vadick\AppData\Local\Temp\76769093-F297E222-816E2589-A23A0826\ReNtLNTo.exe ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x64	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Doctor Web\Dr.Web Engine, EventMessageFile Удалить
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 19.0.0\safe_banking.dll ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x64	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Kaspersky Event Log\pure-safe_banking, EventMessageFile Удалить
C:\Windows\System32\Drivers\UMDF\UsbccidDriver.dll ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x64	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\Microsoft-Windows-USB-CCID, EventMessageFile Удалить
D:\games\Battlefield ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x64	Ярлык в папке автозагрузки	C:\Users\Vadick\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Vadick\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Assassin's Creed Origins.lnk,
Origins\ACOrigins.exe ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x64	Ярлык в папке автозагрузки	C:\Users\Vadick\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Vadick\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Assassin's Creed Origins.lnk,
C:\Program Files\DAEMON Tools Ultra\DTAgent.exe 4420,34 кб, rsAh, создан: 06.08.2015 10:56:46, изменен: 06.08.2015 10:56:46 Скрипт: Kарантин, Удалить, Удалить через BC	x32	Ключ реестра	HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, DAEMON Tools Ultra Agent Удалить
D:\games\Epic Games\Launcher\Portal\Binaries\Win64\EpicGamesLauncher.exe 32219,89 кб, rsAh, создан: 12.09.2018 15:34:26, изменен: 12.09.2018 15:34:26 Скрипт: Kарантин, Удалить, Удалить через BC	x32	Ключ реестра	HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, EpicGamesLauncher Удалить
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --flag-switches-begin --flag-switches-end --restore-last-session --flag-switches-begin --flag-switches-end --flag-switches-begin --flag-switches-end -- https://www.youtube.com/watch?v=5cUkRLBtyUY&t=0s ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x32	Ключ реестра	HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\RunOnce, Application Restart #0 Удалить
https:\www.youtube.com\watch ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x32	Ключ реестра	HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\RunOnce, Application Restart #0 Удалить
.dll ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x32	Ключ реестра	HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Lsa, Security Packages
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 19.0.0\shellex.dll ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x32	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved, {3A05D698-F33F-4592-81A8-053EBF0017DF} Удалить
C:\Windows\System32\osk.exe ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x32	Ключ реестра	HKEY_USERS, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce, Application Restart #0 Удалить
C:\Windows\System32\osk.exe ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x32	Ключ реестра	HKEY_USERS, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce, Application Restart #1 Удалить
C:\Windows\System32\osk.exe ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x32	Ключ реестра	HKEY_USERS, S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce, Application Restart #0 Удалить
C:\Windows\System32\osk.exe ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x32	Ключ реестра	HKEY_USERS, S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce, Application Restart #1 Удалить
C:\Program Files\DAEMON Tools Ultra\DTAgent.exe 4420,34 кб, rsAh, создан: 06.08.2015 10:56:46, изменен: 06.08.2015 10:56:46 Скрипт: Kарантин, Удалить, Удалить через BC	x64	Ключ реестра	HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, DAEMON Tools Ultra Agent Удалить
D:\games\Epic Games\Launcher\Portal\Binaries\Win64\EpicGamesLauncher.exe 32219,89 кб, rsAh, создан: 12.09.2018 15:34:26, изменен: 12.09.2018 15:34:26 Скрипт: Kарантин, Удалить, Удалить через BC	x64	Ключ реестра	HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, EpicGamesLauncher Удалить
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --flag-switches-begin --flag-switches-end --restore-last-session --flag-switches-begin --flag-switches-end --flag-switches-begin --flag-switches-end -- https://www.youtube.com/watch?v=5cUkRLBtyUY&t=0s ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x64	Ключ реестра	HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\RunOnce, Application Restart #0 Удалить
https:\www.youtube.com\watch ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x64	Ключ реестра	HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\RunOnce, Application Restart #0 Удалить
.dll ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x64	Ключ реестра	HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Lsa, Security Packages
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 19.0.0\x64\ShellEx.dll ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x64	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved, {3A05D698-F33F-4592-81A8-053EBF0017DF} Удалить
Обнаружено элементов - 1107, опознано как безопасные - 1081

Модули расширения Internet Explorer (BHO, панели ...)

Имя файла	Редиректор	Тип	Описание	Производитель	CLSID
Обнаружено элементов - 2, опознано как безопасные - 2

Модули расширения проводника

Имя файла	Редиректор	Назначение	Описание	Производитель	CLSID
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 19.0.0\shellex.dll ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x32	Kaspersky Anti-Virus crypto container			{3A05D698-F33F-4592-81A8-053EBF0017DF} Удалить
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 19.0.0\shellex.dll ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x32	Kaspersky Anti-Virus crypto container			{3A05D698-F33F-4592-81A8-053EBF0017DF} Удалить
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 19.0.0\x64\ShellEx.dll ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x64	Kaspersky Anti-Virus crypto container			{3A05D698-F33F-4592-81A8-053EBF0017DF} Удалить
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 19.0.0\x64\ShellEx.dll ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x64	Kaspersky Anti-Virus crypto container			{3A05D698-F33F-4592-81A8-053EBF0017DF} Удалить
Обнаружено элементов - 94, опознано как безопасные - 90

Модули расширения системы печати (мониторы печати, провайдеры)

Имя файла	Редиректор	Наименование	Тип	Описание	Производитель
Обнаружено элементов - 8, опознано как безопасные - 8

Задания планировщика задач Task Scheduler

Имя файла	Редиректор	Имя задания	Описание	Производитель	Путь	Командная строка
C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x64	AdobeAAMUpdater-1.0-DESKTOP-MO0MERR-Vadick Скрипт: Удалить задание планировщика			C:\Windows\system32\Tasks\	C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe -mode=scheduled
C:\Users\Vadick\AppData\Roaming\DAEMON Tools Ultra\ISSCH\issch.exe ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x64	InstallShield Update Service Скрипт: Удалить задание планировщика			C:\Windows\system32\Tasks\	"C:\Users\Vadick\AppData\Roaming\DAEMON Tools Ultra\ISSCH\issch.exe" e0A6b8377FA783163E099C31ccDD33B91AFE4B02
CodecTweakTool.exe ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x64	klcp_update Скрипт: Удалить задание планировщика			C:\Windows\system32\Tasks\	CodecTweakTool.exe /verysilent /update /freq=30
C:\ProgramData\NVIDIA\NvContainerBatteryBoostCheck.log 4,80 кб, rsAh, создан: 15.06.2018 16:27:09, изменен: 23.09.2018 15:48:28 Скрипт: Kарантин, Удалить, Удалить через BC	x64	NvBatteryBoostCheckOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} Скрипт: Удалить задание планировщика			C:\Windows\system32\Tasks\	C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe -d "C:\Program Files\NVIDIA Corporation\NvBackend\NvBatteryBoostCheck" -l 3 -f C:\ProgramData\NVIDIA\NvContainerBatteryBoostCheck.log
C:\ProgramData\NVIDIA\NvContainerDriverUpdateCheck.log 4,75 кб, rsAh, создан: 03.12.2017 13:52:25, изменен: 23.09.2018 12:39:53 Скрипт: Kарантин, Удалить, Удалить через BC	x64	NvDriverUpdateCheckDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} Скрипт: Удалить задание планировщика			C:\Windows\system32\Tasks\	C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe -d "C:\Program Files\NVIDIA Corporation\NvDriverUpdateCheck" -l 3 -f C:\ProgramData\NVIDIA\NvContainerDriverUpdateCheck.log
Обнаружено элементов - 96, опознано как безопасные - 91

Поставщики пространства имен (NSP)

Поставщик	Статус	Исп. файл	Редиректор	Описание	Производитель	GUID
Обнаружено элементов - 12, опознано как безопасные - 12

Поставщики транспортных протоколов (TSP, LSP)

Protocol Name	Исп. файл	Редиректор	Описание	Производитель
Обнаружено элементов - 24, опознано как безопасные - 24

Порты TCP/UDP

Порт	Статус	Remote Host	Remote Port	Приложение	Редиректор	Примечания	Описание	Производитель
Порты TCP
445	LISTENING	0.0.0.0	0	System [4] ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	x64	Microsoft NET
5357	LISTENING	0.0.0.0	0	System [4] ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	x64
49664	LISTENING	0.0.0.0	0	wininit.exe [820] ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	x64
49728	LISTENING	0.0.0.0	0	services.exe [892] ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	x64
139	LISTENING	0.0.0.0	0	System [4] ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	x64	Microsoft NET
3213	LISTENING	0.0.0.0	0	c:\program files (x86)\origin\originwebhelperservice.exe [3824] 3000,32 кб, rsAh, создан: 02.12.2017 19:58:54, изменен: 12.06.2018 21:55:48 Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	x64		OriginWebHelperService	Copyright (C) 2015
139	LISTENING	0.0.0.0	0	System [4] ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	x64	Microsoft NET
Порты UDP
137	LISTENING	--	--	System [4] ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	x64	Microsoft NET
138	LISTENING	--	--	System [4] ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	x64	Microsoft NET
137	LISTENING	--	--	System [4] ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	x64	Microsoft NET
138	LISTENING	--	--	System [4] ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	x64	Microsoft NET
Обнаружено элементов - 104, опознано как безопасные - 93

Downloaded Program Files (DPF)

Имя файла	Редиректор	Описание	Производитель	CLSID	URL загрузки
Обнаружено элементов - 0, опознано как безопасные - 0

Апплеты панели управления (CPL)

Имя файла	Редиректор	Описание	Производитель
Обнаружено элементов - 36, опознано как безопасные - 36

Active Setup

Имя файла	Редиректор	Описание	Производитель	CLSID
Обнаружено элементов - 20, опознано как безопасные - 20

Файл HOSTS

Запись файла Hosts

Протоколы и обработчики

Имя файла	Редиректор	Тип	Описание	Производитель	CLSID
Обнаружено элементов - 44, опознано как безопасные - 44

Общие ресурсы

Сетевое имя	Путь	Примечания
C$	C:\	Стандартный общий ресурс
D$	D:\	Стандартный общий ресурс
ADMIN$	C:\Windows	Удаленный Admin
IPC$		Удаленный IPC

Подозрительные объекты

Файл

Редиректор

Описание

Тип

Протокол антивирусной утилиты AVZ версии 5.11 private build [21.09.2018 21:40:56]
Сканирование запущено в 23.09.2018 17:29:44
Загружена база: сигнатуры - 297569, нейропрофили - 2, микропрограммы лечения - 56, база от 21.09.2018 16:00
Загружены микропрограммы эвристики: 402
Загружены микропрограммы ИПУ: 10
Загружены цифровые подписи системных файлов: 1017319
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 10.0.16299,  "Windows 10 Pro" (Ultimate) x64, дата инсталляции 01.12.2017 21:52:50 ; AVZ работает с правами администратора (+)
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
 Количество найденных процессов: 156
 Количество загруженных модулей: 364
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Нарушена настройка отображения иконок расшаренных ресурсов
Проверка завершена
Просканировано файлов: 520, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 23.09.2018 17:29:50
Сканирование длилось 00:00:07
Выполняется исследование системы
Диагностика сети
 DNS and Ping test
  Host="yandex.ru", IP="77.88.55.77,77.88.55.70,5.255.255.77,5.255.255.80", Ping=OK (0,14,77.88.55.77)
  Host="google.ru", IP="74.125.131.94", Ping=OK (0,4,74.125.131.94)
  Host="google.com", IP="74.125.131.139,74.125.131.101,74.125.131.100,74.125.131.102,74.125.131.113,...", Ping=OK (0,4,74.125.131.139)
  Host="www.kaspersky.com", IP="68.142.68.28,68.142.70.28", Ping=OK (0,14,68.142.68.28)
  Host="www.kaspersky.ru", IP="68.142.70.28,68.142.68.28", Ping=OK (0,15,68.142.70.28)
  Host="dnl-03.geo.kaspersky.com", IP="95.167.139.13", Ping=OK (0,10,95.167.139.13)
  Host="dnl-11.geo.kaspersky.com", IP="93.191.13.100", Ping=OK (0,8,93.191.13.100)
  Host="activation-v2.kaspersky.com", IP="212.5.89.37", Ping=OK (0,10,212.5.89.37)
  Host="odnoklassniki.ru", IP="217.20.155.13,217.20.147.1,5.61.23.11", Ping=OK (0,11,217.20.155.13)
  Host="vk.com", IP="87.240.190.67,87.240.129.71,87.240.180.136,87.240.182.224", Ping=OK (0,1,87.240.190.67)
  Host="vkontakte.ru", IP="95.213.4.228,95.213.4.229", Ping=OK (0,4,95.213.4.228)
  Host="twitter.com", IP="104.244.42.193", Ping=OK (0,34,104.244.42.193)
  Host="facebook.com", IP="31.13.72.36", Ping=OK (0,13,31.13.72.36)
  Host="ru-ru.facebook.com", IP="31.13.72.8", Ping=OK (0,14,31.13.72.8)
 Network IE settings
  IE setting AutoConfigURL=
  IE setting AutoConfigProxy=
  IE setting ProxyOverride=
  IE setting ProxyServer=
  IE setting Internet\ManualProxies=
 Network TCP/IP settings

 Исследование системы завершено


Команды скрипта 
Добавить в скрипт команды:
Нейтрализация перехватов функций при помощи антируткита
Включить AVZGuard
Управление AVZPM (true-включить,false-отключить)
BootCleaner - импорт списка удаленных файлов
BootCleaner - импортировать все 
Чистка реестра после удаления файлов
ExecuteWizard ('TSW',2,3,true) - Выполнение мастера поиска и устранения проблем
BootCleaner - активация
Перезагрузка
Вставить заготовку для QuarantineFile() - помещение файла в карантин
Вставить заготовку для BC_QrFile() - помещение файла в карантин через BC
Вставить заготовку для DeleteFile() - удаление файла
Вставить заготовку для DelCLSID() - удаление CLSID класса из реестра
Дополнительные операции:Оптимизация - отключить службу TermService (Службы удаленных рабочих столов)
Оптимизация - безопасность - отключить автозапуск программ с CD
Оптимизация - безопасность - отключить административный доступ к локальным дискам
Оптимизация - безопасность - блокировать возможность подключения анонимных пользователей

Список файлов