AVZ 5.16 http://z-oleg.com/secur/avz/
| Имя файла | PID | Описание | Copyright | MD5 | Информация
| c:\users\home\downloads\autologger-test\autologger-test.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 8120 | Автоматический сборщик логов | Все права на AutoLogger принадлежат regist & Drongo © Copyright 2013 - 2017 | E676E09262E72C815F8B360359816BAC | 16354,20 кб, rsAh,создан: 25.09.2020 05:55:10,изменен: 25.09.2020 11:54:52 | Командная строка: "C:\Users\Home\Downloads\AutoLogger-test\AutoLogger-test.exe" c:\users\home\downloads\autologger-test\autologger\avz\avz.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2200 | 44E99E6B2F9DEEC2079704BCB5B11615 | 12617,50 кб, rsAh,создан: 25.09.2020 11:56:00,изменен: 25.09.2020 05:45:03 | Командная строка: "C:\Users\Home\Downloads\AutoLogger-test\AutoLogger\AVZ\avz.exe" Script=AVZ\GeneralScript.txt HiddenMode=0 c:\program files (x86)\intel\intel(r) security assist\isa.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2500 | Intel(R) Security Assist | Copyright © 2014 | DF8DBBD8F5342C7BA598C606602B6352 | 322,50 кб, rsAh,создан: 26.02.2015 10:12:16,изменен: 26.02.2015 10:12:16 | Командная строка: "C:\Program Files (x86)\Intel\Intel(R) Security Assist\isa.exe" c:\program files (x86)\nvidia corporation\nvtelemetry\nvtelemetrycontainer.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 4048 | NVIDIA Container | (C) 2016 NVIDIA Corporation. All rights reserved. | C9A6E8CF8002EA41A5DA41E58A768F8F | 439,44 кб, rsAh,создан: 23.09.2020 01:05:16,изменен: 21.06.2017 15:04:20 | Командная строка: "C:\Program Files (x86)\NVIDIA Corporation\NvTelemetry\NvTelemetryContainer.exe" -s NvTelemetryContainer -f "C:\ProgramData\NVIDIA\NvTelemetryContainer.log" -l 3 -d "C:\Program Files (x86)\NVIDIA Corporation\NvTelemetry\plugin" Registry.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 104 | X | ошибка получения информации о файле | Командная строка: Обнаружено:129, из них опознаны как безопасные 125
| | |||||||||
| Имя модуля | Handle | Описание | Copyright | Информация | Используется процессами
| C:\Program Files (x86)\NVIDIA Corporation\NvTelemetry\plugin\NvTelemetry.dll | Скрипт: Kарантин, Удалить, Удалить через BC 1950810112 | NVIDIA Telemetry | (C) 2017 NVIDIA Corporation. All rights reserved. | MD5=28A28F41FAF550AEA764292438D55304 | 1228,94 кб, rsAh, создан: 23.09.2020 01:05:36, изменен: 21.06.2017 15:04:20 4048
| C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Configuration\50b21d70e55f54b4fe6d27ee06302838\System.Configuration.ni.dll | Скрипт: Kарантин, Удалить, Удалить через BC 1848508416 | System.Configuration.dll | © Microsoft Corporation. All rights reserved. | MD5=E962460E47C2464EA51E2F2E48E0F3BD | 1035,50 кб, rsAh, создан: 25.09.2020 11:50:40, изменен: 25.09.2020 11:50:40 2500
| C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Core\3aa84c60c3a56936cd10e3148585ce6b\System.Core.ni.dll | Скрипт: Kарантин, Удалить, Удалить через BC 1780940800 | .NET Framework | © Microsoft Corporation. All rights reserved. | MD5=5B24FFC9CDEFD9054611C88B8EC57751 | 8277,50 кб, rsAh, создан: 25.09.2020 11:49:39, изменен: 25.09.2020 11:49:39 2500
| C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Runteb92aa12#\3a77c0976128868dffc97cc881626163\System.Runtime.Serialization.ni.dll | Скрипт: Kарантин, Удалить, Удалить через BC 1770061824 | System.Runtime.Serialization.dll | © Microsoft Corporation. All rights reserved. | MD5=D01810ED7DEA575FA1A68F0CB3112A92 | 2888,00 кб, rsAh, создан: 25.09.2020 11:50:49, изменен: 25.09.2020 11:50:49 2500
| C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Xml\5a553b3e8cf5d3fff48f0411434da59e\System.Xml.ni.dll | Скрипт: Kарантин, Удалить, Удалить через BC 1773076480 | .NET Framework | © Microsoft Corporation. All rights reserved. | MD5=4FFB16293F1615794D7ED19D5785174A | 7624,00 кб, rsAh, создан: 25.09.2020 11:51:03, изменен: 25.09.2020 11:51:03 2500
| C:\Windows\assembly\NativeImages_v4.0.30319_32\System\f291ffc218da543ab4e20e70929af20d\System.ni.dll | Скрипт: Kарантин, Удалить, Удалить через BC 1789460480 | .NET Framework | © Microsoft Corporation. All rights reserved. | MD5=BF0B4D635C024D42FD9AD8A8D27BB6E0 | 10570,50 кб, rsAh, создан: 25.09.2020 11:49:26, изменен: 25.09.2020 11:49:26 2500
| Обнаружено модулей:162, из них опознаны как безопасные 156
| | |||||
| Модуль | Редиректор | Базовый адрес | Размер в памяти | Описание | Производитель
| C:\Windows\System32\Drivers\dump_diskdump.sys | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC x64 | 25FE0000 | 0000F000 (61440) | |
| C:\Windows\System32\Drivers\dump_storahci.sys | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC x64 | 23230000 | 0002D000 (184320) | |
| C:\Windows\System32\Drivers\dump_dumpfve.sys | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC x64 | 23280000 | 0001D000 (118784) | |
| Обнаружено элементов - 186, опознано как безопасные - 183
| | |||||
| Служба | Описание | Статус | Имя файла | Редиректор | Описание | Производитель | Группа | Зависимости
| NvTelemetryContainer | Служба: Стоп, Удалить, Отключить, Удалить через BC NVIDIA Telemetry Container | Работает | C:\Program Files (x86)\NVIDIA Corporation\NvTelemetry\NvTelemetryContainer.exe | 439,44 кб, rsAh, создан: 23.09.2020 01:05:16, изменен: 21.06.2017 15:04:20 Скрипт: Kарантин, Удалить, Удалить через BC x64 | NVIDIA Container | (C) 2016 NVIDIA Corporation. All rights reserved. | |
| SAService | Служба: Стоп, Удалить, Отключить, Удалить через BC Conexant SmartAudio service | Работает | C:\Windows\system32\SAsrv.exe | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC x64 | | | |
| UIUService | Служба: Стоп, Удалить, Отключить, Удалить через BC Conexant UIU Service | Работает | C:\Windows\system32\UIUSrv.exe | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC x64 | | | |
| Обнаружено элементов - 257, опознано как безопасные - 254
| | ||||||||
| Служба | Описание | Статус | Имя файла | Редиректор | Описание | Производитель | Группа | Зависимости
| Обнаружено элементов - 368, опознано как безопасные - 368
| | ||||||||
| Имя файла | Редиректор | Метод запуска | Описание
| C:\Windows\System32\icardres.dll | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC x64 | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\CardSpace 4.0.0.0, EventMessageFile
| C:\Windows\System32\icardres.dll | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC x64 | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\CardSpace 4.0.0.0, CategoryMessageFile
| C:\Program Files\Common Files\Microsoft Shared\Ink\IPSEventLogMsg.dll | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC x64 | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Handwriting Recognition, EventMessageFile
| C:\Program Files\Common Files\Microsoft Shared\Ink\IPSEventLogMsg.dll | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC x64 | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Handwriting Recognition, CategoryMessageFile
| C:\Windows\System32\IusEventLog.dll | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC x64 | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Intel(R) Capability Licensing Service Interface, EventMessageFile
| C:\Windows\System32\Drivers\UMDF\UsbccidDriver.dll | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC x64 | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\Microsoft-Windows-USB-CCID, EventMessageFile
| C:\Users\Home\AppData\Local\Programs\Opera\assistant\browser_assistant.exe | 3013,02 кб, rsAh, создан: 24.09.2020 22:56:43, изменен: 22.09.2020 13:05:06 Скрипт: Kарантин, Удалить, Удалить через BC x32 | Ключ реестра | HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, Opera Browser Assistant | Удалить C:\Windows\system32\bootim.exe | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC x32 | Ключ реестра | HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\, BootShell
| C:\Users\Home\AppData\Local\Programs\Opera\assistant\browser_assistant.exe | 3013,02 кб, rsAh, создан: 24.09.2020 22:56:43, изменен: 22.09.2020 13:05:06 Скрипт: Kарантин, Удалить, Удалить через BC x64 | Ключ реестра | HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, Opera Browser Assistant | Удалить Обнаружено элементов - 1097, опознано как безопасные - 1088
| | |||
| Имя файла | Редиректор | Тип | Описание | Производитель | CLSID
| Обнаружено элементов - 2, опознано как безопасные - 2
| | ||||||
| Имя файла | Редиректор | Назначение | Описание | Производитель | CLSID
| Обнаружено элементов - 80, опознано как безопасные - 80
| | ||||||
| Имя файла | Редиректор | Наименование | Тип | Описание | Производитель
| Обнаружено элементов - 8, опознано как безопасные - 8
| | |||||
| Имя файла | Редиректор | Имя задания | Описание | Производитель | Путь | Командная строка
| C:\ProgramData\NVIDIA\NvContainerDriverUpdateCheck.log | 4,38 кб, rsAh, создан: 24.09.2020 22:37:16, изменен: 24.09.2020 22:37:18 Скрипт: Kарантин, Удалить, Удалить через BC x64 | NvDriverUpdateCheckDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} | Скрипт: Удалить задание планировщика | | C:\Windows\system32\Tasks\ | C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe -d "C:\Program Files\NVIDIA Corporation\NvDriverUpdateCheck" -l 3 -f C:\ProgramData\NVIDIA\NvContainerDriverUpdateCheck.log
| Обнаружено элементов - 91, опознано как безопасные - 90
| | ||||||
| Поставщик | Статус | Исп. файл | Редиректор | Описание | Производитель | GUID
| Обнаружено элементов - 14, опознано как безопасные - 14
| | ||||||
| Protocol Name | Исп. файл | Редиректор | Описание | Производитель
| Обнаружено элементов - 30, опознано как безопасные - 30
| | ||||
| Порт | Статус | Remote Host | Remote Port | Приложение | Редиректор | Примечания | Описание | Производитель
| Порты TCP
| 445 | LISTENING | 0.0.0.0 | 0 | System [4] | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить x64 | Microsoft NET | |
| 49664 | LISTENING | 0.0.0.0 | 0 | wininit.exe [656] | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить x64 | | |
| 139 | LISTENING | 0.0.0.0 | 0 | System [4] | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить x64 | Microsoft NET | |
| Порты UDP
| 137 | LISTENING | -- | -- | System [4] | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить x64 | Microsoft NET | |
| 138 | LISTENING | -- | -- | System [4] | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить x64 | Microsoft NET | |
| Обнаружено элементов - 22, опознано как безопасные - 17
| | ||||||||||||||||||||||||
| Имя файла | Редиректор | Описание | Производитель | CLSID | URL загрузки
| Обнаружено элементов - 0, опознано как безопасные - 0
| | ||||||
| Имя файла | Редиректор | Описание | Производитель
| Обнаружено элементов - 36, опознано как безопасные - 36
| | ||||||
| Имя файла | Редиректор | Описание | Производитель | CLSID
| Обнаружено элементов - 18, опознано как безопасные - 18
| | ||||||
| Запись файла Hosts |
| Имя файла | Редиректор | Тип | Описание | Производитель | CLSID
| Обнаружено элементов - 44, опознано как безопасные - 44
| | ||||||
| Сетевое имя | Путь | Примечания
| C$ | C:\ | Стандартный общий ресурс
| E$ | E:\ | Стандартный общий ресурс
| ADMIN$ | C:\Windows | Удаленный Admin
| IPC$ | | Удаленный IPC
| |
| Файл | Редиректор | Описание | Тип |
Протокол утилиты AVZ версии 5.16 private build [25.09.2020 5:00:01] Сканирование запущено в 25.09.2020 11:59:16 Загружена база: сигнатуры - 297569, нейропрофили - 2, микропрограммы лечения - 56, база от 25.09.2020 04:00 Загружены микропрограммы эвристики: 404 Загружены микропрограммы ИПУ: 10 Загружены цифровые подписи системных файлов: 1141933 Режим эвристического анализатора: Средний уровень эвристики Режим лечения: включено Версия Windows: 10.0.17763, "Windows 10 Enterprise LTSC 2019" (Windows 10 Enterprise 2015 LTSB) x64, дата инсталляции 23.09.2020 00:34:48 ; AVZ работает с правами администратора (+) Восстановление системы: включено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .rdata Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM 2. Проверка памяти Количество найденных процессов: 123 Количество загруженных модулей: 149 Проверка памяти завершена 3. Сканирование дисков Прямое чтение C:\Users\Home\AppData\Local\Temp\~DFBCA748BAD918F773.TMP Прямое чтение C:\Users\Home\AppData\Local\Temp\~DFDC2DF59921FA0753.TMP 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами Проверка отключена пользователем 7. Эвристичеcкая проверка системы Проверка завершена 8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помощнику >> Проводник - включить отображение расширений для файлов известных системе типов Проверка завершена 9. Мастер поиска и устранения проблем >> Разрешен автозапуск с HDD >> Разрешен автозапуск с сетевых дисков >> Разрешен автозапуск со сменных носителей Проверка завершена Просканировано файлов: 34243, извлечено из архивов: 1344, найдено вредоносных программ 0, подозрений - 0 Сканирование завершено в 25.09.2020 12:07:43 Сканирование длилось 00:08:30 Выполняется исследование системы Диагностика сети DNS and Ping test Host="yandex.ru", IP="77.88.55.55,77.88.55.60,5.255.255.55,5.255.255.60", Ping=OK (0,18,77.88.55.55) Host="google.ru", IP="172.217.18.163", Ping=OK (0,27,172.217.18.163) Host="google.com", IP="172.217.23.174", Ping=OK (0,25,172.217.23.174) Host="www.kaspersky.com", IP="185.85.15.46", Ping=OK (0,42,185.85.15.46) Host="www.kaspersky.ru", IP="185.85.15.46", Ping=OK (0,42,185.85.15.46) Host="dnl-03.geo.kaspersky.com", IP="130.117.190.132", Ping=OK (0,57,130.117.190.132) Host="dnl-11.geo.kaspersky.com", IP="94.75.236.122", Ping=OK (0,46,94.75.236.122) Host="activation-v2.kaspersky.com", IP="212.5.89.37", Ping=OK (0,16,212.5.89.37) Host="odnoklassniki.ru", IP="217.20.147.1,5.61.23.11,217.20.155.13", Ping=OK (0,19,217.20.147.1) Host="vk.com", IP="87.240.137.158,93.186.225.208,87.240.139.194,87.240.190.72,87.240.190.67,...", Ping=OK (0,41,87.240.137.158) Host="vkontakte.ru", IP="87.240.139.194,93.186.225.208,87.240.190.67,87.240.190.78,87.240.137.158,...", Ping=OK (0,44,87.240.139.194) Host="twitter.com", IP="104.244.42.193", Ping=OK (0,46,104.244.42.193) Host="facebook.com", IP="69.171.250.35", Ping=OK (0,11,69.171.250.35) Host="ru-ru.facebook.com", IP="69.171.250.15", Ping=OK (0,14,69.171.250.15) Network IE settings IE setting AutoConfigURL= IE setting AutoConfigProxy= IE setting ProxyOverride= IE setting ProxyServer= IE setting Internet\ManualProxies= Network TCP/IP settings Interface: "Беспроводная сеть" IPAddress = "192.168.0.101" DHCPIPAddress = "192.168.0.101" SubnetMask = "255.255.255.0" DHCPSubnetMask = "255.255.255.0" DefaultGateway = "" NameServer = "" Domain = "" DhcpServer = "192.168.0.1" Network Persistent Routes