Протокол исследования системы

AVZ 5.16 http://z-oleg.com/secur/avz/

Список процессов

Имя файлаPIDОписаниеCopyrightMD5Информация
c:\users\artemij.bobryshev\desktop\autologger-test.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить		7728Автоматический сборщик логовВсе права на AutoLogger принадлежат regist & Drongo © Copyright 2013 - 2017CB3D288656A5ABE66F10EEF21429B86C16374,18 кб, rsAh,создан: 11.10.2020 10:31:44,изменен: 11.10.2020 05:55:08
Командная строка: "C:\Users\Artemij.Bobryshev\Desktop\AutoLogger-test.exe"
c:\users\artemij.bobryshev\desktop\autologger\avz\avz.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить		7848EBF6ED5F523FB4DF4CA23C75C50A00A612639,50 кб, rsAh,создан: 11.10.2020 10:38:56,изменен: 11.10.2020 05:45:02
Командная строка: "C:\Users\Artemij.Bobryshev\Desktop\AutoLogger\AVZ\avz.exe" Script=AVZ\GeneralScript.txt HiddenMode=0
c:\program files\common files\native instruments\hardware\nihardwareservice.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить		2688NIHardwareServiceCopyright © 20174B0F496F44400AC1C1D1F3661630AF4A13661,11 кб, rsAh,создан: 24.02.2017 13:59:08,изменен: 24.02.2017 13:59:08
Командная строка:
c:\program files (x86)\simnet\simple sticky notes\ssn.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить		6764Simple Sticky Notes Copyright (C) Simnet Ltd. 2020 8886BBE5CF9BA62A4BA3D26CC2CBB2EF1416,94 кб, rsAh,создан: 30.03.2016 13:27:06,изменен: 24.05.2020 21:54:32
Командная строка: "C:\Program Files (x86)\Simnet\Simple Sticky Notes\ssn.exe"
Обнаружено:96, из них опознаны как безопасные 92
Имя модуляHandleОписаниеCopyrightИнформацияИспользуется процессами
C:\Program Files (x86)\Simnet\Simple Sticky Notes\sqlite3.dll
Скрипт: Kарантин, Удалить, Удалить через BC		1642070016SQLite is a software library that implements a self-contained, serverless, zero-configuration, transactional SQL database engine.http://www.sqlite.org/copyright.htmlMD5=7FD80B1CC72DC580C02CA4CFBFB2592D
927,12 кб, rsAh, создан: 30.03.2016 13:27:07, изменен: 22.05.2020 22:25:54		6764
Обнаружено модулей:199, из них опознаны как безопасные 198

Модули пространства ядра

Модуль Редиректор Базовый адрес Размер в памяти Описание Производитель
C:\Windows\System32\Drivers\dump_diskdump.sys
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC		x64BB6F00000000F000 (61440)  
C:\Windows\System32\Drivers\dump_storahci.sys
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC		x64BB73000000025000 (151552)  
C:\Windows\System32\Drivers\dump_dumpfve.sys
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC		x64BB7800000001A000 (106496)  
Обнаружено элементов - 191, опознано как безопасные - 188

Службы

Служба Описание Статус Имя файла Редиректор Описание Производитель Группа Зависимости
EraAgentSvc
Служба: Стоп, Удалить, Отключить, Удалить через BC		ESET Remote Administrator AgentНе запущенC:\Program Files\ESET\RemoteAdministrator\Agent\ERAAgent.exe
1668,16 кб, rsAh, создан: 01.07.2016 14:41:22, изменен: 01.07.2016 14:41:22
Скрипт: Kарантин, Удалить, Удалить через BC		x64    
NIHardwareService
Служба: Стоп, Удалить, Отключить, Удалить через BC		NIHardwareServiceРаботаетC:\Program Files\Common Files\Native Instruments\Hardware\NIHardwareService.exe
13661,11 кб, rsAh, создан: 24.02.2017 13:59:08, изменен: 24.02.2017 13:59:08
Скрипт: Kарантин, Удалить, Удалить через BC		x64NIHardwareServiceCopyright © 2017  
SAP BW Precalculation Service
Служба: Стоп, Удалить, Отключить, Удалить через BC		SAP BW Precalculation ServiceНе запущенC:\Program Files (x86)\SAP\Business Explorer\BI_Prec\BExPreCalcWindowsService.exe
49,52 кб, rsAh, создан: 20.08.2019 10:22:41, изменен: 19.03.2015 08:04:48
Скрипт: Kарантин, Удалить, Удалить через BC		x64SAP BEx Precalculation Service(c) 2003-2005, SAP AG  
SAP BW Precalculation Service Multi Instance
Служба: Стоп, Удалить, Отключить, Удалить через BC		SAP BW Precalculation Service Multi InstanceНе запущенC:\Program Files (x86)\SAP\Business Explorer\BI_Prec\BExPreCalcWindowsServiceMulti.exe
50,02 кб, rsAh, создан: 20.08.2019 10:22:41, изменен: 19.03.2015 08:04:50
Скрипт: Kарантин, Удалить, Удалить через BC		x64SAP BEx Precalculation Service Multi Instance(c) 2003-2005, SAP AG  
TeamViewer
Служба: Стоп, Удалить, Отключить, Удалить через BC		TeamViewer 10Не запущенC:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe
6489,85 кб, rsAh, создан: 14.01.2016 16:04:36, изменен: 14.07.2020 19:20:59
Скрипт: Kарантин, Удалить, Удалить через BC		x64TeamViewer 10TeamViewer GmbH RpcSs
TimeSvc3
Служба: Стоп, Удалить, Отключить, Удалить через BC		Time Control Service v3Не запущенC:\Windows\SysWOW64\TimeControlSvc\vmnetdrv64.exe
66830,77 кб, rsAh, создан: 27.01.2020 15:04:30, изменен: 27.01.2020 15:04:30
Скрипт: Kарантин, Удалить, Удалить через BC		x64Network Maintenance ServiceCopyright (C) 2016 RapidLights, Inc.  
TimeSvc3G
Служба: Стоп, Удалить, Отключить, Удалить через BC		Time Control Service v3 GuardНе запущенC:\Windows\SysWOW64\TimeControlSvc\sysprotect64.exe
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC		x64    
Обнаружено элементов - 234, опознано как безопасные - 227

Драйверы

Служба Описание Статус Имя файла Редиректор Описание Производитель Группа Зависимости
AtomNe
Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC		AtomNeНе запущенC:\Windows\SysWOW64\TimeControlSvc\AtomNe.sys
68,61 кб, rsAh, создан: 27.01.2020 14:19:06, изменен: 27.01.2020 14:19:06
Скрипт: Kарантин, Удалить, Удалить через BC		x64Atom Network DriverCopyright (C) 2019 Atom Security LLC  
DOSMEMIO
Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC		MEMIOНе запущенC:\Windows\system32\MEMIO.SYS
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC		x64  File System 
MAYA44
Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC		usb-audio.de driver for Maya44Не запущенC:\Windows\System32\Drivers\Maya44.sys
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC		x64  Base 
pgusbmme
Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC		usb-audio.de MME-AdapterНе запущенC:\Windows\system32\drivers\pgusbmm3.sys
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC		x64    
PortTalk
Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC		PortTalkНе запущенC:\Windows\system32\Drivers\PortTalk.sys
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC		x64    
ProcObsrv
Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC		ProcObsrvНе запущенC:\Windows\System32\drivers\ProcObsrv.sys
37,97 кб, rsAh, создан: 19.03.2020 12:08:30, изменен: 27.01.2020 14:19:06
Скрипт: Kарантин, Удалить, Удалить через BC		x64Process Monitor DriverCopyright (C) 2019 Atom Security LLC  
SWVNIC
Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC		SonicWALL Virtual MiniportНе запущенC:\Windows\System32\drivers\swvnic.sys
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC		x64  NDIS 
vpnva
Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC		Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows x64Не запущенC:\Windows\System32\drivers\vpnva64-6.sys
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC		x64  NDIS 
wfpcapture
Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC		Microsoft WFP Message CaptureНе запущенC:\Windows\System32\drivers\wfpcapture.sys
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC		x64  NDIS 
WiFiNat
Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC		WiFiNatНе запущенC:\Program Files (x86)\OSTotoSoft\OSTotoHotspot\driver\WiFiNat64.sys
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC		x64   BFE
Обнаружено элементов - 382, опознано как безопасные - 372

Автозапуск

Имя файла Редиректор Метод запуска Описание
C:\Program Files\RDP
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC		x64Ключ реестраHKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\TermService\Parameters, ServiceDll
Удалить
Wrapper\rdpwrap.dll
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC		x64Ключ реестраHKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\TermService\Parameters, ServiceDll
Удалить
C:\Windows\System32\icardres.dll
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC		x64Ключ реестраHKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\CardSpace 4.0.0.0, EventMessageFile
C:\Windows\System32\icardres.dll
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC		x64Ключ реестраHKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\CardSpace 4.0.0.0, CategoryMessageFile
C:\Program Files\Dell
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC		x64Ключ реестраHKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Dell SonicWALL Global VPN Client Service, EventMessageFile
Client\SWGvcPub.DLL
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC		x64Ключ реестраHKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Dell SonicWALL Global VPN Client Service, EventMessageFile
C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC		x64Ключ реестраHKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\NVIDIA Update Service, EventMessageFile
c:\windows\system32\msvbvm60.dll
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC		x64Ключ реестраHKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\VBRuntime, EventMessageFile
C:\Windows\SysWOW64\vpnevents.dll
33,39 кб, rsAh, создан: 29.10.2014 18:12:12, изменен: 29.10.2014 18:12:12
Скрипт: Kарантин, Удалить, Удалить через BC		x64Ключ реестраHKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Cisco AnyConnect Secure Mobility Client\acvpnagent, EventMessageFile
C:\Windows\SysWOW64\vpncategories.dll
10,89 кб, rsAh, создан: 29.10.2014 18:12:14, изменен: 29.10.2014 18:12:14
Скрипт: Kарантин, Удалить, Удалить через BC		x64Ключ реестраHKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Cisco AnyConnect Secure Mobility Client\acvpnagent, CategoryMessageFile
C:\Windows\SysWOW64\vpnevents.dll
33,39 кб, rsAh, создан: 29.10.2014 18:12:12, изменен: 29.10.2014 18:12:12
Скрипт: Kарантин, Удалить, Удалить через BC		x64Ключ реестраHKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Cisco AnyConnect Secure Mobility Client\acvpnapi, EventMessageFile
C:\Windows\SysWOW64\vpncategories.dll
10,89 кб, rsAh, создан: 29.10.2014 18:12:14, изменен: 29.10.2014 18:12:14
Скрипт: Kарантин, Удалить, Удалить через BC		x64Ключ реестраHKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Cisco AnyConnect Secure Mobility Client\acvpnapi, CategoryMessageFile
C:\Windows\SysWOW64\vpnevents.dll
33,39 кб, rsAh, создан: 29.10.2014 18:12:12, изменен: 29.10.2014 18:12:12
Скрипт: Kарантин, Удалить, Удалить через BC		x64Ключ реестраHKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Cisco AnyConnect Secure Mobility Client\acvpncli, EventMessageFile
C:\Windows\SysWOW64\vpncategories.dll
10,89 кб, rsAh, создан: 29.10.2014 18:12:14, изменен: 29.10.2014 18:12:14
Скрипт: Kарантин, Удалить, Удалить через BC		x64Ключ реестраHKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Cisco AnyConnect Secure Mobility Client\acvpncli, CategoryMessageFile
C:\Windows\SysWOW64\vpnevents.dll
33,39 кб, rsAh, создан: 29.10.2014 18:12:12, изменен: 29.10.2014 18:12:12
Скрипт: Kарантин, Удалить, Удалить через BC		x64Ключ реестраHKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Cisco AnyConnect Secure Mobility Client\acvpndownloader, EventMessageFile
C:\Windows\SysWOW64\vpncategories.dll
10,89 кб, rsAh, создан: 29.10.2014 18:12:14, изменен: 29.10.2014 18:12:14
Скрипт: Kарантин, Удалить, Удалить через BC		x64Ключ реестраHKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Cisco AnyConnect Secure Mobility Client\acvpndownloader, CategoryMessageFile
C:\Windows\SysWOW64\vpnevents.dll
33,39 кб, rsAh, создан: 29.10.2014 18:12:12, изменен: 29.10.2014 18:12:12
Скрипт: Kарантин, Удалить, Удалить через BC		x64Ключ реестраHKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Cisco AnyConnect Secure Mobility Client\acvpngina, EventMessageFile
C:\Windows\SysWOW64\vpncategories.dll
10,89 кб, rsAh, создан: 29.10.2014 18:12:14, изменен: 29.10.2014 18:12:14
Скрипт: Kарантин, Удалить, Удалить через BC		x64Ключ реестраHKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Cisco AnyConnect Secure Mobility Client\acvpngina, CategoryMessageFile
C:\Windows\SysWOW64\vpnevents.dll
33,39 кб, rsAh, создан: 29.10.2014 18:12:12, изменен: 29.10.2014 18:12:12
Скрипт: Kарантин, Удалить, Удалить через BC		x64Ключ реестраHKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Cisco AnyConnect Secure Mobility Client\acvpninstall, EventMessageFile
C:\Windows\SysWOW64\vpncategories.dll
10,89 кб, rsAh, создан: 29.10.2014 18:12:14, изменен: 29.10.2014 18:12:14
Скрипт: Kарантин, Удалить, Удалить через BC		x64Ключ реестраHKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Cisco AnyConnect Secure Mobility Client\acvpninstall, CategoryMessageFile
C:\Windows\SysWOW64\vpnevents.dll
33,39 кб, rsAh, создан: 29.10.2014 18:12:12, изменен: 29.10.2014 18:12:12
Скрипт: Kарантин, Удалить, Удалить через BC		x64Ключ реестраHKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Cisco AnyConnect Secure Mobility Client\acvpnplap, EventMessageFile
C:\Windows\SysWOW64\vpncategories.dll
10,89 кб, rsAh, создан: 29.10.2014 18:12:14, изменен: 29.10.2014 18:12:14
Скрипт: Kарантин, Удалить, Удалить через BC		x64Ключ реестраHKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Cisco AnyConnect Secure Mobility Client\acvpnplap, CategoryMessageFile
C:\Windows\SysWOW64\vpnevents.dll
33,39 кб, rsAh, создан: 29.10.2014 18:12:12, изменен: 29.10.2014 18:12:12
Скрипт: Kарантин, Удалить, Удалить через BC		x64Ключ реестраHKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Cisco AnyConnect Secure Mobility Client\acvpnui, EventMessageFile
C:\Windows\SysWOW64\vpncategories.dll
10,89 кб, rsAh, создан: 29.10.2014 18:12:14, изменен: 29.10.2014 18:12:14
Скрипт: Kарантин, Удалить, Удалить через BC		x64Ключ реестраHKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Cisco AnyConnect Secure Mobility Client\acvpnui, CategoryMessageFile
C:\Windows\SysWOW64\vpnevents.dll
33,39 кб, rsAh, создан: 29.10.2014 18:12:12, изменен: 29.10.2014 18:12:12
Скрипт: Kарантин, Удалить, Удалить через BC		x64Ключ реестраHKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Cisco AnyConnect Secure Mobility Client\acvpnva, EventMessageFile
C:\Windows\SysWOW64\vpncategories.dll
10,89 кб, rsAh, создан: 29.10.2014 18:12:14, изменен: 29.10.2014 18:12:14
Скрипт: Kарантин, Удалить, Удалить через BC		x64Ключ реестраHKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Cisco AnyConnect Secure Mobility Client\acvpnva, CategoryMessageFile
C:\Users\root\AppData\Local\Temp\50945695-EAD71346-E0D6700A-5C93E01A\zioo42ED7IRM.exe
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC		x64Ключ реестраHKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Doctor Web\Dr.Web Engine, EventMessageFile
C:\Program Files (x86)\Simnet\Simple Sticky Notes\ssn.exe
1416,94 кб, rsAh, создан: 30.03.2016 13:27:06, изменен: 24.05.2020 21:54:32
Скрипт: Kарантин, Удалить, Удалить через BC		x32Ключ реестраHKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, Simple Sticky Notes
Удалить
C:\Windows\system32\bootim.exe
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC		x32Ключ реестраHKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\, BootShell
C:\Windows\System32\win32k.sys
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC		x32Ключ реестраHKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Kmode
C:\Program Files (x86)\Simnet\Simple Sticky Notes\ssn.exe
1416,94 кб, rsAh, создан: 30.03.2016 13:27:06, изменен: 24.05.2020 21:54:32
Скрипт: Kарантин, Удалить, Удалить через BC		x64Ключ реестраHKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, Simple Sticky Notes
Удалить
C:\Windows\SYSTEM32\vorbis.acm
1436,50 кб, rsAh, создан: 11.03.2015 12:47:34, изменен: 11.03.2015 12:47:34
Скрипт: Kарантин, Удалить, Удалить через BC		x64Ключ реестраHKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Drivers32, msacm.vorbis
Удалить
Обнаружено элементов - 1197, опознано как безопасные - 1165

Модули расширения Internet Explorer (BHO, панели ...)

Имя файла Редиректор Тип Описание Производитель CLSID
Обнаружено элементов - 16, опознано как безопасные - 16

Модули расширения проводника

Имя файла Редиректор Назначение Описание Производитель CLSID
Обнаружено элементов - 172, опознано как безопасные - 172

Модули расширения системы печати (мониторы печати, провайдеры)

Имя файла Редиректор Наименование Тип Описание Производитель
Обнаружено элементов - 15, опознано как безопасные - 15

Задания планировщика задач Task Scheduler

Имя файла Редиректор Имя задания Описание Производитель Путь Командная строка
C:\Program Files\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC		x64Office 15 Subscription Heartbeat
Скрипт: Удалить задание планировщика		  C:\Windows\system32\Tasks\Microsoft\Office\%ProgramFiles%\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe
C:\Programdata\WindowsTask\winlogon.exe
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC		x64Cleaner
Скрипт: Удалить задание планировщика		  C:\Windows\system32\Tasks\Microsoft\Windows\Wininet\C:\Programdata\WindowsTask\winlogon.exe
Обнаружено элементов - 76, опознано как безопасные - 74

Поставщики пространства имен (NSP)

Поставщик Статус Исп. файл Редиректор Описание Производитель GUID
Обнаружено элементов - 14, опознано как безопасные - 14

Поставщики транспортных протоколов (TSP, LSP)

Protocol Name Исп. файл Редиректор Описание Производитель
Обнаружено элементов - 24, опознано как безопасные - 24

Порты TCP/UDP

Порт Статус Remote Host Remote Port Приложение Редиректор Примечания Описание Производитель
Порты TCP
445LISTENING0.0.0.00System [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить		x64Microsoft NET  
2869LISTENING0.0.0.00System [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить		x64   
5357LISTENING0.0.0.00System [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить		x64   
49408LISTENING0.0.0.00wininit.exe [636]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить		x64   
139LISTENING0.0.0.00System [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить		x64Microsoft NET  
52921TIME_WAIT13.33.240.96443  [0]
x64   
52922TIME_WAIT13.33.240.96443  [0]
x64   
52923TIME_WAIT34.242.33.12443  [0]
x64   
52947TIME_WAIT173.194.73.132443  [0]
x64   
52950TIME_WAIT64.233.162.94443  [0]
x64   
52957TIME_WAIT64.233.162.94443  [0]
x64   
139LISTENING0.0.0.00System [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить		x64Microsoft NET  
Порты UDP
137LISTENING----System [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить		x64Microsoft NET  
138LISTENING----System [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить		x64Microsoft NET  
137LISTENING----System [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить		x64Microsoft NET  
138LISTENING----System [4]
ошибка получения информации о файле
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить		x64Microsoft NET  
Обнаружено элементов - 94, опознано как безопасные - 78

Downloaded Program Files (DPF)

Имя файла Редиректор Описание Производитель CLSID URL загрузки
C:\PROGRA~1\webrec\Single\webrec.ocx
107,00 кб, rsAh, создан: 01.03.2011 10:11:12, изменен: 01.03.2011 10:11:12
Скрипт: Kарантин, Удалить, Удалить через BC		x32SurveillanceCtrl ActiveX Control ModuleCopyright (C) 2007{108D3206-846A-4A93-BACB-F0572D043ED7}
Удалить		http://10.136.112.206/webrec.cab
C:\Windows\DOWNLO~1\LG_DVR~1.OCX
1752,00 кб, rsAh, создан: 02.02.2012 14:44:04, изменен: 02.02.2012 14:44:04
Скрипт: Kарантин, Удалить, Удалить через BC		x32LG DVR WebViewer ActiveX Control ModuleCopyright (C) 2012{22CCC812-6369-4469-8E46-E5B69CE6C2E6}
Удалить		http://10.136.32.201/lg_dvr_webviewer.cab
C:\Windows\SysWow64\RSVideo.ocx
921,00 кб, rsAh, создан: 26.09.2013 16:16:44, изменен: 26.09.2013 16:16:44
Скрипт: Kарантин, Удалить, Удалить через BC		x32  {357A8DEC-0CAC-4D8D-9869-C2C356B844F7}
Удалить		http://10.136.240.193/RSVideoOcx.cab
Обнаружено элементов - 5, опознано как безопасные - 2

Апплеты панели управления (CPL)

Имя файла Редиректор Описание Производитель
Обнаружено элементов - 39, опознано как безопасные - 39

Active Setup

Имя файла Редиректор Описание Производитель CLSID
Обнаружено элементов - 24, опознано как безопасные - 24

Файл HOSTS

Запись файла Hosts

Протоколы и обработчики

Имя файла Редиректор Тип Описание Производитель CLSID
Обнаружено элементов - 45, опознано как безопасные - 45

Общие ресурсы

Сетевое имя Путь Примечания
DumpC:\Dump 
ShareC:\Share 
print$C:\Windows\system32\spool\driversДрайверы принтеров
D$D:\Стандартный общий ресурс
C$C:\Стандартный общий ресурс
ADMIN$C:\WindowsУдаленный Admin
IPC$ Удаленный IPC

Подозрительные объекты

ФайлРедиректорОписаниеТип
C:\Users\Artemij.Bobryshev\downloads\aa_v3.exe
755,49 кб, rsAh, создан: 19.10.2016 14:44:11, изменен: 07.08.2018 10:57:56
Скрипт: Kарантин, Удалить, Удалить через BC		x32Подозрение эвристического анализа ЭПС: подозрение на Файл с подозрительным именем (CH) 

Протокол утилиты AVZ версии 5.16 private build [11.10.2020  5:00:01]
Сканирование запущено в 11.10.2020 12:13:38
Загружена база: сигнатуры - 297569, нейропрофили - 2, микропрограммы лечения - 56, база от 11.10.2020 04:00
Загружены микропрограммы эвристики: 404
Загружены микропрограммы ИПУ: 10
Загружены цифровые подписи системных файлов: 1145903
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 10.0.10240,  "Windows 10 Pro" (Windows 10 Pro) x64, дата инсталляции 08.09.2015 23:25:47 ; AVZ работает с правами администратора (+)
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
 Количество найденных процессов: 89
 Количество загруженных модулей: 197
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
>>> C:\Users\Artemij.Bobryshev\downloads\aa_v3.exe ЭПС: подозрение на Файл с подозрительным именем (CH)
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Internet Explorer - заблокирована настройка домашней страницы
Проверка завершена
Просканировано файлов: 286, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 11.10.2020 12:13:59
Сканирование длилось 00:00:24
Выполняется исследование системы
Диагностика сети
 DNS and Ping test
  Host="yandex.ru", IP="77.88.55.80,77.88.55.77,5.255.255.77,5.255.255.80", Ping=OK (0,14,77.88.55.80)
  Host="google.ru", IP="173.194.220.94", Ping=OK (0,16,173.194.220.94)
  Host="google.com", IP="173.194.73.138,173.194.73.139,173.194.73.100,173.194.73.102,173.194.73.113,...", Ping=OK (0,17,173.194.73.138)
  Host="www.kaspersky.com", IP="77.74.178.40", Ping=OK (0,8,77.74.178.40)
  Host="www.kaspersky.ru", IP="77.74.178.40", Ping=OK (0,11,77.74.178.40)
  Host="dnl-03.geo.kaspersky.com", IP="95.167.139.13", Ping=OK (0,19,95.167.139.13)
  Host="dnl-11.geo.kaspersky.com", IP="62.128.100.81", Ping=OK (0,7,62.128.100.81)
  Host="activation-v2.kaspersky.com", IP="212.5.89.37", Ping=OK (0,15,212.5.89.37)
  Host="odnoklassniki.ru", IP="217.20.155.13,217.20.147.1,5.61.23.11", Ping=OK (0,15,217.20.155.13)
  Host="vk.com", IP="87.240.139.194,87.240.137.158,87.240.190.72,87.240.190.78,93.186.225.208,...", Ping=OK (0,13,87.240.139.194)
  Host="vkontakte.ru", IP="87.240.190.72,87.240.190.67,87.240.137.158,87.240.139.194,93.186.225.208,...", Ping=OK (0,13,87.240.190.72)
  Host="twitter.com", IP="104.244.42.65", Ping=OK (0,53,104.244.42.65)
  Host="facebook.com", IP="31.13.72.36", Ping=OK (0,23,31.13.72.36)
  Host="ru-ru.facebook.com", IP="31.13.72.8", Ping=OK (0,326,31.13.72.8)
 Network IE settings
  IE setting AutoConfigURL=
  IE setting AutoConfigProxy=
  IE setting ProxyOverride=
  IE setting ProxyServer=
  IE setting Internet\ManualProxies=
 Network TCP/IP settings
  Interface: "VirtualBox Host-Only Network"
   IPAddress = "192.168.56.1"
   SubnetMask = "255.255.255.0"
   DefaultGateway = ""
   NameServer = ""
   Domain = ""
   DhcpServer = "255.255.255.255"
  Interface: "Ethernet"
   IPAddress = "0.0.0.0"
   DHCPIPAddress = "0.0.0.0"
   SubnetMask = "255.0.0.0"
   DHCPSubnetMask = "255.0.0.0"
   DefaultGateway = ""
   NameServer = ""
   Domain = ""
   DhcpServer = "255.255.255.255"
  Interface: "Беспроводная сеть"
   IPAddress = "192.168.0.82"
   DHCPIPAddress = "192.168.0.82"
   SubnetMask = "255.255.255.0"
   DHCPSubnetMask = "255.255.255.0"
   DefaultGateway = ""
   NameServer = ""
   Domain = ""
   DhcpServer = "192.168.0.1"
 Network Persistent Routes

Исследование системы завершено
Команды скрипта
Добавить в скрипт команды:
Дополнительные операции:
Список файлов