Протокол исследования системы

Список процессов

Имя файла	PID	Описание	Copyright	MD5	Информация
c:\users\fliyn\desktop\autologger-test.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	12284	Автоматический сборщик логов	Все права на AutoLogger принадлежат regist & Drongo © Copyright 2013 - 2017	2A75CEFFEC20E4ECB7A8E5EF75CE73A6	16041,72 кб, rsAh,создан: 03.06.2019 02:30:10,изменен: 03.06.2019 16:29:55 Командная строка: "C:\Users\fliyn\Desktop\AutoLogger-test.exe"
c:\users\fliyn\desktop\autologger\avz\avz.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	7284			4034855B8546E2DF7D1122A22AE35937	12101,00 кб, rsAh,создан: 03.06.2019 16:30:28,изменен: 25.05.2019 02:00:03 Командная строка: "C:\Users\fliyn\Desktop\AutoLogger\AVZ\avz.exe" Script=AVZ\GeneralScript.txt HiddenMode=0
c:\users\fliyn\appdata\local\host app service\engine\hostappserviceupdater.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	4564	Host App Service Updater	Copyright (C) 2010-2019 - SweetLabs, Inc	0CA49F446A9D860EFC9BDD0E8973D7EF	7274,16 кб, rsAh,создан: 07.03.2019 20:51:34,изменен: 07.03.2019 20:51:34 Командная строка:
c:\users\fliyn\appdata\local\programs\lenovo\lenovo service bridge\lsb.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	11240	Lenovo Service Bridge	Copyright @ Lenovo 2016	773F0865D07015F5A0EF65D4ACAAAB11	148,79 кб, rsAh,создан: 03.06.2019 16:12:41,изменен: 30.05.2019 22:28:08 Командная строка:
c:\programdata\microsoft\windows defender\platform\4.18.1905.4-0\mpcmdrun.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	10796	Microsoft Malware Protection Command Line Utility	© Microsoft Corporation. All rights reserved.	A85480D0796853111E8CCD7FB668F61F	458,95 кб, rsAh,создан: 03.06.2019 15:48:09,изменен: 03.06.2019 15:48:02 Командная строка:
c:\program files\amd\cnext\cnext\radeonsettings.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	4552	Radeon Settings: Host Application	Copyright (C) 2016 Advanced Micro Devices, Inc.	7499E4B962AE70C26864D61C255BD618	9136,38 кб, rsAh,создан: 21.03.2017 22:07:40,изменен: 21.03.2017 22:07:40 Командная строка:
Registry.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	104				ошибка получения информации о файле Командная строка:
c:\program files\windowsapps\microsoft.skypeapp_14.46.60.0_x64__kzf8qxf38zg5c\skypeapp.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	3272	SkypeApp	© Microsoft Corporation. All rights reserved.	91B12F1D204E59DC564D806F9D331282	21,00 кб, rsAh,создан: 03.06.2019 00:48:59,изменен: 03.06.2019 00:52:44 Командная строка:
c:\program files\windowsapps\microsoft.skypeapp_14.46.60.0_x64__kzf8qxf38zg5c\skypebackgroundhost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	5220			0A2F4748A6E162C9129865285ABDD363	178,00 кб, rsAh,создан: 03.06.2019 00:48:59,изменен: 03.06.2019 00:52:44 Командная строка:
c:\windows\system32\tiltwheelmouse.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	6964	pximouse	Copyright (c) 2009 Pixart Imaging Inc. All rights reserved.		ошибка получения информации о файле Командная строка: "C:\Windows\System32\TiltWheelMouse.exe"
c:\program files\lenovo\lenovoutility\utility.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	6220	Lenovo Utility	©2016 Lenovo. All rights reserved.	0343C6B102B6C2428886B003BEF39356	873,41 кб, rsAh,создан: 03.06.2019 12:17:30,изменен: 14.04.2017 10:17:14 Командная строка:
c:\program files\windowsapps\microsoft.yourphone_1.19051.545.0_x64__8wekyb3d8bbwe\yourphone.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	7212			0D0F3DF1BE0E84D0AED515948418FBF8	9269,00 кб, rsAh,создан: 03.06.2019 01:07:22,изменен: 03.06.2019 01:07:33 Командная строка:
Обнаружено:127, из них опознаны как безопасные 115

Имя модуля	Handle	Описание	Copyright	Информация	Используется процессами
Обнаружено модулей:249, из них опознаны как безопасные 249

Модули пространства ядра

Модуль	Редиректор	Базовый адрес	Размер в памяти	Описание	Производитель
C:\WINDOWS\System32\Drivers\dump_diskdump.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x64	442D0000	0000E000 (57344)
C:\WINDOWS\System32\drivers\dump_amdsata.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x64	44300000	0001F000 (126976)
C:\WINDOWS\System32\Drivers\dump_dumpfve.sys ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x64	44340000	0001D000 (118784)
C:\WINDOWS\system32\drivers\wd\WdFilter.sys 329,72 кб, rsAh, создан: 03.06.2019 15:48:09, изменен: 03.06.2019 15:48:03 Скрипт: Kарантин, Удалить, Удалить через BC	x64	0F600000	00056000 (352256)	Microsoft antimalware file system filter driver	© Microsoft Corporation. All rights reserved.
C:\WINDOWS\system32\drivers\wd\WdNisDrv.sys 52,72 кб, rsAh, создан: 03.06.2019 15:48:09, изменен: 03.06.2019 15:48:04 Скрипт: Kарантин, Удалить, Удалить через BC	x64	0F660000	00012000 (73728)	Windows Defender Network Stream Filter	© Microsoft Corporation. All rights reserved.
Обнаружено элементов - 190, опознано как безопасные - 185

Службы

Служба	Описание	Статус	Имя файла	Редиректор	Описание	Производитель	Группа	Зависимости
WdNisSvc Служба: Стоп, Удалить, Отключить, Удалить через BC	Служба проверки сети Windows Defender Antivirus	Работает	C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1905.4-0\NisSrv.exe 2376,11 кб, rsAh, создан: 03.06.2019 15:48:09, изменен: 03.06.2019 15:48:02 Скрипт: Kарантин, Удалить, Удалить через BC	x64	Microsoft Network Realtime Inspection Service	© Microsoft Corporation. All rights reserved.		WdNisDrv
WinDefend Служба: Стоп, Удалить, Отключить, Удалить через BC	Антивирусная программа "Защитника Windows"	Работает	C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1905.4-0\MsMpEng.exe 107,32 кб, rsAh, создан: 03.06.2019 15:48:09, изменен: 03.06.2019 15:48:02 Скрипт: Kарантин, Удалить, Удалить через BC	x64	Antimalware Service Executable	© Microsoft Corporation. All rights reserved.		RpcSs
Обнаружено элементов - 254, опознано как безопасные - 252

Драйверы

Служба	Описание	Статус	Имя файла	Редиректор	Описание	Производитель	Группа	Зависимости
WdBoot Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Драйвер загрузки Windows Defender Antivirus	Не запущен	C:\WINDOWS\system32\drivers\wd\WdBoot.sys 46,38 кб, rsAh, создан: 03.06.2019 15:48:09, изменен: 03.06.2019 15:48:03 Скрипт: Kарантин, Удалить, Удалить через BC	x64	Microsoft antimalware boot driver	© Microsoft Corporation. All rights reserved.	Early-Launch
WdFilter Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Драйвер мини-фильтра Windows Defender Antivirus	Работает	C:\WINDOWS\system32\drivers\wd\WdFilter.sys 329,72 кб, rsAh, создан: 03.06.2019 15:48:09, изменен: 03.06.2019 15:48:03 Скрипт: Kарантин, Удалить, Удалить через BC	x64	Microsoft antimalware file system filter driver	© Microsoft Corporation. All rights reserved.	FSFilter Anti-Virus	FltMgr
WdNisDrv Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC	Системный драйвер проверки сети Windows Defender Antivirus	Работает	C:\WINDOWS\system32\drivers\wd\WdNisDrv.sys 52,72 кб, rsAh, создан: 03.06.2019 15:48:09, изменен: 03.06.2019 15:48:04 Скрипт: Kарантин, Удалить, Удалить через BC	x64	Windows Defender Network Stream Filter	© Microsoft Corporation. All rights reserved.		BFE
Обнаружено элементов - 373, опознано как безопасные - 370

Автозапуск

Имя файла	Редиректор	Метод запуска	Описание
C:\WINDOWS\System32\drivers\ati2erec.dll ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x64	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\ATIeRecord, EventMessageFile Удалить
C:\WINDOWS\System32\drivers\ati2erec.dll ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x64	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\ATIeRecord, CategoryMessageFile Удалить
C:\Windows\System32\icardres.dll ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x64	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\CardSpace 4.0.0.0, EventMessageFile Удалить
C:\Windows\System32\icardres.dll ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x64	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\CardSpace 4.0.0.0, CategoryMessageFile Удалить
C:\Program Files\Common Files\Microsoft Shared\Ink\IPSEventLogMsg.dll ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x64	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Handwriting Recognition, EventMessageFile Удалить
C:\Program Files\Common Files\Microsoft Shared\Ink\IPSEventLogMsg.dll ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x64	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Handwriting Recognition, CategoryMessageFile Удалить
C:\WINDOWS\System32\drivers\ati2erec.dll ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x64	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\amdkmdag, EventMessageFile Удалить
C:\WINDOWS\System32\drivers\ati2erec.dll ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x64	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\amdkmdag, CategoryMessageFile Удалить
C:\WINDOWS\System32\drivers\ati2erec.dll ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x64	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\amdkmdap, EventMessageFile Удалить
C:\WINDOWS\System32\drivers\ati2erec.dll ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x64	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\amdkmdap, CategoryMessageFile Удалить
C:\WINDOWS\System32\Drivers\UMDF\UsbccidDriver.dll ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x64	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\Microsoft-Windows-USB-CCID, EventMessageFile Удалить
%SystemRoot%\system32\WindowsPowerShell\v1.0\pwrshmsg.dll ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x64	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Windows PowerShell\PowerShell, EventMessageFile Удалить
%SystemRoot%\system32\WindowsPowerShell\v1.0\pwrshmsg.dll ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x64	Ключ реестра	HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Windows PowerShell\PowerShell, CategoryMessageFile Удалить
.dll ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x32	Ключ реестра	HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Lsa, Security Packages
C:\Program Files\Lenovo\LenovoUtility\utility.exe 873,41 кб, rsAh, создан: 03.06.2019 12:17:30, изменен: 14.04.2017 10:17:14 Скрипт: Kарантин, Удалить, Удалить через BC	x64	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, LenovoUtility Удалить
.dll ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC	x64	Ключ реестра	HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Lsa, Security Packages
C:\Program Files\AMD\CNext\CNext\atiacm64.dll 831,50 кб, rsAh, создан: 21.03.2017 21:57:28, изменен: 21.03.2017 21:57:28 Скрипт: Kарантин, Удалить, Удалить через BC	x64	Ключ реестра	HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved, {5E2121EE-0300-11D4-8D3B-444553540000} Удалить
Обнаружено элементов - 1090, опознано как безопасные - 1073

Модули расширения Internet Explorer (BHO, панели ...)

Имя файла	Редиректор	Тип	Описание	Производитель	CLSID
Обнаружено элементов - 2, опознано как безопасные - 2

Модули расширения проводника

Имя файла	Редиректор	Назначение	Описание	Производитель	CLSID
C:\Program Files\AMD\CNext\CNext\atiacm64.dll 831,50 кб, rsAh, создан: 21.03.2017 21:57:28, изменен: 21.03.2017 21:57:28 Скрипт: Kарантин, Удалить, Удалить через BC	x64	Catalyst Context Menu extension	Radeon Settings: Desktop Control Panel	Copyright (C) 2015 Advanced Micro Devices, Inc.	{5E2121EE-0300-11D4-8D3B-444553540000} Удалить
C:\Program Files\AMD\CNext\CNext\atiacm64.dll 831,50 кб, rsAh, создан: 21.03.2017 21:57:28, изменен: 21.03.2017 21:57:28 Скрипт: Kарантин, Удалить, Удалить через BC	x64	Catalyst Context Menu extension	Radeon Settings: Desktop Control Panel	Copyright (C) 2015 Advanced Micro Devices, Inc.	{5E2121EE-0300-11D4-8D3B-444553540000} Удалить
Обнаружено элементов - 74, опознано как безопасные - 72

Модули расширения системы печати (мониторы печати, провайдеры)

Имя файла	Редиректор	Наименование	Тип	Описание	Производитель
Обнаружено элементов - 8, опознано как безопасные - 8

Задания планировщика задач Task Scheduler

Имя файла	Редиректор	Имя задания	Описание	Производитель	Путь	Командная строка
C:\Users\fliyn\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe 7274,16 кб, rsAh, создан: 07.03.2019 20:51:34, изменен: 07.03.2019 20:51:34 Скрипт: Kарантин, Удалить, Удалить через BC	x64	App Explorer Скрипт: Удалить задание планировщика	Host App Service Updater	Copyright (C) 2010-2019 - SweetLabs, Inc	C:\WINDOWS\system32\Tasks\	%LOCALAPPDATA%\Host App Service\Engine\HostAppServiceUpdater.exe /LOGON
C:\Users\fliyn\AppData\Local\Programs\Lenovo\Lenovo Service Bridge\LSBUpdater.exe 112,79 кб, rsAh, создан: 03.06.2019 16:12:41, изменен: 30.05.2019 22:28:10 Скрипт: Kарантин, Удалить, Удалить через BC	x64	S-1-5-21-2421217813-385871941-1277375366-1001 Скрипт: Удалить задание планировщика	LSBUpdater	Copyright © Lenovo 2016	C:\WINDOWS\system32\Tasks\Lenovo\Lenovo Service Bridge\	"C:\Users\fliyn\AppData\Local\Programs\Lenovo\Lenovo Service Bridge\LSBUpdater.exe"
C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1905.4-0\MpCmdRun.exe 458,95 кб, rsAh, создан: 03.06.2019 15:48:09, изменен: 03.06.2019 15:48:02 Скрипт: Kарантин, Удалить, Удалить через BC	x64	Windows Defender Cache Maintenance Скрипт: Удалить задание планировщика	Microsoft Malware Protection Command Line Utility	© Microsoft Corporation. All rights reserved.	C:\WINDOWS\system32\Tasks\Microsoft\Windows\Windows Defender\	C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1905.4-0\MpCmdRun.exe -IdleTask -TaskName WdCacheMaintenance
C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1905.4-0\MpCmdRun.exe 458,95 кб, rsAh, создан: 03.06.2019 15:48:09, изменен: 03.06.2019 15:48:02 Скрипт: Kарантин, Удалить, Удалить через BC	x64	Windows Defender Cleanup Скрипт: Удалить задание планировщика	Microsoft Malware Protection Command Line Utility	© Microsoft Corporation. All rights reserved.	C:\WINDOWS\system32\Tasks\Microsoft\Windows\Windows Defender\	C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1905.4-0\MpCmdRun.exe -IdleTask -TaskName WdCleanup
C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1905.4-0\MpCmdRun.exe 458,95 кб, rsAh, создан: 03.06.2019 15:48:09, изменен: 03.06.2019 15:48:02 Скрипт: Kарантин, Удалить, Удалить через BC	x64	Windows Defender Scheduled Scan Скрипт: Удалить задание планировщика	Microsoft Malware Protection Command Line Utility	© Microsoft Corporation. All rights reserved.	C:\WINDOWS\system32\Tasks\Microsoft\Windows\Windows Defender\	C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1905.4-0\MpCmdRun.exe Scan -ScheduleJob -ScanTrigger 55
C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1905.4-0\MpCmdRun.exe 458,95 кб, rsAh, создан: 03.06.2019 15:48:09, изменен: 03.06.2019 15:48:02 Скрипт: Kарантин, Удалить, Удалить через BC	x64	Windows Defender Verification Скрипт: Удалить задание планировщика	Microsoft Malware Protection Command Line Utility	© Microsoft Corporation. All rights reserved.	C:\WINDOWS\system32\Tasks\Microsoft\Windows\Windows Defender\	C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1905.4-0\MpCmdRun.exe -IdleTask -TaskName WdVerification
C:\Program Files\AMD\CNext\CNext\cncmd.exe 50,88 кб, rsAh, создан: 21.03.2017 22:07:34, изменен: 21.03.2017 22:07:34 Скрипт: Kарантин, Удалить, Удалить через BC	x64	StartCN Скрипт: Удалить задание планировщика	Radeon Settings: Command Line Interface	Copyright (C) 2015 Advanced Micro Devices, Inc.	C:\WINDOWS\system32\Tasks\	"C:\Program Files\AMD\CNext\CNext\cncmd.exe" startwithdelay
Обнаружено элементов - 101, опознано как безопасные - 94

Поставщики пространства имен (NSP)

Поставщик	Статус	Исп. файл	Редиректор	Описание	Производитель	GUID
Обнаружено элементов - 14, опознано как безопасные - 14

Поставщики транспортных протоколов (TSP, LSP)

Protocol Name	Исп. файл	Редиректор	Описание	Производитель
Обнаружено элементов - 28, опознано как безопасные - 28

Порты TCP/UDP

Порт	Статус	Remote Host	Remote Port	Приложение	Редиректор	Примечания	Описание	Производитель
Порты TCP
445	LISTENING	0.0.0.0	0	System [4] ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	x64	Microsoft NET
5357	LISTENING	0.0.0.0	0	System [4] ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	x64
8732	LISTENING	0.0.0.0	0	System [4] ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	x64
49665	LISTENING	0.0.0.0	0	wininit.exe [752] ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	x64
49669	LISTENING	0.0.0.0	0	services.exe [832] ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	x64
50128	LISTENING	0.0.0.0	0	System [4] ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	x64
139	LISTENING	0.0.0.0	0	System [4] ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	x64	Microsoft NET
52199	TIME_WAIT	152.199.19.160	443	[0]	x64
52215	TIME_WAIT	40.126.9.67	443	[0]	x64
52217	TIME_WAIT	93.184.220.29	80	[0]	x64
52218	TIME_WAIT	104.18.25.243	80	[0]	x64
52220	TIME_WAIT	40.115.3.210	443	[0]	x64
52221	TIME_WAIT	40.115.3.210	443	[0]	x64
52226	TIME_WAIT	87.240.129.129	443	[0]	x64
52227	TIME_WAIT	93.186.225.193	443	[0]	x64
52230	TIME_WAIT	87.240.129.129	443	[0]	x64
Порты UDP
50342	LISTENING	--	--	c:\program files\windowsapps\microsoft.skypeapp_14.46.60.0_x64__kzf8qxf38zg5c\skypeapp.exe [3272] 21,00 кб, rsAh, создан: 03.06.2019 00:48:59, изменен: 03.06.2019 00:52:44 Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	x64		SkypeApp	© Microsoft Corporation. All rights reserved.
137	LISTENING	--	--	System [4] ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	x64	Microsoft NET
138	LISTENING	--	--	System [4] ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить	x64	Microsoft NET
Обнаружено элементов - 86, опознано как безопасные - 67

Downloaded Program Files (DPF)

Имя файла	Редиректор	Описание	Производитель	CLSID	URL загрузки
Обнаружено элементов - 0, опознано как безопасные - 0

Апплеты панели управления (CPL)

Имя файла	Редиректор	Описание	Производитель
Обнаружено элементов - 36, опознано как безопасные - 36

Active Setup

Имя файла	Редиректор	Описание	Производитель	CLSID
Обнаружено элементов - 18, опознано как безопасные - 18

Файл HOSTS

Запись файла Hosts

Протоколы и обработчики

Имя файла	Редиректор	Тип	Описание	Производитель	CLSID
Обнаружено элементов - 44, опознано как безопасные - 44

Общие ресурсы

Сетевое имя	Путь	Примечания
C$	C:\	Стандартный общий ресурс
E$	E:\	Стандартный общий ресурс
ADMIN$	C:\WINDOWS	Удаленный Admin
IPC$		Удаленный IPC

Подозрительные объекты

Файл

Редиректор

Описание

Тип

Протокол антивирусной утилиты AVZ версии 5.14 private build [24.05.2019 11:14:07]
Сканирование запущено в 03.06.2019 16:31:22
Загружена база: сигнатуры - 297569, нейропрофили - 2, микропрограммы лечения - 56, база от 24.05.2019 04:00
Загружены микропрограммы эвристики: 404
Загружены микропрограммы ИПУ: 10
Загружены цифровые подписи системных файлов: 1062611
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 10.0.18362,  "Windows 10 Enterprise" (Ultimate) x64, дата инсталляции 03.06.2019 10:48:59 ; AVZ работает с правами администратора (+)
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
 Количество найденных процессов: 113
 Количество загруженных модулей: 230
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
>> Проводник - включить отображение расширений для файлов известных системе типов
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 343, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 03.06.2019 16:32:03
Сканирование длилось 00:00:44
Выполняется исследование системы
Диагностика сети
 DNS and Ping test
  Host="yandex.ru", IP="77.88.55.55,77.88.55.60,5.255.255.60,5.255.255.55", Ping=OK (0,30,77.88.55.55)
  Host="google.ru", IP="216.58.207.67", Ping=OK (0,45,216.58.207.67)
  Host="google.com", IP="216.58.210.14", Ping=OK (0,45,216.58.210.14)
  Host="www.kaspersky.com", IP="68.142.68.28,68.142.70.28", Ping=OK (0,61,68.142.68.28)
  Host="www.kaspersky.ru", IP="185.85.15.46", Ping=OK (0,53,185.85.15.46)
  Host="dnl-03.geo.kaspersky.com", IP="80.239.170.187", Ping=OK (0,51,80.239.170.187)
  Host="dnl-11.geo.kaspersky.com", IP="195.122.169.15", Ping=OK (0,45,195.122.169.15)
  Host="activation-v2.kaspersky.com", IP="212.5.89.37", Ping=OK (0,34,212.5.89.37)
  Host="odnoklassniki.ru", IP="217.20.147.1,217.20.155.13,5.61.23.11", Ping=OK (0,30,217.20.147.1)
  Host="vk.com", IP="93.186.225.193,87.240.182.224,87.240.129.133,93.186.225.197,87.240.190.67", Ping=OK (0,58,93.186.225.193)
  Host="vkontakte.ru", IP="87.240.182.224,87.240.129.133,87.240.190.67,93.186.225.197,93.186.225.193", Ping=OK (0,59,87.240.182.224)
  Host="twitter.com", IP="104.244.42.129,104.244.42.1", Ping=OK (0,44,104.244.42.129)
  Host="facebook.com", IP="185.60.218.35", Ping=OK (0,13,185.60.218.35)
  Host="ru-ru.facebook.com", IP="185.60.218.19", Ping=OK (0,11,185.60.218.19)
 Network IE settings
  IE setting AutoConfigURL=
  IE setting AutoConfigProxy=
  IE setting ProxyOverride=
  IE setting ProxyServer=
  IE setting Internet\ManualProxies=
 Network TCP/IP settings

 Исследование системы завершено


Команды скрипта 
Добавить в скрипт команды:
Нейтрализация перехватов функций при помощи антируткита
Включить AVZGuard
Управление AVZPM (true-включить,false-отключить)
BootCleaner - импорт списка удаленных файлов
BootCleaner - импортировать все 
Чистка реестра после удаления файлов
ExecuteWizard ('TSW',2,3,true) - Выполнение мастера поиска и устранения проблем
BootCleaner - активация
Перезагрузка
Вставить заготовку для QuarantineFile() - помещение файла в карантин
Вставить заготовку для BC_QrFile() - помещение файла в карантин через BC
Вставить заготовку для DeleteFile() - удаление файла
Вставить заготовку для DelCLSID() - удаление CLSID класса из реестра
Дополнительные операции:Оптимизация - отключить службу TermService (Службы удаленных рабочих столов)
Оптимизация - безопасность - отключить автозапуск программ с CD
Оптимизация - безопасность - отключить административный доступ к локальным дискам
Оптимизация - безопасность - блокировать возможность подключения анонимных пользователей
Безопасность: IE - запретить использование ActiveX, не помеченных как безопасные
Безопасность: IE - запретить загрузку подписанных элементов ActiveX без запроса
Безопасность: IE - запретить загрузку неподписанных элементов ActiveX
Безопасность: IE - запретить автоматические запросы элементов управления ActiveX
Безопасность: IE - запретить запуск программ и файлов в IFRAME без запроса
Безопасность - запретить отправку приглашений удаленному помощнику
Проводник - включить отображение расширений для файлов известных системе типов

Список файлов