AVZ 5.72 http://z-oleg.com/secur/avz/
| Имя файла | PID | Описание | Copyright | MD5 | Информация
| c:\users\29819\desktop\autologger.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 3248 | Автоматический сборщик логов | Все права на AutoLogger принадлежат regist & Drongo © Copyright 2013 - 2021 | 550FA3E9236F01C413BDE88C9B677D3B | 16312,19 кб, rsAh,создан: 17.04.2023 05:40:08,изменен: 17.04.2023 14:41:59 | Командная строка: "C:\Users\29819\Desktop\AutoLogger.exe" c:\users\29819\desktop\autologger\av\av_z.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 428 | 6005FC8D15C913B00D7961D019562EA9 | 1569,00 кб, rsAh,создан: 17.04.2023 15:06:18,изменен: 17.04.2023 08:30:03 | Командная строка: "C:\Users\29819\Desktop\AutoLogger\AV\AV_Z.exe" Script=AV\GeneralScript.txt HiddenMode=0 c:\program files (x86)\microsoft\edge\application\112.0.1722.39\identity_helper.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 6216 | PWA Identity Proxy Host | Copyright Microsoft Corporation. All rights reserved. | 21F414AEDE6594E7BF791267CDE01713 | 1140,90 кб, rsAh,создан: 12.04.2023 19:19:09,изменен: 10.04.2023 12:56:33 | Командная строка: Registry.exe | Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 92 | X | ошибка получения информации о файле | Командная строка: Обнаружено:102, из них опознаны как безопасные 98
| | |||||||||
| Имя модуля | Handle | Описание | Copyright | Информация | Используется процессами
| Обнаружено модулей:138, из них опознаны как безопасные 138
| | |||||
| Модуль | Редиректор | Базовый адрес | Размер в памяти | Описание | Производитель
| C:\WINDOWS\System32\Drivers\dump_diskdump.sys | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC x64 | 80460000 | 0000F000 (61440) | |
| C:\WINDOWS\System32\drivers\dump_storahci.sys | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC x64 | 804B0000 | 00032000 (204800) | |
| C:\WINDOWS\System32\Drivers\dump_dumpfve.sys | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC x64 | 80510000 | 0001D000 (118784) | |
| Обнаружено элементов - 178, опознано как безопасные - 175
| | |||||
| Служба | Описание | Статус | Имя файла | Редиректор | Описание | Производитель | Группа | Зависимости
| Обнаружено элементов - 254, опознано как безопасные - 254
| | ||||||||
| Служба | Описание | Статус | Имя файла | Редиректор | Описание | Производитель | Группа | Зависимости
| MpKsl0b7fa3f9 | Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC MpKsl0b7fa3f9 | Не запущен | C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{FFED8B79-191E-4821-95F5-C998DAAE437A}\MpKslDrv.sys | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC x64 | | | |
| MpKslb6a02b74 | Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC MpKslb6a02b74 | Не запущен | C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{FFED8B79-191E-4821-95F5-C998DAAE437A}\MpKslDrv.sys | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC x64 | | | |
| Обнаружено элементов - 365, опознано как безопасные - 363
| | ||||||||
| Имя файла | Редиректор | Метод запуска | Описание
| C:\Windows\System32\icardres.dll | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC x64 | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\CardSpace 4.0.0.0, EventMessageFile
| C:\Windows\System32\icardres.dll | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC x64 | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\CardSpace 4.0.0.0, CategoryMessageFile
| C:\Program Files\Common Files\Microsoft Shared\Ink\IPSEventLogMsg.dll | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC x64 | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Handwriting Recognition, EventMessageFile
| C:\Program Files\Common Files\Microsoft Shared\Ink\IPSEventLogMsg.dll | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC x64 | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Handwriting Recognition, CategoryMessageFile
| C:\Program Files (x86)\Microsoft\Edge\Application\84.0.522.52\msedge.dll | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC x64 | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\Microsoft Edge Etw, EventMessageFile
| C:\WINDOWS\System32\Drivers\UMDF\UsbccidDriver.dll | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC x64 | Ключ реестра | HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\Microsoft-Windows-USB-CCID, EventMessageFile
| C:\Users\29819\AppData\Roaming\NCALayer\NCALayer.exe | 11300,62 кб, rsAh, создан: 15.04.2023 12:28:47, изменен: 13.03.2023 10:36:44 Скрипт: Kарантин, Удалить, Удалить через BC x64 | Ярлык в папке автозагрузки | C:\Users\29819\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\, C:\Users\29819\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\NCALayer.lnk,
| C:\WINDOWS\system32\bootim.exe | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC x32 | Ключ реестра | HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\, BootShell
| C:\PROGRA~2\TROJAN~1\TRSHLE~1.DLL | 3520,60 кб, rsAh, создан: 01.03.2020 13:31:05, изменен: 25.10.2018 17:12:52 Скрипт: Kарантин, Удалить, Удалить через BC x64 | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved, {52B87208-9CCF-42C9-B88E-069281105805} | Удалить Обнаружено элементов - 999, опознано как безопасные - 990
| | |||
| Имя файла | Редиректор | Тип | Описание | Производитель | CLSID
| Обнаружено элементов - 4, опознано как безопасные - 4
| | ||||||
| Имя файла | Редиректор | Назначение | Описание | Производитель | CLSID
| C:\PROGRA~2\TROJAN~1\TRSHLE~1.DLL | 3520,60 кб, rsAh, создан: 01.03.2020 13:31:05, изменен: 25.10.2018 17:12:52 Скрипт: Kарантин, Удалить, Удалить через BC x64 | Trojan Remover Shell Extension | Trojan Remover Shell Extension (64bit) | © 2002-2018 Simply Super Software | {52B87208-9CCF-42C9-B88E-069281105805} | Удалить C:\PROGRA~2\TROJAN~1\TRSHLE~1.DLL | 3520,60 кб, rsAh, создан: 01.03.2020 13:31:05, изменен: 25.10.2018 17:12:52 Скрипт: Kарантин, Удалить, Удалить через BC x64 | Trojan Remover Shell Extension | Trojan Remover Shell Extension (64bit) | © 2002-2018 Simply Super Software | {52B87208-9CCF-42C9-B88E-069281105805} | Удалить Обнаружено элементов - 84, опознано как безопасные - 82
| | ||||||
| Имя файла | Редиректор | Наименование | Тип | Описание | Производитель
| Обнаружено элементов - 8, опознано как безопасные - 8
| | |||||
| Имя файла | Редиректор | Имя задания | Описание | Производитель | Путь | Командная строка
| %windir%\system32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Unrestricted -NonInteractive -NoProfile -WindowStyle Hidden "& %windir%\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1 -Scenario Client" | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC x64 | UninstallSMB1ClientTask | Скрипт: Удалить задание планировщика | | C:\WINDOWS\system32\Tasks\Microsoft\Windows\SMB\ | %windir%\system32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Unrestricted -NonInteractive -NoProfile -WindowStyle Hidden "& %windir%\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1 -Scenario Client"
| %windir%\system32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Unrestricted -NonInteractive -NoProfile -WindowStyle Hidden "& %windir%\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1 -Scenario Server" | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC x64 | UninstallSMB1ServerTask | Скрипт: Удалить задание планировщика | | C:\WINDOWS\system32\Tasks\Microsoft\Windows\SMB\ | %windir%\system32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Unrestricted -NonInteractive -NoProfile -WindowStyle Hidden "& %windir%\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1 -Scenario Server"
| C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\backgroundupdate.moz_log | 7,45 кб, rsAh, создан: 11.08.2022 16:11:21, изменен: 17.04.2023 14:33:00 Скрипт: Kарантин, Удалить, Удалить через BC x64 | Firefox Background Update 308046B0AF4A39CB | Скрипт: Удалить задание планировщика | | C:\WINDOWS\system32\Tasks\Mozilla\ | C:\Program Files\Mozilla Firefox\firefox.exe --MOZ_LOG sync,prependheader,timestamp,append,maxsize:1,Dump:5 --MOZ_LOG_FILE C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\backgroundupdate.moz_log --backgroundtask backgroundupdate | WorkingDirectory=C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB C:\Users\29819\AppData\Local\Programs\Opera\assistant | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC x64 | Opera scheduled assistant Autoupdate 1606632330 | Скрипт: Удалить задание планировщика | | C:\WINDOWS\system32\Tasks\ | C:\Users\29819\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate --component-name=assistant --component-path="C:\Users\29819\AppData\Local\Programs\Opera\assistant" $(Arg0)
| C:\Users\29819\AppData\Local\Programs\Opera\launcher.exe | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC x64 | Opera scheduled assistant Autoupdate 1606632330 | Скрипт: Удалить задание планировщика | | C:\WINDOWS\system32\Tasks\ | C:\Users\29819\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate --component-name=assistant --component-path="C:\Users\29819\AppData\Local\Programs\Opera\assistant" $(Arg0)
| C:\Users\29819\AppData\Local\Programs\Opera\launcher.exe | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC x64 | Opera scheduled Autoupdate 1606632300 | Скрипт: Удалить задание планировщика | | C:\WINDOWS\system32\Tasks\ | C:\Users\29819\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0)
| C:\Program Files (x86)\Trojan Remover\TRAntiHJ.exe | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC x64 | TR_AntiHijack | Скрипт: Удалить задание планировщика | | C:\WINDOWS\system32\Tasks\ | "C:\Program Files (x86)\Trojan Remover\TRAntiHJ.exe"
| C:\Program Files (x86)\Trojan Remover\Trjscan.exe | 3818,71 кб, rsAh, создан: 01.03.2020 13:31:04, изменен: 01.03.2020 14:47:29 Скрипт: Kарантин, Удалить, Удалить через BC x64 | TR_FastScan_AtLogon | Скрипт: Удалить задание планировщика Trojan Remover FastScan | © 1999-2019 Simply Super Software | C:\WINDOWS\system32\Tasks\ | "C:\Program Files (x86)\Trojan Remover\Trjscan.exe" /boot
| C:\Program Files (x86)\Trojan Remover\Trjscan.exe | 3818,71 кб, rsAh, создан: 01.03.2020 13:31:04, изменен: 01.03.2020 14:47:29 Скрипт: Kарантин, Удалить, Удалить через BC x64 | TR_FastScan_Daily_29819 | Скрипт: Удалить задание планировщика Trojan Remover FastScan | © 1999-2019 Simply Super Software | C:\WINDOWS\system32\Tasks\ | "C:\Program Files (x86)\Trojan Remover\Trjscan.exe" /silent
| C:\Program Files (x86)\Trojan Remover\Trupd.exe | 3827,21 кб, rsAh, создан: 01.03.2020 13:31:05, изменен: 01.03.2020 14:47:55 Скрипт: Kарантин, Удалить, Удалить через BC x64 | TR_Updater | Скрипт: Удалить задание планировщика TR Updater | © 2003-2019 Simply Super Software | C:\WINDOWS\system32\Tasks\ | "C:\Program Files (x86)\Trojan Remover\Trupd.exe" /silent
| Обнаружено элементов - 120, опознано как безопасные - 110
| | ||||||
| Поставщик | Статус | Исп. файл | Редиректор | Описание | Производитель | GUID
| Обнаружено элементов - 14, опознано как безопасные - 14
| | ||||||
| Protocol Name | Исп. файл | Редиректор | Описание | Производитель
| Обнаружено элементов - 28, опознано как безопасные - 28
| | ||||
| Порт | Статус | Remote Host | Remote Port | Приложение | Редиректор | Примечания | Описание | Производитель
| Порты TCP
| 445 | LISTENING | 0.0.0.0 | 0 | System [4] | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить x64 | Microsoft NET | |
| 49665 | LISTENING | 0.0.0.0 | 0 | wininit.exe [588] | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить x64 | | |
| 49669 | LISTENING | 0.0.0.0 | 0 | services.exe [656] | ошибка получения информации о файле Скрипт: Kарантин, Удалить, Удалить через BC, Завершить x64 | | |
| Порты UDP
| Обнаружено элементов - 19, опознано как безопасные - 16
| | ||||||||||||||||||||||||
| Имя файла | Редиректор | Описание | Производитель | CLSID | URL загрузки
| Обнаружено элементов - 0, опознано как безопасные - 0
| | ||||||
| Имя файла | Редиректор | Описание | Производитель
| Обнаружено элементов - 34, опознано как безопасные - 34
| | ||||||
| Имя файла | Редиректор | Описание | Производитель | CLSID
| Обнаружено элементов - 20, опознано как безопасные - 20
| | ||||||
| Запись файла Hosts |
| Имя файла | Редиректор | Тип | Описание | Производитель | CLSID
| Обнаружено элементов - 38, опознано как безопасные - 38
| | ||||||
| Сетевое имя | Путь | Примечания
| C$ | C:\ | Стандартный общий ресурс
| ADMIN$ | C:\WINDOWS | Удаленный Admin
| IPC$ | | Удаленный IPC
| |
| Идентификатор задания | Имя задания | Статус | URL или имя загружаемого файла | Имя сохраняемого файла | Приложение, вызываемое при завершении задания
| {54D274C6-E33B-4F01-A52D-3D34938572EA} | Edge Component Updater | ERROR | http://msedge.b.tlu.dl.delivery.mp.microsoft.com/filestreamingservice/files/9e270663-a06c-4477-abfa-eb36d4a0b6bf?P1=1682061618&P2=404&P3=2&P4=ZzqxvlXsST2DjP1q1MMEMdwXMWoPn9vNcPAfSQh3AvOsdn9kH0To501zJyvNIa0nMQz6ZdNtXBb0LM5FhNtNKg%3d%3d | C:\Users\29819\AppData\Local\Temp\edge_BITS_4308_1163531574\9e270663-a06c-4477-abfa-eb36d4a0b6bf | | |
| Файл | Редиректор | Описание | Тип |
Протокол утилиты AVZ версии 5.72 Сканирование запущено в 17.04.2023 15:07:10 Загружена база: сигнатуры - 297569, нейропрофили - 2, микропрограммы лечения - 56, база от 17.04.2023 04:00 Загружены микропрограммы эвристики: 417 Загружены микропрограммы ИПУ: 10 Загружены цифровые подписи системных файлов: 658339 Режим эвристического анализатора: Максимальный уровень эвристики Режим лечения: включено Версия Windows: 10.0.19042, "Windows 10 Home" (Windows 10 Home) x64, дата инсталляции 22.02.2023 18:02:57 ; AVZ работает с правами администратора (+) Восстановление системы: включено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .rdata Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM 2. Проверка памяти Количество найденных процессов: 76 Количество загруженных модулей: 146 Проверка памяти завершена 3. Сканирование дисков 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами Проверка отключена пользователем 7. Эвристичеcкая проверка системы Проверка завершена 8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помощнику >> Проводник - включить отображение расширений для файлов известных системе типов Проверка завершена 9. Мастер поиска и устранения проблем >> Разрешен автозапуск с HDD >> Разрешен автозапуск с сетевых дисков >> Разрешен автозапуск со сменных носителей Проверка завершена Просканировано файлов: 222, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0 Сканирование завершено в 17.04.2023 15:09:02 Сканирование длилось 00:01:57 Выполняется исследование системы Диагностика сети DNS and Ping test Host="yandex.ru", IP="", Ping=Error (11010,0,0.0.0.0) Host="google.ru", IP="", Ping=Error (11010,0,0.0.0.0) Host="google.com", IP="", Ping=Error (11010,0,0.0.0.0) Host="www.kaspersky.com", IP="", Ping=Error (11010,0,0.0.0.0) Host="www.kaspersky.ru", IP="", Ping=Error (11010,0,0.0.0.0) Host="dnl-03.geo.kaspersky.com", IP="", Ping=Error (11010,0,0.0.0.0) Host="dnl-11.geo.kaspersky.com", IP="", Ping=Error (11010,0,0.0.0.0) Host="activation-v2.kaspersky.com", IP="", Ping=Error (11010,0,0.0.0.0) Host="odnoklassniki.ru", IP="", Ping=Error (11010,0,0.0.0.0) Host="vk.com", IP="", Ping=Error (11010,0,0.0.0.0) Host="vkontakte.ru", IP="", Ping=Error (11010,0,0.0.0.0) Host="twitter.com", IP="", Ping=Error (11010,0,0.0.0.0) Host="facebook.com", IP="", Ping=Error (11010,0,0.0.0.0) Host="ru-ru.facebook.com", IP="", Ping=Error (11010,0,0.0.0.0) Network IE settings IE setting AutoConfigURL= IE setting AutoConfigProxy= IE setting ProxyOverride= IE setting ProxyServer= IE setting Internet\ManualProxies= Network TCP/IP settings Interface: "Ethernet 2" IPAddress = "192.168.42.133" DHCPIPAddress = "192.168.42.133" SubnetMask = "255.255.255.0" DHCPSubnetMask = "255.255.255.0" DefaultGateway = "" NameServer = "" Domain = "" DhcpServer = "192.168.42.129" Interface: "Беспроводная сеть" IPAddress = "192.168.0.13" DHCPIPAddress = "192.168.0.13" SubnetMask = "255.255.255.0" DHCPSubnetMask = "255.255.255.0" DefaultGateway = "" NameServer = "" Domain = "" DhcpServer = "192.168.0.1" Interface: "" IPAddress = "0.0.0.0" DHCPIPAddress = "0.0.0.0" SubnetMask = "255.0.0.0" DHCPSubnetMask = "255.0.0.0" DefaultGateway = "" NameServer = "" Domain = "" DhcpServer = "255.255.255.255" Network Persistent Routes