Пересилил природную лень и разобрал консолидатора procmon'om. После «название».dll идет описание этой длл.


%SystemRoot%\System32\wsqmcons.exe
SQM консолидатор Windows

Запуск руками. Далее происходящее:

Проверка на SafeBoot

Подгрузка библиотек
tdh.dll вспомогательная библиотека трассировки событий
wer.dll библиотека сообщений об ошибках
wevtapi.dll API настройки и использования событий
powrprof.dll DLL модуля поддержки управления питанием
xmllite.dll Microsft XMLLite Library
sppcext.dll Software Protection Platform Client Extension Dll
ktmw.dll Windows KTM Win32 Client DLL
reagent.dll Библиотека DLL агента восстановления MIcrosoft Windows
winhttp.dll Службы HTTP Windows
cabinet.dll Microsft Cabinet File API
rpcrt4.dll Библиотека удаленного вызова процедур
crypt32.dll API32 криптографии
sechost.dll Host for SCM/SDDL/LSA Lookup APIs
gdi32.dll GDI Client DLL
combase.dll Microsoft COM для Windows
WinSCard.dll API смарт-карт

— Девушка, позвольте с вами познакомиться — Чтение текущих языковых настроек
Чтение конфигурации оборудования из подразделов HKLM\System\ CurrentControlSet\ и HKLM\HARDWARE\DEVICEMAP\ VIDEO
Обращение к драйверам(файлам) видеокарты и к параметрам видео из реестра (Интелом побрезговало, Нвидию поизучало)
Считывание всех файлов из System32
Чтение из реестра:
HKLM\SOFTWARE\Microsoft\ Windows\CurrentVersion\Setup\SourcePath
HKLM\ SOFTWARE\Microsoft\ Windows\CurrentVersion\DevicePath
HKLM\System\ CurrentControlSet\ Control\Nls\CustomLocale
HKLM\System\ CurrentControlSet\ Control\Nls\ExtendedLocale
HKLM\SOFTWARE\ Microsoft\OLE\ PageAllocatorUseSystemHeap
HKLM\SOFTWARE\ Microsoft \OLE\ PageAllocatorSystemHeapIsPrivate
HKLM\SOFTWARE\ Microsoft \OLE\ AggressiveMTATesting
HKLM\System\ CurrentControlSet\Control\ SystemInformation\ SystemManufacturer
HKLM\System\ CurrentControlSet\Control\SystemInformation\ SystemProductName
HKLM\System\ CurrentControlSet\Control\SystemInformation\ BIOSVersion
HKLM\Software\Microsoft \windows\CurrentVersion\Internet Settings\Connections\*

— Третий лишний — Периодические проверки — выключены ли следующие товарищи (или включены?):
HKLM\SOFTWARE\Policies\ Microsoft \SQMClient\
HKLM\SOFTWARE\Microsoft\ Windows \Windows Error Reporting\
HKLM\SOFTWARE\Microsoft\ TelemetryClient\

— БД «Чтобы никто не догадался» (по моему) — Заполнение HKLM\SOFTWARE\ Microsoft\SQMClient\Windows\ CommonDatapoints\*

— Не понял — QueryDirectory C:\Windows\System32\drivers\*.mrk

— Ключ на старт. Зажигание. 3… 2… 1… — Чтение HKLM\System\ CurrentControlSet\ Services\ WinSock2\Parameters\*
Подгрузка сетевых библиотек (dhcpapi, dnsapi)
Чтение параметров TCPv4/TCPv6
Подгрузка mswsock.dll, wshqos.dll, schannel.dll

— Поехали — TCP Connect -> 65.55.252.93:https
TCP Send -> 65.55.252.93:https Lenght 192
TCP Receive -> 65.55.252.93:https Lenght 3800

— Юстас Алексу: Мама, роди меня обратно — Читается разная сертификатная криптография (напр. HKLM\Software\ Microsoft\ Cryptography\OID или HKLM\SOFTWARE\ Policies\ Microsoft\ SystemCertificates)
Между криптосертификатией проскакивают 2 одинаковых запроса к самому себе, с разным результатом:
QuerySecurityFile BUFFER OVERFLOW info: owner
QuerySecurityFile SUCCESS info: owner
далее опять запросы к сертификатам и так несколько раз по кругу. Проверка на вшивость?

— Радость сисадмина — Подгрузка gpapi.dll Клиентские функции API групповой политики
HKLM\SOFTWARE\ Microsoft\ Windows NT\CurrentVersion\Winlogon\ UserenvDebugLevel
HKLM\SOFTWARE \Policies\ Microsoft\ Windows\System\ GpSvcDebugLevel
Опять сертификаты/криптография из реестра и подгрузка fveui.dll
Подгрузка wuaueng.dll Агент центра обновления
Подгрузка powershell не понял?
Криптография из реестра (HKLM\ System\ CurrentControlSet\ Control\ Cryptography\*)
обращение к dll установленного EMET (CreateFileMapping)

— Центр-Юстасу: Держитесь — TCP Send -> 65.55.252.93:https Lenght 214
TCP Receive -> 65.55.252.93:https Lenght 107
Криптография из реестра (HKLM\ System\CurrentControlSet\ Control\ Cryptography\*)
Подгрузка dpapi.dll Data Protection API

— Юстас Алексу: Служу Советскому Союзу — TCP Send -> 65.55.252.93:https Lenght 213
TCP Send -> 65.55.252.93:https Lenght 2613
TCP Receive -> 65.55.252.93:https Lenght 389

— Торможение о плотные слои — QueryStandardInformationFile и CreateFileMapping к «C:\ProgramData\Microsoft\ windowssampling\Sqm\Manifest\Sqm3.bin», перемежаемые крипто из реестра

— Раскрытие парашюта — RegSetInfoKey:
HKLM\SOFTWARE\ Microsoft\ SQMClient\ Windows\ CommonDatapoints\*
HKLM\SOFTWARE\ Microsoft\Internet Explorer\ svcUpdateVersion
HKLM\SOFTWARE\ Microsoft\SQMClient\*
HKLM\SOFTWARE\ Microsoft\Reliability Analysis\RAC\ RacSampleNumber

— Приземление — Различные телодвижения с:
HKLM\SOFTWARE\ Microsoft\TelemetryClient\*
HKLM\SOFTWARE\ Microsoft\SQMClient\*
Закрытие TCP, выгрузка библиотек. Game Over.