Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Возможно вирус - не открываются Hijacker,Regedit,AVZ

gif

Автор gif
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

gif Новичок

gif

Опубликовано
Опубликовано (изменено)

Добрый день.

AVZ и Hijacker открываются после переименования файлов. Regedit.net.

На ПК установлен DR.Web. При сканировании он ничего не находит, AVZ тоже но в ветке при проверке:

Autologger тоже не запускался, использовал Autologger test

Подозрения AVZ:

1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1095) перехвачена, метод ProcAddressHijack.GetProcAddress ->76EF4F8E->76971A70
Функция kernel32.dll:ReadConsoleInputExW (1096) перехвачена, метод ProcAddressHijack.GetProcAddress ->76EF4FC1->76971AA0
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (268) перехвачена, метод ProcAddressHijack.GetProcAddress ->7736C9C0->6F6BB720
Функция ntdll.dll:NtMakeTemporaryObject (380) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:NtSetInformationFile (549) перехвачена, метод ProcAddressHijack.GetProcAddress ->7736C6E0->6F6BB540
Функция ntdll.dll:NtSetSystemTime (573) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:NtSetValueKey (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7736CA70->6F6BC900
Функция ntdll.dll:ZwCreateFile (1649) перехвачена, метод ProcAddressHijack.GetProcAddress ->7736C9C0->6F6BB720
Функция ntdll.dll:ZwMakeTemporaryObject (1759) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:ZwSetInformationFile (1928) перехвачена, метод ProcAddressHijack.GetProcAddress ->7736C6E0->6F6BB540
Функция ntdll.dll:ZwSetSystemTime (1952) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:ZwSetValueKey (1959) перехвачена, метод ProcAddressHijack.GetProcAddress ->7736CA70->6F6BC900
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1531) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F48DC0->6F6BB490
Функция user32.dll:SendInput (2205) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:SetWindowsHookExW (2303) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F55FA0->6F710DB0
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка - не найден файл (C:\SystemRoot\system32\ntoskrnl.exe)

 

Эвристическая проверка:

Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Опасно - отладчик процесса "adwcleaner_4.204.exe" = "svchost.exe"
Опасно - отладчик процесса "AnVir.exe" = "svchost.exe"
Опасно - отладчик процесса "AutoLogger.exe" = "svchost.exe"
Опасно - отладчик процесса "avz.exe" = "svchost.exe"
Опасно - отладчик процесса "CCleaner.exe" = "svchost.exe"
Опасно - отладчик процесса "CCleaner64.exe" = "svchost.exe"
Опасно - отладчик процесса "FRST.exe" = "svchost.exe"
Опасно - отладчик процесса "FRST64.exe" = "svchost.exe"
Опасно - отладчик процесса "HiJackThis.exe" = "svchost.exe"
Опасно - отладчик процесса "regedit.exe" = "svchost.exe"
Опасно - отладчик процесса "RegWorks.exe" = "svchost.exe"
Опасно - отладчик процесса "RSIT.exe" = "svchost.exe"
Опасно - отладчик процесса "RSITx64.exe" = "svchost.exe"
Проверка завершена

 

Изменено пользователем gif
Ссылка на комментарий
Поделиться на другие сайты
gif Новичок

gif

Опубликовано
  • Автор
Опубликовано

Спасибо, regedit и прочие процессы запускаются. Из первого сообщения то, что под спойлером "Эвристическая проверка" - больше не находит, но то, что под спойлером "Подозрения AVZ" - осталось. Стоит переживать?

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

 

 

но то, что под спойлером "Подозрения AVZ" - осталось. Стоит переживать?

Это нормальные записи. 

 

 

  • Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите отчет в вашей теме

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Vasikir
      Не могу открыть regedit (0xc0000017)
      Автор Vasikir
      Не уверен насчёт причины. Также были взломаны аккаунты telegram, discord, steam, google
      CollectionLog-2025.07.05-15.14.zip
    • Kagore345
      Вирус (возможно майнер). Google\Chrome\updater.exe
      Автор Kagore345
      Постоянно подкачивается файл по адресу C:\ProgramData\Google\Chrome\updater.exe. Хотя у меня даже гугла нет, после удаления этой папки также подкачка осталась. Также скорее всего изменены реестры + видеокарта начала сильнее греться. Помогите пожалуйста.

      Сканил и Dr.Web, Malwarebytes и KVRT. Какие-то вирусы они удалили, но проблема с реестрами так и осталось, возможно, также не все вирусы удалили.
    • Greengo
      Проблема с центром обновления windows, возможно связанная с вирусами
      Автор Greengo
      Здравствуйте. У меня перестал работать центр обновлений windows. При попытке в него зайти либо просто закрывается окно, либо идёт очень долгая загрузка и выдаёт ошибку "что-то пошло не так". Также заметил, что в службах появились подозрительные дубликаты с припиской _bkp у той службы которая отвечает за центр обновления windows и ещё у нескольких: wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. При этом ни одна из этих служб не запускается выдавая ошибку. Сканировал пк через kvrt, тот обнаружил несколько троянских угроз которые он вылечил/удалил, но проблема осталась.
      CollectionLog-2025.06.20-14.17.zip
    • Chugunyi
      ошибка 0xc0000017 при попытке запуска regedit и gpedit.msc
      Автор Chugunyi
      ошибка 0xc0000017 при попытке запуска regedit gpedit.msc , не могу так же сбросить винду, скорее всего после установки доступа дискорд+ютуб
    • Fusttee
      ошибка 0xc0000017 при попытке запуска regedit , скорее всего после установки доступа дискорд+ютуб
      Автор Fusttee
×
×
  • Создать...