gif Опубликовано 4 июня, 2015 Опубликовано 4 июня, 2015 (изменено) Добрый день. AVZ и Hijacker открываются после переименования файлов. Regedit.net. На ПК установлен DR.Web. При сканировании он ничего не находит, AVZ тоже но в ветке при проверке: Autologger тоже не запускался, использовал Autologger test Подозрения AVZ: 1.1 Поиск перехватчиков API, работающих в UserModeАнализ kernel32.dll, таблица экспорта найдена в секции .rdataФункция kernel32.dll:ReadConsoleInputExA (1095) перехвачена, метод ProcAddressHijack.GetProcAddress ->76EF4F8E->76971A70Функция kernel32.dll:ReadConsoleInputExW (1096) перехвачена, метод ProcAddressHijack.GetProcAddress ->76EF4FC1->76971AA0Анализ ntdll.dll, таблица экспорта найдена в секции .textФункция ntdll.dll:NtCreateFile (268) перехвачена, метод ProcAddressHijack.GetProcAddress ->7736C9C0->6F6BB720Функция ntdll.dll:NtMakeTemporaryObject (380) перехвачена, метод CodeHijack (метод не определен)Функция ntdll.dll:NtSetInformationFile (549) перехвачена, метод ProcAddressHijack.GetProcAddress ->7736C6E0->6F6BB540Функция ntdll.dll:NtSetSystemTime (573) перехвачена, метод CodeHijack (метод не определен)Функция ntdll.dll:NtSetValueKey (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7736CA70->6F6BC900Функция ntdll.dll:ZwCreateFile (1649) перехвачена, метод ProcAddressHijack.GetProcAddress ->7736C9C0->6F6BB720Функция ntdll.dll:ZwMakeTemporaryObject (1759) перехвачена, метод CodeHijack (метод не определен)Функция ntdll.dll:ZwSetInformationFile (1928) перехвачена, метод ProcAddressHijack.GetProcAddress ->7736C6E0->6F6BB540Функция ntdll.dll:ZwSetSystemTime (1952) перехвачена, метод CodeHijack (метод не определен)Функция ntdll.dll:ZwSetValueKey (1959) перехвачена, метод ProcAddressHijack.GetProcAddress ->7736CA70->6F6BC900Анализ user32.dll, таблица экспорта найдена в секции .textФункция user32.dll:CallNextHookEx (1531) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F48DC0->6F6BB490Функция user32.dll:SendInput (2205) перехвачена, метод CodeHijack (метод не определен)Функция user32.dll:SetWindowsHookExW (2303) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F55FA0->6F710DB0Анализ advapi32.dll, таблица экспорта найдена в секции .textАнализ ws2_32.dll, таблица экспорта найдена в секции .textАнализ wininet.dll, таблица экспорта найдена в секции .textАнализ rasapi32.dll, таблица экспорта найдена в секции .textАнализ urlmon.dll, таблица экспорта найдена в секции .textАнализ netapi32.dll, таблица экспорта найдена в секции .text1.2 Поиск перехватчиков API, работающих в KernelModeОшибка - не найден файл (C:\SystemRoot\system32\ntoskrnl.exe) Эвристическая проверка: Проверка отключена пользователем7. Эвристичеcкая проверка системыОпасно - отладчик процесса "adwcleaner_4.204.exe" = "svchost.exe"Опасно - отладчик процесса "AnVir.exe" = "svchost.exe"Опасно - отладчик процесса "AutoLogger.exe" = "svchost.exe"Опасно - отладчик процесса "avz.exe" = "svchost.exe"Опасно - отладчик процесса "CCleaner.exe" = "svchost.exe"Опасно - отладчик процесса "CCleaner64.exe" = "svchost.exe"Опасно - отладчик процесса "FRST.exe" = "svchost.exe"Опасно - отладчик процесса "FRST64.exe" = "svchost.exe"Опасно - отладчик процесса "HiJackThis.exe" = "svchost.exe"Опасно - отладчик процесса "regedit.exe" = "svchost.exe"Опасно - отладчик процесса "RegWorks.exe" = "svchost.exe"Опасно - отладчик процесса "RSIT.exe" = "svchost.exe"Опасно - отладчик процесса "RSITx64.exe" = "svchost.exe"Проверка завершена Изменено 4 июня, 2015 пользователем gif
mike 1 Опубликовано 4 июня, 2015 Опубликовано 4 июня, 2015 http://forum.kasperskyclub.ru/index.php?app=blog&module=display§ion=blog&blogid=320&showentry=2019
gif Опубликовано 4 июня, 2015 Автор Опубликовано 4 июня, 2015 http://forum.kasperskyclub.ru/index.php?app=blog&module=display§ion=blog&blogid=320&showentry=2019 Спасибо, regedit и прочие процессы запускаются. Из первого сообщения то, что под спойлером "Эвристическая проверка" - больше не находит, но то, что под спойлером "Подозрения AVZ" - осталось. Стоит переживать?
mike 1 Опубликовано 4 июня, 2015 Опубликовано 4 июня, 2015 но то, что под спойлером "Подозрения AVZ" - осталось. Стоит переживать? Это нормальные записи. Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите отчет в вашей теме
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти