Перейти к содержанию
Правила раздела

Возможно вирус - не открываются Hijacker,Regedit,AVZ

gif
 Share

Рекомендуемые сообщения

gif Новичок

gif

Опубликовано
Опубликовано (изменено)

Добрый день.

AVZ и Hijacker открываются после переименования файлов. Regedit.net.

На ПК установлен DR.Web. При сканировании он ничего не находит, AVZ тоже но в ветке при проверке:

Autologger тоже не запускался, использовал Autologger test

Подозрения AVZ:

1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1095) перехвачена, метод ProcAddressHijack.GetProcAddress ->76EF4F8E->76971A70
Функция kernel32.dll:ReadConsoleInputExW (1096) перехвачена, метод ProcAddressHijack.GetProcAddress ->76EF4FC1->76971AA0
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (268) перехвачена, метод ProcAddressHijack.GetProcAddress ->7736C9C0->6F6BB720
Функция ntdll.dll:NtMakeTemporaryObject (380) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:NtSetInformationFile (549) перехвачена, метод ProcAddressHijack.GetProcAddress ->7736C6E0->6F6BB540
Функция ntdll.dll:NtSetSystemTime (573) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:NtSetValueKey (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7736CA70->6F6BC900
Функция ntdll.dll:ZwCreateFile (1649) перехвачена, метод ProcAddressHijack.GetProcAddress ->7736C9C0->6F6BB720
Функция ntdll.dll:ZwMakeTemporaryObject (1759) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:ZwSetInformationFile (1928) перехвачена, метод ProcAddressHijack.GetProcAddress ->7736C6E0->6F6BB540
Функция ntdll.dll:ZwSetSystemTime (1952) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:ZwSetValueKey (1959) перехвачена, метод ProcAddressHijack.GetProcAddress ->7736CA70->6F6BC900
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1531) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F48DC0->6F6BB490
Функция user32.dll:SendInput (2205) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:SetWindowsHookExW (2303) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F55FA0->6F710DB0
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка - не найден файл (C:\SystemRoot\system32\ntoskrnl.exe)

 

Эвристическая проверка:

Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Опасно - отладчик процесса "adwcleaner_4.204.exe" = "svchost.exe"
Опасно - отладчик процесса "AnVir.exe" = "svchost.exe"
Опасно - отладчик процесса "AutoLogger.exe" = "svchost.exe"
Опасно - отладчик процесса "avz.exe" = "svchost.exe"
Опасно - отладчик процесса "CCleaner.exe" = "svchost.exe"
Опасно - отладчик процесса "CCleaner64.exe" = "svchost.exe"
Опасно - отладчик процесса "FRST.exe" = "svchost.exe"
Опасно - отладчик процесса "FRST64.exe" = "svchost.exe"
Опасно - отладчик процесса "HiJackThis.exe" = "svchost.exe"
Опасно - отладчик процесса "regedit.exe" = "svchost.exe"
Опасно - отладчик процесса "RegWorks.exe" = "svchost.exe"
Опасно - отладчик процесса "RSIT.exe" = "svchost.exe"
Опасно - отладчик процесса "RSITx64.exe" = "svchost.exe"
Проверка завершена

 

Изменено пользователем gif
Ссылка на комментарий
Поделиться на другие сайты
gif Новичок

gif

Опубликовано
  • Автор
Опубликовано

Спасибо, regedit и прочие процессы запускаются. Из первого сообщения то, что под спойлером "Эвристическая проверка" - больше не находит, но то, что под спойлером "Подозрения AVZ" - осталось. Стоит переживать?

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

 

 

но то, что под спойлером "Подозрения AVZ" - осталось. Стоит переживать?

Это нормальные записи. 

 

 

  • Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите отчет в вашей теме

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • fuzzy
      [РЕШЕНО] AVZ 4.46 поддержка оказывается ли?
      От fuzzy
      Добрый день.
      Во избежание возможно напрасной траты своего времени на подготовку отчетов, установку различного иного ПО и проверки ,а также времени отвечающего заранее поинтересуюсь как таковой возможностью поддержки и расшифровки логов, полученных еще прежней версией 4.46 AVZ, когда продукт еще не был под ЛК, и которая не была так урезана как 5я и более поздние. Если да, готов выполнять все условия по шагам.
    • LØNEX
      ошибка 0xc0000017 при попытке запуска regedit
      От LØNEX
      при запуске regedit вылетает такая ошибка. я уже все перепробовал - и scannow, и различные проверки диска (в том числе в безопасном режиме), системный диск также чистил, ничего не помогает. есть подозрение на вирусы, проверял комп KVRT, нашел троян, вроде его больше нет, но ошибка все еще есть. прошу помочь

    • LØNEX
      ошибка 0xc0000017 при попытке запуска regedit
      От LØNEX
      при запуске regedit вылетает такая ошибка. я уже все перепробовал - и scannow, и различные проверки диска (в том числе в безопасном режиме), системный диск также чистил, ничего не помогает. прошу помочь

    • DIM_ZIM
      biobiorans шифровальщик- возможна ли раскодировка файлов
      От DIM_ZIM
      Словили шифровальщика. Файлы на сетевой шаре  закодированы и в названия имеют такой вид  ******** .xlsx.EMAIL=[biobiorans@gmail.com]ID=[****************]
       кто то сталкивался  с такой проблемой ?  ЧТО за вирус ( его название). Может быть имеется опыт по дешифровке?
       
      111.rar
    • keleta
      не открывается папка programdata
      От keleta
      открываю папку programdata, а она сама закрывается и через некоторое время закрывается диспетчер задач. не понимаю, что мне делать
×
×
  • Создать...