Перейти к содержанию
Правила раздела

Непонятная ситуация("показания" антивирусных программ разнятся)

tman87

Автор tman87
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

tman87

tman87

Опубликовано
Опубликовано (изменено)

Всем доброго времени сток.

Не мудрствуя лукаво попробую изложить ситуацию вкратце. Имеется пользователь, у пользователя имеется "моноблок" ASER с установленной Win 10 Корпоративная на борту. От пользователя поступила жалоба некорректную работу MS Office 2010(в частности Excel корректно отображает содержимое документа только после 2-3 попытки его открытия, с первого раза как правило пустой документ), и общую нестабильность системы(тормозит, подвисает). Так как ПК новый версия о "железной" проблеме была отметена практически сразу после нескольких простых тестов Everesta.

 

Далее запустил AVZ (юзаю довольно часто) и получил следующую картину:

 

много букв:

Протокол антивирусной утилиты AVZ версии 4.46
Сканирование запущено в 07.11.2017 01:58:39
Загружена база: сигнатуры - 297569, нейропрофили - 2, микропрограммы лечения - 56, база от 02.11.2017 04:00
Загружены микропрограммы эвристики: 411
Загружены микропрограммы ИПУ: 10
Загружены цифровые подписи системных файлов: 908105
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: включено
Версия Windows: 10.0.15063,  "Windows 10 Pro", дата инсталляции 17.07.2017 21:28:18 ; AVZ работает с правами администратора (+)
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1117) перехвачена, метод ProcAddressHijack.GetProcAddress ->7454B332->777BF630
Перехватчик kernel32.dll:ReadConsoleInputExA (1117) нейтрализован
Функция kernel32.dll:ReadConsoleInputExW (1118) перехвачена, метод ProcAddressHijack.GetProcAddress ->7454B365->777BF660
Перехватчик kernel32.dll:ReadConsoleInputExW (1118) нейтрализован
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (280) перехвачена, метод ProcAddressHijack.GetProcAddress ->778C2260->706E2D30
Перехватчик ntdll.dll:NtCreateFile (280) нейтрализован
Функция ntdll.dll:NtSetInformationFile (576) перехвачена, метод ProcAddressHijack.GetProcAddress ->778C1F80->706E30B0
Перехватчик ntdll.dll:NtSetInformationFile (576) нейтрализован
Функция ntdll.dll:NtSetValueKey (608) перехвачена, метод ProcAddressHijack.GetProcAddress ->778C2310->707185D0
Перехватчик ntdll.dll:NtSetValueKey (608) нейтрализован
Функция ntdll.dll:ZwCreateFile (1743) перехвачена, метод ProcAddressHijack.GetProcAddress ->778C2260->706E2D30
Перехватчик ntdll.dll:ZwCreateFile (1743) нейтрализован
Функция ntdll.dll:ZwSetInformationFile (2037) перехвачена, метод ProcAddressHijack.GetProcAddress ->778C1F80->706E30B0
Перехватчик ntdll.dll:ZwSetInformationFile (2037) нейтрализован
Функция ntdll.dll:ZwSetValueKey (2069) перехвачена, метод ProcAddressHijack.GetProcAddress ->778C2310->707185D0
Перехватчик ntdll.dll:ZwSetValueKey (2069) нейтрализован
 Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1534) перехвачена, метод ProcAddressHijack.GetProcAddress ->772DDD50->706E2AC0
Перехватчик user32.dll:CallNextHookEx (1534) нейтрализован
Функция user32.dll:SetWindowsHookExW (2375) перехвачена, метод ProcAddressHijack.GetProcAddress ->772E12A0->70718650
Перехватчик user32.dll:SetWindowsHookExW (2375) нейтрализован
Функция user32.dll:Wow64Transition (1503) перехвачена, метод CodeHijack (метод не определен)
 >>> Код руткита в функции Wow64Transition - ошибка стандартной нейтрализации (невозможно изменить область памяти, возможно противодействие со стороны руткита)
Ошибка анализа библиотеки user32.dll
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CveEventWrite (1233) перехвачена, метод ProcAddressHijack.GetProcAddress ->7722270C->777EAFA0
Перехватчик advapi32.dll:CveEventWrite (1233) нейтрализован
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1386) перехвачена, метод ProcAddressHijack.GetProcAddress ->77223633->7708B870
Перехватчик advapi32.dll:I_ScRegisterPreshutdownRestart (1386) нейтрализован
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
Функция wininet.dll:InternetAlgIdToStringA (255) перехвачена, метод APICodeHijack.JmpTo[73B70FF6]
 >>> Код руткита в функции InternetAlgIdToStringA нейтрализован
Функция wininet.dll:InternetAlgIdToStringW (256) перехвачена, метод APICodeHijack.JmpTo[73B710FE]
 >>> Код руткита в функции InternetAlgIdToStringW нейтрализован
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:NetFreeAadJoinInformation (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->740AC1CA->6A60B840
Перехватчик netapi32.dll:NetFreeAadJoinInformation (130) нейтрализован
Функция netapi32.dll:NetGetAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->740AC1F9->6A60BBB0
Перехватчик netapi32.dll:NetGetAadJoinInformation (131) нейтрализован
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
 Количество найденных процессов: 29
Анализатор - изучается процесс 7924 C:\Program Files (x86)\Acer\Acer Drive\AcerDriveTray.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
 Количество загруженных модулей: 527
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 В базе 317 описаний портов
 На данном ПК открыто 28 TCP портов и 15 UDP портов
 Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка настройки поиска IE через Policies [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{8C3078A0-9AAB-4371-85D1-656CA8E46EE8}, SuggestionsURL_JSON="https://suggest.yandex.ru/suggest-ff.cgi?srv=ie11&part={searchTerms}&clid=2233627"
Проверка настройки поиска IE через Policies [x32] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{8C3078A0-9AAB-4371-85D1-656CA8E46EE8}, SuggestionsURL_JSON="https://suggest.yandex.ru/suggest-ff.cgi?srv=ie11&part={searchTerms}&clid=2233627"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 556, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 07.11.2017 02:00:03
Сканирование длилось 00:01:26
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ
можно использовать сервис http://virusdetector.ru/


 

После повторного запуска AVZ ситуация не изменилась (жалуется ровно на то же самое в тех же библиотеках).

Запустил SFC /scannow проверка прошла успешно, проблемы не обнаружены.

Выполнил в том же AVZ скрипт Virusinfo.info (получился архивчик 140 мб(проверяли долго, ничего не обнаружили), вот ссылочка: http://virusinfo.info/virusdetector/report.php?md5=F2A09E725FF4679AB88FB4A9081B2DCE

Проверил все те библиотеки на которые ругается AVZ на http://whitelist.kaspersky.com/advisor-ru#опять таки всё чисто.

Скачл KVRT и снова всё чисто.

 

Вот теперь не могу понять почему "показания" программ так рознятся, и стоит ли мне волноваться. Очень жду советов от профи.

CollectionLog-2017.11.07-04.04.zip

Изменено пользователем tman87
Sandor

Sandor

Опубликовано
Опубликовано

Пожалуйста, дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...