Перейти к содержанию

[РЕШЕНО] Помогите, пожалуйста, разобраться с логами AVZ


Рекомендуемые сообщения

Недавно просканировал систему утилитой AVZ. Она выдала ряд предупреждений, которые мне непонятны. Прошу вашей помощи в разборе логов. А именно беспокоят некие "перехваты" в системных файлах и троян (в спойлере фрагменты выделены цветом) 

Также прилагаю логи Автологгера.
 

Спойлер

Внимание !!! База поcледний раз обновлялась 3/1/2016 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.46
Сканирование запущено в 23.11.2020 14:20:12
Загружена база: сигнатуры - 297570, нейропрофили - 2, микропрограммы лечения - 56, база от 01.03.2016 12:37
Загружены микропрограммы эвристики: 412
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 790760
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 10.0.18363,  "Windows 10 Enterprise", дата инсталляции 15.07.2020 14:31:20 ; AVZ работает с правами администратора (+)
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1130) перехвачена, метод ProcAddressHijack.GetProcAddress ->7542CFA0->7560AAF0
Функция kernel32.dll:ReadConsoleInputExW (1131) перехвачена, метод ProcAddressHijack.GetProcAddress ->7542CFD3->7560AB20
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (291) перехвачена, метод ProcAddressHijack.GetProcAddress ->77AF3460->6CA73180
Функция ntdll.dll:NtSetInformationFile (592) перехвачена, метод ProcAddressHijack.GetProcAddress ->77AF3180->6CA732E0
Функция ntdll.dll:NtSetValueKey (624) перехвачена, метод ProcAddressHijack.GetProcAddress ->77AF3510->6CA73350
Функция ntdll.dll:ZwCreateFile (1805) перехвачена, метод ProcAddressHijack.GetProcAddress ->77AF3460->6CA73180
Функция ntdll.dll:ZwSetInformationFile (2104) перехвачена, метод ProcAddressHijack.GetProcAddress ->77AF3180->6CA732E0
Функция ntdll.dll:ZwSetValueKey (2136) перехвачена, метод ProcAddressHijack.GetProcAddress ->77AF3510->6CA73350
 Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1536) перехвачена, метод ProcAddressHijack.GetProcAddress ->76E2E840->6CA73070
Функция user32.dll:SetWindowsHookExW (2395) перехвачена, метод ProcAddressHijack.GetProcAddress ->76E30CA0->6CA733C0
Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CveEventWrite (1234) перехвачена, метод ProcAddressHijack.GetProcAddress ->75813F84->7560D410
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1387) перехвачена, метод ProcAddressHijack.GetProcAddress ->75814EAB->7535C650
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:NetFreeAadJoinInformation (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->7260C10A->6460A250
Функция netapi32.dll:NetGetAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->7260C139->6460A5D0
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
 Количество найденных процессов: 27
 Количество загруженных модулей: 342
Проверка памяти завершена
3. Сканирование дисков
D:\AnyLogic\AnyLogic 8.6 Personal Learning Edition\plugins\org.eclipse.gef_3.9.100.201408150207.jar/{ZIP}/org/eclipse/gef/editpolicies/package.html >>>>> Trojan.BAT.DelAutoexec.e 
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Remote Desktop Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 244103, извлечено из архивов: 89013, найдено вредоносных программ 1, подозрений - 0
Сканирование завершено в 23.11.2020 14:28:03
Сканирование длилось 00:07:52
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ 
можно использовать сервис http://virusdetector.ru/
 

 

CollectionLog-2020.11.23-14.12.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Приведенный вами лог был сделан в устаревшей версии AVZ

12 минут назад, оlег сказал:

База поcледний раз обновлялась 3/1/2016

 

12 минут назад, оlег сказал:

Протокол антивирусной утилиты AVZ версии 4.46

В состав Автологера входит актуальная версия 5.17 и как вы сами можете заметить, этих строк там уже нет.

 

Перехват - это не всегда плохо :)

 

Кроме указанного у вас есть ещё какие-либо вопросы/проблемы?

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Благодарю за ответ!

Вопросов/проблем больше нет, разве что прогу качал с (вроде как) сайта разработчика (z-oleg). Но это уже не к вам ?

Еще раз спасибо за ответ.

Изменено пользователем оlег
Ссылка на сообщение
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского".

  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • phonevivo
      От phonevivo
      Кажется что словил вирус и похоже майнер, не знал что делать почитал про программы и увидел AVZ, скачал на радости, закрывается, перешёл в безопасный режим, тоже закрывается, если кто может помогите пожалуйста!
    • Galem333
      От Galem333
      Приветствую,кто знает чем отличается RebootWindows(true); от RebootWindows(false); нигде нету информации по поводу их отличии,даже в справке Avz (может я слепой)
    • Bulef
      От Bulef
      Вирус грузит ЦП на 8-10%. Маскируется под процесс "NVIDIA Container". Появляется каждые 2-3 дня. После запуска "AutoLogger", выполнения и перезагрузки, всё проходит, и более "NVIDIA Container" не грузит ЦП.
      Помогите пожалуйста проанализировать логи, и если можно, было бы здорово получить AVZ скрипт для лечения вируса.
      CollectionLog-2024.06.16-15.46.zip
    • Bulef
      От Bulef
      Здравствуйте. По ошибке занёс в карантин безобидный файл и не могу восстановить. Пишет: "Cannot create file: "*". Отказано в доступе." Помогите пожалуйста.

    • Sokolov_
      От Sokolov_
      Приветствую. С недавних пор начались дикие фризы во всех приложениях, даже в самой ОС.

      Фризы при расширении окон (очень повышена резкость, оставляют след. Можно сравнить как, например, быстро передвигаемый курсор по экрану. Так же, при этом нередко наблюдаются повышенные частоты ЦП и ГП)

      Микрофризы при скроллинге в браузере и во всех приложениях (листаешь-листаешь (и даже когда не листаешь а двигаешься с места:D ), и тут бац, микрофриз. Будто до 0 фпс упало на 1 секунду, а потом все назад вернулось.
                — Что касательно других приложений - суть такая же. - Раскрываешь вкладку, и будто кадры в ноль опускаются.)

      Перепроверил ПК всеми антивирусами, делал восстановление, /sfc scannow и /dism online restore - все в пустую. Ничего из этого не помогает. Все драйверы обновлял сегодня.

      Гуру ПК, помогите пожалуйста

      Характеристики:
      Windows 11 23H2
      Nvidia RTX 4060Ti
      16GB DDR5 5200
      MSI SPATIUM 1TB
       
×
×
  • Создать...