Перейти к содержанию
Правила раздела

[РЕШЕНО] Помогите, пожалуйста, разобраться с логами AVZ

оlег

Автор оlег,
в Помощь в удалении вирусов

 Share Подписчики 1

Рекомендуемые сообщения

оlег

оlег 63

Опубликовано
Опубликовано

Недавно просканировал систему утилитой AVZ. Она выдала ряд предупреждений, которые мне непонятны. Прошу вашей помощи в разборе логов. А именно беспокоят некие "перехваты" в системных файлах и троян (в спойлере фрагменты выделены цветом) 

Также прилагаю логи Автологгера.
 

Спойлер

Внимание !!! База поcледний раз обновлялась 3/1/2016 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.46
Сканирование запущено в 23.11.2020 14:20:12
Загружена база: сигнатуры - 297570, нейропрофили - 2, микропрограммы лечения - 56, база от 01.03.2016 12:37
Загружены микропрограммы эвристики: 412
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 790760
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 10.0.18363,  "Windows 10 Enterprise", дата инсталляции 15.07.2020 14:31:20 ; AVZ работает с правами администратора (+)
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1130) перехвачена, метод ProcAddressHijack.GetProcAddress ->7542CFA0->7560AAF0
Функция kernel32.dll:ReadConsoleInputExW (1131) перехвачена, метод ProcAddressHijack.GetProcAddress ->7542CFD3->7560AB20
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (291) перехвачена, метод ProcAddressHijack.GetProcAddress ->77AF3460->6CA73180
Функция ntdll.dll:NtSetInformationFile (592) перехвачена, метод ProcAddressHijack.GetProcAddress ->77AF3180->6CA732E0
Функция ntdll.dll:NtSetValueKey (624) перехвачена, метод ProcAddressHijack.GetProcAddress ->77AF3510->6CA73350
Функция ntdll.dll:ZwCreateFile (1805) перехвачена, метод ProcAddressHijack.GetProcAddress ->77AF3460->6CA73180
Функция ntdll.dll:ZwSetInformationFile (2104) перехвачена, метод ProcAddressHijack.GetProcAddress ->77AF3180->6CA732E0
Функция ntdll.dll:ZwSetValueKey (2136) перехвачена, метод ProcAddressHijack.GetProcAddress ->77AF3510->6CA73350
 Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1536) перехвачена, метод ProcAddressHijack.GetProcAddress ->76E2E840->6CA73070
Функция user32.dll:SetWindowsHookExW (2395) перехвачена, метод ProcAddressHijack.GetProcAddress ->76E30CA0->6CA733C0
Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CveEventWrite (1234) перехвачена, метод ProcAddressHijack.GetProcAddress ->75813F84->7560D410
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1387) перехвачена, метод ProcAddressHijack.GetProcAddress ->75814EAB->7535C650
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:NetFreeAadJoinInformation (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->7260C10A->6460A250
Функция netapi32.dll:NetGetAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->7260C139->6460A5D0
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
 Количество найденных процессов: 27
 Количество загруженных модулей: 342
Проверка памяти завершена
3. Сканирование дисков
D:\AnyLogic\AnyLogic 8.6 Personal Learning Edition\plugins\org.eclipse.gef_3.9.100.201408150207.jar/{ZIP}/org/eclipse/gef/editpolicies/package.html >>>>> Trojan.BAT.DelAutoexec.e 
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Remote Desktop Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 244103, извлечено из архивов: 89013, найдено вредоносных программ 1, подозрений - 0
Сканирование завершено в 23.11.2020 14:28:03
Сканирование длилось 00:07:52
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ 
можно использовать сервис http://virusdetector.ru/
 

 

CollectionLog-2020.11.23-14.12.zip

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 251

Опубликовано
Опубликовано

Здравствуйте!

 

Приведенный вами лог был сделан в устаревшей версии AVZ

12 минут назад, оlег сказал:

База поcледний раз обновлялась 3/1/2016

 

12 минут назад, оlег сказал:

Протокол антивирусной утилиты AVZ версии 4.46

В состав Автологера входит актуальная версия 5.17 и как вы сами можете заметить, этих строк там уже нет.

 

Перехват - это не всегда плохо :)

 

Кроме указанного у вас есть ещё какие-либо вопросы/проблемы?

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
оlег

оlег 63

Опубликовано
  • Автор
Опубликовано (изменено)

Благодарю за ответ!

Вопросов/проблем больше нет, разве что прогу качал с (вроде как) сайта разработчика (z-oleg). Но это уже не к вам ?

Еще раз спасибо за ответ.

Изменено пользователем оlег
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 251

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского".

  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Kiri
      Бессмертный вирус
      От Kiri
      Здравствуйте! Проблема с вирусом, который никак не получается удалить. Касперский его видит, удаляет, но после перезагрузки вирус снова жив и сидит в той же папке C:\ProgramData\BeatArchitect-2ebdf839-5209-4c62-ae71-0f1127a70722
      Если открываешь диспетчер задач, то майнинг успокаивается и кушает скромные ресурсы, но из списка активных не исчезает, на Process Hacker такая же реакция, а вот System Explorera вирус не стесняется.  В диспетчере отображается как help.exe
      папка C:\ProgramData\BeatArchitect-2ebdf839-5209-4c62-ae71-0f1127a70722 невидима даже если включено "отображать скрытые", но Total Commander ее видит и без проблем удаляет, после перезагрузки все на тех же местах.
      На скриншотах видно как он выглядит в папке и как на него ругается Касперский .
       
      Прошу прощения, что коряво объяснил - у меня врожденный компьютерный кретинизм) 



      CollectionLog-2024.02.18-21.10.zip Addition.txt FRST.txt
    • Тарас333
      Похоже руткит
      От Тарас333
      Здравствуйте, помогите, похоже руткит!
      CollectionLog-2024.02.07-23.03.zip
    • Zyuka
      Появился майнер на ноутбуке
      От Zyuka
      Всем здравствуйте! 
      Столкнулся с проблемой, что после глупой попытки скачать игру с браузера, ноутбук начал непонятно себя вести, что даже меня (а я неуверенный пользователь) насторожило. Первым делом меня насторожил звук вентилятора, который начал работать при любом действии внутри системы, будь то какая-либо программа, браузер или даже абсолютное бездействие. В попытке открыть диспетчер задач для ответа на вопрос, что же так нагружает систему, вентилятор резко выключался и температура падала. Это и был звоночек, дальше всё как у всех, сайты не открывает, антивирусы не скачивает, папки хост нет, прав ни на какое действие тоже. В попытке найти решение проблемы сталкиваюсь с тем, что все пути этим вирусом как будто перекрыты (либо я прям настолько неуверенный пользователь), поскольку даже в безопасный режим виндвос зайти у меня не получается. Также были попытки через загрузочную флешку загрузить Dr.Web LiveDisk и такой же аналог от Касперского, в обоих случаях результат - чёрный экран. Подскажите, пожалуйста, что делать? 
      Ноутбук - Asus TUF Dash F15 на системе Windows 11
    • Vovabubl
      Майнер John (нужна помощь с удалением)
      От Vovabubl
      Брат поймал на компьютер вирус-майнер John. Пытаюсь дистанционно помочь ему через прогу AnyDesk.
      Началось все с попыток установить ему Яндекс браузер. Брат его удалил чтобы переустановить, однако установка всегда прерывалась ошибкой, доходя до ~40%. Все файлы предыдещего Яндекс браузера почистили, но не помогло. Скачивали установщик из разных источников - безрезультатно. Затем обнаружилась скрытая папка пользователя John (см. скриншот ниже). Содержимого нет или не отображается. При запуске диспетчера задач наблюдаем резкий скачок нагрузки до 100%, затем спад до нормальных значений (не уверен, связано ли это с вирусом). Вирус блокирует доступ к сайтам антивирусных программ, пересылал через файлообменник установщик Malwarebytes - после установки его сразу же "снесло". Сейчас выполняем повторное сканирование через утилиту AVZ - первое результатов не принесло.

       
      После первого скана попробовал применить скрипт, подсмотренный на этом форуме:
      begin DeleteService('MBAMChameleon'); DeleteService('MBAMService'); DeleteService('MBAMIService'); DeleteFile('C:\ProgramData\MB3Install\MBAMIService.exe','64'); DeleteFile('C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe','64'); DeleteFile('C:\Windows\System32\Drivers\MbamChameleon.sys','64'); ExecuteSysClean; RebootWindows(false); end. После выполнения скрипта при входе в диспетчер задач - скачок нагрузки до 30%, затем понижается. Однако, все еще нет доступа к сайтам антивирусов и сами антивирусы не устанавливаются. Прошу знатоков помочь в этом деле. Логи прикреплю чуть позже, по завершению сканирования.

      UPD: AVbr не запускается даже после переименования файла.

      UPD 2: Второе сканирование AVZ опять безрезультатно (скриншот ниже). 0 вредоносных программ и подозрений. Логи также прикреплю ниже.

       
      Логи второго сканирования:
      avz_log.txt
    • Эльвира Евротревел
      Тайм Вью было ли скачивание
      От Эльвира Евротревел
      TeamViewer -  подскажите как узнать в офисе за компом менеджер скачал Таймвью - какие файлы были переданы ,скачены на другой компьютер-? Можно ли узнать дату или хотя бы список файлов есть ли такая команда - что нужно написать в компе чтобы увидеть что было унесено  в другое место ...заранее благодарю за помощь ...
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Технический раздел"
×
×
  • Создать...