Перейти к содержанию

[РЕШЕНО] Помогите, пожалуйста, разобраться с логами AVZ


Рекомендуемые сообщения

Недавно просканировал систему утилитой AVZ. Она выдала ряд предупреждений, которые мне непонятны. Прошу вашей помощи в разборе логов. А именно беспокоят некие "перехваты" в системных файлах и троян (в спойлере фрагменты выделены цветом) 

Также прилагаю логи Автологгера.
 

Спойлер

Внимание !!! База поcледний раз обновлялась 3/1/2016 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.46
Сканирование запущено в 23.11.2020 14:20:12
Загружена база: сигнатуры - 297570, нейропрофили - 2, микропрограммы лечения - 56, база от 01.03.2016 12:37
Загружены микропрограммы эвристики: 412
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 790760
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 10.0.18363,  "Windows 10 Enterprise", дата инсталляции 15.07.2020 14:31:20 ; AVZ работает с правами администратора (+)
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1130) перехвачена, метод ProcAddressHijack.GetProcAddress ->7542CFA0->7560AAF0
Функция kernel32.dll:ReadConsoleInputExW (1131) перехвачена, метод ProcAddressHijack.GetProcAddress ->7542CFD3->7560AB20
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (291) перехвачена, метод ProcAddressHijack.GetProcAddress ->77AF3460->6CA73180
Функция ntdll.dll:NtSetInformationFile (592) перехвачена, метод ProcAddressHijack.GetProcAddress ->77AF3180->6CA732E0
Функция ntdll.dll:NtSetValueKey (624) перехвачена, метод ProcAddressHijack.GetProcAddress ->77AF3510->6CA73350
Функция ntdll.dll:ZwCreateFile (1805) перехвачена, метод ProcAddressHijack.GetProcAddress ->77AF3460->6CA73180
Функция ntdll.dll:ZwSetInformationFile (2104) перехвачена, метод ProcAddressHijack.GetProcAddress ->77AF3180->6CA732E0
Функция ntdll.dll:ZwSetValueKey (2136) перехвачена, метод ProcAddressHijack.GetProcAddress ->77AF3510->6CA73350
 Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1536) перехвачена, метод ProcAddressHijack.GetProcAddress ->76E2E840->6CA73070
Функция user32.dll:SetWindowsHookExW (2395) перехвачена, метод ProcAddressHijack.GetProcAddress ->76E30CA0->6CA733C0
Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CveEventWrite (1234) перехвачена, метод ProcAddressHijack.GetProcAddress ->75813F84->7560D410
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1387) перехвачена, метод ProcAddressHijack.GetProcAddress ->75814EAB->7535C650
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:NetFreeAadJoinInformation (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->7260C10A->6460A250
Функция netapi32.dll:NetGetAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->7260C139->6460A5D0
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
 Количество найденных процессов: 27
 Количество загруженных модулей: 342
Проверка памяти завершена
3. Сканирование дисков
D:\AnyLogic\AnyLogic 8.6 Personal Learning Edition\plugins\org.eclipse.gef_3.9.100.201408150207.jar/{ZIP}/org/eclipse/gef/editpolicies/package.html >>>>> Trojan.BAT.DelAutoexec.e 
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Remote Desktop Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 244103, извлечено из архивов: 89013, найдено вредоносных программ 1, подозрений - 0
Сканирование завершено в 23.11.2020 14:28:03
Сканирование длилось 00:07:52
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ 
можно использовать сервис http://virusdetector.ru/
 

 

CollectionLog-2020.11.23-14.12.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Приведенный вами лог был сделан в устаревшей версии AVZ

12 минут назад, оlег сказал:

База поcледний раз обновлялась 3/1/2016

 

12 минут назад, оlег сказал:

Протокол антивирусной утилиты AVZ версии 4.46

В состав Автологера входит актуальная версия 5.17 и как вы сами можете заметить, этих строк там уже нет.

 

Перехват - это не всегда плохо :)

 

Кроме указанного у вас есть ещё какие-либо вопросы/проблемы?

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Благодарю за ответ!

Вопросов/проблем больше нет, разве что прогу качал с (вроде как) сайта разработчика (z-oleg). Но это уже не к вам 😄

Еще раз спасибо за ответ.

Изменено пользователем оlег
Ссылка на сообщение
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского".

  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • От nonamenonumber
      Добрый день!
      Подскажите, в чем может быть ошибка, как ее устранить ?
      При проверке AVZ на Windows 10 x64 со всеми чекбоксами - выдает ошибку на первых минутах проверки и закрывает AVZ.
      Ранее бывало такое же поведение, почитал информацию. Пишут, что на Windows 10 x64 такое вполне нормально при всех установленных чекбоксах, успокоился на тот момент.
      Несколько месяцев назад переустанавливал Windows, решил проверить гипотезу - и был удивлен, со всеми чекбоксами проверка была проведена успешно.
      Примерно неделю назад проверял в очередной раз компьютер, были найдены вирусы прилетевшие судя по всему с пакетами npm, удалил их с эвристической чисткой системы.
      Сегодня запустил AVZ - и столкнулся с тем же поведением, как и до переустановки Windows, AVZ выдает ошибку и закрывается.
      TDSSKiller ничего не находит.
      В соответствии с таким поведением - у меня есть две версии: первая, это какие-то очередные обновления безопасности Windows, после которых перестает корректно работать AVZ, вторая - что всеже что-то не так с компьютером, иначе как такое может быть ?
      Подскажите, как в данном случае почистить систему ?
      Прилагаю ссылку на скриншот:
      https://ibb.co/w7zRmZw
    • От xiaomi
      Установил с рутрекера софтину и комп зажил своей жизнью
       
      Прикладываю автологи
      CollectionLog-2020.11.15-00.55.rar
    • От MiStr
      Ни для кого не будет новостью, что многие фан-клубовцы активно помогают пользователям продуктов "Лаборатории Касперского" не только в профильном разделе нашего форума, но и на Комьюнити портале. Мы всячески поддерживаем активность наших пользователей, а теперь ещё и будем поощрять!
       
      Совместно с Комьюнити порталом мы запускаем бонусную программу. Теперь если ты активно помогаешь на Комьюнити и зарегистрирован на фан-клубе, то ориентировочно раз в квартал мы будем начислять баллы. Их количество определяется администрацией Комьюнити портала и зависит от бейджа участника:
       

       
      Что делать с полученными баллами, вы уже знаете - конечно же, обменять их на лицензии или эксклюзивные сувениры с символикой "Лаборатории Касперского" в нашем магазине сувениров.
       
      Список лучших помощников будет публиковаться в специальной теме на Комьюнити портале. Кстати, уже названы фан-клубовцы, которые первыми по новой бонусной программе получат баллы!
       
      Дерзайте! Теперь помогать вдвойне приятнее!
    • От Kristy
      В рамках проекта «Благое дело» каждый фан-клубовец может сделать подарок нуждающимся. Если у вас есть желание принять в этом участие, то просто переведи пользователю @delaemblago баллы, которые получены по бонусной программе:  в верхнем правом углу страницы форума нажмите на своё имя пользователя --> в появившемся меню выберите "Перевести баллы" --> в поле "Выберите пользователя" введите delaemblago и укажите сумму для пожертвования в поле "Перевести"  --> нажмите кнопку Отправить "Send".
       
      Все накопленные баллы буду потрачены на приобретение подарков в Магазине фан-клуба, исходя из суммы собранных средств. Эти подарки буду переданы напрямую или через волонтеров конкретному лицу (пенсионеру, инвалиду) или детскому дому.
       
      Если у вас есть знакомые инвалиды или пенсионеры, а может в вашем городе есть дом ребенка, который не откажется принять такие подарки, — сообщайте в этой теме и/или кураторам проекта.
       
      p.s. Тема создана по инициативе пользователей фан-клуба!
       
      Кураторы этого раздела: @_Strannik_ и @Mixasa.
       
      Вы можете смело сообщать им координаты и контакты тех, кому можем мы подарить немного радости! Они будут полностью отвечать за комплект подарков, контролировать получение и публиковать отчёты.
      Прошу любить и жаловать!
    • От Petr_M
      Привет! Ребята, помогите разобраться, please! Я использую Kaspersky Internet Security на одном компьютере, на другом у меня - Kaspersky Security Cloud. Сканеру, который есть в этих пакетах, я доверяю на 99 процентов, по крайней мере лучше не знаю. Но хотелось бы иметь еще один какой-нибудь сканер (который не требует инсталляции), на всякий случай. Можно ли доверять AVZ, если он давно не выпускает новые версии? "Курейтом" не пользуюсь, потому что он сильно загружает комп и засоряет его логами, которые потом невозможно удалить... Я помню, здесь, на форуме, кто-то называл еще сканеры, но вот вспомнить не могу. Заранее спасибо!
×
×
  • Создать...