Перейти к содержанию

[РЕШЕНО] Помогите, пожалуйста, разобраться с логами AVZ


Рекомендуемые сообщения

Недавно просканировал систему утилитой AVZ. Она выдала ряд предупреждений, которые мне непонятны. Прошу вашей помощи в разборе логов. А именно беспокоят некие "перехваты" в системных файлах и троян (в спойлере фрагменты выделены цветом) 

Также прилагаю логи Автологгера.
 

Спойлер

Внимание !!! База поcледний раз обновлялась 3/1/2016 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.46
Сканирование запущено в 23.11.2020 14:20:12
Загружена база: сигнатуры - 297570, нейропрофили - 2, микропрограммы лечения - 56, база от 01.03.2016 12:37
Загружены микропрограммы эвристики: 412
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 790760
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 10.0.18363,  "Windows 10 Enterprise", дата инсталляции 15.07.2020 14:31:20 ; AVZ работает с правами администратора (+)
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1130) перехвачена, метод ProcAddressHijack.GetProcAddress ->7542CFA0->7560AAF0
Функция kernel32.dll:ReadConsoleInputExW (1131) перехвачена, метод ProcAddressHijack.GetProcAddress ->7542CFD3->7560AB20
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (291) перехвачена, метод ProcAddressHijack.GetProcAddress ->77AF3460->6CA73180
Функция ntdll.dll:NtSetInformationFile (592) перехвачена, метод ProcAddressHijack.GetProcAddress ->77AF3180->6CA732E0
Функция ntdll.dll:NtSetValueKey (624) перехвачена, метод ProcAddressHijack.GetProcAddress ->77AF3510->6CA73350
Функция ntdll.dll:ZwCreateFile (1805) перехвачена, метод ProcAddressHijack.GetProcAddress ->77AF3460->6CA73180
Функция ntdll.dll:ZwSetInformationFile (2104) перехвачена, метод ProcAddressHijack.GetProcAddress ->77AF3180->6CA732E0
Функция ntdll.dll:ZwSetValueKey (2136) перехвачена, метод ProcAddressHijack.GetProcAddress ->77AF3510->6CA73350
 Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1536) перехвачена, метод ProcAddressHijack.GetProcAddress ->76E2E840->6CA73070
Функция user32.dll:SetWindowsHookExW (2395) перехвачена, метод ProcAddressHijack.GetProcAddress ->76E30CA0->6CA733C0
Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CveEventWrite (1234) перехвачена, метод ProcAddressHijack.GetProcAddress ->75813F84->7560D410
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1387) перехвачена, метод ProcAddressHijack.GetProcAddress ->75814EAB->7535C650
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:NetFreeAadJoinInformation (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->7260C10A->6460A250
Функция netapi32.dll:NetGetAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->7260C139->6460A5D0
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
 Количество найденных процессов: 27
 Количество загруженных модулей: 342
Проверка памяти завершена
3. Сканирование дисков
D:\AnyLogic\AnyLogic 8.6 Personal Learning Edition\plugins\org.eclipse.gef_3.9.100.201408150207.jar/{ZIP}/org/eclipse/gef/editpolicies/package.html >>>>> Trojan.BAT.DelAutoexec.e 
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Remote Desktop Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 244103, извлечено из архивов: 89013, найдено вредоносных программ 1, подозрений - 0
Сканирование завершено в 23.11.2020 14:28:03
Сканирование длилось 00:07:52
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ 
можно использовать сервис http://virusdetector.ru/
 

 

CollectionLog-2020.11.23-14.12.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Приведенный вами лог был сделан в устаревшей версии AVZ

12 минут назад, оlег сказал:

База поcледний раз обновлялась 3/1/2016

 

12 минут назад, оlег сказал:

Протокол антивирусной утилиты AVZ версии 4.46

В состав Автологера входит актуальная версия 5.17 и как вы сами можете заметить, этих строк там уже нет.

 

Перехват - это не всегда плохо :)

 

Кроме указанного у вас есть ещё какие-либо вопросы/проблемы?

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Благодарю за ответ!

Вопросов/проблем больше нет, разве что прогу качал с (вроде как) сайта разработчика (z-oleg). Но это уже не к вам ?

Еще раз спасибо за ответ.

Изменено пользователем оlег
Ссылка на комментарий
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского".

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • alexander6624
      Автор alexander6624
      при проверке вирусов на dr web нашёлся вирус net malware url, dr web его обезвредить не смог,а при следующей проверке вируса не было найдено,но на следующий день при повторной проверке этот вирус опять обнаружился,при этом начал очень сильно грется процессор и начались сильные глюки.

    • Чилипиздрик
      Автор Чилипиздрик
      Здравствуйте! Подцепила на просторах интернета указанный MEM:Trojan.Win32.SEPEH.gen Удалить с помощью не выходит KVRT. Он его видит предлагает вылечить или пропустить (варианта удалить нет). Дальше делает вид, что работает, а после перезагрузки компа все остается на своих местах. Подскажите, пожалуйста, что с ним делать.
      CollectionLog-2025.06.18-20.38.zip
    • darksimpson
      Автор darksimpson
      Добрый день.

      Помогите пожалуйста с определением зловреда и, возможно, с расшифровкой.

      Прикрепляю архив с логами FRST, двумя зашифрованными файлами и запиской.

      Спасибо!
      p4.zip
    • Александр Черенов
      Автор Александр Черенов
      Добрый день. Прошу помощи. Ночью зашифровали все диски на 2-х серверах. Все диски кроме системных. Bitlocker. Ну и естественно оставили файл с требованием оплатить деньги на криптокошелек.( почта bitlockerlock.unlock@gmail.com и davidblaine@mail2world.com)
      На серверах было все - базы, бекапы, документы и т.д. Очень прошу помочь. Оплатим работы.
      Мой номер +7919893**** (ватсап, телега, звонки)
    • Anton3456
      Автор Anton3456
      Здравия переустановил винду скачал только стим решил зарание проверить все ДОКТОРОМ ВЕБ .И в итоге нашел вирус  CHROMIUM:PAGE.MALWARE.URL. что делать подскажите пожалуйста .Таже история что и у других людей этот вирус просто не удаляется помогите исправить пожалуйста 

×
×
  • Создать...