Перейти к содержанию

[РЕШЕНО] Помогите, пожалуйста, разобраться с логами AVZ


Рекомендуемые сообщения

Недавно просканировал систему утилитой AVZ. Она выдала ряд предупреждений, которые мне непонятны. Прошу вашей помощи в разборе логов. А именно беспокоят некие "перехваты" в системных файлах и троян (в спойлере фрагменты выделены цветом) 

Также прилагаю логи Автологгера.
 

Спойлер

Внимание !!! База поcледний раз обновлялась 3/1/2016 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.46
Сканирование запущено в 23.11.2020 14:20:12
Загружена база: сигнатуры - 297570, нейропрофили - 2, микропрограммы лечения - 56, база от 01.03.2016 12:37
Загружены микропрограммы эвристики: 412
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 790760
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 10.0.18363,  "Windows 10 Enterprise", дата инсталляции 15.07.2020 14:31:20 ; AVZ работает с правами администратора (+)
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1130) перехвачена, метод ProcAddressHijack.GetProcAddress ->7542CFA0->7560AAF0
Функция kernel32.dll:ReadConsoleInputExW (1131) перехвачена, метод ProcAddressHijack.GetProcAddress ->7542CFD3->7560AB20
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (291) перехвачена, метод ProcAddressHijack.GetProcAddress ->77AF3460->6CA73180
Функция ntdll.dll:NtSetInformationFile (592) перехвачена, метод ProcAddressHijack.GetProcAddress ->77AF3180->6CA732E0
Функция ntdll.dll:NtSetValueKey (624) перехвачена, метод ProcAddressHijack.GetProcAddress ->77AF3510->6CA73350
Функция ntdll.dll:ZwCreateFile (1805) перехвачена, метод ProcAddressHijack.GetProcAddress ->77AF3460->6CA73180
Функция ntdll.dll:ZwSetInformationFile (2104) перехвачена, метод ProcAddressHijack.GetProcAddress ->77AF3180->6CA732E0
Функция ntdll.dll:ZwSetValueKey (2136) перехвачена, метод ProcAddressHijack.GetProcAddress ->77AF3510->6CA73350
 Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1536) перехвачена, метод ProcAddressHijack.GetProcAddress ->76E2E840->6CA73070
Функция user32.dll:SetWindowsHookExW (2395) перехвачена, метод ProcAddressHijack.GetProcAddress ->76E30CA0->6CA733C0
Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CveEventWrite (1234) перехвачена, метод ProcAddressHijack.GetProcAddress ->75813F84->7560D410
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1387) перехвачена, метод ProcAddressHijack.GetProcAddress ->75814EAB->7535C650
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:NetFreeAadJoinInformation (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->7260C10A->6460A250
Функция netapi32.dll:NetGetAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->7260C139->6460A5D0
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
 Количество найденных процессов: 27
 Количество загруженных модулей: 342
Проверка памяти завершена
3. Сканирование дисков
D:\AnyLogic\AnyLogic 8.6 Personal Learning Edition\plugins\org.eclipse.gef_3.9.100.201408150207.jar/{ZIP}/org/eclipse/gef/editpolicies/package.html >>>>> Trojan.BAT.DelAutoexec.e 
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Remote Desktop Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 244103, извлечено из архивов: 89013, найдено вредоносных программ 1, подозрений - 0
Сканирование завершено в 23.11.2020 14:28:03
Сканирование длилось 00:07:52
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ 
можно использовать сервис http://virusdetector.ru/
 

 

CollectionLog-2020.11.23-14.12.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Приведенный вами лог был сделан в устаревшей версии AVZ

12 минут назад, оlег сказал:

База поcледний раз обновлялась 3/1/2016

 

12 минут назад, оlег сказал:

Протокол антивирусной утилиты AVZ версии 4.46

В состав Автологера входит актуальная версия 5.17 и как вы сами можете заметить, этих строк там уже нет.

 

Перехват - это не всегда плохо :)

 

Кроме указанного у вас есть ещё какие-либо вопросы/проблемы?

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Благодарю за ответ!

Вопросов/проблем больше нет, разве что прогу качал с (вроде как) сайта разработчика (z-oleg). Но это уже не к вам 😄

Еще раз спасибо за ответ.

Изменено пользователем оlег
Ссылка на сообщение
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского".

  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • От Anov
      Приветствую.
       
      Наблюдаю в первый раз вот такую вот ошибку при попытке обновить AZV через File - > Database Update (см. прикрепленный скриншот с экрана)
      https://fastpic.ru/view/114/2021/0426/e75ca20dbf18a0b7902947cad9e0de01.jpg
       
      Никто не знает с чем связано и как лечится?
       
      Заранее благодарю.
    • От West
      Здравствуйте!
      Установлен KIS. Проверяю ноут регулярно в том числе и в безопасном режиме. Всегда чисто в плане вирусов. Решил проверить сканером.
      Подскажите новичку, последовательность действий в проверке системы Dr.Web CureIt!:
      1.Проверку  проводить в безопасном или обычном режиме?
      2.Быструю или проверить все файлы?
      3.Что делать, если обнаружится угроза?
      Здесь на форуме рекомендуют не предпринимать никаких действий по удалению-лечению зловредов. Вот с этого момента какие должны быть мои действия?
      Спасибо.
    • От Niko182
      Проверяю компьютер AVZ и сразу получаю такой кусок лога:
      1. Поиск RootKit и программ, перехватывающих функции API
      1.1 Поиск перехватчиков API, работающих в UserMode
       Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
      Функция kernel32.dll:ReadConsoleInputExA (1132) перехвачена, метод ProcAddressHijack.GetProcAddress ->774DDAB8->75E8AC20
      Перехватчик kernel32.dll:ReadConsoleInputExA (1132) нейтрализован
      Функция kernel32.dll:ReadConsoleInputExW (1133) перехвачена, метод ProcAddressHijack.GetProcAddress ->774DDAEB->75E8AC50
      Перехватчик kernel32.dll:ReadConsoleInputExW (1133) нейтрализован
       Анализ ntdll.dll, таблица экспорта найдена в секции .text
      Функция ntdll.dll:NtCreateFile (295) перехвачена, метод ProcAddressHijack.GetProcAddress ->77831B70->74971480
      Перехватчик ntdll.dll:NtCreateFile (295) нейтрализован
      Функция ntdll.dll:NtSetInformationFile (598) перехвачена, метод ProcAddressHijack.GetProcAddress ->77831890->749715E0
      Перехватчик ntdll.dll:NtSetInformationFile (598) нейтрализован
      Функция ntdll.dll:NtSetValueKey (630) перехвачена, метод ProcAddressHijack.GetProcAddress ->77831C20->74971650
      Перехватчик ntdll.dll:NtSetValueKey (630) нейтрализован
      Функция ntdll.dll:ZwCreateFile (1837) перехвачена, метод ProcAddressHijack.GetProcAddress ->77831B70->74971480
      Перехватчик ntdll.dll:ZwCreateFile (1837) нейтрализован
      Функция ntdll.dll:ZwSetInformationFile (2138) перехвачена, метод ProcAddressHijack.GetProcAddress ->77831890->749715E0
      Перехватчик ntdll.dll:ZwSetInformationFile (2138) нейтрализован
      Функция ntdll.dll:ZwSetValueKey (2170) перехвачена, метод ProcAddressHijack.GetProcAddress ->77831C20->74971650
      Перехватчик ntdll.dll:ZwSetValueKey (2170) нейтрализован
       Анализ user32.dll, таблица экспорта найдена в секции .text
      Функция user32.dll:CallNextHookEx (1536) перехвачена, метод ProcAddressHijack.GetProcAddress ->776494F0->74971370
      Перехватчик user32.dll:CallNextHookEx (1536) нейтрализован
      Функция user32.dll:SetWindowsHookExW (2399) перехвачена, метод ProcAddressHijack.GetProcAddress ->7764E780->749716C0
      Перехватчик user32.dll:SetWindowsHookExW (2399) нейтрализован
      Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)
       >>> Код руткита в функции Wow64Transition - ошибка стандартной нейтрализации (невозможно изменить область памяти, возможно противодействие со стороны руткита)
       
      Стоит ли волноваться?
    • От Artem5000
      Всем доброго времени суток! В один прекрасный день перестал работать антивирус Kaspersky Internet Security на компьютере (Windows7). Меня этот вариант не устроил и я удалил данный антивирус с помощью функций Windows 7 и попробовал установить его заново, но установщик ничего не устанавливал, просто вплывало белое окно на две секунды и все. Переход на новую Windows 10, удаление Касперского программой kavremvr и очистка лишних файлов на  жестком диске программой CC Cleaner не принесли хороших плодов, все осталось как есть. Кто сталкивался с подобной проблемой и её решил, подскажите пожалуйста, что мне нужно делать?
      CollectionLog-2021.02.09-21.30.zip
    • От Artem5000
      Всем доброго времени суток! В один прекрасный день перестал работать антивирус Kaspersky Internet Security на компьютере (Windows7). Меня этот вариант не устроил и я удалил данный антивирус с помощью функций Windows 7 и попробовал установить его заново, но установщик ничего не устанавливал, просто вплывало белое окно на две секунды и все. Переход на новую Windows 10, удаление Касперского программой kavremvr и очистка лишних файлов на  жестком диске программой CC Cleaner не принесли хороших плодов, все осталось как есть. Кто сталкивался с подобной проблемой и её решил, подскажите пожалуйста, что мне нужно делать?
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь".
×
×
  • Создать...