Перейти к содержанию
Правила раздела
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

[РЕШЕНО] AVZ лог. Стоит ли волноваться?

Niko182

Автор Niko182
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Niko182

Niko182

Опубликовано
Опубликовано

Проверяю компьютер AVZ и сразу получаю такой кусок лога:

1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1132) перехвачена, метод ProcAddressHijack.GetProcAddress ->774DDAB8->75E8AC20
Перехватчик kernel32.dll:ReadConsoleInputExA (1132) нейтрализован
Функция kernel32.dll:ReadConsoleInputExW (1133) перехвачена, метод ProcAddressHijack.GetProcAddress ->774DDAEB->75E8AC50
Перехватчик kernel32.dll:ReadConsoleInputExW (1133) нейтрализован
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (295) перехвачена, метод ProcAddressHijack.GetProcAddress ->77831B70->74971480
Перехватчик ntdll.dll:NtCreateFile (295) нейтрализован
Функция ntdll.dll:NtSetInformationFile (598) перехвачена, метод ProcAddressHijack.GetProcAddress ->77831890->749715E0
Перехватчик ntdll.dll:NtSetInformationFile (598) нейтрализован
Функция ntdll.dll:NtSetValueKey (630) перехвачена, метод ProcAddressHijack.GetProcAddress ->77831C20->74971650
Перехватчик ntdll.dll:NtSetValueKey (630) нейтрализован
Функция ntdll.dll:ZwCreateFile (1837) перехвачена, метод ProcAddressHijack.GetProcAddress ->77831B70->74971480
Перехватчик ntdll.dll:ZwCreateFile (1837) нейтрализован
Функция ntdll.dll:ZwSetInformationFile (2138) перехвачена, метод ProcAddressHijack.GetProcAddress ->77831890->749715E0
Перехватчик ntdll.dll:ZwSetInformationFile (2138) нейтрализован
Функция ntdll.dll:ZwSetValueKey (2170) перехвачена, метод ProcAddressHijack.GetProcAddress ->77831C20->74971650
Перехватчик ntdll.dll:ZwSetValueKey (2170) нейтрализован
 Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1536) перехвачена, метод ProcAddressHijack.GetProcAddress ->776494F0->74971370
Перехватчик user32.dll:CallNextHookEx (1536) нейтрализован
Функция user32.dll:SetWindowsHookExW (2399) перехвачена, метод ProcAddressHijack.GetProcAddress ->7764E780->749716C0
Перехватчик user32.dll:SetWindowsHookExW (2399) нейтрализован
Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)
 >>> Код руткита в функции Wow64Transition - ошибка стандартной нейтрализации (невозможно изменить область памяти, возможно противодействие со стороны руткита)

 

Стоит ли волноваться?

regist

regist

Опубликовано
Опубликовано

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт): 

begin
 ClearQuarantineEx(true);
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(false);
end.

 

Компьютер перезагрузится.

 

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

 

Файл 

C:\Program Files\Npcap\CheckStatus.bat

откройте блокнотом и напишите тут его содержимое внутри тега код (иконка <>), если файл большой, то прикрепите.

 

 

Niko182

Niko182

Опубликовано
  • Автор
Опубликовано 
@echo off

rem Make sure we can find where Npcap is installed
set KEY_NAME=HKLM\Software\WOW6432Node\Npcap
for /F "usebackq tokens=1,2*" %%A IN (`reg query "%KEY_NAME%" /ve 2^>nul ^| find "REG_SZ"`) do (
	set NPCAP_DIR=%%C
)
if defined NPCAP_DIR (goto DO_CHECK)
set KEY_NAME=HKLM\Software\Npcap
for /F "usebackq tokens=1,2*" %%A IN (`reg query "%KEY_NAME%" /ve 2^>nul ^| find "REG_SZ"`) do (
	set NPCAP_DIR=%%C
)
if defined NPCAP_DIR (goto DO_CHECK) else (goto ABORT)

:DO_CHECK

rem If start type is not SYSTEM_START, we need to fix that.
for /F "usebackq tokens=1,4" %%A in (`sc.exe qc npcap`) do (
	if %%A == START_TYPE (
	    if NOT %%B == SYSTEM_START (
		goto FIXINSTALL
	    )
	)
)
if exist "%NPCAP_DIR%\loopback.ini" (
	rem NetConnectionID may be different, see nmap/nmap#1416
	rem but Name will always be Npcap Loopback Adapter
	%SYSTEMROOT%\wbem\wmic.exe nic GET Name,NetConnectionID | find "Npcap Loopback Adapter"
	if ERRORLEVEL 1 (
		rem loopback.ini is present, but the adapter is gone. Run FixInstall.bat
		goto FIXINSTALL
	)
)

goto ABORT

:FIXINSTALL
"%NPCAP_DIR%\FixInstall.bat"

:ABORT

 

ClearLNK-2021.02.22_11.54.53.log

regist

regist

Опубликовано
Опубликовано

Мусор почистили, плохого ничего не видно.

regist

regist

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Рогатый
      Avz нашел Троян
      Автор Рогатый
      При полном сканировании AVZ выдал такую картину(выделяет красным):
      C:\Program Files\WindowsApps.tmp\24091FileFormatApps.ViewPPTXPLUS_2.0.6.0_x64__8t2vtv4rwtrk0\VFS\ProgramFilesX86\FileFormatApps\View PPTX PLUS\share\config\images_breeze.zip/{ZIP}/cmd/sc_configuredialog.png >>>>> Trojan.BAT.DeltreeY.d 
      C:\Program Files\WindowsApps.tmp\24091FileFormatApps.ViewPPTXPLUS_2.0.6.0_x64__8t2vtv4rwtrk0\VFS\ProgramFilesX86\FileFormatApps\View PPTX PLUS\share\config\images_breeze.zip/{ZIP}/res/notebookbar.png >>>>> Trojan.BAT.DeltreeY.d 
      C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.25\avp.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
      При этом приложении которое он метит давно нет и зачистка результатов не даёт
    • Руслан21
      Здравствуй, возникла проблема с удалением вируса Adware
      Автор Руслан21
      Здравствуйте, не получается удалить вирус, перезагрузка пк не помогает, файлы из папки temp не удаляются, пожалуйста подскажите, что можно сделать. Пытался удалить с помощью команд в AVZ не получилось.

    • Алекс2026
      ВИРУСЫ на ПК
      Автор Алекс2026
      Здравствуйте ребята, очень нужна ваша помощь. Поймал какие-то вирусы, которые не отслеживает ни Касперский, ни Adlice Protect (by RogueKiller), ни Dr.web, ни уж точно Malwar Bytes.

      Делал проверку через AVZ

      (Ранее были сжесткие (временные) просадки FPS в играх, и торможение к компьютера)
      avz_log.txt
    • вася1525
      вирус жрёт файлы. ×
      Автор вася1525
      virusinfo_syscheck.zip
    • fuzzy
      [РЕШЕНО] AVZ 4.46 поддержка оказывается ли?
      Автор fuzzy
      Добрый день.
      Во избежание возможно напрасной траты своего времени на подготовку отчетов, установку различного иного ПО и проверки ,а также времени отвечающего заранее поинтересуюсь как таковой возможностью поддержки и расшифровки логов, полученных еще прежней версией 4.46 AVZ, когда продукт еще не был под ЛК, и которая не была так урезана как 5я и более поздние. Если да, готов выполнять все условия по шагам.
×
×
  • Создать...