Перейти к содержанию

[РЕШЕНО] AVZ лог. Стоит ли волноваться?


Рекомендуемые сообщения

Проверяю компьютер AVZ и сразу получаю такой кусок лога:

1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1132) перехвачена, метод ProcAddressHijack.GetProcAddress ->774DDAB8->75E8AC20
Перехватчик kernel32.dll:ReadConsoleInputExA (1132) нейтрализован
Функция kernel32.dll:ReadConsoleInputExW (1133) перехвачена, метод ProcAddressHijack.GetProcAddress ->774DDAEB->75E8AC50
Перехватчик kernel32.dll:ReadConsoleInputExW (1133) нейтрализован
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (295) перехвачена, метод ProcAddressHijack.GetProcAddress ->77831B70->74971480
Перехватчик ntdll.dll:NtCreateFile (295) нейтрализован
Функция ntdll.dll:NtSetInformationFile (598) перехвачена, метод ProcAddressHijack.GetProcAddress ->77831890->749715E0
Перехватчик ntdll.dll:NtSetInformationFile (598) нейтрализован
Функция ntdll.dll:NtSetValueKey (630) перехвачена, метод ProcAddressHijack.GetProcAddress ->77831C20->74971650
Перехватчик ntdll.dll:NtSetValueKey (630) нейтрализован
Функция ntdll.dll:ZwCreateFile (1837) перехвачена, метод ProcAddressHijack.GetProcAddress ->77831B70->74971480
Перехватчик ntdll.dll:ZwCreateFile (1837) нейтрализован
Функция ntdll.dll:ZwSetInformationFile (2138) перехвачена, метод ProcAddressHijack.GetProcAddress ->77831890->749715E0
Перехватчик ntdll.dll:ZwSetInformationFile (2138) нейтрализован
Функция ntdll.dll:ZwSetValueKey (2170) перехвачена, метод ProcAddressHijack.GetProcAddress ->77831C20->74971650
Перехватчик ntdll.dll:ZwSetValueKey (2170) нейтрализован
 Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1536) перехвачена, метод ProcAddressHijack.GetProcAddress ->776494F0->74971370
Перехватчик user32.dll:CallNextHookEx (1536) нейтрализован
Функция user32.dll:SetWindowsHookExW (2399) перехвачена, метод ProcAddressHijack.GetProcAddress ->7764E780->749716C0
Перехватчик user32.dll:SetWindowsHookExW (2399) нейтрализован
Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)
 >>> Код руткита в функции Wow64Transition - ошибка стандартной нейтрализации (невозможно изменить область памяти, возможно противодействие со стороны руткита)

 

Стоит ли волноваться?

Ссылка на комментарий
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт):

begin
 ClearQuarantineEx(true);
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(false);
end.

 

Компьютер перезагрузится.

 

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

 

Файл

C:\Program Files\Npcap\CheckStatus.bat

откройте блокнотом и напишите тут его содержимое внутри тега код (иконка <>), если файл большой, то прикрепите.

 

 

Ссылка на комментарий
Поделиться на другие сайты

@echo off

rem Make sure we can find where Npcap is installed
set KEY_NAME=HKLM\Software\WOW6432Node\Npcap
for /F "usebackq tokens=1,2*" %%A IN (`reg query "%KEY_NAME%" /ve 2^>nul ^| find "REG_SZ"`) do (
	set NPCAP_DIR=%%C
)
if defined NPCAP_DIR (goto DO_CHECK)
set KEY_NAME=HKLM\Software\Npcap
for /F "usebackq tokens=1,2*" %%A IN (`reg query "%KEY_NAME%" /ve 2^>nul ^| find "REG_SZ"`) do (
	set NPCAP_DIR=%%C
)
if defined NPCAP_DIR (goto DO_CHECK) else (goto ABORT)

:DO_CHECK

rem If start type is not SYSTEM_START, we need to fix that.
for /F "usebackq tokens=1,4" %%A in (`sc.exe qc npcap`) do (
	if %%A == START_TYPE (
	    if NOT %%B == SYSTEM_START (
		goto FIXINSTALL
	    )
	)
)
if exist "%NPCAP_DIR%\loopback.ini" (
	rem NetConnectionID may be different, see nmap/nmap#1416
	rem but Name will always be Npcap Loopback Adapter
	%SYSTEMROOT%\wbem\wmic.exe nic GET Name,NetConnectionID | find "Npcap Loopback Adapter"
	if ERRORLEVEL 1 (
		rem loopback.ini is present, but the adapter is gone. Run FixInstall.bat
		goto FIXINSTALL
	)
)

goto ABORT

:FIXINSTALL
"%NPCAP_DIR%\FixInstall.bat"

:ABORT

 

ClearLNK-2021.02.22_11.54.53.log

Ссылка на комментарий
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского".

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • KL FC Bot
      Автор KL FC Bot
      Хотя о цифровой трансформации промышленности говорят больше десяти лет, переломный момент в цифровизации наступает только сейчас. Согласно отчету VDC Research Securing OT with Purpose-built Solutions, лишь 7,6% промышленных организаций сегодня считают себя полностью цифровыми, но уже через два года в этом статусе видят себя 63,6%. Это обусловлено, с одной стороны, экономическим давлением на компании и необходимостью радикально повысить эффективность бизнеса, а с другой, — возросшей доступностью нужных технологий, таких как промышленный Интернет вещей и периферийные вычисления (IIoT, edge computing).
      Цифровизация производства повышает эффективность и безопасность на предприятиях. В большинстве организаций уже внедрены системы управления активами, техническим обслуживанием и цепочками поставок, которые помогают снижать простои и операционные затраты. Более продвинутые технологии, такие как цифровые двойники и предиктивная аналитика, радикально улучшают процессы, увеличивают выход готовой продукции и снижают непроизводительные затраты материалов и ресурсов. Интеграция данных из ИТ-систем и АСУ ТП позволяет организациям принимать решения в режиме реального времени на основе свежих данных.
      Оборотной стороной интеграции становится уязвимость: системы, которые ранее были изолированы или вообще не были цифровыми, становятся подвержены ИТ-сбоям и прямым кибератакам. Атаки на ОТ-системы чреваты увеличением процента брака, поломкой сложного оборудования, нарушением производственных процессов по цепочке и даже катастрофическими ситуациями на производстве, угрожающими жизни сотрудников. Даже кратковременные сбои могут иметь значительные последствия для бизнеса и подорвать репутацию организации.
      Основные препятствия на пути цифровизации производства
      Опасения по вопросам ИБ стали главным препятствием для проектов цифровой трансформации производства на опрошенных предприятиях. Почти 40% опрошенных должны решить эту проблему, чтобы продвигаться дальше. В горячую тройку трудностей также вошли дефицит бюджета и наличие устаревшего оборудования, которое для цифровых проектов слишком сложно и дорого обновлять.
      Что касается проблем ИБ, то среди них доминируют: недостаток ресурсов на защиту АСУ ТП, недостаточный уровень мер ИБ в существующий инфраструктуре компании и вопросы регуляторного соответствия.
       
      View the full article
    • fuzzy
      Автор fuzzy
      Добрый день.
      Во избежание возможно напрасной траты своего времени на подготовку отчетов, установку различного иного ПО и проверки ,а также времени отвечающего заранее поинтересуюсь как таковой возможностью поддержки и расшифровки логов, полученных еще прежней версией 4.46 AVZ, когда продукт еще не был под ЛК, и которая не была так урезана как 5я и более поздние. Если да, готов выполнять все условия по шагам.
    • Falcon
      Автор Falcon
      Как выполнить скрипт в AVZ?
       
      Утилита AVZ находится в папке ..\AutoLogger\AV, т.е. там, откуда Вы запускали автоматический сборщик логов.
       
      Перед выполнением скрипта отключитесь от Интернета. Выключите антивирус и фаервол, а также другое программное обеспечение.
       
      1. Выделите правой кнопкой мыши весь скрипт, который Вам написал консультант и вызовите контекстное меню щелчком правой кнопки мышки и выберите Копировать
      2. Запустите файл AV_Z.exe, нажмите Файл и в выпавшем меню нажмите Выполнить скрипт
      3. В появившемся окне вызовите контекстное меню щелчком правой клавиши мышки и нажмите Вставить
      4. И нажмите в этом же окне на кнопку Запустить
      Ниже на анимации для наглядности показан пример действий:


    • m1pod
      Автор m1pod
      Доброго всем. Не работает поиск и пуск. Появилось после последних обновлений windows, долго не обновлялся, решил обновить и тут вот такой сюрприз
      Нажимаешь пуск - идёт "запуск процесса" и далее ничего не происходит. При нажатии на пуск появляется некое очертание поиска, но сам он не работает. Пробовал всевозможные варианты, которые находил в интернете. Через редактор реестра, обновление и перезапуск службы, перезагрузка банальная, при помощи системы поиска неисправностей, перестройка индексирования, смена владельца, обновление винды при помощи media creation tool, на очереди попытка сменить редакцию винды с про на хоум, не знаю какой толк от этого. Служба поиска неисправностей выдает "NT AUTHORITY\СИСТЕМА Разрешения каталога данных службы поиска Windows" 
      На скриншоте показываю "работу" поиска его очертания можно заметить.



      Пуск и поиск работает если сменить профиль на пк, там как бы чистый лист, поэтому оно и работает, не знаю. Конечно, можно переустановить винду и не париться, но легких путей не ищем, тем более нет желания заново всё устанавливать и настраивать.

      Прошу помощи, может кто сталкивался

    • ВасилийВ
      Автор ВасилийВ
      Касперский не видит вирусов,встроенный антивирус нашел больше 10 троянов но не смог с ними справитьсяCollectionLog-2025.03.25-22.30.zip
×
×
  • Создать...