-
Junior Member
- Вес репутации
- 57
Результат проверки AVZ
Подскажите пожалуйста заражен ли компьютер (на котором стоит Norton Internet Security) если результат проверки AVZ следующий:
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=08A500)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80561500
KiST = 804E48B0 (284)
Функция NtAlertResumeThread (0C) перехвачена (80635BAA->82050BC, перехватчик не определен
Функция NtAlertThread (0D) перехвачена (805824AC->82145640), перехватчик не определен
Функция NtAllocateVirtualMemory (11) перехвачена (8056FE06->81F7BD9, перехватчик не определен
Функция NtAssignProcessToJobObject (13) перехвачена (805A96CC->8181CC8, перехватчик не определен
Функция NtClose (19) перехвачена (8056E9E9->F84FC02, перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
Функция NtConnectPort (1F) перехвачена (80591D6E->814F50E, перехватчик не определен
Функция NtCreateKey (29) перехвачена (80577237->EBADD020), перехватчик C:\WINDOWS\system32\Drivers\SYMEVENT.SYS
Функция NtCreateMutant (2B) перехвачена (8057BCCD->8216B59, перехватчик не определен
Функция NtCreatePagingFile (2D) перехвачена (805C4F51->F84EFB00), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
Функция NtCreateSymbolicLinkObject (34) перехвачена (805A8658->81866530), перехватчик не определен
Функция NtCreateThread (35) перехвачена (805849B2->816E1D2, перехватчик не определен
Функция NtDebugActiveProcess (39) перехвачена (80660345->81841620), перехватчик не определен
Функция NtDeleteKey (3F) перехвачена (80598177->EBADD2A0), перехватчик C:\WINDOWS\system32\Drivers\SYMEVENT.SYS
Функция NtDeleteValueKey (41) перехвачена (805969F3->EBADD800), перехватчик C:\WINDOWS\system32\Drivers\SYMEVENT.SYS
Функция NtDuplicateObject (44) перехвачена (80578BF8->821291E0), перехватчик не определен
Функция NtEnumerateKey (47) перехвачена (805783AC->F84F05DC), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
Функция NtEnumerateValueKey (49) перехвачена (8058F45B->F84FC120), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
Функция NtFreeVirtualMemory (53) перехвачена (805704A0->8173FD20), перехватчик не определен
Функция NtImpersonateAnonymousToken (59) перехвачена (805995B9->82026340), перехватчик не определен
Функция NtImpersonateThread (5B) перехвачена (80586A7C->81FDC86, перехватчик не определен
Функция NtLoadDriver (61) перехвачена (805B97A1->8184BE30), перехватчик не определен
Функция NtMapViewOfSection (6C) перехвачена (8057E71B->FF44E590), перехватчик не определен
Функция NtOpenEvent (72) перехвачена (8058F581->817F0180), перехватчик не определен
Функция NtOpenFile (74) перехвачена (8057D538->F84EFB40), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
Функция NtOpenKey (77) перехвачена (80571CBC->F84FBFA4), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
Функция NtOpenProcess (7A) перехвачена (8057908C->820E4E7, перехватчик не определен
Функция NtOpenProcessToken (7B) перехвачена (80576C1A->818387A, перехватчик не определен
Функция NtOpenSection (7D) перехвачена (8057EB4A->81850A60), перехватчик не определен
Функция NtOpenThread (80) перехвачена (805B132C->818582B, перехватчик не определен
Функция NtProtectVirtualMemory (89) перехвачена (805793A1->FF3D7270), перехватчик не определен
Функция NtQueryKey (A0) перехвачена (80577FAC->F84F05FC), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
Функция NtQueryValueKey (B1) перехвачена (80572100->F84FC076), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
Функция NtResumeThread (CE) перехвачена (80585029->816CBA10), перехватчик не определен
Функция NtSetContextThread (D5) перехвачена (80633D53->8174CCB0), перехватчик не определен
Функция NtSetInformationProcess (E4) перехвачена (80581B2D->81F144A0), перехватчик не определен
Функция NtSetSystemInformation (F0) перехвачена (805E5DDD->81550730), перехватчик не определен
Функция NtSetSystemPowerState (F1) перехвачена (8066D0F9->F84FB550), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
Функция NtSetValueKey (F7) перехвачена (8057FF13->EBADDA50), перехватчик C:\WINDOWS\system32\Drivers\SYMEVENT.SYS
Функция NtSuspendProcess (FD) перехвачена (80635AEF->8157F050), перехватчик не определен
Функция NtSuspendThread (FE) перехвачена (80635A0B->817EDB9, перехватчик не определен
Функция NtTerminateProcess (101) перехвачена (8058C399->FF717050), перехватчик не определен
Функция NtTerminateThread (102) перехвачена (805845F8->FF744C90), перехватчик не определен
Функция NtUnmapViewOfSection (10B) перехвачена (8057E2A3->81794A70), перехватчик не определен
Функция NtWriteVirtualMemory (115) перехвачена (8058698B->FF40A2F, перехватчик не определен
Проверено функций: 284, перехвачено: 44, восстановлено: 0
.4 Поиск маскировки процессов и драйверов
Видимый процесс с PID=2008, имя = "\Device\HarddiskVolume1\Program Files\Microsoft ActiveSync\rapimgr.exe"
>> обнаружена подмена имени, новое имя = "c:\progra~1\micros~4\rapimgr.exe"
>> Маскировка драйвера: Base=BACC5000, размер=86016, имя = "\??\C:\Documents and Settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\2008082 9.024\NAVENG.SYS"
>> Маскировка драйвера: Base=BACDA000, размер=868352, имя = "\??\C:\Documents and Settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\2008082 9.024\NAVEX15.SYS"
Прямое чтение C:\WINDOWS\system32\drivers\atapi.sys
C:\System Volume Information\_restore{49139B9D-80CA-4DDB-8934-52BBD6735CD3}\RP76\A0063522.exe >>> подозрение на Trojan-Spy.Win32.Cpatcha ( 005C59AB 08CCEE7D 002015EA 0021FE14 139264)
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\PROGRAM FILES\NORTON INTERNET SECURITY\ENGINE\16.0.0.125\ASOEHOOK.DLL --> Подозрение на Keylogger или троянскую DLL
C:\PROGRAM FILES\NORTON INTERNET SECURITY\ENGINE\16.0.0.125\ASOEHOOK.DLL>>> Поведенческий анализ
1. Реагирует на события: клавиатура, мышь
C:\PROGRAM FILES\NORTON INTERNET SECURITY\ENGINE\16.0.0.125\ASOEHOOK.DLL>>> Нейросеть: файл с вероятностью 95.14% похож на типовой пере
Спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Логи нужны по правилам...
-