Перехват функций в отчете AVZ 4.22

[Peina]

День добрый. Друзья, я только начал осваиваться в программе AVZ и обратил в отчете внимание не то, что некоторые функции kernel значатся как перехваченные. При этом каких-либо изменений в процессах (которые, как я понял, сопутствуют перехвату функций троянами) - не обнаружено. Не могли бы вы подсказать, есть ли какая-то опасность согласно этому отрывку из отчета?

Заранее благодарен.


Протокол антивирусной утилиты AVZ версии 4.22
Сканирование запущено в 19.12.2006 14:07:33
Загружена база: 69173 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, база от 12.12.2006 17:05
Загружены микропрограммы эвристики: 364
Загружены цифровые подписи системных файлов: 54310
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:CreateProcessA (99) перехвачена, метод APICodeHijack.JmpTo[1004C66A]
Функция kernel32.dll:CreateProcessW (103) перехвачена, метод APICodeHijack.JmpTo[1004C642]
Функция kernel32.dll:CreateRemoteThread (104) перехвачена, метод APICodeHijack.JmpTo[1004C966]
Функция kernel32.dll:DebugActiveProcess (117) перехвачена, метод APICodeHijack.JmpTo[1004C93E]
Функция kernel32.dll:WinExec (896) перехвачена, метод APICodeHijack.JmpTo[1004C61A]
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:LdrLoadDll (70) перехвачена, метод APICodeHijack.JmpTo[1004C916]
Функция ntdll.dll:LdrUnloadDll (80) перехвачена, метод APICodeHijack.JmpTo[1004C8EE]
Функция ntdll.dll:NtCreateThread (140) перехвачена, метод APICodeHijack.JmpTo[1004C70A]
Функция ntdll.dll:NtResumeProcess (296) перехвачена, метод APICodeHijack.JmpTo[1004C7D2]
Функция ntdll.dll:NtResumeThread (297) перехвачена, метод APICodeHijack.JmpTo[1004C7AA]
Функция ntdll.dll:NtSetContextThread (304) перехвачена, метод APICodeHijack.JmpTo[1004C732]
Функция ntdll.dll:NtSetValueKey (338) перехвачена, метод APICodeHijack.JmpTo[1004C8C6]
Функция ntdll.dll:NtSuspendProcess (344) перехвачена, метод APICodeHijack.JmpTo[1004C822]
Функция ntdll.dll:NtSuspendThread (345) перехвачена, метод APICodeHijack.JmpTo[1004C7FA]
Функция ntdll.dll:NtTerminateProcess (348) перехвачена, метод APICodeHijack.JmpTo[1004C872]
Функция ntdll.dll:NtWriteVirtualMemory (369) перехвачена, метод APICodeHijack.JmpTo[1004C89E]
Функция ntdll.dll:ZwCreateThread (950) перехвачена, метод APICodeHijack.JmpTo[1004C70A]
Функция ntdll.dll:ZwResumeProcess (1105) перехвачена, метод APICodeHijack.JmpTo[1004C7D2]
Функция ntdll.dll:ZwResumeThread (1106) перехвачена, метод APICodeHijack.JmpTo[1004C7AA]
Функция ntdll.dll:ZwSetContextThread (1113) перехвачена, метод APICodeHijack.JmpTo[1004C732]
Функция ntdll.dll:ZwSetValueKey (1147) перехвачена, метод APICodeHijack.JmpTo[1004C8C6]
Функция ntdll.dll:ZwSuspendProcess (1153) перехвачена, метод APICodeHijack.JmpTo[1004C822]
Функция ntdll.dll:ZwSuspendThread (1154) перехвачена, метод APICodeHijack.JmpTo[1004C7FA]
Функция ntdll.dll:ZwTerminateProcess (1157) перехвачена, метод APICodeHijack.JmpTo[1004C872]
Функция ntdll.dll:ZwWriteVirtualMemory (1178) перехвачена, метод APICodeHijack.JmpTo[1004C89E]
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (27) перехвачена, метод APICodeHijack.JmpTo[1004CD26]
Функция user32.dll:ChangeDisplaySettingsExA (34) перехвачена, метод APICodeHijack.JmpTo[1004C52A]
Функция user32.dll:ChangeDisplaySettingsExW (35) перехвачена, метод APICodeHijack.JmpTo[1004C502]
Функция user32.dll:DdeConnect (108) перехвачена, метод APICodeHijack.JmpTo[1004CCFE]
Функция user32.dll:DdeConnectList (109) перехвачена, метод APICodeHijack.JmpTo[1004CCD6]
Функция user32.dll:DdeInitializeA (122) перехвачена, метод APICodeHijack.JmpTo[1004CCAE]
Функция user32.dll:DdeInitializeW (123) перехвачена, метод APICodeHijack.JmpTo[1004CC86]
Функция user32.dll:EndTask (202) перехвачена, метод APICodeHijack.JmpTo[1004C9B6]
Функция user32.dll:ExitWindowsEx (226) перехвачена, метод APICodeHijack.JmpTo[1004CA56]
Функция user32.dll:FindWindowExA (229) перехвачена, метод APICodeHijack.JmpTo[1004CACE]
Функция user32.dll:FindWindowExW (230) перехвачена, метод APICodeHijack.JmpTo[1004CAA6]
Функция user32.dll:PostMessageA (512) перехвачена, метод APICodeHijack.JmpTo[1004CBBE]
Функция user32.dll:PostMessageW (513) перехвачена, метод APICodeHijack.JmpTo[1004CB96]
Функция user32.dll:SendInput (571) перехвачена, метод APICodeHijack.JmpTo[1004CA7E]
Функция user32.dll:SendMessageA (572) перехвачена, метод APICodeHijack.JmpTo[1004CC5E]
Функция user32.dll:SendMessageCallbackA (573) перехвачена, метод APICodeHijack.JmpTo[1004CB1E]
Функция user32.dll:SendMessageCallbackW (574) перехвачена, метод APICodeHijack.JmpTo[1004CAF6]
Функция user32.dll:SendMessageTimeoutA (575) перехвачена, метод APICodeHijack.JmpTo[1004CB6E]
Функция user32.dll:SendMessageTimeoutW (576) перехвачена, метод APICodeHijack.JmpTo[1004CB46]
Функция user32.dll:SendMessageW (577) перехвачена, метод APICodeHijack.JmpTo[1004CC36]
Функция user32.dll:SendNotifyMessageA (578) перехвачена, метод APICodeHijack.JmpTo[1004CC0E]
Функция user32.dll:SendNotifyMessageW (579) перехвачена, метод APICodeHijack.JmpTo[1004CBE6]
Функция user32.dll:SetForegroundWindow (600) перехвачена, метод APICodeHijack.JmpTo[1004CA2E]
Функция user32.dll:SetWinEventHook (639) перехвачена, метод APICodeHijack.JmpTo[1004C98E]
Функция user32.dll:SetWindowPos (644) перехвачена, метод APICodeHijack.JmpTo[1004C9DE]
Функция user32.dll:SetWindowsHookExA (651) перехвачена, метод APICodeHijack.JmpTo[1004CD76]
Функция user32.dll:SetWindowsHookExW (652) перехвачена, метод APICodeHijack.JmpTo[1004CD4E]
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text

[Зайцев Олег]

По отрывку отчета мало что можно сказать ... налицо перехват, набор функций похож на некое защитное ПО (некоторые антивирусы типа Panda очень любят перехватывать кучу функций в UserMode). Для точного анализа выполните правила раздела "Помогите" - по логам исследования системы можно сказать более предметно.

[Peina]

По отрывку отчета мало что можно сказать ... налицо перехват, набор функций похож на некое защитное ПО (некоторые антивирусы типа Panda очень любят перехватывать кучу функций в UserMode). Для точного анализа выполните правила раздела "Помогите" - по логам исследования системы можно сказать более предметно.

Олег, весьма польщен, что откликнулись именно Вы ;)

Прилагают логи сканирования.

Пометка: там содержится ссылка на некую dll из папки C:\Program Files\AOF - это у меня так называется папка для Agnitum Outpost Firewall. Антивируса у меня не стоит (как-то так исторически повелось, аккуратный я ;)), использую только агнитум (+ его противошпионский модуль), spyware blaster, spybot search & destroy. Так же имею аккаунт в Panda Active Scan Pro, которым периодически сканирую систему - но он вроде онлайновый антивирус только. Теперь вот об AVZ узнал.

P.S.:файла virusinfo_syscheck.zip в папке LOG не оказалось. Был еще какой-то virusinfo_cure.zip (1.12mb весом)

Спасибо!

[Зайцев Олег]

По исследованию системы все стало ясно - это перехваты Outpost для мониторинга активности зловредов, это не опасно. Я сравнил список перехватываемых функций и метод перехвата - все 1:1.

[Peina]

По исследованию системы все стало ясно - это перехваты Outpost для мониторинга активности зловредов, это не опасно. Я сравнил список перехватываемых функций и метод перехвата - все 1:1.

Олег, спасибо Вам огромное. Сам бы точно не разобрался

С наступающим,
Peina