-
Результат проверки AVZ
[SIZE=1]Подскажите пожалуйста заражен ли компьютер (на котором стоит Norton Internet Security) если результат проверки AVZ следующий:[/SIZE]
[SIZE=1]1.2 Поиск перехватчиков API, работающих в KernelMode[/SIZE]
[SIZE=1]Драйвер успешно загружен[/SIZE]
[SIZE=1]SDT найдена (RVA=08A500)[/SIZE]
[SIZE=1]Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000[/SIZE]
[SIZE=1]SDT = 80561500[/SIZE]
[SIZE=1]KiST = 804E48B0 (284)[/SIZE]
[SIZE=1][COLOR=#ff0000]Функция NtAlertResumeThread (0C) перехвачена (80635BAA->82050BC8), перехватчик не определен[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]Функция NtAlertThread (0D) перехвачена (805824AC->82145640), перехватчик не определен[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]Функция NtAllocateVirtualMemory (11) перехвачена (8056FE06->81F7BD98), перехватчик не определен[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]Функция NtAssignProcessToJobObject (13) перехвачена (805A96CC->8181CC88), перехватчик не определен[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]Функция NtClose (19) перехвачена (8056E9E9->F84FC028), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]Функция NtConnectPort (1F) перехвачена (80591D6E->814F50E8), перехватчик не определен[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]Функция NtCreateKey (29) перехвачена (80577237->EBADD020), перехватчик C:\WINDOWS\system32\Drivers\SYMEVENT.SYS[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]Функция NtCreateMutant (2B) перехвачена (8057BCCD->8216B598), перехватчик не определен[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]Функция NtCreatePagingFile (2D) перехвачена (805C4F51->F84EFB00), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]Функция NtCreateSymbolicLinkObject (34) перехвачена (805A8658->81866530), перехватчик не определен[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]Функция NtCreateThread (35) перехвачена (805849B2->816E1D28), перехватчик не определен[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]Функция NtDebugActiveProcess (39) перехвачена (80660345->81841620), перехватчик не определен[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]Функция NtDeleteKey (3F) перехвачена (80598177->EBADD2A0), перехватчик C:\WINDOWS\system32\Drivers\SYMEVENT.SYS[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]Функция NtDeleteValueKey (41) перехвачена (805969F3->EBADD800), перехватчик C:\WINDOWS\system32\Drivers\SYMEVENT.SYS[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]Функция NtDuplicateObject (44) перехвачена (80578BF8->821291E0), перехватчик не определен[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]Функция NtEnumerateKey (47) перехвачена (805783AC->F84F05DC), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]Функция NtEnumerateValueKey (49) перехвачена (8058F45B->F84FC120), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]Функция NtFreeVirtualMemory (53) перехвачена (805704A0->8173FD20), перехватчик не определен[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]Функция NtImpersonateAnonymousToken (59) перехвачена (805995B9->82026340), перехватчик не определен[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]Функция NtImpersonateThread (5B) перехвачена (80586A7C->81FDC868), перехватчик не определен[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]Функция NtLoadDriver (61) перехвачена (805B97A1->8184BE30), перехватчик не определен[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]Функция NtMapViewOfSection (6C) перехвачена (8057E71B->FF44E590), перехватчик не определен[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]Функция NtOpenEvent (72) перехвачена (8058F581->817F0180), перехватчик не определен[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]Функция NtOpenFile (74) перехвачена (8057D538->F84EFB40), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]Функция NtOpenKey (77) перехвачена (80571CBC->F84FBFA4), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]Функция NtOpenProcess (7A) перехвачена (8057908C->820E4E78), перехватчик не определен[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]Функция NtOpenProcessToken (7B) перехвачена (80576C1A->818387A8), перехватчик не определен[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]Функция NtOpenSection (7D) перехвачена (8057EB4A->81850A60), перехватчик не определен[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]Функция NtOpenThread (80) перехвачена (805B132C->818582B8), перехватчик не определен[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]Функция NtProtectVirtualMemory (89) перехвачена (805793A1->FF3D7270), перехватчик не определен[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]Функция NtQueryKey (A0) перехвачена (80577FAC->F84F05FC), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]Функция NtQueryValueKey (B1) перехвачена (80572100->F84FC076), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]Функция NtResumeThread (CE) перехвачена (80585029->816CBA10), перехватчик не определен[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]Функция NtSetContextThread (D5) перехвачена (80633D53->8174CCB0), перехватчик не определен[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]Функция NtSetInformationProcess (E4) перехвачена (80581B2D->81F144A0), перехватчик не определен[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]Функция NtSetSystemInformation (F0) перехвачена (805E5DDD->81550730), перехватчик не определен[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]Функция NtSetSystemPowerState (F1) перехвачена (8066D0F9->F84FB550), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]Функция NtSetValueKey (F7) перехвачена (8057FF13->EBADDA50), перехватчик C:\WINDOWS\system32\Drivers\SYMEVENT.SYS[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]Функция NtSuspendProcess (FD) перехвачена (80635AEF->8157F050), перехватчик не определен[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]Функция NtSuspendThread (FE) перехвачена (80635A0B->817EDB98), перехватчик не определен[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]Функция NtTerminateProcess (101) перехвачена (8058C399->FF717050), перехватчик не определен[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]Функция NtTerminateThread (102) перехвачена (805845F8->FF744C90), перехватчик не определен[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]Функция NtUnmapViewOfSection (10B) перехвачена (8057E2A3->81794A70), перехватчик не определен[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]Функция NtWriteVirtualMemory (115) перехвачена (8058698B->FF40A2F8), перехватчик не определен[/COLOR][/SIZE]
[SIZE=1]Проверено функций: 284, перехвачено: 44, восстановлено: 0[/SIZE]
[SIZE=1][SIZE=1].4 Поиск маскировки процессов и драйверов[/SIZE]
[SIZE=1][COLOR=#ff0000]Видимый процесс с PID=2008, имя = "\Device\HarddiskVolume1\Program Files\Microsoft ActiveSync\rapimgr.exe"[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]>> обнаружена подмена имени, новое имя = "c:\progra~1\micros~4\rapimgr.exe"[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]>> Маскировка драйвера: Base=BACC5000, размер=86016, имя = "\??\C:\Documents and Settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVENG.SYS"[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]>> Маскировка драйвера: Base=BACDA000, размер=868352, имя = "\??\C:\Documents and Settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVEX15.SYS"[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000][SIZE=1]Прямое чтение C:\WINDOWS\system32\drivers\atapi.sys[/SIZE][/COLOR]
[COLOR=#ff0000][SIZE=1][COLOR=#ff0000]C:\System Volume Information\_restore{49139B9D-80CA-4DDB-8934-52BBD6735CD3}\RP76\A0063522.exe >>> подозрение на Trojan-Spy.Win32.Cpatcha ( 005C59AB 08CCEE7D 002015EA 0021FE14 139264)[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000][SIZE=1]5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)[/SIZE][/COLOR]
[COLOR=#ff0000][SIZE=1][COLOR=#ff0000]C:\PROGRAM FILES\NORTON INTERNET SECURITY\ENGINE\16.0.0.125\ASOEHOOK.DLL --> Подозрение на Keylogger или троянскую DLL[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]C:\PROGRAM FILES\NORTON INTERNET SECURITY\ENGINE\16.0.0.125\ASOEHOOK.DLL>>> Поведенческий анализ [/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]1. Реагирует на события: клавиатура, мышь[/COLOR][/SIZE]
[SIZE=1][COLOR=#ff0000]C:\PROGRAM FILES\NORTON INTERNET SECURITY\ENGINE\16.0.0.125\ASOEHOOK.DLL>>> Нейросеть: файл с вероятностью 95.14% похож на типовой пере[/COLOR][/SIZE]
[/COLOR][/SIZE]
[/COLOR][/SIZE]Спасибо.
[/SIZE]
-
Логи нужны по правилам...
Page generated in 0.00509 seconds with 10 queries