Перехватчики API и маскировка процессов в логе AVZ

**serpuh** · 14.03.2019, 21:36

Прошу объяснить,что значат эти записи в логе AVZ.
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=175B00)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 82A07000
SDT = 82B7CB00
KiST = 82A72E3C (401)
Функция NtCreateSection (54) перехвачена (82C38412->8DF6F96E), перехватчик не определен
Функция NtCreateSymbolicLinkObject (56) перехвачена (82C16270->8DF6F946), перехватчик не определен
Функция NtLoadDriver (9B) перехвачена (82BDA0A1->8DF6F94B), перехватчик не определен
Функция NtOpenSection (C2) перехвачена (82C7EEC7->8DF6F941), перехватчик не определен
Функция NtRequestWaitReplyPort (12B) перехвачена (82C53325->8DF6F97

, перехватчик не определен
Функция NtSetContextThread (13C) перехвачена (82CF584D->8DF6F973), перехватчик не определен
Функция NtSetSecurityObject (15B) перехвачена (82C16067->8DF6F97D), перехватчик не определен
Функция NtSetSystemInformation (15E) перехвачена (82C63C3F->8DF6F950), перехватчик не определен
Функция NtSystemDebugControl (170) перехвачена (82C9B904->8DF6F982), перехватчик не определен
Функция NtTerminateProcess (172) перехвачена (82C70A51->8DF6F90F), перехватчик не определен
Проверено функций: 401, перехвачено: 10, восстановлено: 0

1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=328, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 32

Маскировка процесса с PID=420, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 420)
Маскировка процесса с PID=496, имя = ""

и т.д.

1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=328, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 32

Маскировка процесса с PID=420, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 420)
Маскировка процесса с PID=496, имя = ""

и т.д.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 14.03.2019, 21:38

Уважаемый(ая) serpuh, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 15.03.2019, 00:46

https://virusinfo.info/pravila.html

**serpuh** · 15.03.2019, 15:41

Запрошенный файл выслал,только почему-то это нигде и никак не отображается,что сильно напрягает!
Думаю,надо как-то информировать о получении(неполучении)?

- - - - -Добавлено - - - - -

Запрошенный файл выслал,только почему-то это нигде и никак не отображается,что сильно напрягает!
Думаю,надо как-то информировать о получении(неполучении)?

Ух,ты,оказывается это легко проверить повторной отправкой!Как по мне,это не комильфо!

Из "похожих тем" ничего полезного не узнал.Практически одна "вода"-сделай это,сделай то,а зачем и что это дает неизвестно...
и ни слова о том почему "перехватчик не определен",почему "маскируется процесс"!

**thyrex** · 15.03.2019, 16:39

1. Логи прикрепляют к сообщению, а не засоряют ими систему сбора карантинов.

2. Если менять настройки сканирования по умолчанию, которых вполне достаточно, то и не такой результат можно увидеть в логах.

3. Ничего вирусоподобного логи не показывают.

**serpuh** · 16.03.2019, 17:17

1.Логи и были прикреплены к первому сообщению,если Вы обратите внимание.Зачем создавать систему сбора карантинов,если отправка файла ее засоряет,как Вы выразились?И чем отличается сбор логов вручную от автоматизированного,ведь если верить описанию работы автомата,то последовательность абсолютно та же!?Или автомат собирает иную информацию?
2.Есть совершенно четкая инструкция о настройках сканирования для обращения за помощью,что не так?Может у AVZ есть склонность ловить свой "хвост"?
3.Опять же,где ответ на мой вопрос?(см.п 1) "Прошу объяснить,что значат эти записи в логе AVZ."По нормальной логике при отключенном антивирусе никаких скрытых (неопределяемых) процессов протекать не должно?

**thyrex** · 16.03.2019, 20:43

1. Логи и карантин - это совершенно разные вещи.

2. Нигде не было сказано в старой инструкции, по которой были собраны логи из первого сообщения, что нужно при сканировании включать AVZPM.

3. Да Вы сказочник, если процессов и служб от Avira в логе не видите.

**CyberHelper** · 16.03.2019, 20:53

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:

=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 6
=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=
=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB =E2 =EA=E0=F0=E0=ED=F2=E8=ED=E0=F5 =ED=
=E5 =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB

Перехватчики API и маскировка процессов в логе AVZ (заявка № 222288)

Опции темы