Помогите разобраться в логах AVZ.

[Siller]

Здравствуйте.Пытаюсь самостоятельно анализировать логи этой замечательной программы - AVZ. Вроде все понятно, кроме следующего:

1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:CreateProcessA (99) перехвачена, метод APICodeHijack.JmpTo[00BCB542]
и т.д.
....
Анализ advapi32.dll, таблица экспорта найдена в секции .text
и т.д.
....
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=0846E0)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 8055B6E0
KiST = 80503748 (284)
Функция NtAssignProcessToJobObject (13) перехвачена (805D4DEC->B79C4880), перехватчик d:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
и т.д.
Проверено функций: 284, перехвачено: 34, восстановлено: 0

1. Что значит последняя строка?
2. Как анализировать эти участки лога и какие действия потом производить?

Далее

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 9 TCP портов и 11 UDP портов
Проверка завершена, подозрительные порты не обнаружены

3. А где можно посмотреть что за порты открыты и за что они отвечают?

[Bratez]

В нюансы вникать совсем необязательно, а если термины вроде "таблица экспорта" или "KernelMode" вам ни о чем не говорят, то не стоит и пытаться. Важно знать, что функции API могут быть перехвачены различными программами, как зловредными, так и добропорядочными, поэтому просто обращайте внимание, какая именно программа является перехватчиком той или иной функции. В вашем примере это d:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS, т.е. компонент вашего любимого фаервола. Так что беспокоиться не о чем.

[Alex_Goodwin]

Можете выложить полные логи по правилам, чтобы исключить заражение.

[PavelA]

Siller, если есть желания и знания, записывайся в хелперы. Будешь учиться читать логи, как в школе.