-
Junior Member
- Вес репутации
- 15
AVZ все время как бы находит руткиты.
Здравствуйте!
При проверке компьютера AVZ постоянно ругается:
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:CopyFileExW (66) перехвачена, метод APICodeHijack.JmpTo[1000BB63]
>>> Код руткита в функции CopyFileExW нейтрализован
Функция kernel32.dll:CreateProcessInternalW (101) перехвачена, метод APICodeHijack.JmpTo[10010188]
>>> Код руткита в функции CreateProcessInternalW нейтрализован
Функция kernel32.dll:FindFirstFileExW (211) перехвачена, метод APICodeHijack.JmpTo[10011142]
>>> Код руткита в функции FindFirstFileExW нейтрализован
Функция kernel32.dll:MoveFileWithProgressW (614) перехвачена, метод APICodeHijack.JmpTo[1000B2F0]
>>> Код руткита в функции MoveFileWithProgressW нейтрализован
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dlldrLoadDll (70) перехвачена, метод APICodeHijack.JmpTo[1000D99D]
>>> Код руткита в функции LdrLoadDll нейтрализован
Функция ntdll.dlldrUnloadDll (80) перехвачена, метод APICodeHijack.JmpTo[1001D2A2]
>>> Код руткита в функции LdrUnloadDll нейтрализован
Функция ntdll.dll:NtClose (111) перехвачена, метод APICodeHijack.JmpTo[1001D388]
>>> Код руткита в функции NtClose нейтрализован
Функция ntdll.dll:NtCreateFile (123) перехвачена, метод APICodeHijack.JmpTo[10013ED6]
>>> Код руткита в функции NtCreateFile нейтрализован
Функция ntdll.dll:NtDeviceIoControlFile (154) перехвачена, метод APICodeHijack.JmpTo[10016CD0]
>>> Код руткита в функции NtDeviceIoControlFile нейтрализован
Функция ntdll.dll:NtReadVirtualMemory (276) перехвачена, метод APICodeHijack.JmpTo[1001263A]
>>> Код руткита в функции NtReadVirtualMemory нейтрализован
Функция ntdll.dll:NtReplyWaitReceivePort (286) перехвачена, метод APICodeHijack.JmpTo[10016124]
>>> Код руткита в функции NtReplyWaitReceivePort нейтрализован
Функция ntdll.dll:NtReplyWaitReceivePortEx (287) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции NtReplyWaitReceivePortEx нейтрализован
Функция ntdll.dll:NtWriteVirtualMemory (369) перехвачена, метод APICodeHijack.JmpTo[100126BF]
>>> Код руткита в функции NtWriteVirtualMemory нейтрализован
Функция ntdll.dll:RtlAllocateHeap (405) перехвачена, метод APICodeHijack.JmpTo[10005625]
>>> Код руткита в функции RtlAllocateHeap нейтрализован
Функция ntdll.dll:RtlCreateHeap (46 перехвачена, метод APICodeHijack.JmpTo[10016C44]
>>> Код руткита в функции RtlCreateHeap нейтрализован
Функция ntdll.dll:RtlDestroyHeap (514) перехвачена, метод APICodeHijack.JmpTo[10016C79]
>>> Код руткита в функции RtlDestroyHeap нейтрализован
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CloseClipboard (67) перехвачена, метод APICodeHijack.JmpTo[10021442]
>>> Код руткита в функции CloseClipboard нейтрализован
Функция user32.dll:GetClipboardData (25 перехвачена, метод APICodeHijack.JmpTo[10021417]
>>> Код руткита в функции GetClipboardData нейтрализован
Функция user32.dll:SetClipboardData (587) перехвачена, метод APICodeHijack.JmpTo[100214EE]
>>> Код руткита в функции SetClipboardData нейтрализован
Функция user32.dll:SetWinEventHook (639) перехвачена, метод APICodeHijack.JmpTo[1001DCF9]
>>> Код руткита в функции SetWinEventHook нейтрализован
Функция user32.dll:SetWindowsHookExA (651) перехвачена, метод APICodeHijack.JmpTo[1001D524]
>>> Код руткита в функции SetWindowsHookExA нейтрализован
Функция user32.dll:SetWindowsHookExW (652) перехвачена, метод APICodeHijack.JmpTo[1001D79F]
>>> Код руткита в функции SetWindowsHookExW нейтрализован
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
Самое интересное, что при включенном режиме "Выполнять лечение" повторное сканирование отчета о руткитах не дает, но если запустить вторую копию AVZ, то он опять находит эти руткиты. Может, их нет?
Загрузил на ваш сайт файл отчета 200912_165235_virusinfo_files_N_5f5cfcd39ccb4.zip
Последний раз редактировалось Kolenov; 12.09.2020 в 20:58.
Причина: Неправильная кодировка текста
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Kolenov, спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
-
-
Отчёт прикладывается к сообщению, перечитайте правила.
-
-
Junior Member
- Вес репутации
- 15
Скачал и запустил вашу программу AutoLogger.exe. Создалась директория AutoLogger с поддиректориями AVZ, CheckBrowsersLNK, HiJackThis, RSIT.
Запустилось окно AutoLogger, я нажал кнопку "OK", пошла распаковка файлов, запустился AVZ с окном "Подтверждение", в котором написано: "Включен AVZPM! Сейчас он будет отключен. Пожалуйста, не меняйте самостоятельно настройки AVZ. Перезагрузите компьютер. После перезагрузки автоматически запустится Autologger и продолжит сбор логов. Хотите перезагрузить сейчас?" Нажимаю кнопку "Да", система перегружается,и потом после загрузки Windows опять то же самое окно от AVZ - "Включен AVZPM! Сейчас он будет отключен... ". И так все время - после перезагрузок AVZ не может отключить драйвер AVZPM. А с ним почему-то не собираются логи. Что теперь мне делать? Наверное, можно и вручную дать команду для запуска каждой из тестовых программ?
Содержимое файла report1.log:
script ver. 2018.02.28
DefaultLanguage = 0419
Используется локализация на русском языке.
Сбор логов запустили в 2020.09.14-19:30:16
C:\1\AutoLogger\
C:\DOCUME~1\Adm_2\LOCALS~1\Temp\
AutoLogger запущен с правами локального администратора.
Повышение привилегий успешно.
AutoLogger запущен в консоли, либо это не сервер.
Ключи командной строки: HiddenMode=0
Ключ единоразового запуска Autologger’а успешно создан.
Попытка создать ключ = 1
Включён AVZPM! Сейчас он будет отключён.
Пожалуйста, перезагрузите компьютер. Работа Autologger’а продолжится после перезагрузки.
-
Для начала надо использовать актуальные версии Автологера.
А потом действительно, кто просил вас менять настройки и включать AVZPM ? Не занимались бы самодеятельностью с тем чего не понимаете, не было бы сейчас этой проблемы.
- - - - -Добавлено - - - - -
Сообщение от
regist
Для начала надо использовать актуальные версии Автологера.
скачивать надо AutoLogger-test.zip
-