Показано с 1 по 5 из 5.

AVZ все время как бы находит руткиты. (заявка № 225613)

  1. #1
    Junior Member Репутация
    Регистрация
    29.05.2020
    Сообщений
    2
    Вес репутации
    14

    AVZ все время как бы находит руткиты.

    Здравствуйте!
    При проверке компьютера AVZ постоянно ругается:

    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Функция kernel32.dll:CopyFileExW (66) перехвачена, метод APICodeHijack.JmpTo[1000BB63]
    >>> Код руткита в функции CopyFileExW нейтрализован
    Функция kernel32.dll:CreateProcessInternalW (101) перехвачена, метод APICodeHijack.JmpTo[10010188]
    >>> Код руткита в функции CreateProcessInternalW нейтрализован
    Функция kernel32.dll:FindFirstFileExW (211) перехвачена, метод APICodeHijack.JmpTo[10011142]
    >>> Код руткита в функции FindFirstFileExW нейтрализован
    Функция kernel32.dll:MoveFileWithProgressW (614) перехвачена, метод APICodeHijack.JmpTo[1000B2F0]
    >>> Код руткита в функции MoveFileWithProgressW нейтрализован
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Функция ntdll.dlldrLoadDll (70) перехвачена, метод APICodeHijack.JmpTo[1000D99D]
    >>> Код руткита в функции LdrLoadDll нейтрализован
    Функция ntdll.dlldrUnloadDll (80) перехвачена, метод APICodeHijack.JmpTo[1001D2A2]
    >>> Код руткита в функции LdrUnloadDll нейтрализован
    Функция ntdll.dll:NtClose (111) перехвачена, метод APICodeHijack.JmpTo[1001D388]
    >>> Код руткита в функции NtClose нейтрализован
    Функция ntdll.dll:NtCreateFile (123) перехвачена, метод APICodeHijack.JmpTo[10013ED6]
    >>> Код руткита в функции NtCreateFile нейтрализован
    Функция ntdll.dll:NtDeviceIoControlFile (154) перехвачена, метод APICodeHijack.JmpTo[10016CD0]
    >>> Код руткита в функции NtDeviceIoControlFile нейтрализован
    Функция ntdll.dll:NtReadVirtualMemory (276) перехвачена, метод APICodeHijack.JmpTo[1001263A]
    >>> Код руткита в функции NtReadVirtualMemory нейтрализован
    Функция ntdll.dll:NtReplyWaitReceivePort (286) перехвачена, метод APICodeHijack.JmpTo[10016124]
    >>> Код руткита в функции NtReplyWaitReceivePort нейтрализован
    Функция ntdll.dll:NtReplyWaitReceivePortEx (287) перехвачена, метод CodeHijack (метод не определен)
    >>> Код руткита в функции NtReplyWaitReceivePortEx нейтрализован
    Функция ntdll.dll:NtWriteVirtualMemory (369) перехвачена, метод APICodeHijack.JmpTo[100126BF]
    >>> Код руткита в функции NtWriteVirtualMemory нейтрализован
    Функция ntdll.dll:RtlAllocateHeap (405) перехвачена, метод APICodeHijack.JmpTo[10005625]
    >>> Код руткита в функции RtlAllocateHeap нейтрализован
    Функция ntdll.dll:RtlCreateHeap (46 перехвачена, метод APICodeHijack.JmpTo[10016C44]
    >>> Код руткита в функции RtlCreateHeap нейтрализован
    Функция ntdll.dll:RtlDestroyHeap (514) перехвачена, метод APICodeHijack.JmpTo[10016C79]
    >>> Код руткита в функции RtlDestroyHeap нейтрализован
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Функция user32.dll:CloseClipboard (67) перехвачена, метод APICodeHijack.JmpTo[10021442]
    >>> Код руткита в функции CloseClipboard нейтрализован
    Функция user32.dll:GetClipboardData (25 перехвачена, метод APICodeHijack.JmpTo[10021417]
    >>> Код руткита в функции GetClipboardData нейтрализован
    Функция user32.dll:SetClipboardData (587) перехвачена, метод APICodeHijack.JmpTo[100214EE]
    >>> Код руткита в функции SetClipboardData нейтрализован
    Функция user32.dll:SetWinEventHook (639) перехвачена, метод APICodeHijack.JmpTo[1001DCF9]
    >>> Код руткита в функции SetWinEventHook нейтрализован
    Функция user32.dll:SetWindowsHookExA (651) перехвачена, метод APICodeHijack.JmpTo[1001D524]
    >>> Код руткита в функции SetWindowsHookExA нейтрализован
    Функция user32.dll:SetWindowsHookExW (652) перехвачена, метод APICodeHijack.JmpTo[1001D79F]
    >>> Код руткита в функции SetWindowsHookExW нейтрализован
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text


    Самое интересное, что при включенном режиме "Выполнять лечение" повторное сканирование отчета о руткитах не дает, но если запустить вторую копию AVZ, то он опять находит эти руткиты. Может, их нет?

    Загрузил на ваш сайт файл отчета 200912_165235_virusinfo_files_N_5f5cfcd39ccb4.zip
    Последний раз редактировалось Kolenov; 12.09.2020 в 20:58. Причина: Неправильная кодировка текста

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Kolenov, спасибо за обращение на наш форум!

    Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Отчёт прикладывается к сообщению, перечитайте правила.
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    29.05.2020
    Сообщений
    2
    Вес репутации
    14
    Скачал и запустил вашу программу AutoLogger.exe. Создалась директория AutoLogger с поддиректориями AVZ, CheckBrowsersLNK, HiJackThis, RSIT.
    Запустилось окно AutoLogger, я нажал кнопку "OK", пошла распаковка файлов, запустился AVZ с окном "Подтверждение", в котором написано: "Включен AVZPM! Сейчас он будет отключен. Пожалуйста, не меняйте самостоятельно настройки AVZ. Перезагрузите компьютер. После перезагрузки автоматически запустится Autologger и продолжит сбор логов. Хотите перезагрузить сейчас?" Нажимаю кнопку "Да", система перегружается,и потом после загрузки Windows опять то же самое окно от AVZ - "Включен AVZPM! Сейчас он будет отключен... ". И так все время - после перезагрузок AVZ не может отключить драйвер AVZPM. А с ним почему-то не собираются логи. Что теперь мне делать? Наверное, можно и вручную дать команду для запуска каждой из тестовых программ?

    Содержимое файла report1.log:

    script ver. 2018.02.28
    DefaultLanguage = 0419
    Используется локализация на русском языке.
    Сбор логов запустили в 2020.09.14-19:30:16
    C:\1\AutoLogger\
    C:\DOCUME~1\Adm_2\LOCALS~1\Temp\
    AutoLogger запущен с правами локального администратора.
    Повышение привилегий успешно.
    AutoLogger запущен в консоли, либо это не сервер.
    Ключи командной строки: HiddenMode=0
    Ключ единоразового запуска Autologger’а успешно создан.
    Попытка создать ключ = 1
    Включён AVZPM! Сейчас он будет отключён.
    Пожалуйста, перезагрузите компьютер. Работа Autologger’а продолжится после перезагрузки.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Для начала надо использовать актуальные версии Автологера.
    А потом действительно, кто просил вас менять настройки и включать AVZPM ? Не занимались бы самодеятельностью с тем чего не понимаете, не было бы сейчас этой проблемы.

    - - - - -Добавлено - - - - -

    Цитата Сообщение от regist Посмотреть сообщение
    Для начала надо использовать актуальные версии Автологера.
    скачивать надо AutoLogger-test.zip

  7. Это понравилось:


Похожие темы

  1. AVZ при проверке находит руткиты
    От Z_Root в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 05.12.2017, 16:57
  2. Ответов: 9
    Последнее сообщение: 04.04.2014, 11:53
  3. Ответов: 5
    Последнее сообщение: 03.12.2013, 08:57
  4. Ответов: 2
    Последнее сообщение: 10.06.2013, 08:56
  5. Ответов: 41
    Последнее сообщение: 10.11.2012, 13:56

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01190 seconds with 19 queries