нужна пмощь avz log

**erstet** · 22.12.2020, 03:38

avz log помогите разобраться и почистить машину пожалуйста!

Скрытый текст

Внимание !!! База поcледний раз обновлялась 01.03.2016 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.46
Сканирование запущено в 21.12.2020 23:43:10
Загружена база: сигнатуры - 297570, нейропрофили - 2, микропрограммы лечения - 56, база от 01.03.2016 12:37
Загружены микропрограммы эвристики: 412
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 790760
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 10.0.19042, "Windows 10 Enterprise", дата инсталляции 21.12.2020 20:55:41 ; AVZ работает с правами администратора (+)
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1132) перехвачена, метод ProcAddressHijack.GetProcAddress ->7565DAB8->7585AC80
Перехватчик kernel32.dll:ReadConsoleInputExA (1132) нейтрализован
Функция kernel32.dll:ReadConsoleInputExW (1133) перехвачена, метод ProcAddressHijack.GetProcAddress ->7565DAEB->7585ACB0
Перехватчик kernel32.dll:ReadConsoleInputExW (1133) нейтрализован
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (295) перехвачена, метод ProcAddressHijack.GetProcAddress ->773E1B70->74A81480
Перехватчик ntdll.dll:NtCreateFile (295) нейтрализован
Функция ntdll.dll:NtSetInformationFile (59

перехвачена, метод ProcAddressHijack.GetProcAddress ->773E1890->74A815E0
Перехватчик ntdll.dll:NtSetInformationFile (59

нейтрализован
Функция ntdll.dll:NtSetValueKey (630) перехвачена, метод ProcAddressHijack.GetProcAddress ->773E1C20->74A81650
Перехватчик ntdll.dll:NtSetValueKey (630) нейтрализован
Функция ntdll.dll

wCreateFile (1837) перехвачена, метод ProcAddressHijack.GetProcAddress ->773E1B70->74A81480
Перехватчик ntdll.dll

wCreateFile (1837) нейтрализован
Функция ntdll.dll

wSetInformationFile (213

перехвачена, метод ProcAddressHijack.GetProcAddress ->773E1890->74A815E0
Перехватчик ntdll.dll

wSetInformationFile (213

нейтрализован
Функция ntdll.dll

wSetValueKey (2170) перехвачена, метод ProcAddressHijack.GetProcAddress ->773E1C20->74A81650
Перехватчик ntdll.dll

wSetValueKey (2170) нейтрализован
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1536) перехвачена, метод ProcAddressHijack.GetProcAddress ->76879500->74A81370
Перехватчик user32.dll:CallNextHookEx (1536) нейтрализован
Функция user32.dll:EnumWindows (1774) перехвачена, метод ProcAddressHijack.GetProcAddress ->76867840->74A82010
Перехватчик user32.dll:EnumWindows (1774) нейтрализован
Функция user32.dll:GetWindowThreadProcessId (2009) перехвачена, метод ProcAddressHijack.GetProcAddress ->768789A0->74A82040
Перехватчик user32.dll:GetWindowThreadProcessId (2009) нейтрализован
Функция user32.dll:IsWindowVisible (2093) перехвачена, метод ProcAddressHijack.GetProcAddress ->76873790->74A82070
Перехватчик user32.dll:IsWindowVisible (2093) нейтрализован
Функция user32.dll:MessageBoxA (2149) перехвачена, метод ProcAddressHijack.GetProcAddress ->768BEE90->74A84010
Перехватчик user32.dll:MessageBoxA (2149) нейтрализован
Функция user32.dll:MessageBoxExA (2150) перехвачена, метод ProcAddressHijack.GetProcAddress ->768BEEE0->74A84070
Перехватчик user32.dll:MessageBoxExA (2150) нейтрализован
Функция user32.dll:MessageBoxExW (2151) перехвачена, метод ProcAddressHijack.GetProcAddress ->768BEF10->74A840D0
Перехватчик user32.dll:MessageBoxExW (2151) нейтрализован
Функция user32.dll:MessageBoxIndirectA (2152) перехвачена, метод ProcAddressHijack.GetProcAddress ->768BEF40->74A84130
Перехватчик user32.dll:MessageBoxIndirectA (2152) нейтрализован
Функция user32.dll:MessageBoxIndirectW (2153) перехвачена, метод ProcAddressHijack.GetProcAddress ->768BF080->74A84180
Перехватчик user32.dll:MessageBoxIndirectW (2153) нейтрализован
Функция user32.dll:MessageBoxW (2156) перехвачена, метод ProcAddressHijack.GetProcAddress ->768BF3B0->74A841D0
Перехватчик user32.dll:MessageBoxW (2156) нейтрализован
Функция user32.dll:SetWindowsHookExW (2399) перехвачена, метод ProcAddressHijack.GetProcAddress ->7687E780->74A816C0
Перехватчик user32.dll:SetWindowsHookExW (2399) нейтрализован
Функция user32.dll:ShowWindow (2407) перехвачена, метод ProcAddressHijack.GetProcAddress ->76880760->74A84230
Перехватчик user32.dll:ShowWindow (2407) нейтрализован
Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции Wow64Transition - ошибка стандартной нейтрализации (невозможно изменить область памяти, возможно противодействие со стороны руткита)
Ошибка анализа библиотеки user32.dll
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CveEventWrite (1234) перехвачена, метод ProcAddressHijack.GetProcAddress ->75BC42E4->7585D680
Перехватчик advapi32.dll:CveEventWrite (1234) нейтрализован
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1387) перехвачена, метод ProcAddressHijack.GetProcAddress ->75BC520B->75A9C660
Перехватчик advapi32.dll:I_ScRegisterPreshutdownRestart (1387) нейтрализован
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:NetFreeAadJoinInformation (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->6E06C14A->6DFDA7D0
Перехватчик netapi32.dll:NetFreeAadJoinInformation (130) нейтрализован
Функция netapi32.dll:NetGetAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->6E06C179->6DFDAB50
Перехватчик netapi32.dll:NetGetAadJoinInformation (131) нейтрализован
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
Количество найденных процессов: 6
Количество загруженных модулей: 125
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 9 TCP портов и 2 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
[микропрограмма лечения]> изменен параметр 1201 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
[микропрограмма лечения]> изменен параметр 1201 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
>>> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные - исправлено
>> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
[микропрограмма лечения]> изменен параметр 1001 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
[микропрограмма лечения]> изменен параметр 1001 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
>>> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса - исправлено
>> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX
[микропрограмма лечения]> изменен параметр 1004 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
[микропрограмма лечения]> изменен параметр 1004 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
>>> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX - исправлено
>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
[микропрограмма лечения]> изменен параметр 2201 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
[микропрограмма лечения]> изменен параметр 2201 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
>>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX - исправлено
>> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME
[микропрограмма лечения]> изменен параметр 1804 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
[микропрограмма лечения]> изменен параметр 1804 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
>>> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME - исправлено
>> Таймаут завершения процессов находится за пределами допустимых значений
[микропрограмма лечения]> изменен параметр WaitToKillAppTimeout ключа HKEY_CURRENT_USER\Control Panel\Desktop
>>> Таймаут завершения процессов находится за пределами допустимых значений - исправлено
>> Таймаут, по истечению которого принимается решение о том, что процесс не отвечает, находится за пределами допустимых значений
[микропрограмма лечения]> изменен параметр HungAppTimeout ключа HKEY_CURRENT_USER\Control Panel\Desktop
>>> Таймаут, по истечению которого принимается решение о том, что процесс не отвечает, находится за пределами допустимых значений - исправлено
>> Разрешен автозапуск с HDD
[микропрограмма лечения]> изменен параметр NoDriveTypeAutoRun ключа HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
>>> Разрешен автозапуск с HDD - исправлено
>> Разрешен автозапуск с сетевых дисков
[микропрограмма лечения]> изменен параметр NoDriveTypeAutoRun ключа HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
>>> Разрешен автозапуск с сетевых дисков - исправлено
>> Разрешен автозапуск со сменных носителей
[микропрограмма лечения]> изменен параметр NoDriveTypeAutoRun ключа HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
>>> Разрешен автозапуск со сменных носителей - исправлено
Проверка завершена
Просканировано файлов: 64363, извлечено из архивов: 12260, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 22.12.2020 00:10:31
Сканирование длилось 00:27:23
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ
можно использовать сервис http://virusdetector.ru/

Скрыть

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 22.12.2020, 03:40

Уважаемый(ая) erstet, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 22.12.2020, 07:17

Сообщение от Info_bot

Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Ждём логи.
И - что конкретно беспокоит?

**erstet** · 22.12.2020, 09:32

лог прикрепил

**Vvvyg** · 22.12.2020, 11:51

Ещё раз уточняю:

Сообщение от Vvvyg

И - что конкретно беспокоит?

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O22 - Task (.job): (Not scheduled) Обновление Браузера Яндекс.job - C:\Users\w1n\AppData\Local\Yandex\YandexBrowser\Application\browser.exe (file missing)  --background-update --noerrdialogs
O22 - Task: OneDrive Standalone Update Task-S-1-5-21-1562274231-2100805223-1863078319-500 - C:\Users\w11n\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O22 - Task: OneDrive Standalone Update Task-S-1-5-21-3686813473-1951808449-3909556645-1001 - C:\Users\w11n\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O22 - Task: OneDrive Standalone Update Task-S-1-5-21-3686813473-1951808449-3909556645-500 - C:\Users\w11n\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O22 - Task: Обновление Браузера Яндекс - C:\Users\w1n\AppData\Local\Yandex\YandexBrowser\Application\browser.exe --background-update --noerrdialogs (file missing)

Скачайте актуальную версию Autologger по первой ссылке из правил и сделайте новые логи.

**erstet** · 22.12.2020, 12:29

сделал как сказали. лог во вложении.

а беспокоит то, что подозрения в удаленном доступе имеется к компу...

Сообщение от Vvvyg

Ещё раз уточняю:

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O22 - Task (.job): (Not scheduled) Обновление Браузера Яндекс.job - C:\Users\w1n\AppData\Local\Yandex\YandexBrowser\Application\browser.exe (file missing)  --background-update --noerrdialogs
O22 - Task: OneDrive Standalone Update Task-S-1-5-21-1562274231-2100805223-1863078319-500 - C:\Users\w11n\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O22 - Task: OneDrive Standalone Update Task-S-1-5-21-3686813473-1951808449-3909556645-1001 - C:\Users\w11n\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O22 - Task: OneDrive Standalone Update Task-S-1-5-21-3686813473-1951808449-3909556645-500 - C:\Users\w11n\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O22 - Task: Обновление Браузера Яндекс - C:\Users\w1n\AppData\Local\Yandex\YandexBrowser\Application\browser.exe --background-update --noerrdialogs (file missing)

Скачайте актуальную версию Autologger по первой ссылке из правил и сделайте новые логи.

**CyberHelper** · 22.12.2020, 12:39

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:

=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 1
=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=
=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB =E2 =EA=E0=F0=E0=ED=F2=E8=ED=E0=F5 =ED=
=E5 =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB

нужна пмощь avz log (заявка № 226112)

Опции темы