-
Junior Member
- Вес репутации
- 49
выложил логи AVZ помогите выявить вирус
Скачал тут для одной игрули прогу типа читерскую а похоже как вирусяка но вирями не распознается! при запуске создает в автозагрузке sysscv.exe и вроде бы все, но вот решил проверить AVZом, логи прикрепил, помогите пожалуйста!
вот на буке решил тоже проверить и там выдает такое: опасно это? это значит что вирь есть?
Код HTML:
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:AddMandatoryAce (1029) перехвачена, метод ProcAddressHijack.GetProcAddress ->75F324B5->75E4193A
Функция advapi32.dll:I_QueryTagInformation (1361) перехвачена, метод ProcAddressHijack.GetProcAddress ->75F32655->769E72D8
Функция advapi32.dll:I_ScIsSecurityProcess (1362) перехвачена, метод ProcAddressHijack.GetProcAddress ->75F3268C->769E733F
Функция advapi32.dll:I_ScPnPGetServiceName (1363) перехвачена, метод ProcAddressHijack.GetProcAddress ->75F326C3->769E7C40
Функция advapi32.dll:I_ScQueryServiceConfig (1364) перехвачена, метод ProcAddressHijack.GetProcAddress ->75F326FA->769E5F8A
Функция advapi32.dll:I_ScSendPnPMessage (1365) перехвачена, метод ProcAddressHijack.GetProcAddress ->75F32732->769E5E7D
Функция advapi32.dll:I_ScSendTSMessage (1366) перехвачена, метод ProcAddressHijack.GetProcAddress ->75F32766->769E71C5
Функция advapi32.dll:I_ScValidatePnPService (1369) перехвачена, метод ProcAddressHijack.GetProcAddress ->75F32799->769E6B9D
Функция advapi32.dll:IsValidRelativeSecurityDescriptor (1389) перехвачена, метод ProcAddressHijack.GetProcAddress ->75F327D1->75E3977E
Функция advapi32.dll:PerfCreateInstance (1515) перехвачена, метод ProcAddressHijack.GetProcAddress ->75F32858->75142187
Функция advapi32.dll:PerfDecrementULongCounterValue (1516) перехвачена, метод ProcAddressHijack.GetProcAddress ->75F32871->75142A1D
Функция advapi32.dll:PerfDecrementULongLongCounterValue (1517) перехвачена, метод ProcAddressHijack.GetProcAddress ->75F32896->75142B3C
.........
Функция netapi32.dll:NlBindingAddServerToCache (302) перехвачена, метод ProcAddressHijack.GetProcAddress ->73E654F8->754461F8
Функция netapi32.dll:NlBindingRemoveServerFromCache (303) перехвачена, метод ProcAddressHijack.GetProcAddress ->73E6551B->75445D67
Функция netapi32.dll:NlBindingSetAuthInfo (304) перехвачена, метод ProcAddressHijack.GetProcAddress ->73E65543->75446198
Последний раз редактировалось ee33e; 12.01.2011 в 15:35.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Обновите базы AVZ и переделайте логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
а скажите ещё при выполнении логов надо чтобы были отмечены жесткие диски?
и вот эти перехваченние функции ещё не значит что мой комп заражен?
перезалил логи.
Добавлено через 6 часов 56 минут
помогите кто-нибудь!
Последний раз редактировалось ee33e; 12.01.2011 в 22:07.
Причина: Добавлено
-
Ничего необычного не уыидел
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
аа ещё увидел что лог третий не выложил и винда у меня 64х, вот на всякий случай ещё раз выложил, а то с др сайта прочитал инструкцию а там устаревшая малось)
и все-таки надо при выполнении лога в авз выделить галочками все жесткие диски? а то поумолчанию они выключены(лучше лишний раз спросить, чем недоспросить))).
-
Сообщение от
ee33e
и все-таки надо при выполнении лога в авз выделить галочками все жесткие диски?
Не нужно. AVZ сам знает, что ему проверять
Пофиксите в HiJack
Код:
R3 - URLSearchHook: (no name) - {00000000-6E41-4FD3-8538-502F5495E5FC} - (no file)
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
Последний раз редактировалось Bratez; 15.01.2011 в 15:36.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
хорошо что не надо, а то с ними полдня бы проверялось))
обязательно фиксить если я не пользуюсь ИнтернетЭксплорером(я его выклюил, мож поэтому не находит файлы)?
и на что ето влияет?
http://ru.wikipedia.org/wiki/BHO - почитал, что-то нехочется фиксить, особенно из-за последнех двух обзацев, может пусть неработающей будет?)
так и вирусов нету точно?)
-
Сообщение от
ee33e
почитал, что-то нехочется фиксить
"Чем больше читаешь, тем больше глупеешь" (c) Мао Цзе Дун, 1962 г.
(шутка юмора )
Фиксите спокойно, это всего лишь пустышки в реестре.
I am not young enough to know everything...
-