Wgis
Новый пользователь
- Сообщения
- 7
- Реакции
- 0
Здравствуйте, аналогичная проблема, только нет зависаний с пк. Вроде повторил что советовали, как проверить на излечение?
Проблема
Проблема
Внимание !!! База поcледний раз обновлялась 01.03.2016 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.46
Сканирование запущено в 17.07.2020 04:08:45
Загружена база: сигнатуры - 297570, нейропрофили - 2, микропрограммы лечения - 56, база от 01.03.2016 12:37
Загружены микропрограммы эвристики: 412
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 790760
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 10.0.18363, "Windows 10 Enterprise", дата инсталляции 12.05.2020 22:34:42 ; AVZ работает с правами администратора (+)
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1130) перехвачена, метод ProcAddressHijack.GetProcAddress ->7591CF90->76589AD0
Функция kernel32.dll:ReadConsoleInputExW (1131) перехвачена, метод ProcAddressHijack.GetProcAddress ->7591CFC3->76589B00
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (291) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542370->6DF63150
Функция ntdll.dll:NtMakeTemporaryObject (410) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:NtSetInformationFile (592) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542090->6DF632B0
Функция ntdll.dll:NtSetSystemTime (617) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:NtSetValueKey (624) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542420->6DF63320
Функция ntdll.dll:ZwCreateFile (1805) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542370->6DF63150
Функция ntdll.dll:ZwMakeTemporaryObject (1922) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:ZwSetInformationFile (2104) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542090->6DF632B0
Функция ntdll.dll:ZwSetSystemTime (2129) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:ZwSetValueKey (2136) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542420->6DF63320
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1536) перехвачена, метод ProcAddressHijack.GetProcAddress ->7598E550->6DF63040
Функция user32.dll:SetWindowsHookExW (2395) перехвачена, метод ProcAddressHijack.GetProcAddress ->759909B0->6DF63390
Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CveEventWrite (1234) перехвачена, метод ProcAddressHijack.GetProcAddress ->75593F84->7658C3F0
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1387) перехвачена, метод ProcAddressHijack.GetProcAddress ->75594EAB->75B5C880
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:NetFreeAadJoinInformation (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->73AEC10A->666BA000
Функция netapi32.dll:NetGetAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->73AEC139->666BA380
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
Количество найденных процессов: 19
Анализатор - изучается процесс 3888 C:\Program Files (x86)\Razer\RzUpdateEngineService\RzUpdateEngineService.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 6764 C:\Program Files (x86)\Google\Update\1.3.35.452\GoogleCrashHandler.exe
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 11048 C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Количество загруженных модулей: 251
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 53 TCP портов и 53 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
[микропрограмма лечения]> изменен параметр 1201 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
[микропрограмма лечения]> изменен параметр 1201 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
>>> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные - исправлено
>> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
[микропрограмма лечения]> изменен параметр 1001 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
[микропрограмма лечения]> изменен параметр 1001 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
>>> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса - исправлено
>> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX
[микропрограмма лечения]> изменен параметр 1004 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
[микропрограмма лечения]> изменен параметр 1004 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
>>> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX - исправлено
>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
[микропрограмма лечения]> изменен параметр 2201 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
[микропрограмма лечения]> изменен параметр 2201 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
>>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX - исправлено
>> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME
[микропрограмма лечения]> изменен параметр 1804 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
[микропрограмма лечения]> изменен параметр 1804 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
>>> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME - исправлено
>> Разрешен автозапуск с HDD
[микропрограмма лечения]> изменен параметр NoDriveTypeAutoRun ключа HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
>>> Разрешен автозапуск с HDD - исправлено
>> Разрешен автозапуск с сетевых дисков
[микропрограмма лечения]> изменен параметр NoDriveTypeAutoRun ключа HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
>>> Разрешен автозапуск с сетевых дисков - исправлено
>> Разрешен автозапуск со сменных носителей
[микропрограмма лечения]> изменен параметр NoDriveTypeAutoRun ключа HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
>>> Разрешен автозапуск со сменных носителей - исправлено
Проверка завершена
Просканировано файлов: 270, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 17.07.2020 04:10:47
Сканирование длилось 00:02:04
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум Помощь в удалении вирусов
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ
можно использовать сервис VirusInfo - VirusDetector - бесплатный онлайн-сервис антивирусной проверки компьютера (beta)
Протокол антивирусной утилиты AVZ версии 4.46
Сканирование запущено в 17.07.2020 04:08:45
Загружена база: сигнатуры - 297570, нейропрофили - 2, микропрограммы лечения - 56, база от 01.03.2016 12:37
Загружены микропрограммы эвристики: 412
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 790760
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 10.0.18363, "Windows 10 Enterprise", дата инсталляции 12.05.2020 22:34:42 ; AVZ работает с правами администратора (+)
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1130) перехвачена, метод ProcAddressHijack.GetProcAddress ->7591CF90->76589AD0
Функция kernel32.dll:ReadConsoleInputExW (1131) перехвачена, метод ProcAddressHijack.GetProcAddress ->7591CFC3->76589B00
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (291) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542370->6DF63150
Функция ntdll.dll:NtMakeTemporaryObject (410) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:NtSetInformationFile (592) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542090->6DF632B0
Функция ntdll.dll:NtSetSystemTime (617) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:NtSetValueKey (624) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542420->6DF63320
Функция ntdll.dll:ZwCreateFile (1805) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542370->6DF63150
Функция ntdll.dll:ZwMakeTemporaryObject (1922) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:ZwSetInformationFile (2104) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542090->6DF632B0
Функция ntdll.dll:ZwSetSystemTime (2129) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:ZwSetValueKey (2136) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542420->6DF63320
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1536) перехвачена, метод ProcAddressHijack.GetProcAddress ->7598E550->6DF63040
Функция user32.dll:SetWindowsHookExW (2395) перехвачена, метод ProcAddressHijack.GetProcAddress ->759909B0->6DF63390
Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CveEventWrite (1234) перехвачена, метод ProcAddressHijack.GetProcAddress ->75593F84->7658C3F0
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1387) перехвачена, метод ProcAddressHijack.GetProcAddress ->75594EAB->75B5C880
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:NetFreeAadJoinInformation (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->73AEC10A->666BA000
Функция netapi32.dll:NetGetAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->73AEC139->666BA380
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
Количество найденных процессов: 19
Анализатор - изучается процесс 3888 C:\Program Files (x86)\Razer\RzUpdateEngineService\RzUpdateEngineService.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 6764 C:\Program Files (x86)\Google\Update\1.3.35.452\GoogleCrashHandler.exe
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 11048 C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Количество загруженных модулей: 251
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 53 TCP портов и 53 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
[микропрограмма лечения]> изменен параметр 1201 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
[микропрограмма лечения]> изменен параметр 1201 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
>>> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные - исправлено
>> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
[микропрограмма лечения]> изменен параметр 1001 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
[микропрограмма лечения]> изменен параметр 1001 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
>>> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса - исправлено
>> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX
[микропрограмма лечения]> изменен параметр 1004 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
[микропрограмма лечения]> изменен параметр 1004 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
>>> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX - исправлено
>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
[микропрограмма лечения]> изменен параметр 2201 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
[микропрограмма лечения]> изменен параметр 2201 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
>>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX - исправлено
>> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME
[микропрограмма лечения]> изменен параметр 1804 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
[микропрограмма лечения]> изменен параметр 1804 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
>>> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME - исправлено
>> Разрешен автозапуск с HDD
[микропрограмма лечения]> изменен параметр NoDriveTypeAutoRun ключа HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
>>> Разрешен автозапуск с HDD - исправлено
>> Разрешен автозапуск с сетевых дисков
[микропрограмма лечения]> изменен параметр NoDriveTypeAutoRun ключа HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
>>> Разрешен автозапуск с сетевых дисков - исправлено
>> Разрешен автозапуск со сменных носителей
[микропрограмма лечения]> изменен параметр NoDriveTypeAutoRun ключа HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
>>> Разрешен автозапуск со сменных носителей - исправлено
Проверка завершена
Просканировано файлов: 270, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 17.07.2020 04:10:47
Сканирование длилось 00:02:04
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум Помощь в удалении вирусов
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ
можно использовать сервис VirusInfo - VirusDetector - бесплатный онлайн-сервис антивирусной проверки компьютера (beta)
Протокол антивирусной утилиты AVZ версии 4.46
Сканирование запущено в 17.07.2020 04:12:41
Загружена база: сигнатуры - 297569, нейропрофили - 2, микропрограммы лечения - 56, база от 16.07.2020 16:00
Загружены микропрограммы эвристики: 416
Загружены микропрограммы ИПУ: 10
Загружены цифровые подписи системных файлов: 1134471
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 10.0.18363, "Windows 10 Enterprise", дата инсталляции 12.05.2020 22:34:42 ; AVZ работает с правами администратора (+)
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1130) перехвачена, метод ProcAddressHijack.GetProcAddress ->7591CF90->76589AD0
Функция kernel32.dll:ReadConsoleInputExW (1131) перехвачена, метод ProcAddressHijack.GetProcAddress ->7591CFC3->76589B00
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (291) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542370->6DF63150
Функция ntdll.dll:NtMakeTemporaryObject (410) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:NtSetInformationFile (592) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542090->6DF632B0
Функция ntdll.dll:NtSetSystemTime (617) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:NtSetValueKey (624) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542420->6DF63320
Функция ntdll.dll:ZwCreateFile (1805) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542370->6DF63150
Функция ntdll.dll:ZwMakeTemporaryObject (1922) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:ZwSetInformationFile (2104) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542090->6DF632B0
Функция ntdll.dll:ZwSetSystemTime (2129) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:ZwSetValueKey (2136) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542420->6DF63320
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1536) перехвачена, метод ProcAddressHijack.GetProcAddress ->7598E550->6DF63040
Функция user32.dll:SetWindowsHookExW (2395) перехвачена, метод ProcAddressHijack.GetProcAddress ->759909B0->6DF63390
Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CveEventWrite (1234) перехвачена, метод ProcAddressHijack.GetProcAddress ->75593F84->7658C3F0
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1387) перехвачена, метод ProcAddressHijack.GetProcAddress ->75594EAB->75B5C880
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:NetFreeAadJoinInformation (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->73AEC10A->666BA000
Функция netapi32.dll:NetGetAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->73AEC139->666BA380
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
Количество найденных процессов: 19
Количество загруженных модулей: 251
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 54 TCP портов и 54 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 270, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 17.07.2020 04:13:19
Сканирование длилось 00:00:40
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум Помощь в удалении вирусов
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ
можно использовать сервис VirusInfo - VirusDetector - бесплатный онлайн-сервис антивирусной проверки компьютера (beta)
Сканирование запущено в 17.07.2020 04:12:41
Загружена база: сигнатуры - 297569, нейропрофили - 2, микропрограммы лечения - 56, база от 16.07.2020 16:00
Загружены микропрограммы эвристики: 416
Загружены микропрограммы ИПУ: 10
Загружены цифровые подписи системных файлов: 1134471
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 10.0.18363, "Windows 10 Enterprise", дата инсталляции 12.05.2020 22:34:42 ; AVZ работает с правами администратора (+)
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1130) перехвачена, метод ProcAddressHijack.GetProcAddress ->7591CF90->76589AD0
Функция kernel32.dll:ReadConsoleInputExW (1131) перехвачена, метод ProcAddressHijack.GetProcAddress ->7591CFC3->76589B00
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (291) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542370->6DF63150
Функция ntdll.dll:NtMakeTemporaryObject (410) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:NtSetInformationFile (592) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542090->6DF632B0
Функция ntdll.dll:NtSetSystemTime (617) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:NtSetValueKey (624) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542420->6DF63320
Функция ntdll.dll:ZwCreateFile (1805) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542370->6DF63150
Функция ntdll.dll:ZwMakeTemporaryObject (1922) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:ZwSetInformationFile (2104) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542090->6DF632B0
Функция ntdll.dll:ZwSetSystemTime (2129) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:ZwSetValueKey (2136) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542420->6DF63320
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1536) перехвачена, метод ProcAddressHijack.GetProcAddress ->7598E550->6DF63040
Функция user32.dll:SetWindowsHookExW (2395) перехвачена, метод ProcAddressHijack.GetProcAddress ->759909B0->6DF63390
Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CveEventWrite (1234) перехвачена, метод ProcAddressHijack.GetProcAddress ->75593F84->7658C3F0
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1387) перехвачена, метод ProcAddressHijack.GetProcAddress ->75594EAB->75B5C880
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:NetFreeAadJoinInformation (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->73AEC10A->666BA000
Функция netapi32.dll:NetGetAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->73AEC139->666BA380
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
Количество найденных процессов: 19
Количество загруженных модулей: 251
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 54 TCP портов и 54 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 270, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 17.07.2020 04:13:19
Сканирование длилось 00:00:40
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум Помощь в удалении вирусов
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ
можно использовать сервис VirusInfo - VirusDetector - бесплатный онлайн-сервис антивирусной проверки компьютера (beta)
Последнее редактирование: