Avz функция перехвачена метод
Внимание . База поcледний раз обновлялась 01.03.2016 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.46
Сканирование запущено в 17.07.2020 04:08:45
Загружена база: сигнатуры - 297570, нейропрофили - 2, микропрограммы лечения - 56, база от 01.03.2016 12:37
Загружены микропрограммы эвристики: 412
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 790760
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 10.0.18363, "Windows 10 Enterprise", дата инсталляции 12.05.2020 22:34:42 ; AVZ работает с правами администратора (+)
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1130) перехвачена, метод ProcAddressHijack.GetProcAddress ->7591CF90->76589AD0
Функция kernel32.dll:ReadConsoleInputExW (1131) перехвачена, метод ProcAddressHijack.GetProcAddress ->7591CFC3->76589B00
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (291) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542370->6DF63150
Функция ntdll.dll:NtMakeTemporaryObject (410) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:NtSetInformationFile (592) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542090->6DF632B0
Функция ntdll.dll:NtSetSystemTime (617) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:NtSetValueKey (624) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542420->6DF63320
Функция ntdll.dll:ZwCreateFile (1805) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542370->6DF63150
Функция ntdll.dll:ZwMakeTemporaryObject (1922) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:ZwSetInformationFile (2104) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542090->6DF632B0
Функция ntdll.dll:ZwSetSystemTime (2129) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:ZwSetValueKey (2136) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542420->6DF63320
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1536) перехвачена, метод ProcAddressHijack.GetProcAddress ->7598E550->6DF63040
Функция user32.dll:SetWindowsHookExW (2395) перехвачена, метод ProcAddressHijack.GetProcAddress ->759909B0->6DF63390
Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CveEventWrite (1234) перехвачена, метод ProcAddressHijack.GetProcAddress ->75593F84->7658C3F0
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1387) перехвачена, метод ProcAddressHijack.GetProcAddress ->75594EAB->75B5C880
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:NetFreeAadJoinInformation (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->73AEC10A->666BA000
Функция netapi32.dll:NetGetAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->73AEC139->666BA380
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
Количество найденных процессов: 19
Анализатор - изучается процесс 3888 C:\Program Files (x86)\Razer\RzUpdateEngineService\RzUpdateEngineService.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 6764 C:\Program Files (x86)\Google\Update\1.3.35.452\GoogleCrashHandler.exe
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 11048 C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Количество загруженных модулей: 251
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 53 TCP портов и 53 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании . )!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ . )
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
[микропрограмма лечения]> изменен параметр 1201 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
[микропрограмма лечения]> изменен параметр 1201 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
>>> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные - исправлено
>> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
[микропрограмма лечения]> изменен параметр 1001 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
[микропрограмма лечения]> изменен параметр 1001 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
>>> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса - исправлено
>> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX
[микропрограмма лечения]> изменен параметр 1004 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
[микропрограмма лечения]> изменен параметр 1004 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
>>> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX - исправлено
>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
[микропрограмма лечения]> изменен параметр 2201 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
[микропрограмма лечения]> изменен параметр 2201 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
>>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX - исправлено
>> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME
[микропрограмма лечения]> изменен параметр 1804 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
[микропрограмма лечения]> изменен параметр 1804 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
>>> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME - исправлено
>> Разрешен автозапуск с HDD
[микропрограмма лечения]> изменен параметр NoDriveTypeAutoRun ключа HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
>>> Разрешен автозапуск с HDD - исправлено
>> Разрешен автозапуск с сетевых дисков
[микропрограмма лечения]> изменен параметр NoDriveTypeAutoRun ключа HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
>>> Разрешен автозапуск с сетевых дисков - исправлено
>> Разрешен автозапуск со сменных носителей
[микропрограмма лечения]> изменен параметр NoDriveTypeAutoRun ключа HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
>>> Разрешен автозапуск со сменных носителей - исправлено
Проверка завершена
Просканировано файлов: 270, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 17.07.2020 04:10:47
Сканирование длилось 00:02:04
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум Помощь в удалении вирусов
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ
можно использовать сервис VirusInfo - VirusDetector - бесплатный онлайн-сервис антивирусной проверки компьютера (beta)
Протокол антивирусной утилиты AVZ версии 4.46
Сканирование запущено в 17.07.2020 04:12:41
Загружена база: сигнатуры - 297569, нейропрофили - 2, микропрограммы лечения - 56, база от 16.07.2020 16:00
Загружены микропрограммы эвристики: 416
Загружены микропрограммы ИПУ: 10
Загружены цифровые подписи системных файлов: 1134471
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 10.0.18363, "Windows 10 Enterprise", дата инсталляции 12.05.2020 22:34:42 ; AVZ работает с правами администратора (+)
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1130) перехвачена, метод ProcAddressHijack.GetProcAddress ->7591CF90->76589AD0
Функция kernel32.dll:ReadConsoleInputExW (1131) перехвачена, метод ProcAddressHijack.GetProcAddress ->7591CFC3->76589B00
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (291) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542370->6DF63150
Функция ntdll.dll:NtMakeTemporaryObject (410) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:NtSetInformationFile (592) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542090->6DF632B0
Функция ntdll.dll:NtSetSystemTime (617) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:NtSetValueKey (624) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542420->6DF63320
Функция ntdll.dll:ZwCreateFile (1805) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542370->6DF63150
Функция ntdll.dll:ZwMakeTemporaryObject (1922) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:ZwSetInformationFile (2104) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542090->6DF632B0
Функция ntdll.dll:ZwSetSystemTime (2129) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:ZwSetValueKey (2136) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542420->6DF63320
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1536) перехвачена, метод ProcAddressHijack.GetProcAddress ->7598E550->6DF63040
Функция user32.dll:SetWindowsHookExW (2395) перехвачена, метод ProcAddressHijack.GetProcAddress ->759909B0->6DF63390
Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CveEventWrite (1234) перехвачена, метод ProcAddressHijack.GetProcAddress ->75593F84->7658C3F0
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1387) перехвачена, метод ProcAddressHijack.GetProcAddress ->75594EAB->75B5C880
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:NetFreeAadJoinInformation (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->73AEC10A->666BA000
Функция netapi32.dll:NetGetAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->73AEC139->666BA380
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
Количество найденных процессов: 19
Количество загруженных модулей: 251
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 54 TCP портов и 54 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании . )!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ . )
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 270, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 17.07.2020 04:13:19
Сканирование длилось 00:00:40
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум Помощь в удалении вирусов
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ
можно использовать сервис VirusInfo - VirusDetector - бесплатный онлайн-сервис антивирусной проверки компьютера (beta)
ОС инициализирует подключение к веб камере и микрофону.
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1123) перехвачена, метод ProcAddressHijack.GetProcAddress ->76BDB2AE->74070A20
Перехватчик kernel32.dll:ReadConsoleInputExA (1123) нейтрализован
Функция kernel32.dll:ReadConsoleInputExW (1124) перехвачена, метод ProcAddressHijack.GetProcAddress ->76BDB2E1->74070A50
Перехватчик kernel32.dll:ReadConsoleInputExW (1124) нейтрализован
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:Wow64Transition (1503) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции Wow64Transition - ошибка стандартной нейтрализации (невозможно изменить область памяти, возможно противодействие со стороны руткита)
Ошибка анализа библиотеки user32.dll
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CveEventWrite (1234) перехвачена, метод ProcAddressHijack.GetProcAddress ->76ED26A4->7409DF00
Перехватчик advapi32.dll:CveEventWrite (1234) нейтрализован
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1387) перехвачена, метод ProcAddressHijack.GetProcAddress ->76ED35CB->75C6C800
Перехватчик advapi32.dll:I_ScRegisterPreshutdownRestart (1387) нейтрализован
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:NetFreeAadJoinInformation (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->728FC1AA->6313FBC0
Перехватчик netapi32.dll:NetFreeAadJoinInformation (130) нейтрализован
Функция netapi32.dll:NetGetAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->728FC1D9->6313FF80
Перехватчик netapi32.dll:NetGetAadJoinInformation (131) нейтрализован
>> Опасно! Обнаружена маскировка процессов
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Боюсь представить, что ты сделаешь, если поставишь вин10. Комп в адском огне сожжёшь, когда узнаешь насколько тщательно она за тобой следит.
living creature Оракул (66128) Утилита тебе пишет, что большинство левых DLL-ок, которые ты понаустанавливал с каким-то триппером нейтрализована. но какие-то куски ещё остались, доступ к которым утилита не имеет. Скорее всего ты подцепил какой-то триппер. может с программой какой установилось. утилита половину вычистила, но что-то ещё осталось.
Следует понимать, что обнаружение перехвата тех или иных функций еще не означает, что в систему внедрился RootKit - возможно, перехват функций применяется антивирусным монитором, Firewall или иными утилитами. Например, весьма полезная и удобная утилита RegMon устанавливает свой драйвер для перехвата 13-ти функций KiST для слежения за операциями с реестром.
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateEvent (242) перехвачена, метод APICodeHijack.JmpTo[744F2A86]
Функция ntdll.dll:NtCreateMutant (252) перехвачена, метод APICodeHijack.JmpTo[744F2D06]
Функция ntdll.dll:NtCreateSemaphore (263) перехвачена, метод APICodeHijack.JmpTo[744F2F86]
Функция ntdll.dll:NtCreateUserProcess (271) перехвачена, метод APICodeHijack.JmpTo[744F3206]
Функция ntdll.dll:NtMapViewOfSection (348) перехвачена, метод APICodeHijack.JmpTo[744F27F6]
Функция ntdll.dll:NtOpenEvent (357) перехвачена, метод APICodeHijack.JmpTo[744F2BC6]
Функция ntdll.dll:NtOpenMutant (367) перехвачена, метод APICodeHijack.JmpTo[744F2E46]
Функция ntdll.dll:NtOpenSemaphore (375) перехвачена, метод APICodeHijack.JmpTo[744F30C6]
Функция ntdll.dll:NtQueryInformationProcess (414) перехвачена, метод APICodeHijack.JmpTo[744F33D6]
Функция ntdll.dll:NtResumeThread (484) перехвачена, метод APICodeHijack.JmpTo[744F2986]
Функция ntdll.dll:NtWriteVirtualMemory (598) перехвачена, метод APICodeHijack.JmpTo[744F2696]
Функция ntdll.dll:RtlDecompressBuffer (755) перехвачена, метод APICodeHijack.JmpTo[744F3296]
Функция ntdll.dll:RtlQueryEnvironmentVariable (1102) перехвачена, метод APICodeHijack.JmpTo[744F3366]
Функция ntdll.dll:ZwCreateEvent (1494) перехвачена, метод APICodeHijack.JmpTo[744F2A86]
Функция ntdll.dll:ZwCreateMutant (1504) перехвачена, метод APICodeHijack.JmpTo[744F2D06]
Функция ntdll.dll:ZwCreateSemaphore (1515) перехвачена, метод APICodeHijack.JmpTo[744F2F86]
Функция ntdll.dll:ZwCreateUserProcess (1523) перехвачена, метод APICodeHijack.JmpTo[744F3206]
Функция ntdll.dll:ZwMapViewOfSection (1598) перехвачена, метод APICodeHijack.JmpTo[744F27F6]
Функция ntdll.dll:ZwOpenEvent (1607) перехвачена, метод APICodeHijack.JmpTo[744F2BC6]
Функция ntdll.dll:ZwOpenMutant (1617) перехвачена, метод APICodeHijack.JmpTo[744F2E46]
Функция ntdll.dll:ZwOpenSemaphore (1625) перехвачена, метод APICodeHijack.JmpTo[744F30C6]
Функция ntdll.dll:ZwQueryInformationProcess (1664) перехвачена, метод APICodeHijack.JmpTo[744F33D6]
Функция ntdll.dll:ZwResumeThread (1734) перехвачена, метод APICodeHijack.JmpTo[744F2986]
Функция ntdll.dll:ZwWriteVirtualMemory (1848) перехвачена, метод APICodeHijack.JmpTo[744F2696]
Анализ user32.dll, таблица экспорта найдена в секции .text
Похоже, что это поиск перехватчиков системных функций. Но перехватил ли их сам АВЗ для проверки или указал, что это кто-то другой сделал, не совсем понятно. Надо мануал читать - я давно Зайцевым не пользовался.
Вот что пишут умные люди:
AVZ запускается в двух случаях. Первый по просьбе знающих людей (хелперов и т. д.) с целью предоставления вами всех логов и последующего лечения компа, в случае необходимости и второй случай это когда программа запускается человеком который мало мальски представляет себе что это такое, для чего она нужна, и как ей пользоваться.
AVZ это не антивирусный сканер.
kva Искусственный Интеллект (184066) Я бы забил и прогнал бы парой других антивирусов, типа докторвеб CureIt.
Дочка привела подругу, у которой была проблема входа в интернет (не пускало вообще), а так как уменя уже была подобная оказия я согласился помочь.
Функция kernel32.dll:ReadConsoleInputExA (1094) перехвачена, метод ProcAddressHijack.GetProcAddress ->75AC297A->775BCC01
Функция kernel32.dll:ReadConsoleInputExW (1095) перехвачена, метод ProcAddressHijack.GetProcAddress ->75AC29AD->775BCC25
Функция ntdll.dll:NtCreateFile (268) перехвачена, метод ProcAddressHijack.GetProcAddress ->779CD280->6D4AB775
Функция ntdll.dll:NtSetInformationFile (549) перехвачена, метод ProcAddressHijack.GetProcAddress ->779CCFA0->6D4AB6F1
Функция ntdll.dll:NtSetValueKey (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->779CD330->6D4AC69D
Функция ntdll.dll:ZwCreateFile (1647) перехвачена, метод ProcAddressHijack.GetProcAddress ->779CD280->6D4AB775
Функция ntdll.dll:ZwSetInformationFile (1926) перехвачена, метод ProcAddressHijack.GetProcAddress ->779CCFA0->6D4AB6F1
Функция ntdll.dll:ZwSetValueKey (1957) перехвачена, метод ProcAddressHijack.GetProcAddress ->779CD330->6D4AC69D
Функция user32.dll:CallNextHookEx (1531) перехвачена, метод ProcAddressHijack.GetProcAddress ->7553779D->6D4AB6DB
Функция user32.dll:SetWindowsHookExW (2303) перехвачена, метод ProcAddressHijack.GetProcAddress ->7554534B->6D4AC801
Проверял ноутбук следующими утилитами/программами: AVZ, Kaspersky Virus Removal Tool, Dr.Web CureIt!, Avast Internet Security, Malwarebytes Anti-Malware, hitmanpro_x64, VIPRERescue (более 40 утилит). результат "нулевой" (((
Есть ли вариант "отскриптовать" предустановленную винду?
P.S. Пробовал переустановить Windows 8.1 с флешки (образом скачанным с оф сайта) и пробовал обновить до 10ки, в обоих случаях загрузка (запуск установщика) был прерван.
Эта цепочка заблокирована. Вы можете просмотреть вопрос или оставить свой голос, если сведения окажутся полезными, но вы не можете написать ответ в этой цепочке.
Оскорбление — это любое поведение, которое беспокоит или расстраивает человека или группу лиц. К угрозам относятся любые угрозы самоубийством, насилием, нанесением ущерба и др. Любое содержимое для взрослых или недопустимое на веб-сайте сообщества. Любое изображение, обсуждение наготы или ссылка на подобные материалы. Оскорбительное, грубое или вульгарное поведение и другие проявления неуважения. Любое поведение, нарушающее лицензионные соглашения, в том числе предоставление ключей продуктов или ссылок на пиратское ПО. Незатребованная массовая рассылка или реклама. Любые ссылки или пропаганда сайтов с вирусным, шпионским, вредоносным или фишинговым ПО. Любое другое неуместное содержимое или поведение в соответствии с правилами использования и кодексом поведения. Любое изображение, ссылка или обсуждение, связанные с детской порнографией, детской наготой или другими вариантами оскорбления или эксплуатации детей.
Конфигурация компьютера | |
ОС: Windows 10 Pro x64 |
После установки плагина savefrom, попытки в яндекс.браузере что либо скачать с любого сайта или зайти в историю загрузок оканчивалось ошибкой работы в браузере, в хроме появился какой-то левый плагин, так же крашился или просто долго не загружал вкладки, попытка зайти в историю загрузок кончалась крашем. После попытки зайти в папку загрузки, проводник перезапускается.
Через Панель управления - Удаление программ - удалите нежелательное ПО:
У Вас установлен Malwarebytes Anti-Malware. Сделайте полное сканирование и покажите отчет.
Подробнее читайте в руководстве.
-------
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.
Конфигурация компьютера | |
ОС: Windows 10 Pro x64 |
Конфигурация компьютера | |
ОС: Windows 10 Pro x64 |
AVZ это написал. Это что-то значит?
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1106) перехвачена, метод ProcAddressHijack.GetProcAddress ->761BA037->75D95600
Функция kernel32.dll:ReadConsoleInputExW (1107) перехвачена, метод ProcAddressHijack.GetProcAddress ->761BA06A->75D95630
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".
Конфигурация компьютера | |
ОС: Windows 10 Pro x64 |
К сожалению FRST (на сканировании shortcut) так же как и AVZ перестает отвечать и прекращает работу. Это все что есть.
Последний раз редактировалось Cool_bee, 21-10-2015 в 21:08 .
Отключайте 360 Total Security на время запуска утилит диагностики и лечения, он на лету бьёт что надо и что не надо.
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Конфигурация компьютера | |
ОС: Windows 10 Pro x64 |
Конфигурация компьютера | |
ОС: Windows 10 Pro x64 |
снова перезапускается проводник
То что творится, с этим не связано? (Все перехваченные помечены красным курсивом)
1. Поиск RootKit и программ, перехватывающих функции API
>> Опасно ! Обнаружена маскировка процессов
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1106) перехвачена, метод ProcAddressHijack.GetProcAddress ->74C5A037->76925600
Функция kernel32.dll:ReadConsoleInputExW (1107) перехвачена, метод ProcAddressHijack.GetProcAddress ->74C5A06A->76925630
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (270) перехвачена, метод ProcAddressHijack.GetProcAddress ->7798F740->71071ED0
Функция ntdll.dll:NtSetInformationFile (558) перехвачена, метод ProcAddressHijack.GetProcAddress ->7798F460->71071E10
Функция ntdll.dll:NtSetValueKey (590) перехвачена, метод ProcAddressHijack.GetProcAddress ->7798F7F0->710A7310
Функция ntdll.dll:ZwCreateFile (1689) перехвачена, метод ProcAddressHijack.GetProcAddress ->7798F740->71071ED0
Функция ntdll.dll:ZwSetInformationFile (1975) перехвачена, метод ProcAddressHijack.GetProcAddress ->7798F460->71071E10
Функция ntdll.dll:ZwSetValueKey (2007) перехвачена, метод ProcAddressHijack.GetProcAddress ->7798F7F0->710A7310
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1531) перехвачена, метод ProcAddressHijack.GetProcAddress ->74EF34B0->71071DC0
Функция user32.dll:SetWindowsHookExW (2340) перехвачена, метод ProcAddressHijack.GetProcAddress ->74EFFA00->710A7390
Функция user32.dll:gSharedInfo (2435) перехвачена, метод CodeHijack (метод не определен)
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1386) перехвачена, метод ProcAddressHijack.GetProcAddress ->74AE78BB->778BBD30
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:NetFreeAadJoinInformation (139) перехвачена, метод ProcAddressHijack.GetProcAddress ->778EC3AE->70B5A460
Функция netapi32.dll:NetGetAadJoinInformation (140) перехвачена, метод ProcAddressHijack.GetProcAddress ->778EC3DD->70B5A7D0
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка - не найден файл (C:\SystemRoot\system32\ntoskrnl.exe)
>>>> Обнаружена маскировка процесса 1164 c:\program files (x86)\nvidia corporation\3d vision\nvscpapisvr.exe
>>>> Обнаружена маскировка процесса 1940 c:\program files (x86)\360\total security\safemon\qhactivedefense.exe
>>>> Обнаружена маскировка процесса 2240 c:\windows\syswow64\asgt.exe
>>>> Обнаружена маскировка процесса 2364 c:\program files (x86)\nvidia corporation\netservice\nvnetworkservice.exe
>>>> Обнаружена маскировка процесса 2384 c:\program files (x86)\glasswire\gwctlsrv.exe
>>>> Обнаружена маскировка процесса 3448 c:\program files (x86)\360\total security\safemon\qhwatchdog.exe
>>>> Обнаружена маскировка процесса 2620 c:\program files (x86)\google\update\googleupdate.exe
>>>> Обнаружена маскировка процесса 4508 c:\program files (x86)\nvidia corporation\update core\nvbackend.exe
>>>> Обнаружена маскировка процесса 4272 c:\program files (x86)\glasswire\gwidlmon.exe
>>>> Обнаружена маскировка процесса 5672 c:\program files\windowsapps\microsoft.messaging_1.10.11003.0_x86__8wekyb3d8bbwe\skypehost.exe
>>>> Обнаружена маскировка процесса 5616 c:\program files (x86)\common files\java\java update\jusched.exe
>>>> Обнаружена маскировка процесса 5896 c:\program files (x86)\360\total security\safemon\qhsafetray.exe
>>>> Обнаружена маскировка процесса 2252 c:\users\pathfinder\appdata\local\yandex\yandexbrowser\application\browser.exe
>>>> Обнаружена маскировка процесса 5880 c:\users\pathfinder\appdata\local\yandex\yandexbrowser\application\45.0.2454.3388\crash_service.exe
>>>> Обнаружена маскировка процесса 856 c:\users\pathfinder\appdata\local\yandex\yandexbrowser\application\browser.exe
>>>> Обнаружена маскировка процесса 5280 c:\users\pathfinder\appdata\local\yandex\yandexbrowser\application\browser.exe
>>>> Обнаружена маскировка процесса 5232 c:\users\pathfinder\appdata\local\yandex\yandexbrowser\application\browser.exe
>>>> Обнаружена маскировка процесса 4460 c:\users\pathfinder\appdata\local\yandex\yandexbrowser\application\browser.exe
>>>> Обнаружена маскировка процесса 284 c:\program files (x86)\common files\java\java update\jucheck.exe
>>>> Обнаружена маскировка процесса 8052 c:\users\pathfinder\desktop\avz4\avz.exe
Читайте также: