Проверяю компьютер AVZ и сразу получаю такой кусок лога:
1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .rdata Функция kernel32.dll:ReadConsoleInputExA (1132) перехвачена, метод ProcAddressHijack.GetProcAddress ->774DDAB8->75E8AC20 Перехватчик kernel32.dll:ReadConsoleInputExA (1132) нейтрализован Функция kernel32.dll:ReadConsoleInputExW (1133) перехвачена, метод ProcAddressHijack.GetProcAddress ->774DDAEB->75E8AC50 Перехватчик kernel32.dll:ReadConsoleInputExW (1133) нейтрализован Анализ ntdll.dll, таблица экспорта найдена в секции .text Функция ntdll.dll:NtCreateFile (295) перехвачена, метод ProcAddressHijack.GetProcAddress ->77831B70->74971480 Перехватчик ntdll.dll:NtCreateFile (295) нейтрализован Функция ntdll.dll:NtSetInformationFile (598) перехвачена, метод ProcAddressHijack.GetProcAddress ->77831890->749715E0 Перехватчик ntdll.dll:NtSetInformationFile (598) нейтрализован Функция ntdll.dll:NtSetValueKey (630) перехвачена, метод ProcAddressHijack.GetProcAddress ->77831C20->74971650 Перехватчик ntdll.dll:NtSetValueKey (630) нейтрализован Функция ntdll.dll:ZwCreateFile (1837) перехвачена, метод ProcAddressHijack.GetProcAddress ->77831B70->74971480 Перехватчик ntdll.dll:ZwCreateFile (1837) нейтрализован Функция ntdll.dll:ZwSetInformationFile (2138) перехвачена, метод ProcAddressHijack.GetProcAddress ->77831890->749715E0 Перехватчик ntdll.dll:ZwSetInformationFile (2138) нейтрализован Функция ntdll.dll:ZwSetValueKey (2170) перехвачена, метод ProcAddressHijack.GetProcAddress ->77831C20->74971650 Перехватчик ntdll.dll:ZwSetValueKey (2170) нейтрализован Анализ user32.dll, таблица экспорта найдена в секции .text Функция user32.dll:CallNextHookEx (1536) перехвачена, метод ProcAddressHijack.GetProcAddress ->776494F0->74971370 Перехватчик user32.dll:CallNextHookEx (1536) нейтрализован Функция user32.dll:SetWindowsHookExW (2399) перехвачена, метод ProcAddressHijack.GetProcAddress ->7764E780->749716C0 Перехватчик user32.dll:SetWindowsHookExW (2399) нейтрализован Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен) >>> Код руткита в функции Wow64Transition - ошибка стандартной нейтрализации (невозможно изменить область памяти, возможно противодействие со стороны руткита)
AVZ лог. Стоит ли волноваться? [MOVED]
in Kaspersky Anti-Virus
Posted
Проверяю компьютер AVZ и сразу получаю такой кусок лога:
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1132) перехвачена, метод ProcAddressHijack.GetProcAddress ->774DDAB8->75E8AC20
Перехватчик kernel32.dll:ReadConsoleInputExA (1132) нейтрализован
Функция kernel32.dll:ReadConsoleInputExW (1133) перехвачена, метод ProcAddressHijack.GetProcAddress ->774DDAEB->75E8AC50
Перехватчик kernel32.dll:ReadConsoleInputExW (1133) нейтрализован
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (295) перехвачена, метод ProcAddressHijack.GetProcAddress ->77831B70->74971480
Перехватчик ntdll.dll:NtCreateFile (295) нейтрализован
Функция ntdll.dll:NtSetInformationFile (598) перехвачена, метод ProcAddressHijack.GetProcAddress ->77831890->749715E0
Перехватчик ntdll.dll:NtSetInformationFile (598) нейтрализован
Функция ntdll.dll:NtSetValueKey (630) перехвачена, метод ProcAddressHijack.GetProcAddress ->77831C20->74971650
Перехватчик ntdll.dll:NtSetValueKey (630) нейтрализован
Функция ntdll.dll:ZwCreateFile (1837) перехвачена, метод ProcAddressHijack.GetProcAddress ->77831B70->74971480
Перехватчик ntdll.dll:ZwCreateFile (1837) нейтрализован
Функция ntdll.dll:ZwSetInformationFile (2138) перехвачена, метод ProcAddressHijack.GetProcAddress ->77831890->749715E0
Перехватчик ntdll.dll:ZwSetInformationFile (2138) нейтрализован
Функция ntdll.dll:ZwSetValueKey (2170) перехвачена, метод ProcAddressHijack.GetProcAddress ->77831C20->74971650
Перехватчик ntdll.dll:ZwSetValueKey (2170) нейтрализован
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1536) перехвачена, метод ProcAddressHijack.GetProcAddress ->776494F0->74971370
Перехватчик user32.dll:CallNextHookEx (1536) нейтрализован
Функция user32.dll:SetWindowsHookExW (2399) перехвачена, метод ProcAddressHijack.GetProcAddress ->7764E780->749716C0
Перехватчик user32.dll:SetWindowsHookExW (2399) нейтрализован
Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции Wow64Transition - ошибка стандартной нейтрализации (невозможно изменить область памяти, возможно противодействие со стороны руткита)
Стоит ли волноваться?