Подозрение на троян

**Биомеханик** · 29.08.2007, 14:35

Вообщем с недавних ор у меня начал глючить буфер обмена. После входа в винду всё пучком, но через некоторое время и (или) некоторых манипилация (может вход в интернет и др.) буфер обмена работать перестовал. Пункт меню "Копировать", а вот вставлять не получалось. Буфер был пуст.

Помимо этого ущёл логин и пасс на ftp моего сайта, после чего он был взломан, и в низу страниц добавлена строка подгрузки фрейма с вирусом.

Существует подозрение что троян копирует буфер и отсылает в сеть, но иногда вываливаеться, ломая механизм буфера обмена.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**PavelA** · 29.08.2007, 14:49

В логах ничего плохого не вижу. Базы AVZ надо обновить.

Сделать лог из http://virusinfo.info/showthread.php?t=10387 в Safe Mode.

**Биомеханик** · 29.08.2007, 15:26

Поиск и нейтрализации RootKit UserMode и KernelMode (в нормальном режиме)

Выполняется стандартный скрипт: 1. Поиск и нейтрализации RootKit UserMode и KernelMode
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:GetProcAddress (40

перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AC28->7C882FEC
Перехватчик kernel32.dll:GetProcAddress (40

нейтрализован
Функция kernel32.dll

oadLibraryA (57

перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D77->7C882F9C
Перехватчик kernel32.dll

oadLibraryA (57

нейтрализован
>>> Функции LoadLibraryA - прививка процесса AVZ от перехвата подменой адреса !!)
Функция kernel32.dll

oadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D4F->7C882FB0
Перехватчик kernel32.dll

oadLibraryExA (579) нейтрализован
>>> Функции LoadLibraryExA - прививка процесса AVZ от перехвата подменой адреса !!)
Функция kernel32.dll

oadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF1->7C882FD8
Перехватчик kernel32.dll

oadLibraryExW (580) нейтрализован
Функция kernel32.dll

oadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80ACD3->7C882FC4
Перехватчик kernel32.dll

oadLibraryW (581) нейтрализован
Детектирована модификация IAT: LoadLibraryA - 7C882F9C<>7C801D77
Адрес в IAT восстановлен: LoadLibraryA
Детектирована модификация IAT: GetProcAddress - 7C882FEC<>7C80AC28
Адрес в IAT восстановлен: GetProcAddress
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:RegisterRawInputDevices (546) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D8C9AA->7D1E0080
Перехватчик user32.dll:RegisterRawInputDevices (546) нейтрализован
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082B80)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559B80
KiST = 86536108 (297)
>>> Внимание, таблица KiST перемещена ! (804E2D20(284)->86536108(297))
Проверено функций: 284, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен

Сейчас сделаю в SM.

**PavelA** · 29.08.2007, 15:28

Не торопись. Должно получиться немного другое. читай внимательней.

**Биомеханик** · 29.08.2007, 16:03

Вот аожалуйста. Всё в SM.

**PavelA** · 29.08.2007, 16:10

Не вижу ничего плохого.

**pig** · 29.08.2007, 19:15

Мавр сделал своё дело и ушёл?

Добавлено через 5 минут

Punto Switcher какой версии? Слежение за буфером обмена включено? Есть подозрение, что это он ломает буфер обмена, либо в одиночку, либо с кем-нибудь таким же на пару.

**Биомеханик** · 29.08.2007, 23:24

PS 2.9

**pig** · 30.08.2007, 01:47

Если стоит птица "Следить за буфером обмена", попробуйте убрать.

У меня буфер обмена чётко замерзает при таких действиях:
- в Excel запускаю макрос, экспортирующий лист в текстовый файл специального формата. Лист большой, макрос работает секунд тридцать
- тем временем открываю два других текстовых файла в Блокноте
- выделяю кусок одного файла, копирую в буфер
- в другой Блокнот ничего не вставляется, пока не отработает макрос в Excel
Windows 2000 Server SP4 на P-IV, Excel 2003, PS 2.9 (слежение за буфером выключено)

**Биомеханик** · 30.08.2007, 13:12

Да пока вроде не вываливаеться. Всем спасибо.

Подозрение на троян (заявка № 11998)

Опции темы