Атака перехватчиков API

**Ивпал** · 17.09.2007, 17:18

Вроде, явных вирусов нет, но есть куча перехваченных функций типа

Функция ws2_32.dll:WSASend перехвачена, ProcAddressHijack.GetProcAddress

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Bratez** · 17.09.2007, 17:36

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Пофиксите в HijackThis:

Код:

F2 - REG:system.ini: Shell=Explorer.exe,Microsoft.com
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O20 - Winlogon Notify: fanxctrl - fanxctrl.dll (file missing)
O21 - SSODL: msvcrt64.dll - {B4F52EB8-2388-4152-BA9E-58D744EF8E8F} - msvcrt64.dll (file missing)
O21 - SSODL: VStorage - {340374E6-B336-4156-83AF-DC6FBB390256} - swmclip.dll (file missing)
O21 - SSODL: msvcrt52.dll - {CE90D85B-38AA-4300-A66D-1558DFB29790} - msvcrt52.dll (file missing)

Перезагрузитесь и повторите логи.

Добавлено через 32 секунды

Карантин пришлите согласно приложению 3 правил.