Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 31.

Перехваченные функции и странные драйверы (заявка № 15251)

  1. #1
    Junior Member Репутация
    Регистрация
    10.12.2007
    Сообщений
    27
    Вес репутации
    33

    Question Перехваченные функции и странные драйверы

    Сначала NOD32 IMON стал сообщать о попытках загрузки трояна, потом оказалось, что файервол (встроенный) отключен. Когда включил его обратно, в него стал добавляться explorer.exe как исключение под именем enable.
    Стал проверять всем чем только можно - CureIt нашёл в системе активного трояна-прокси, убил его, но после перезагрузки он его нашёл снова. Ситуация с автодобавлением эксплорера в список исключений файервола осталась.
    AVZ показывает несколько перехваченных функций + довольно странные драйверы в пространстве ядра:
    \SystemRoot\System32\Drivers\ah0yectg.SYS
    \??\E:\Temp\C18wPr8D.sys (это уж вообще ни в какие ворота - драйвер запущен из временного каталога %) ).
    С системой явно чтото плохое случилось, посоветуйте, плз, как избавиться от заразы наименьшей кровью?
    (Логи прилагаю)
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    пофиксите ....
    Код:
    O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
    O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
    ntoskrnl.exe пришлите по правилам ...

  4. #3
    Junior Member Репутация
    Регистрация
    10.12.2007
    Сообщений
    27
    Вес репутации
    33

    не копируется ntoskrnl

    Указанные строчки пофиксил, спасибо.
    ntoskrnl.exe находится по двум путям - system32 и ServicePackFiles\i386, но после копирования в карантин ни один из них в карантин не попадает - как быть?
    Имеет ли смысл высылать этот файл (а размер и дата создания у обоих совпадают) минуя карантин AVZ ?

    На текущий момент ситуация такова: после запуска InternetExplorer'а он выдаёт ошибку доступа к памяти вида инструкция по адресу 0x7c80a250 попыталась прочитать память по адресу 0x04a85000, которая прочитана быть не может.
    Если окошко с ошибкой не закрывать - интернет эксплорер'ом можно продолжать пользоваться.
    В списке модулей ядра AVZ по прежнему показывает левый драйвер с неудобоваримым именем, причём имя меняется при перезагрузках, например, на текущий момент это aqefjbbn.SYS.
    Подскажите, плз, как быть дальше?

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    ntoskrnl.exe очевидно чистый, не карантинится потому, что проходит по базе безопасных. "Левый" драйвер с меняющися именем - от Alcohol 120%.

    Видны остатки Symantec (Norton) Антивируса, надо их подчистить таким скриптом:
    Код:
    begin
     BC_DeleteFile('C:\W\System32\NavLogon.dll');
     BC_DeleteSvc('Symantec Core LC');
    BC_Activate;
    RebootWindows(true);
    end.
    После этого скачайте новую версию AVZ 4.29 и сделайте новые логи.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    10.12.2007
    Сообщений
    27
    Вес репутации
    33

    проблемы остались

    1) скрипт выполнил, но кажется всё равно какие-то ссылки на эту dll остались
    2) ntoskrnl.exe в списке модулей пространства ядра у AVZ (версию обновил) показана _не_ зелёным цветом - безопасна ли она в этом случае?
    3) деинсталлировал и удалил каталог алкоголика - драйвер со странным именем всё равно появляется - подскажите, плз, как избавиться от остатков?
    4) остались сообщения о перехваченных функциях от AVZ (хотя, кажется, их стало поменьше)
    5) - самое неприятное - по прежнему после перезагрузки в список исключений файервола добавляется эксплорер! Зачем ему порты слушать - явный непорядок...

    Прилагаю новые логи, помогите долечить плз.
    P.S. С проблемного компьютера невозможно загрузить аттачменты на форум.

  7. #6
    Junior Member Репутация
    Регистрация
    10.12.2007
    Сообщений
    27
    Вес репутации
    33

    логи

    отправлять приходится по одному и с другой машины :/
    Вложения Вложения

  8. #7
    Junior Member Репутация
    Регистрация
    10.12.2007
    Сообщений
    27
    Вес репутации
    33

    AVZ log

    AVZ log
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    1 впринципе ничего страшного ...
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     DeleteFile('C:\W\System32\NavLogon.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    2 прошел по базе безопасных ...
    3 алкоголь нормально не удаляется ..... драйвера нужно чистить руками ...
    4 ничего зловредного не наблюдаю ...
    5 explorer.exe - прходит по базе безопасных ....

  10. #9
    Junior Member Репутация
    Регистрация
    10.12.2007
    Сообщений
    27
    Вес репутации
    33
    с пунктом 5 согласиться не могу - в другой инсталляции WinXP explorer в списке исключений фаэрвола отсутствует + добавляет он себя без ведома, а точнее вопреки, пользователю.
    Есть ли способ излечить его от такого поведения (и чем оно может быть вызвано в данной ситуации?) ?

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\W\system32\DRIVERS\axvodka.sys','');
     QuarantineFile('C:\W\system32\6274724A4ECE9E6A.sys','');
    DelWinlogonNotifyByFileName('C:\W\System32\NavLogon.dll');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите новый карантин по правилам.
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    10.12.2007
    Сообщений
    27
    Вес репутации
    33
    Карантин выслал. Заглянул в dat-файлы в карантине - одни сплошные нули....
    Жду дальнейших указаний, спасибо.

  13. #12
    Junior Member Репутация
    Регистрация
    10.12.2007
    Сообщений
    27
    Вес репутации
    33

    explorer в архив не добавляется

    выполнил скрипт по карантинированию экслорера, при архивации в virus.zip dat-файлы не добавляются.
    На всякий случай высылаю virus.zip
    Чистая ли система или нужно продолжать лечение?

    Добавлено через 7 часов 7 минут

    обновлённый AVZ выдал такое сообщение
    C:\Program Files\Internet Explorer\setupapi.dll >>> подозрение на Trojan.Win32.Agent.dgw ( 075D57B8 04886AB1 001BE708 001B0A4B 17920)

    Последний раз редактировалось _RRR_; 16.12.2007 в 11:24. Причина: Добавлено

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    давайте новые логи ....

  15. #14
    Junior Member Репутация
    Регистрация
    10.12.2007
    Сообщений
    27
    Вес репутации
    33

    новые логи

    вот
    Вложения Вложения

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    538
    Еще и логи AVZ нужно...

  17. #16
    Junior Member Репутация
    Регистрация
    10.12.2007
    Сообщений
    27
    Вес репутации
    33
    не могу отправить никак с этого компа.... сейчас с другого добавлю

  18. #17
    Junior Member Репутация
    Регистрация
    10.12.2007
    Сообщений
    27
    Вес репутации
    33

    AVZ logs

    AVZ logs
    P.S.
    чудеса, с другой машины в той же сети по NAT аттачи присоединились мгновенно...
    карантин приаттачить или выслать отдельно?
    Вложения Вложения

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    Карантин выслать по правилам.

  20. #19
    Junior Member Репутация
    Регистрация
    10.12.2007
    Сообщений
    27
    Вес репутации
    33
    выслал

  21. #20
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    C:\Program Files\Internet Explorer\setupapi.dll - Trojan.Win32.Agent.dkf - подтверждение с вирустотал. Будем удалять!
    Вот скрипт для удаления:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
    ExecuteSysClean;
    
    RebootWindows(true);
    end.
    Ограничивали себя сами? Если нет, то надо профиксить вот эту строчку
    в логе HijackThis:
    Код:
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    Добавлено через 10 минут

    sptd.sys - нормальный перехватчик от Daemon Tools
    Последний раз редактировалось PavelA; 17.12.2007 в 18:07. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  • Уважаемый(ая) _RRR_, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 4
      Последнее сообщение: 14.03.2012, 00:16
    2. перехваченные функции
      От iriska_ip в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 20.01.2011, 20:33
    3. Ответов: 18
      Последнее сообщение: 29.07.2010, 15:29
    4. перехваченные функции
      От AgentOrange в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 03:31
    5. Ответов: 4
      Последнее сообщение: 01.08.2008, 10:40

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01070 seconds with 24 queries