Показано с 1 по 3 из 3.

поиск кейлоггера (заявка № 152772)

  1. #1
    Junior Member Репутация
    Регистрация
    07.01.2014
    Сообщений
    1
    Вес репутации
    38

    поиск кейлоггера

    Добрый день. Есть подозрение на то, что на компьютере установлен кейлоггер или перехватчик текста. Не сочтите за паранойю. Компьютер рабочий. Всякое может быть. Установлен Norton Antivirus. по результатам полной проверки все чисто. Проверка AVZ:

    Протокол антивирусной утилиты AVZ версии 4.41
    Сканирование запущено в 07.01.2014 18:54:08
    Загружена база: сигнатуры - 297613, нейропрофили - 2, микропрограммы лечения - 56, база от 07.01.2014 16:00
    Загружены микропрограммы эвристики: 405
    Загружены микропрограммы ИПУ: 9
    Загружены цифровые подписи системных файлов: 633095
    Режим эвристического анализатора: Максимальный уровень эвристики
    Режим лечения: выключено
    Версия Windows: 6.1.7601, Service Pack 1 ; AVZ работает с правами администратора
    Восстановление системы: включено
    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Функция ntdll.dll:NtCreateMutant (252) перехвачена, метод APICodeHijack.JmpTo[00230120]
    Функция ntdll.dll:NtCreateSymbolicLinkObject (264) перехвачена, метод APICodeHijack.JmpTo[0023074E]
    Функция ntdll.dll:NtCreateThread (265) перехвачена, метод APICodeHijack.JmpTo[002304A8]
    Функция ntdll.dll:NtCreateThreadEx (266) перехвачена, метод APICodeHijack.JmpTo[0023066C]
    Функция ntdll.dll:NtLoadDriver (335) перехвачена, метод APICodeHijack.JmpTo[002303C6]
    Функция ntdll.dll:NtOpenEvent (357) перехвачена, метод APICodeHijack.JmpTo[002302E4]
    Функция ntdll.dll:NtProtectVirtualMemory (395) перехвачена, метод APICodeHijack.JmpTo[002309F4]
    Функция ntdll.dll:NtResumeThread (484) перехвачена, метод APICodeHijack.JmpTo[00230AD6]
    Функция ntdll.dll:NtSetContextThread (496) перехвачена, метод APICodeHijack.JmpTo[0023058A]
    Функция ntdll.dll:NtSetSystemInformation (530) перехвачена, метод APICodeHijack.JmpTo[00230830]
    Функция ntdll.dll:NtSuspendThread (547) перехвачена, метод APICodeHijack.JmpTo[00230202]
    Функция ntdll.dll:NtTerminateProcess (550) перехвачена, метод APICodeHijack.JmpTo[00230912]
    Функция ntdll.dll:NtTerminateThread (551) перехвачена, метод APICodeHijack.JmpTo[00030046]
    Функция ntdll.dll:NtWriteVirtualMemory (59 перехвачена, метод APICodeHijack.JmpTo[0023003E]
    Функция ntdll.dllwCreateMutant (1504) перехвачена, метод APICodeHijack.JmpTo[00230120]
    Функция ntdll.dllwCreateSymbolicLinkObject (1516) перехвачена, метод APICodeHijack.JmpTo[0023074E]
    Функция ntdll.dllwCreateThread (1517) перехвачена, метод APICodeHijack.JmpTo[002304A8]
    Функция ntdll.dllwCreateThreadEx (151 перехвачена, метод APICodeHijack.JmpTo[0023066C]
    Функция ntdll.dllwLoadDriver (1585) перехвачена, метод APICodeHijack.JmpTo[002303C6]
    Функция ntdll.dllwOpenEvent (1607) перехвачена, метод APICodeHijack.JmpTo[002302E4]
    Функция ntdll.dllwProtectVirtualMemory (1645) перехвачена, метод APICodeHijack.JmpTo[002309F4]
    Функция ntdll.dllwResumeThread (1734) перехвачена, метод APICodeHijack.JmpTo[00230AD6]
    Функция ntdll.dllwSetContextThread (1746) перехвачена, метод APICodeHijack.JmpTo[0023058A]
    Функция ntdll.dllwSetSystemInformation (1780) перехвачена, метод APICodeHijack.JmpTo[00230830]
    Функция ntdll.dllwSuspendThread (1797) перехвачена, метод APICodeHijack.JmpTo[00230202]
    Функция ntdll.dllwTerminateProcess (1800) перехвачена, метод APICodeHijack.JmpTo[00230912]
    Функция ntdll.dllwTerminateThread (1801) перехвачена, метод APICodeHijack.JmpTo[00030046]
    Функция ntdll.dllwWriteVirtualMemory (184 перехвачена, метод APICodeHijack.JmpTo[0023003E]
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Функция user32.dll:ExitWindowsEx (1754) перехвачена, метод CodeHijack (метод не определен)
    Функция user32.dll:SetWinEventHook (2216) перехвачена, метод CodeHijack (метод не определен)
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Функция urlmon.dll:URLDownloadToCacheFileW (21 перехвачена, метод CodeHijack (метод не определен)
    Функция urlmon.dll:URLDownloadToFileW (220) перехвачена, метод CodeHijack (метод не определен)
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Ошибка загрузки драйвера - проверка прервана [C000036B]
    1.4 Поиск маскировки процессов и драйверов
    Проверка не производится, так как не установлен драйвер мониторинга AVZPM
    1.5 Проверка обработчиков IRP
    Ошибка загрузки драйвера - проверка прервана [C000036B]
    2. Проверка памяти
    Количество найденных процессов: 18
    Количество загруженных модулей: 345
    Проверка памяти завершена
    3. Сканирование дисков
    4. Проверка Winsock Layered Service Provider (SPI/LSP)
    Настройки LSP проверены. Ошибок не обнаружено
    5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
    C:\Program Files (x86)\Norton AntiVirus\NortonData\21.1.0.18\Definitions\BASHDef s\20131218.001\UMEngx86.dll --> Подозрение на Keylogger или троянскую DLL
    C:\Program Files (x86)\Norton AntiVirus\NortonData\21.1.0.18\Definitions\BASHDef s\20131218.001\UMEngx86.dll>>> Поведенческий анализ

    Типичное для кейлоггеров поведение не зарегистрировано
    На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
    6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
    Проверка отключена пользователем
    7. Эвристичеcкая проверка системы
    Проверка завершена
    8. Поиск потенциальных уязвимостей
    >> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помощнику
    Проверка завершена
    9. Мастер поиска и устранения проблем
    Проверка завершена
    Просканировано файлов: 38377, извлечено из архивов: 18384, найдено вредоносных программ 0, подозрений - 0
    Сканирование завершено в 07.01.2014 18:58:56
    Сканирование длилось 00:04:49
    Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
    то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
    Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ
    можно использовать сервис http://virusdetector.ru/

    Почему нортоновские файлы расценены как кейлогеры?
    Заранее спасибо. Скажите еще чем проверится, перед тем как пить таблеты от паранои? Заранее спасибо

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) SnipeRTula, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3

  • Уважаемый(ая) SnipeRTula, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 5
      Последнее сообщение: 30.11.2012, 01:10
    2. Еще раз monoca32.exe + остатки кейлоггера
      От Aowl в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 13.08.2010, 17:42
    3. поиск
      От Айова в разделе Оффтоп
      Ответов: 1
      Последнее сообщение: 07.01.2010, 02:17
    4. Ответов: 13
      Последнее сообщение: 28.06.2009, 20:16

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00471 seconds with 19 queries