-
Junior Member
- Вес репутации
- 38
поиск кейлоггера
Добрый день. Есть подозрение на то, что на компьютере установлен кейлоггер или перехватчик текста. Не сочтите за паранойю. Компьютер рабочий. Всякое может быть. Установлен Norton Antivirus. по результатам полной проверки все чисто. Проверка AVZ:
Протокол антивирусной утилиты AVZ версии 4.41
Сканирование запущено в 07.01.2014 18:54:08
Загружена база: сигнатуры - 297613, нейропрофили - 2, микропрограммы лечения - 56, база от 07.01.2014 16:00
Загружены микропрограммы эвристики: 405
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 633095
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 6.1.7601, Service Pack 1 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateMutant (252) перехвачена, метод APICodeHijack.JmpTo[00230120]
Функция ntdll.dll:NtCreateSymbolicLinkObject (264) перехвачена, метод APICodeHijack.JmpTo[0023074E]
Функция ntdll.dll:NtCreateThread (265) перехвачена, метод APICodeHijack.JmpTo[002304A8]
Функция ntdll.dll:NtCreateThreadEx (266) перехвачена, метод APICodeHijack.JmpTo[0023066C]
Функция ntdll.dll:NtLoadDriver (335) перехвачена, метод APICodeHijack.JmpTo[002303C6]
Функция ntdll.dll:NtOpenEvent (357) перехвачена, метод APICodeHijack.JmpTo[002302E4]
Функция ntdll.dll:NtProtectVirtualMemory (395) перехвачена, метод APICodeHijack.JmpTo[002309F4]
Функция ntdll.dll:NtResumeThread (484) перехвачена, метод APICodeHijack.JmpTo[00230AD6]
Функция ntdll.dll:NtSetContextThread (496) перехвачена, метод APICodeHijack.JmpTo[0023058A]
Функция ntdll.dll:NtSetSystemInformation (530) перехвачена, метод APICodeHijack.JmpTo[00230830]
Функция ntdll.dll:NtSuspendThread (547) перехвачена, метод APICodeHijack.JmpTo[00230202]
Функция ntdll.dll:NtTerminateProcess (550) перехвачена, метод APICodeHijack.JmpTo[00230912]
Функция ntdll.dll:NtTerminateThread (551) перехвачена, метод APICodeHijack.JmpTo[00030046]
Функция ntdll.dll:NtWriteVirtualMemory (59 перехвачена, метод APICodeHijack.JmpTo[0023003E]
Функция ntdll.dllwCreateMutant (1504) перехвачена, метод APICodeHijack.JmpTo[00230120]
Функция ntdll.dllwCreateSymbolicLinkObject (1516) перехвачена, метод APICodeHijack.JmpTo[0023074E]
Функция ntdll.dllwCreateThread (1517) перехвачена, метод APICodeHijack.JmpTo[002304A8]
Функция ntdll.dllwCreateThreadEx (151 перехвачена, метод APICodeHijack.JmpTo[0023066C]
Функция ntdll.dllwLoadDriver (1585) перехвачена, метод APICodeHijack.JmpTo[002303C6]
Функция ntdll.dllwOpenEvent (1607) перехвачена, метод APICodeHijack.JmpTo[002302E4]
Функция ntdll.dllwProtectVirtualMemory (1645) перехвачена, метод APICodeHijack.JmpTo[002309F4]
Функция ntdll.dllwResumeThread (1734) перехвачена, метод APICodeHijack.JmpTo[00230AD6]
Функция ntdll.dllwSetContextThread (1746) перехвачена, метод APICodeHijack.JmpTo[0023058A]
Функция ntdll.dllwSetSystemInformation (1780) перехвачена, метод APICodeHijack.JmpTo[00230830]
Функция ntdll.dllwSuspendThread (1797) перехвачена, метод APICodeHijack.JmpTo[00230202]
Функция ntdll.dllwTerminateProcess (1800) перехвачена, метод APICodeHijack.JmpTo[00230912]
Функция ntdll.dllwTerminateThread (1801) перехвачена, метод APICodeHijack.JmpTo[00030046]
Функция ntdll.dllwWriteVirtualMemory (184 перехвачена, метод APICodeHijack.JmpTo[0023003E]
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:ExitWindowsEx (1754) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:SetWinEventHook (2216) перехвачена, метод CodeHijack (метод не определен)
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Функция urlmon.dll:URLDownloadToCacheFileW (21 перехвачена, метод CodeHijack (метод не определен)
Функция urlmon.dll:URLDownloadToFileW (220) перехвачена, метод CodeHijack (метод не определен)
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка загрузки драйвера - проверка прервана [C000036B]
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Ошибка загрузки драйвера - проверка прервана [C000036B]
2. Проверка памяти
Количество найденных процессов: 18
Количество загруженных модулей: 345
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files (x86)\Norton AntiVirus\NortonData\21.1.0.18\Definitions\BASHDef s\20131218.001\UMEngx86.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files (x86)\Norton AntiVirus\NortonData\21.1.0.18\Definitions\BASHDef s\20131218.001\UMEngx86.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 38377, извлечено из архивов: 18384, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 07.01.2014 18:58:56
Сканирование длилось 00:04:49
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ
можно использовать сервис http://virusdetector.ru/
Почему нортоновские файлы расценены как кейлогеры?
Заранее спасибо. Скажите еще чем проверится, перед тем как пить таблеты от паранои? Заранее спасибо
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) SnipeRTula, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
-