Показано с 1 по 4 из 4.

Backdoor и его последствия (заявка № 178968)

  1. #1
    Junior Member Репутация
    Регистрация
    08.11.2013
    Сообщений
    20
    Вес репутации
    38

    Backdoor и его последствия

    Добрый день.
    Несколько дней назад Outpost Firewall Pro обнаружил в файле acrord32.exe вирус Backdoor. Принтскрин к сожалению не сохранил. Вирус был помещен Outpost в карантин и удален.
    До этого наблюдались многочисленные попытки сканирования порта 1123.
    После этого я заблокировал все ай-пи с которых шло сканирование в тот день, удалил acrord32.exe и программу Adobe Reader.
    Затем скачал несколько программ-антивирусов и программ антишпионов. Проверил ими компьютер.
    Некоторые что-то нашли, все подозрительное удалил.

    Однако теперь, при стандартном сканировании AVZ начали выскакивать красные строчки, которых до этого не было.

    Скрытый текст


    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Функция kernel32.dll:CreateProcessInternalW (101) перехвачена, метод APICodeHijack.JmpTo[7C8197B0]
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Функция ntdll.dll:NtCreateFile (123) перехвачена, метод APICodeHijack.JmpTo[7C90D0AE]
    Функция ntdll.dll:NtDeleteValueKey (153) перехвачена, метод APICodeHijack.JmpTo[7C90D26E]
    Функция ntdll.dll:NtOpenFile (204) перехвачена, метод APICodeHijack.JmpTo[7C90D59E]
    Функция ntdll.dll:NtOpenProcess (211) перехвачена, метод APICodeHijack.JmpTo[7C90D5FE]
    Функция ntdll.dll:NtSetContextThread (304) перехвачена, метод APICodeHijack.JmpTo[7C90DBAE]
    Функция ntdll.dll:NtSetInformationFile (315) перехвачена, метод APICodeHijack.JmpTo[7C90DC5E]
    Функция ntdll.dll:NtSetValueKey (338) перехвачена, метод APICodeHijack.JmpTo[7C90DDCE]
    Функция ntdll.dll:ZwCreateFile (934) перехвачена, метод APICodeHijack.JmpTo[7C90D0AE]
    Функция ntdll.dll:ZwDeleteValueKey (963) перехвачена, метод APICodeHijack.JmpTo[7C90D26E]
    Функция ntdll.dll:ZwOpenFile (1014) перехвачена, метод APICodeHijack.JmpTo[7C90D59E]
    Функция ntdll.dll:ZwOpenProcess (1021) перехвачена, метод APICodeHijack.JmpTo[7C90D5FE]
    Функция ntdll.dll:ZwSetContextThread (1114) перехвачена, метод APICodeHijack.JmpTo[7C90DBAE]
    Функция ntdll.dll:ZwSetInformationFile (1125) перехвачена, метод APICodeHijack.JmpTo[7C90DC5E]
    Функция ntdll.dll:ZwSetValueKey (1148) перехвачена, метод APICodeHijack.JmpTo[7C90DDCE]

    Анализ user32.dll, таблица экспорта найдена в секции .text
    Функция user32.dll:ChangeDisplaySettingsExA (34) перехвачена, метод APICodeHijack.JmpTo[100C32D6]
    Функция user32.dll:ChangeDisplaySettingsExW (35) перехвачена, метод APICodeHijack.JmpTo[100C3302]
    Функция user32.dll:PostMessageA (512) перехвачена, метод APICodeHijack.JmpTo[7E37AAFD]
    Функция user32.dll:PostMessageW (513) перехвачена, метод APICodeHijack.JmpTo[7E368CCB]
    Функция user32.dll:SendInput (571) перехвачена, метод APICodeHijack.JmpTo[7E37F140]
    Функция user32.dll:SendMessageA (572) перехвачена, метод APICodeHijack.JmpTo[7E37F3C2]
    Функция user32.dll:SendMessageW (577) перехвачена, метод APICodeHijack.JmpTo[7E37929A]
    Функция user32.dll:SetForegroundWindow (600) перехвачена, метод APICodeHijack.JmpTo[100C3252]
    Функция user32.dll:SetWindowPos (644) перехвачена, метод APICodeHijack.JmpTo[100C327E]
    Функция user32.dll:keybd_event (727) перехвачена, метод APICodeHijack.JmpTo[7E3B6783]
    Функция user32.dll:mouse_event (728) перехвачена, метод APICodeHijack.JmpTo[7E3B673F]

    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Функция advapi32.dll:CreateServiceA (102) перехвачена, метод APICodeHijack.JmpTo[77E27211]
    Функция advapi32.dll:CreateServiceW (103) перехвачена, метод APICodeHijack.JmpTo[77E273A9]

    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Функция ws2_32.dll:WSAConnect (33) перехвачена, метод APICodeHijack.JmpTo[71AA0C81]
    Функция ws2_32.dll:WSALookupServiceBeginW (63) перехвачена, метод APICodeHijack.JmpTo[71A935EF]
    Функция ws2_32.dll:connect (4) перехвачена, метод APICodeHijack.JmpTo[71A94A07]
    Функция ws2_32.dll:listen (13) перехвачена, метод APICodeHijack.JmpTo[71A98CD3]

    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Функция rasapi32.dll:RasDialW (22) перехвачена, метод APICodeHijack.JmpTo[76EE68DB]
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    Скрыть

    Непонятно что это и что с этим делать?
    Мой компьютер заражен?
    Логи сканирования прикреплены.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) vo2013, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Это нормальные записи

    Логи в порядке
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    08.11.2013
    Сообщений
    20
    Вес репутации
    38
    Спасибо за пояснение.

  • Уважаемый(ая) vo2013, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. win32.backdoor.shiz последствия
      От Mahou в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 12.05.2011, 19:28
    2. BackDoor.Gbot, последствия
      От Denozaur в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 23.04.2011, 18:49
    3. BackDoor.Gbot, последствия - продолжение
      От Denozaur в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 20.04.2011, 22:17
    4. Последствия Backdoor.Win32.Bredavi.brp
      От allusik88 в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 27.01.2010, 16:06
    5. BackDoor.Generic.1138 последствия
      От she1est в разделе Помогите!
      Ответов: 22
      Последнее сообщение: 29.06.2007, 13:55

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00259 seconds with 20 queries