Добрый день.
Несколько дней назад Outpost Firewall Pro обнаружил в файле acrord32.exe вирус Backdoor. Принтскрин к сожалению не сохранил. Вирус был помещен Outpost в карантин и удален.
До этого наблюдались многочисленные попытки сканирования порта 1123.
После этого я заблокировал все ай-пи с которых шло сканирование в тот день, удалил acrord32.exe и программу Adobe Reader.
Затем скачал несколько программ-антивирусов и программ антишпионов. Проверил ими компьютер. Некоторые что-то нашли, все подозрительное удалил.
Однако теперь, при стандартном сканировании AVZ начали выскакивать красные строчки, которых до этого не было.
Скрытый текст
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:CreateProcessInternalW (101) перехвачена, метод APICodeHijack.JmpTo[7C8197B0]
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (123) перехвачена, метод APICodeHijack.JmpTo[7C90D0AE]
Функция ntdll.dll:NtDeleteValueKey (153) перехвачена, метод APICodeHijack.JmpTo[7C90D26E]
Функция ntdll.dll:NtOpenFile (204) перехвачена, метод APICodeHijack.JmpTo[7C90D59E]
Функция ntdll.dll:NtOpenProcess (211) перехвачена, метод APICodeHijack.JmpTo[7C90D5FE]
Функция ntdll.dll:NtSetContextThread (304) перехвачена, метод APICodeHijack.JmpTo[7C90DBAE]
Функция ntdll.dll:NtSetInformationFile (315) перехвачена, метод APICodeHijack.JmpTo[7C90DC5E]
Функция ntdll.dll:NtSetValueKey (338) перехвачена, метод APICodeHijack.JmpTo[7C90DDCE]
Функция ntdll.dll:ZwCreateFile (934) перехвачена, метод APICodeHijack.JmpTo[7C90D0AE]
Функция ntdll.dll:ZwDeleteValueKey (963) перехвачена, метод APICodeHijack.JmpTo[7C90D26E]
Функция ntdll.dll:ZwOpenFile (1014) перехвачена, метод APICodeHijack.JmpTo[7C90D59E]
Функция ntdll.dll:ZwOpenProcess (1021) перехвачена, метод APICodeHijack.JmpTo[7C90D5FE]
Функция ntdll.dll:ZwSetContextThread (1114) перехвачена, метод APICodeHijack.JmpTo[7C90DBAE]
Функция ntdll.dll:ZwSetInformationFile (1125) перехвачена, метод APICodeHijack.JmpTo[7C90DC5E]
Функция ntdll.dll:ZwSetValueKey (1148) перехвачена, метод APICodeHijack.JmpTo[7C90DDCE]
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:ChangeDisplaySettingsExA (34) перехвачена, метод APICodeHijack.JmpTo[100C32D6]
Функция user32.dll:ChangeDisplaySettingsExW (35) перехвачена, метод APICodeHijack.JmpTo[100C3302]
Функция user32.dll:PostMessageA (512) перехвачена, метод APICodeHijack.JmpTo[7E37AAFD]
Функция user32.dll:PostMessageW (513) перехвачена, метод APICodeHijack.JmpTo[7E368CCB]
Функция user32.dll:SendInput (571) перехвачена, метод APICodeHijack.JmpTo[7E37F140]
Функция user32.dll:SendMessageA (572) перехвачена, метод APICodeHijack.JmpTo[7E37F3C2]
Функция user32.dll:SendMessageW (577) перехвачена, метод APICodeHijack.JmpTo[7E37929A]
Функция user32.dll:SetForegroundWindow (600) перехвачена, метод APICodeHijack.JmpTo[100C3252]
Функция user32.dll:SetWindowPos (644) перехвачена, метод APICodeHijack.JmpTo[100C327E]
Функция user32.dll:keybd_event (727) перехвачена, метод APICodeHijack.JmpTo[7E3B6783]
Функция user32.dll:mouse_event (728) перехвачена, метод APICodeHijack.JmpTo[7E3B673F]
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CreateServiceA (102) перехвачена, метод APICodeHijack.JmpTo[77E27211]
Функция advapi32.dll:CreateServiceW (103) перехвачена, метод APICodeHijack.JmpTo[77E273A9]
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:WSAConnect (33) перехвачена, метод APICodeHijack.JmpTo[71AA0C81]
Функция ws2_32.dll:WSALookupServiceBeginW (63) перехвачена, метод APICodeHijack.JmpTo[71A935EF]
Функция ws2_32.dll:connect (4) перехвачена, метод APICodeHijack.JmpTo[71A94A07]
Функция ws2_32.dll:listen (13) перехвачена, метод APICodeHijack.JmpTo[71A98CD3]
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Функция rasapi32.dll:RasDialW (22) перехвачена, метод APICodeHijack.JmpTo[76EE68DB]
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
Скрыть
Непонятно что это и что с этим делать?
Мой компьютер заражен?
Логи сканирования прикреплены.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) vo2013, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: