Обнаружил вчера странную активность на компьютере. Крашились процессы, не открывался hijack и avz и т.д.
В итоге добился работы avz и понял что наткнулся на руткит. Логи прикреплены.
Хелп.
Версия Windows: 10.0.10586, "Windows 10 Home", дата инсталляции 02.01.2016 21:39:24 ; AVZ работает с правами администратора (+)Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1106) перехвачена, метод ProcAddressHijack.GetProcAddress ->743BA057->74869FC0
Функция kernel32.dll:ReadConsoleInputExW (1107) перехвачена, метод ProcAddressHijack.GetProcAddress ->743BA08A->74869FF0
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (270) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F97120->6C8D2300
Функция ntdll.dll:NtSetInformationFile (55 перехвачена, метод ProcAddressHijack.GetProcAddress ->76F96E40->6C8D2240
Функция ntdll.dll:NtSetValueKey (590) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F971D0->6C9085D0
Функция ntdll.dllwCreateFile (1689) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F97120->6C8D2300
Функция ntdll.dllwSetInformationFile (1975) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F96E40->6C8D2240
Функция ntdll.dllwSetValueKey (2007) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F971D0->6C9085D0
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1531) перехвачена, метод ProcAddressHijack.GetProcAddress ->75523560->6C8D1F00
Функция user32.dll:SetWindowsHookExW (2341) перехвачена, метод ProcAddressHijack.GetProcAddress ->7552FB20->6C908650
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1386) перехвачена, метод ProcAddressHijack.GetProcAddress ->73E77C0B->7461C260
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:NetFreeAadJoinInformation (139) перехвачена, метод ProcAddressHijack.GetProcAddress ->757DC3CE->6277A730
Функция netapi32.dll:NetGetAadJoinInformation (140) перехвачена, метод ProcAddressHijack.GetProcAddress ->757DC3FD->6277AAA0
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) RussianReversal, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
Virusinfo - за чистый Интернет. Делай добро и бросай его в воду.
Имеется вопрос. После запуска (включения) компьютера, происходит произвольный запуск браузера с рекламной страницей ?
Компьютер чист от вирусов. Единственное что удалось обнаружить: C:\USERS\ADMIN\DESKTOP\EXTREME INJECTOR V3.6.EXE - но насколько я понимаю это всего лишь патч к Far Cry 4.
Virusinfo - за чистый Интернет. Делай добро и бросай его в воду.
Да нет, браузер корректно работает.
То есть вирусов не обнаружено? Просто у меня вчера, когда слетела лицензия ESET компьютер начал странно себя вести: не открывался AVZ и HiJack, провисал ЦП. Я конечно бы мог спустить все на 10 винду, но когда я активировал ESET avz заработал и это натолкнуло меня на мысль о вирусе. (Раньше лечил от чего-то подобного) Включил AVZ и он показал что функции перехвачены и т.п. Подумал что руткит.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: