Показано с 1 по 2 из 2.

Rootkit (заявка № 27603)

  1. #1
    Junior Member Репутация
    Регистрация
    06.08.2008
    Адрес
    Москва
    Сообщений
    9
    Вес репутации
    31

    Rootkit

    Помогите в борьбе с руткитом(ми).
    Ни разу не встречался и толком не знаю, что делать.
    Лог AVZ прилагается =)
    Буду признателен за помощ.
    moderated:::Не постите и не прикрепляйте никакие другие файлы, логи, кроме логов HijackThis и AVZ (virusinfo_syscure.zip ,virusinfo_syscheck.zip),
    если Вас об этом не просили.


    Протокол антивирусной утилиты AVZ версии 4.30
    Сканирование запущено в 05.08.2008 17:21:09
    Загружена база: сигнатуры - 179784, нейропрофили - 2, микропрограммы лечения - 56, база от 03.08.2008 22:23
    Загружены микропрограммы эвристики: 370
    Загружены микропрограммы ИПУ: 9
    Загружены цифровые подписи системных файлов: 71565
    Режим эвристического анализатора: Средний уровень эвристики
    Режим лечения: включено
    Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
    Восстановление системы: включено
    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Функция ntdll.dll:NtResumeThread (297) перехвачена, метод CodeHijack (метод не определен)
    >>> Код руткита в функции NtResumeThread нейтрализован
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Функция ws2_32.dll:WSARecv (71) перехвачена, метод CodeHijack (метод не определен)
    >>> Код руткита в функции WSARecv нейтрализован
    Функция ws2_32.dll:WSASend (76) перехвачена, метод CodeHijack (метод не определен)
    >>> Код руткита в функции WSASend нейтрализован
    Функция ws2_32.dll:closesocket (3) перехвачена, метод CodeHijack (метод не определен)
    >>> Код руткита в функции closesocket нейтрализован
    Функция ws2_32.dll:connect (4) перехвачена, метод CodeHijack (метод не определен)
    >>> Код руткита в функции connect нейтрализован
    Функция ws2_32.dll:recv (16) перехвачена, метод CodeHijack (метод не определен)
    >>> Код руткита в функции recv нейтрализован
    Функция ws2_32.dll:send (19) перехвачена, метод CodeHijack (метод не определен)
    >>> Код руткита в функции send нейтрализован
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.4 Поиск маскировки процессов и драйверов
    Поиск маскировки процессов и драйверов завершен
    Драйвер успешно загружен
    1.5 Проверка обработчиков IRP
    \FileSystem\ntfs[IRP_MJ_CREATE] = 8536B418 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_CLOSE] = 85954218 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_WRITE] = 853781E0 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 85570818 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 85432790 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_CREATE] = 854DF0A8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_CLOSE] = 86082AF0 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_WRITE] = 85750EF8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 8622A7E8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 862828C0 -> перехватчик не определен
    Проверка завершена
    2. Проверка памяти
    Количество найденных процессов: 115
    Количество загруженных модулей: 333
    Проверка памяти завершена
    3. Сканирование дисков
    Прямое чтение C:\2EE8.tmp
    Прямое чтение C:\2EEA.tmp
    Прямое чтение C:\Documents and Settings\Evgeniya\Local Settings\Temp\JET617C.tmp
    Прямое чтение C:\Documents and Settings\Evgeniya\Local Settings\Temp\JETB066.tmp
    Прямое чтение C:\Documents and Settings\Evgeniya\Local Settings\Temp\~DF49F8.tmp
    Прямое чтение C:\Documents and Settings\Evgeniya\Local Settings\Temp\~DF61F1.tmp
    Прямое чтение C:\Documents and Settings\Evgeniya\Local Settings\Temporary Internet Files\Content.IE5\9ZYM6ZE5\200[1].exe
    Прямое чтение C:\Documents and Settings\Evgeniya\Local Settings\Temporary Internet Files\Content.IE5\9ZYM6ZE5\d[1].exe
    4. Проверка Winsock Layered Service Provider (SPI/LSP)
    Настройки LSP проверены. Ошибок не обнаружено
    5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
    C:\Program Files\ESET\ESET NOD32 Antivirus\shellExt.dll --> Подозрение на Keylogger или троянскую DLL
    C:\Program Files\ESET\ESET NOD32 Antivirus\shellExt.dll>>> Поведенческий анализ
    Типичное для кейлоггеров поведение не зарегистрировано
    C:\WINDOWS\SYSTEM32\DWRCShell.DLL --> Подозрение на Keylogger или троянскую DLL
    C:\WINDOWS\SYSTEM32\DWRCShell.DLL>>> Поведенческий анализ
    Типичное для кейлоггеров поведение не зарегистрировано
    На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
    6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
    Проверка отключена пользователем
    7. Эвристичеcкая проверка системы
    Проверка завершена
    8. Поиск потенциальных уязвимостей
    Проверка завершена
    9. Мастер поиска и устранения проблем
    Проверка завершена
    Просканировано файлов: 20289, извлечено из архивов: 2272, найдено вредоносных программ 0, подозрений - 0
    Сканирование завершено в 05.08.2008 17:37:04
    Сканирование длилось 00:15:56
    Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
    то Вы можете обратиться в конференцию - http://virusinfo.info
    Сканирование прервано пользователем
    Последний раз редактировалось GaBB3R; 06.08.2008 в 12:27.

  2. Реклама
     

  3. #2
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    792
    Цитата Сообщение от GaBB3R Посмотреть сообщение
    Помогите в борьбе с руткитом(ми).
    Внимательно прочитать вот это: http://virusinfo.info/showthread.php?t=1235
    ---
    С уважением,
    Borka.

  • Уважаемый(ая) GaBB3R, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Rootkit.HiddenValue@0 и Rootkit.HiddenKey@0 Вирусы?
      От Romik_lv в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 13.09.2011, 20:34
    2. Ответов: 11
      Последнее сообщение: 22.02.2009, 02:51
    3. Ответов: 16
      Последнее сообщение: 22.02.2009, 02:43
    4. Win32/Rootkit.Agent.DP, Win32/Rootkit.Agent.EY и Win32/WigonX
      От vook в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 01:53
    5. Rootkit that bypasses Anti-Rootkit Software
      От Simple10 в разделе Viruses, Adware, Spyware, Hijackers
      Ответов: 3
      Последнее сообщение: 22.02.2008, 07:20

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00780 seconds with 18 queries