Показано с 1 по 18 из 18.

ntdll.dll user32.dll cssdll32.dll Подозрение на Keylogger или троянскую DLL (заявка № 28332)

  1. #1
    Junior Member Репутация
    Регистрация
    04.08.2008
    Сообщений
    29
    Вес репутации
    31

    Question ntdll.dll user32.dll cssdll32.dll Подозрение на Keylogger или троянскую DLL

    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Функция ntdll.dll:NtClose (111) перехвачена, метод APICodeHijack.JmpTo[00395056]
    >>> Код руткита в функции NtClose нейтрализован
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Функция user32.dll:EndTask (202) перехвачена, метод APICodeHijack.JmpTo[00394C26]
    >>> Код руткита в функции EndTask нейтрализован
    Функция user32.dll:keybd_event (727) перехвачена, метод APICodeHijack.JmpTo[00391546]
    >>> Код руткита в функции keybd_event нейтрализован
    Функция user32.dll:mouse_event (728 ) перехвачена, метод APICodeHijack.JmpTo[003916C6]
    >>> Код руткита в функции mouse_event нейтрализован

    Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\WINDOWS\system32\cssdll32.dll C:\WINDOWS\system32\guard32.dll
    Также исчезли значки из Панели "Сетевые подключения" и служба Windows Installer перестала работать

    ...
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 18.08.2008 в 18:27.

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Внимание !!! База поcледний раз обновлялась 02.08.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

    C:\WINDOWS\system32\guard32.dll - от Comodo. Поэтому желательно на время лечения отключить и файрвол.

    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное востановление.
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA}');
     DelBHO('{F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA}');
     QuarantineFile('C:\Program Files\Comodo\Firewall\s1.tmp','');
     QuarantineFile('C:\WINDOWS\system32\cssdll32.dll','');
     DeleteFile('C:\WINDOWS\system32\cssdll32.dll');
     DeleteFile('C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    04.08.2008
    Сообщений
    29
    Вес репутации
    31
    ...
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Почистили Ваш ПК.
    Про Сервис Пак 3 Вам уже наверняка говорили

  6. #5
    Junior Member Репутация
    Регистрация
    04.08.2008
    Сообщений
    29
    Вес репутации
    31
    Чего глюков много?
    У меня стоит сп3
    Последний раз редактировалось koala-mur; 18.08.2008 в 20:06.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от koala-mur Посмотреть сообщение
    Чего глюков много?
    Что Вы имеете ввиду?

  8. #7
    Junior Member Репутация
    Регистрация
    04.08.2008
    Сообщений
    29
    Вес репутации
    31
    Я Вас не понимаю - мне этот пакет не стоило было устанавливать? Или я поставил не то - и не в том направлении я думаю вообще? Поконкретнее пожаласта

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от koala-mur Посмотреть сообщение
    У меня стоит сп3
    Не стоит:
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
    Так уже конкретнее?

  10. #9
    Junior Member Репутация
    Регистрация
    04.08.2008
    Сообщений
    29
    Вес репутации
    31
    ыыЙЙЙЙ
    Или я поставил не то
    Расслабился Просто у меня система стоит давно уже, но проблем таких небыло Скачал этот "сп3" с внутренневки - не проконтролировал - спасибо тебе (вам) большое Ну и эксплорер пора бы обновить

  11. #10
    Junior Member Репутация
    Регистрация
    04.08.2008
    Сообщений
    29
    Вес репутации
    31
    Уважаемые, поставил сп3, но ничего не изменилось - добавились еще пара подозрений на... (nod тоже одну подозревает)
    Вложения Вложения

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Ничего подозрительного. На что НОД ругается? Может он с КОМОДОм не дружит?

  13. #12
    Junior Member Репутация
    Регистрация
    04.08.2008
    Сообщений
    29
    Вес репутации
    31
    Просто появление данной вещи:
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Функция ntdll.dll:NtClose (111) перехвачена, метод APICodeHijack.JmpTo[00395056]
    >>> Код руткита в функции NtClose нейтрализован
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Функция user32.dll:EndTask (202) перехвачена, метод APICodeHijack.JmpTo[00394C26]
    >>> Код руткита в функции EndTask нейтрализован
    Функция user32.dll:keybd_event (727) перехвачена, метод APICodeHijack.JmpTo[00391546]
    >>> Код руткита в функции keybd_event нейтрализован
    Функция user32.dll:mouse_event (728 ) перехвачена, метод APICodeHijack.JmpTo[003916C6]
    >>> Код руткита в функции mouse_event нейтрализован
    как-то насторожило вместе с проблемами мыши и выбиванием процессов
    вот на эти -> C:\Program Files\Nero\Nero 7\Nero Vision\VCDLib.dll >>> подозрение на Trojan-Downloader.Win32.Agent.ytu ( 08D09C58 00000000 0023A51B 002022DE 74752)
    Файл успешно помещен в карантин (C:\Program Files\Nero\Nero 7\Nero Vision\VCDLib.dll) и C:\Program Files\Comodo\Firewall\s1.tmp >>> подозрение на AdvWare.Win32.MyWebSearch.bp ( 003C9F68 00000000 001EA011 00000000 499712)
    Файл успешно помещен в карантин (C:\Program Files\Comodo\Firewall\s1.tmp)
    nod -> C:\Program Files\Comodo\Firewall\s1.tmp - модифицированный Win32/AdInstaller приложение Может и да - тк в 3-ей Комоде появилась свой скан, но по первой проблеме с перехватом и файликом в nero не понимаю откуда взялось

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Вы же сказали, что НОД ругается??? Это сообщения АВЗ - он все перехваты анализирует. Насчет необходимости отключения файрволла я пишу в каждом сообщении.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Вот по поводу НОДа:
    Цитата Сообщение от koala-mur Посмотреть сообщение
    nod -> C:\Program Files\Comodo\Firewall\s1.tmp - модифицированный Win32/AdInstaller приложение Может и да - тк в 3-ей Комоде появилась свой скан, но по первой проблеме с перехватом и файликом в nero не понимаю откуда взялось

  16. #15
    Junior Member Репутация
    Регистрация
    04.08.2008
    Сообщений
    29
    Вес репутации
    31
    Я отключаю фаервол - все по правилам
    По поводу подозрений с руткитом: ответа так и не получил : (
    Проводник (эксплорер) часто подвисает намертво при щелчке по корзине,
    сетевое окружение вместе с иконкой подключения в трее так и не появлялись
    pig Да - это оно

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от koala-mur Посмотреть сообщение
    По поводу подозрений с руткитом: ответа так и не получил : (
    Зто нормально АВЗ пытается нейтрализовать все перехваты.
    Проводник (эксплорер) часто подвисает намертво при щелчке по корзине,
    Очевидно какая-то ошибка в реестре - мы к сожалению не видим ее в логах.
    сетевое окружение вместе с иконкой подключения в трее так и не появлялись
    Попробуйте выполнить это: http://virusinfo.info/showthread.php?t=20712

  18. #17
    Junior Member Репутация
    Регистрация
    04.08.2008
    Сообщений
    29
    Вес репутации
    31
    http://virusinfo.info/showthread.php?t=20712
    Не помогло
    Корзина и еще Мой компьютер. Так чистится через тотал и заходит через него нормально - остальные значки нормально - это происходит после скана avz
    Последний раз редактировалось koala-mur; 22.08.2008 в 11:41.

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,524
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 4
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) koala-mur, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Подозрение на Keylogger или троянскую DLL
      От РокСтар в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 01.08.2012, 00:44
    2. Подозрение на Keylogger или троянскую DLL
      От GoTR в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 12.01.2010, 09:50
    3. Подозрение на Keylogger или троянскую DLL
      От Zaraki-san в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 04:29
    4. Подозрение на Keylogger или троянскую DLL
      От Zaraki-san в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 21.03.2008, 16:22
    5. Подозрение на Keylogger и троянскую DLL
      От CyREX925 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 25.09.2007, 14:45

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00113 seconds with 22 queries