ntdll.dll user32.dll cssdll32.dll Подозрение на Keylogger или троянскую DLL
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtClose (111) перехвачена, метод APICodeHijack.JmpTo[00395056]
>>> Код руткита в функции NtClose нейтрализован
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:EndTask (202) перехвачена, метод APICodeHijack.JmpTo[00394C26]
>>> Код руткита в функции EndTask нейтрализован
Функция user32.dll:keybd_event (727) перехвачена, метод APICodeHijack.JmpTo[00391546]
>>> Код руткита в функции keybd_event нейтрализован
Функция user32.dll:mouse_event (728 ) перехвачена, метод APICodeHijack.JmpTo[003916C6]
>>> Код руткита в функции mouse_event нейтрализован
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\WINDOWS\system32\cssdll32.dll C:\WINDOWS\system32\guard32.dll
Также исчезли значки из Панели "Сетевые подключения" и служба Windows Installer перестала работать
...
Последний раз редактировалось Rene-gad; 18.08.2008 в 18:27.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Расслабился Просто у меня система стоит давно уже, но проблем таких небыло Скачал этот "сп3" с внутренневки - не проконтролировал - спасибо тебе (вам) большое Ну и эксплорер пора бы обновить
Просто появление данной вещи:
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtClose (111) перехвачена, метод APICodeHijack.JmpTo[00395056]
>>> Код руткита в функции NtClose нейтрализован
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:EndTask (202) перехвачена, метод APICodeHijack.JmpTo[00394C26]
>>> Код руткита в функции EndTask нейтрализован
Функция user32.dll:keybd_event (727) перехвачена, метод APICodeHijack.JmpTo[00391546]
>>> Код руткита в функции keybd_event нейтрализован
Функция user32.dll:mouse_event (728 ) перехвачена, метод APICodeHijack.JmpTo[003916C6]
>>> Код руткита в функции mouse_event нейтрализован
как-то насторожило вместе с проблемами мыши и выбиванием процессов
вот на эти -> C:\Program Files\Nero\Nero 7\Nero Vision\VCDLib.dll >>> подозрение на Trojan-Downloader.Win32.Agent.ytu ( 08D09C58 00000000 0023A51B 002022DE 74752)
Файл успешно помещен в карантин (C:\Program Files\Nero\Nero 7\Nero Vision\VCDLib.dll) и C:\Program Files\Comodo\Firewall\s1.tmp >>> подозрение на AdvWare.Win32.MyWebSearch.bp ( 003C9F68 00000000 001EA011 00000000 499712)
Файл успешно помещен в карантин (C:\Program Files\Comodo\Firewall\s1.tmp)
nod -> C:\Program Files\Comodo\Firewall\s1.tmp - модифицированный Win32/AdInstaller приложение Может и да - тк в 3-ей Комоде появилась свой скан, но по первой проблеме с перехватом и файликом в nero не понимаю откуда взялось
Вы же сказали, что НОД ругается??? Это сообщения АВЗ - он все перехваты анализирует. Насчет необходимости отключения файрволла я пишу в каждом сообщении.
nod -> C:\Program Files\Comodo\Firewall\s1.tmp - модифицированный Win32/AdInstaller приложение Может и да - тк в 3-ей Комоде появилась свой скан, но по первой проблеме с перехватом и файликом в nero не понимаю откуда взялось
Я отключаю фаервол - все по правилам
По поводу подозрений с руткитом: ответа так и не получил : (
Проводник (эксплорер) часто подвисает намертво при щелчке по корзине,
сетевое окружение вместе с иконкой подключения в трее так и не появлялись pig Да - это оно
http://virusinfo.info/showthread.php?t=20712
Не помогло
Корзина и еще Мой компьютер. Так чистится через тотал и заходит через него нормально - остальные значки нормально - это происходит после скана avz
Последний раз редактировалось koala-mur; 22.08.2008 в 11:41.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: