Здравствуйте. Вобщем ситуация стандартная, лазил юзер в инете, в кэш браузера попала зараза, юзер как обычно нажал "там что-то и все пропало"...Потом нод начал кричать что вирус и т.д. После проверки нодом и курейтом удалили пару файлов...Потом стал сканить АВЗом выдал следующее:
Код:
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:LdrGetProcedureAddress (65) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C919B88->1351EB
Функция ntdll.dll:LdrLoadDll (70) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C9161CA->135229
Функция ntdll.dll:NtCreateThread (140) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D7D2->1351B8
Функция ntdll.dll:NtQueryDirectoryFile (234) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90DF5E->135297
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:GetClipboardData (258) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D6FCB2->1355A9
Функция user32.dll:TranslateMessage (683) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D48BCE->13588A
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:WSASend (76) перехвачена, метод ProcAddressHijack.GetProcAddress ->71AB6233->13FC72
Функция ws2_32.dll:WSASendTo (78) перехвачена, метод ProcAddressHijack.GetProcAddress ->71AC0A95->13FC57
Функция ws2_32.dll:closesocket (3) перехвачена, метод ProcAddressHijack.GetProcAddress ->71AB9639->13FC47
Функция ws2_32.dll:send (19) перехвачена, метод ProcAddressHijack.GetProcAddress ->71AB428A->13FCDE
Функция ws2_32.dll:sendto (20) перехвачена, метод ProcAddressHijack.GetProcAddress ->71AB2C69->13FCA8
Анализ wininet.dll, таблица экспорта найдена в секции .text
Функция wininet.dll:HttpQueryInfoA (205) перехвачена, метод ProcAddressHijack.GetProcAddress ->771C8C6A->13EA8E
Функция wininet.dll:HttpQueryInfoW (206) перехвачена, метод ProcAddressHijack.GetProcAddress ->771D7756->13EADF
Функция wininet.dll:HttpSendRequestA (207) перехвачена, метод ProcAddressHijack.GetProcAddress ->771C76B8->13F653
Функция wininet.dll:HttpSendRequestExA (208) перехвачена, метод ProcAddressHijack.GetProcAddress ->7721190D->13F737
Функция wininet.dll:HttpSendRequestExW (209) перехвачена, метод ProcAddressHijack.GetProcAddress ->771D53EB->13F71A
Функция wininet.dll:HttpSendRequestW (210) перехвачена, метод ProcAddressHijack.GetProcAddress ->77211808->13F633
Функция wininet.dll:InternetCloseHandle (223) перехвачена, метод ProcAddressHijack.GetProcAddress ->771C61DC->13EF10
Функция wininet.dll:InternetQueryDataAvailable (268) перехвачена, метод ProcAddressHijack.GetProcAddress ->771D325F->13F0C0
Функция wininet.dll:InternetReadFile (272) перехвачена, метод ProcAddressHijack.GetProcAddress ->771C9555->13F05E
Функция wininet.dll:InternetReadFileExA (273) перехвачена, метод ProcAddressHijack.GetProcAddress ->771F7E9A->13F09F
Функция wininet.dll:InternetReadFileExW (274) перехвачена, метод ProcAddressHijack.GetProcAddress ->771F88D6->13F07E
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
и никак не могу вывести эту заразу((
Прошу у Вас помощи! Очень нужно!
Логи приложил.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: