Система с недавних пор несколько странно себя ведёт: иногда не запускается редактор реестра (через AVZGuard - нормально), не запускается Dr.Web CureIt, морда Agnitum Outpost (процесс op_mon.exe) не стартует после установки, хотя правила работают.
Больше всего подозрений вызывают данные "хвосты":
Код:
Функция kernel32.dll:CreateProcessW (103) перехвачена, метод APICodeHijack.JmpTo[100C3432]
Детектирована модификация IAT: LoadLibraryA - 6603EE88<>7C801D7B
Функция ws2_32.dll:WSARecv (71) перехвачена, метод APICodeHijack.JmpTo[100C2436]
Функция ws2_32.dll:WSASend (76) перехвачена, метод APICodeHijack.JmpTo[100C332E]
Функция ws2_32.dll:connect (4) перехвачена, метод APICodeHijack.JmpTo[100C337A]
Функция ws2_32.dll:recv (16) перехвачена, метод APICodeHijack.JmpTo[100C23BA]
Функция ws2_32.dll:send (19) перехвачена, метод APICodeHijack.JmpTo[100C2BEE]
1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=B8D2E000, размер=81920, имя = "\SystemRoot\System32\Drivers\Parport.SYS"
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен
На вид parport.sys оказался вполне легальным драйвером.
Проверка свежими KAV7, Dr.Web 5.0, Dr.Web с LiveCD ничего даёт. В безопасном режиме данных хуков не наблюдается.
Последний раз редактировалось Lonely Soul; 30.03.2009 в 00:51.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
В этом логе ничего подозрительного не видно.
Перехваты не свидетельствуют о наличии заразы.
Для получения более полной картины нужно проделать следующее:
1. Временно деинсталлировать Аутпост или полностью его отключить.
2. В AVZ установить драйвер расширенного мониторинга (AVZPM) и перезагрузиться.
3. Сделать полный комплект логов, как описано в разделе "Диагностика" правил.
До установки Outpost'а был Comodo Firewall Pro, там наблюдались все те же левые хуки (ws2_32 + CreateProcessW). Результаты расширенного мониторинга уже описал, отличается только жалобой на parport.sys. Но что совсем странно - на компе нет параллельного порта (ноутбук). Да и не похоже, чтобы настоящий драйвер вёл себя подобным образом (проверял на другой аналогичной системе с parport.sys).
Из списка служб пропали "Сервер" и "Рабочая станция".
Логов уже тьма различных, но все указывают по сути на одно и то же. Однако, ни AVZ, ни GMER не в состоянии указать на конкретный процесс или компонент, которому принадлежит подозрительное адресное пространство. Пока что предполагаю, что это explorer.exe или svchost.exe.
Скрипт поиска руткитов AVZ снимает хуки, но после ребута всё сново налицо.
Уважаемый(ая) Lonely Soul, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: