-
Junior Member
- Вес репутации
- 53
Перехвачены ntdll.dll,user32.dll,ws2_32.dll,wininet.dll
Здравствуйте!
Вчера антивирус проверил компьютер и удалил 3 трояна. Сегодня AVZ находит перехваченные функции:
Код:
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:LdrGetProcedureAddress (65) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C919328->035C1F
Функция ntdll.dll:LdrLoadDll (70) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C915CBB->035C84
Функция ntdll.dll:NtCreateFile (123) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D0AE->035F35
Функция ntdll.dll:NtCreateThread (140) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D1AE->035BED
Функция ntdll.dll:NtQueryDirectoryFile (234) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D76E->036266
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:DestroyWindow (154) перехвачена, метод ProcAddressHijack.GetProcAddress ->7E36DAEA->036157
Функция user32.dll:EndDialog (199) перехвачена, метод ProcAddressHijack.GetProcAddress ->7E3759C9->035718
Функция user32.dll:GetClipboardData (258) перехвачена, метод ProcAddressHijack.GetProcAddress ->7E380D7A->03652B
Функция user32.dll:TranslateMessage (683) перехвачена, метод ProcAddressHijack.GetProcAddress ->7E368BF6->0367D5
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:WSAConnect (33) перехвачена, метод ProcAddressHijack.GetProcAddress ->71AA0C69->035652
Функция ws2_32.dll:closesocket (3) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A99639->03F0B7
Функция ws2_32.dll:connect (4) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A9406A->0356DA
Функция ws2_32.dll:send (19) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A9428A->03F0DE
Анализ wininet.dll, таблица экспорта найдена в секции .text
Функция wininet.dll:HttpQueryInfoA (206) перехвачена, метод ProcAddressHijack.GetProcAddress ->3F9F0C67->03E22B
Функция wininet.dll:HttpQueryInfoW (207) перехвачена, метод ProcAddressHijack.GetProcAddress ->3F9F7E66->03E27A
Функция wininet.dll:HttpSendRequestA (208) перехвачена, метод ProcAddressHijack.GetProcAddress ->3F9FCD50->03EAE7
Функция wininet.dll:HttpSendRequestExA (209) перехвачена, метод ProcAddressHijack.GetProcAddress ->3FA5D5BE->03EBC6
Функция wininet.dll:HttpSendRequestExW (210) перехвачена, метод ProcAddressHijack.GetProcAddress ->3FA0353A->03EBA9
Функция wininet.dll:HttpSendRequestW (211) перехвачена, метод ProcAddressHijack.GetProcAddress ->3FA10845->03EACA
Функция wininet.dll:InternetCloseHandle (224) перехвачена, метод ProcAddressHijack.GetProcAddress ->3F9EDA71->03E6A4
Функция wininet.dll:InternetQueryDataAvailable (272) перехвачена, метод ProcAddressHijack.GetProcAddress ->3F9FAE0D->03E869
Функция wininet.dll:InternetReadFile (276) перехвачена, метод ProcAddressHijack.GetProcAddress ->3F9FABCC->03E810
Функция wininet.dll:InternetReadFileExA (277) перехвачена, метод ProcAddressHijack.GetProcAddress ->3FA13F50->03E84B
Функция wininet.dll:InternetReadFileExW (278) перехвачена, метод ProcAddressHijack.GetProcAddress ->3FA13F18->03E82D
И ещё некоторые функции перехвачены неизвестным или spby.sys..
Логи прикрепляю.
Помогите пожалуйста! Заранее очень благодарна!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
QuarantineFile('C:\Documents and Settings\Crematoria\Local Settings\Temporary Internet Files\Content.IE5\SYJIHI0Y\setup[1].exe','');
DelBHO('92780B25-18CC-41C8-B9BE-3C9C571A8263');
DelBHO('3CA2F312-6F6E-4B53-A66E-4E65E497C8C0');
DelAutorunByFileName('C:\WINDOWS\system32\sdra64.exe');
RebootWindows(false);
end.
Загрузите карантин согласно приложению №3 правил. Повторите лог virusinfo_syscheck.zip
Добавлено через 47 секунд
Ваш перехватчик - Alcohol.
Последний раз редактировалось Макcим; 08.11.2009 в 12:35.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 53
Сделала - вроде всё исправилось! А то что всё равно выделено красным - с чем это связано?
Файл virus.zip слишком большой получается...
-
Junior Member
- Вес репутации
- 53
Сделала ещё раз сбор информации и опять выдал те же перехваты функций как в заголовке темы!
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Программой KatesKiller.exe ничего не находит..
Код:
Trojan-PSW.Win32.Kates removing tool, Kaspersky Lab 2009
version 1.2.0 Oct 19 2009 13:26:09
scanning threads ...
scanning modules...
scanning registry ...
completed
Infected threads: 0
Spliced functions: 0
Deleted files: 0
Fixed registry keys: 0
-
Пофиксить в HiJack
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Сделала - больше не появляется перехватчиков, как писала в заголовке, но остались эти:
Код:
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=0846E0)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 8055B6E0
KiST = 80503960 (284)
Функция NtCreateKey (29) перехвачена (8062212E->BA6A70E0), перехватчик spnx.sys
Функция NtEnumerateKey (47) перехвачена (8062296E->BA6C5CA4), перехватчик spnx.sys
Функция NtEnumerateValueKey (49) перехвачена (80622BD8->BA6C6032), перехватчик spnx.sys
Функция NtOpenKey (77) перехвачена (806234C4->BA6A70C0), перехватчик spnx.sys
Функция NtOpenSection (7D) перехвачена (805A8EC2->BA5C813C), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys
Функция NtQueryKey (A0) перехвачена (806237E8->BA6C610A), перехватчик spnx.sys
Функция NtQueryValueKey (B1) перехвачена (806201E8->BA6C5F8A), перехватчик spnx.sys
Функция NtSetValueKey (F7) перехвачена (806207EE->BA6C619C), перехватчик spnx.sys
Функция NtSystemDebugControl (FF) перехвачена (80615F8E->BA5C8072), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys
Проверено функций: 284, перехвачено: 9, восстановлено: 0
Логи прикрепляю. Virus.zip выслала..
-
Это от антивируса и эмулятора дисков
В логах чисто
Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8
Установите Adobe Acrobat 9.1 или удалите старый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Спасибо Вам огромное!!! Просто нет слов! Благодарю за помощь!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 15
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.acyn
- d:\programs\mirc.eclipse\mirc.exe - not-a-virus:Client-IRC.Win32.mIRC.616 ( DrWEB: Program.mIRC.616 )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-