-
Junior Member
- Вес репутации
- 53
При подключении к интернету файрвол предупреждает о попытке что-то отправить на IP 94.253.1.200
В момент подключения к интернету компьютер пытается что-то отослать по протоколу UDP на IP 94.253.1.200 и 192.168.0.10
При отключении интернета пытается что-то выслать на IP 192.168.0.10
Об этом меня уведомляет файрвол, периодически спрашивая разрешить активность или нет. Пока блокирую (не знаю удачно или нет), но ОЧЕНЬ хотелось бы разобраться откеда такая активность, что в себе несёт и как удалить? Спасибо.
Все иструкции выполнил согласно правилам. Вирусов не обнаружено, но AVZ обнаружил перехватчиков. Что-то они мне не нравятся.
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:GetProcAddress (408) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AC28->7C882FEC
Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D77->7C882F9C
Функция kernel32.dll:LoadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D4F->7C882FB0
Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF1->7C882FD8
Функция kernel32.dll:LoadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80ACD3->7C882FC4
Детектирована модификация IAT: LoadLibraryA - 7C882F9C<>7C801D77
Детектирована модификация IAT: GetProcAddress - 7C882FEC<>7C80AC28
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:RegisterRawInputDevices (546) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D8C9AA->7D1E0080
Прилагаю файлы логов.
Вложение 186953
Вложение 186954
Вложение 186955
Последний раз редактировалось Rene-gad; 04.12.2009 в 15:03.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
DyaDya
В момент подключения к интернету компьютер пытается что-то отослать по протоколу UDP на IP 94.253.1.200
Flex Ltd.
Lenina Sq. 11 Noginsk
142403 Moscow district
Russian Federation
Знакомо?
Это Ваш прокси-сервер.
В логах ничего подозрительного.
Сообщеня о перехватах в порядке вещей.
-
-
Junior Member
- Вес репутации
- 53
Ух, спасибки.
Просто раньше таких перехватчиков AVZ не находил (были только проверенные) и сообщений от файрвола подобных не выскакивало. Видимо совпадение просто.