-
Junior Member
- Вес репутации
- 50
Функция advapi32.dll и wininet.dll перехвачена, метод APICodeHijack
Добрый день,
Проблема - периодически комп начинает соединяться по TCP с неким набором адресов, помогает избавиться только включение брандмауэра. Процесс system или services.
Найти собственно прогр., которая открывает соединения не могу уже длительное время. АVP и DR Web ничего не находят. AVZ из непонятного показывает
Функция advapi32.dll:CryptAcquireContextA (135) перехвачена..... Функция wininet.dll:InternetAlgIdToStringA (214) перехвачена.....
плюс вот это:
\FileSystem\ntfs[IRP_MJ_CREATE] = 8B5E19A8 -> перехватчик не определен
\driver\tcpip[IRP_MJ_INTERNAL_DEVICE_CONTROL] = 8AEFDE90 -> перехватчик не определен
Помогите найти источник проблемы. Спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 50
Добрый день,
К сожалению лог Gmerа сделать не удалось: и в обычном, и в safe WinXPSP3 вылетал в BSOD при полном сканировании. Перед вылетом было уведомление о подозрении на троянца в сервисе twvwe (буквы и название ничего не значащие).
Поиском нашел у себя c:\windows\system32\drivers\twvwe.sys. Проверить файлик онлайн было невозможно из-за отказа в доступе.
В реестре были ключи:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\t wvwe]
@=""
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\t wvwe]
@=""
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\twvwe]
@=""
К этим ключам также нельзя было получить доступ.
Через recovery панель выяснил, что сервис "twvwe" стартует при boot, сделал этому сервису disable. После проверки файла в онлайне выяснилось, что это Rootkit.Win32.Agent.biiu (при этом ни KAV, ни Dr Web ничего не показывали). По ощущениям, этот троянец слушал ftp, при выкладывании на сервер веб страниц, троянец дописывал к Java скриптам и просто в HTML небольшой скриптик с отсылкой на на некие сайты.
Скриптом AVZ удалил ключи реестра и сам файл троянца. АVZ перестал ругаться на
\FileSystem\ntfs[IRP_MJ_CREATE] = 8B5E19A8 -> перехватчик не определен
\driver\tcpip[IRP_MJ_INTERNAL_DEVICE_CONTROL] = 8AEFDE90 -> перехватчик не определен
Но по-прежнему AVZ выдает, что
Функция advapi32.dll:CryptAcquireContextA (135) перехвачена..... Функция wininet.dll:InternetAlgIdToStringA (214) перехвачена.....
Прошу посмотреть новые логи AVZ и Хайджека, все ли в порядке? Заранее спасибо.
-
Скачайте "OSAM" Online Solutions Autorun Manager. В меню драйверов правой кнопкой по twvwe и выберите "Turn Run Off". Перезагрузку подтвердите.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteService('twvwe');
QuarantineFile('C:\WINDOWS\system32\Drivers\twvwe','');
DeleteFile('C:\WINDOWS\system32\Drivers\twvwe');
RegKeyDel('HKEY_LOCAL_MACHINE\SYSTEM','\ControlSet002\Services\twvwe');
RegKeyDel('HKEY_LOCAL_MACHINE\SYSTEM','\ControlSet003\Services\twvwee');
RegKeyDel('HKEY_LOCAL_MACHINE\SYSTEM','CurrentControlSet\Services\twvwe');
BC_DeleteSvc('twvwe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Потом попробуйте сделать лог Гмер + логи АВЗ
Добавлено через 5 минут
Сообщение от
msx276
Скриптом AVZ удалил ключи реестра и сам файл троянца. АVZ перестал ругаться на
Вы самолечением занимаетесь или мы Вас лечим?
Последний раз редактировалось olejah; 08.09.2010 в 10:21.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 50
Здравствуйте, еще раз.
Ваша рекомендация в посте выше уже излишняя, троянца удалил сам.
А поиском на форуме нашел, что перехватчики wininet, выделенные выше - это от Крипто-Про (http://virusinfo.info/showthread.php?t=7912)
Так что проблема решена, спасибо что натолкнули на путь решения.