Показано с 1 по 5 из 5.

Функция advapi32.dll и wininet.dll перехвачена, метод APICodeHijack (заявка № 87388)

  1. #1
    Junior Member Репутация
    Регистрация
    07.09.2010
    Сообщений
    3
    Вес репутации
    50

    Функция advapi32.dll и wininet.dll перехвачена, метод APICodeHijack

    Добрый день,
    Проблема - периодически комп начинает соединяться по TCP с неким набором адресов, помогает избавиться только включение брандмауэра. Процесс system или services.
    Найти собственно прогр., которая открывает соединения не могу уже длительное время. АVP и DR Web ничего не находят. AVZ из непонятного показывает
    Функция advapi32.dll:CryptAcquireContextA (135) перехвачена..... Функция wininet.dll:InternetAlgIdToStringA (214) перехвачена.....
    плюс вот это:
    \FileSystem\ntfs[IRP_MJ_CREATE] = 8B5E19A8 -> перехватчик не определен
    \driver\tcpip[IRP_MJ_INTERNAL_DEVICE_CONTROL] = 8AEFDE90 -> перехватчик не определен

    Помогите найти источник проблемы. Спасибо.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Сделайте лог Гмер

  4. #3
    Junior Member Репутация
    Регистрация
    07.09.2010
    Сообщений
    3
    Вес репутации
    50
    Добрый день,
    К сожалению лог Gmerа сделать не удалось: и в обычном, и в safe WinXPSP3 вылетал в BSOD при полном сканировании. Перед вылетом было уведомление о подозрении на троянца в сервисе twvwe (буквы и название ничего не значащие).

    Поиском нашел у себя c:\windows\system32\drivers\twvwe.sys. Проверить файлик онлайн было невозможно из-за отказа в доступе.

    В реестре были ключи:
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\t wvwe]
    @=""
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\t wvwe]
    @=""
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\twvwe]
    @=""
    К этим ключам также нельзя было получить доступ.

    Через recovery панель выяснил, что сервис "twvwe" стартует при boot, сделал этому сервису disable. После проверки файла в онлайне выяснилось, что это Rootkit.Win32.Agent.biiu (при этом ни KAV, ни Dr Web ничего не показывали). По ощущениям, этот троянец слушал ftp, при выкладывании на сервер веб страниц, троянец дописывал к Java скриптам и просто в HTML небольшой скриптик с отсылкой на на некие сайты.

    Скриптом AVZ удалил ключи реестра и сам файл троянца. АVZ перестал ругаться на
    \FileSystem\ntfs[IRP_MJ_CREATE] = 8B5E19A8 -> перехватчик не определен
    \driver\tcpip[IRP_MJ_INTERNAL_DEVICE_CONTROL] = 8AEFDE90 -> перехватчик не определен


    Но по-прежнему AVZ выдает, что
    Функция advapi32.dll:CryptAcquireContextA (135) перехвачена..... Функция wininet.dll:InternetAlgIdToStringA (214) перехвачена.....

    Прошу посмотреть новые логи AVZ и Хайджека, все ли в порядке? Заранее спасибо.

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Скачайте "OSAM" Online Solutions Autorun Manager. В меню драйверов правой кнопкой по twvwe и выберите "Turn Run Off". Перезагрузку подтвердите.

    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteService('twvwe');
     QuarantineFile('C:\WINDOWS\system32\Drivers\twvwe','');
     DeleteFile('C:\WINDOWS\system32\Drivers\twvwe');
     RegKeyDel('HKEY_LOCAL_MACHINE\SYSTEM','\ControlSet002\Services\twvwe');
     RegKeyDel('HKEY_LOCAL_MACHINE\SYSTEM','\ControlSet003\Services\twvwee');
     RegKeyDel('HKEY_LOCAL_MACHINE\SYSTEM','CurrentControlSet\Services\twvwe');
     BC_DeleteSvc('twvwe');  
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Потом попробуйте сделать лог Гмер + логи АВЗ

    Добавлено через 5 минут

    Цитата Сообщение от msx276 Посмотреть сообщение
    Скриптом AVZ удалил ключи реестра и сам файл троянца. АVZ перестал ругаться на
    Вы самолечением занимаетесь или мы Вас лечим?
    Последний раз редактировалось olejah; 08.09.2010 в 10:21. Причина: Добавлено

  6. #5
    Junior Member Репутация
    Регистрация
    07.09.2010
    Сообщений
    3
    Вес репутации
    50
    Здравствуйте, еще раз.
    Ваша рекомендация в посте выше уже излишняя, троянца удалил сам.
    А поиском на форуме нашел, что перехватчики wininet, выделенные выше - это от Крипто-Про (http://virusinfo.info/showthread.php?t=7912)

    Так что проблема решена, спасибо что натолкнули на путь решения.

  • Уважаемый(ая) msx276, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 1
      Последнее сообщение: 26.03.2011, 21:41
    2. Ответов: 1
      Последнее сообщение: 06.04.2010, 10:42
    3. Перехвачены ntdll.dll,user32.dll,ws2_32.dll,wininet.dll
      От Krema в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 09.11.2009, 15:50
    4. Ответов: 3
      Последнее сообщение: 07.10.2009, 20:57
    5. Ответов: 1
      Последнее сообщение: 31.01.2008, 19:12

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01460 seconds with 17 queries