-
Junior Member
- Вес репутации
- 50
При отправке сообщений Outlook 2007 зависает, AVZ находит руткит.
При отправке сообщений Outlook 2007 зависает, AVZ находит руткит. После лечения и перезагрузки руткит появляется снова. Антивирусные утиллиты вирусов не обнаруживают.
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dlldrLoadDll (70) перехвачена, метод APICodeHijack.JmpTo[0EA834A7]
>>> Код руткита в функции LdrLoadDll нейтрализован
Функция ntdll.dll:NtEnumerateValueKey (161) перехвачена, метод APICodeHijack.JmpTo[0EA88EEE]
>>> Код руткита в функции NtEnumerateValueKey нейтрализован
Функция ntdll.dll:NtQueryDirectoryFile (234) перехвачена, метод APICodeHijack.JmpTo[0EA894EF]
>>> Код руткита в функции NtQueryDirectoryFile нейтрализован
Функция ntdll.dll:NtResumeThread (297) перехвачена, метод APICodeHijack.JmpTo[0EA896A5]
>>> Код руткита в функции NtResumeThread нейтрализован
Функция ntdll.dll:NtVdmControl (359) перехвачена, метод APICodeHijack.JmpTo[0EA895A7]
>>> Код руткита в функции NtVdmControl нейтрализован
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:TranslateMessage (683) перехвачена, метод APICodeHijack.JmpTo[0EA8580B]
>>> Код руткита в функции TranslateMessage нейтрализован
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CryptEncrypt (145) перехвачена, метод APICodeHijack.JmpTo[0EA86EC8]
>>> Код руткита в функции CryptEncrypt нейтрализован
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:send (19) перехвачена, метод APICodeHijack.JmpTo[0EA8E446]
>>> Код руткита в функции send нейтрализован
Анализ wininet.dll, таблица экспорта найдена в секции .text
Функция wininet.dll:HttpAddRequestHeadersA (200) перехвачена, метод APICodeHijack.JmpTo[0EA8EFC6]
>>> Код руткита в функции HttpAddRequestHeadersA нейтрализован
Функция wininet.dll:HttpOpenRequestA (205) перехвачена, метод APICodeHijack.JmpTo[0EA8EBF6]
>>> Код руткита в функции HttpOpenRequestA нейтрализован
Функция wininet.dll:HttpQueryInfoA (207) перехвачена, метод APICodeHijack.JmpTo[0EA91736]
>>> Код руткита в функции HttpQueryInfoA нейтрализован
Функция wininet.dll:HttpSendRequestA (209) перехвачена, метод APICodeHijack.JmpTo[0EA876DB]
>>> Код руткита в функции HttpSendRequestA нейтрализован
Функция wininet.dll:HttpSendRequestW (212) перехвачена, метод APICodeHijack.JmpTo[0EA87812]
>>> Код руткита в функции HttpSendRequestW нейтрализован
Функция wininet.dll:InternetCloseHandle (225) перехвачена, метод APICodeHijack.JmpTo[0EA92226]
>>> Код руткита в функции InternetCloseHandle нейтрализован
Функция wininet.dll:InternetQueryDataAvailable (273) перехвачена, метод APICodeHijack.JmpTo[0EA8F236]
>>> Код руткита в функции InternetQueryDataAvailable нейтрализован
Функция wininet.dll:InternetReadFile (277) перехвачена, метод APICodeHijack.JmpTo[0EA91F86]
>>> Код руткита в функции InternetReadFile нейтрализован
Функция wininet.dll:InternetReadFileExA (27 перехвачена, метод APICodeHijack.JmpTo[0EA920D6]
>>> Код руткита в функции InternetReadFileExA нейтрализован
Функция wininet.dll:InternetWriteFile (309) перехвачена, метод APICodeHijack.JmpTo[0EA87949]
>>> Код руткита в функции InternetWriteFile нейтрализован
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в hijackthis -
Код:
R3 - URLSearchHook: (no name) - - (no file)
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\temporaryx.exe\temporaryx.exe','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
-
-
Junior Member
- Вес репутации
- 50
Выполнено.
Файл сохранён как101007_201947_quarantine_4cadf3231fdc5.zip
Размер файла289999
MD598c45f4635254246285f0050cefab920
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\temporaryx.exe\temporaryx.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','temporaryx.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','temporaryx.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run','temporaryx.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','temporaryx.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
- Повторите логи
-
-
Junior Member
- Вес репутации
- 50
-
Плохого не вижу, проблем не наблюдается?
-
-
Junior Member
- Вес репутации
- 50
Оутлук снесен)))) Сейчас поставлю, отпишусь))
Добавлено через 14 минут
Все заработало, функционал полностью восстановлен.
AVZ ничего подозрительного не показывает.
Спасибо за высокий профессионализм и оперативное реагирование!
Последний раз редактировалось Taschpuk; 07.10.2010 в 22:03.
Причина: Добавлено
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\temporaryx.exe\\temporaryx.exe - Trojan.Win32.Jorik.SpyEyes.dz ( DrWEB: Trojan.DownLoader1.27435, BitDefender: Trojan.Generic.4864705, AVAST4: Win32:Malware-gen )
-