# Форум на русском языке  > Решения по информационной безопасности  > Антивирусы  > Ложные срабатывания  >  Помогите, пожалуйста, найти зловред.

## Any

Здравствуйте, уважаемые специалисты!

Обнаружил RootkitUnhooker'ом на своей машине (WinNT 6.1.7600) зловред, который хукнул след. службы:
NtCreateThread
NtOpenProcess
NtOpenThread
NtTerminateProcess

Сделал анхук, спустя некоторое время запустил RootkitUnhooker, который выдал мне мессагу о том, что тело RootkitUnhooker'а модифицировано и предложение исправить это, на что я ответил утвердительно, но RootkitUnhooker больше не работает.

Так же постоянно реагирует проактивная защита Comodo почти на все запускаемые мною приложения, которые зачем-то пытаются хукнуть %WINDIR%\SYSTEM32\MSCTF.dll, а также на rundll32.exe, который постоянно что-то делает, например:
Создание процесса, запуск Program Files\WakeOnLan\WakeOnLan.exe
Создание процесса, запуск Program Files\Mozilla Firefox\plugins\np-mswmp.dll
Создание процесса, запуск Program Files\Intel\WiMAX\MiniportDriver\bpusb.sys
Создание процесса, запуск User\AppData\Local\Temp\cisinfo.ini
Создание процесса, запуск %WINDIR%\SYSTEM32\systemsf.ebd
Создание процесса, запуск %WINDIR%\SYSTEM32\apisetschema.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\aepdu.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\aeinv.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\ntdll.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\kernel32.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\KernelBase.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\user32.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\gdi32.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\lpk.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\usp10.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\msvcrt.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\imagehlp.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\AcLayers.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\apphelp.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\sspicli.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\shel32.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\shlwapi.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\ole32.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\oleaut32.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\profapi.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\winspool.drv
Создание процесса, запуск %WINDIR%\SYSTEM32\mpr.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\msctf.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\advapi32.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\sechost.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\version.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\fltlib.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\wer.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\sfc.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\sfc_os.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\msi.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\tdh.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\setupapi.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\devobj.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\cryptsp.dll

Помогите пожалуйста найти сам зловред и его админку (хотя бы ip адрес, куда отстукивает). 

С уважением, Антон Андреевич.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## AndreyKa

Не видно ничего подозрительного. 
Выполните процедуру, описанную в первом сообщении: http://virusinfo.info/showthread.php?t=3519

----------


## Any

> Не видно ничего подозрительного.


Разве то, что rundll32.exe постоянно запускает всякие левые процессы и модифицирует незапущенный софт не является подозрительным? А то, что RootkitUnhooker говорит, что его тело модифицировано? По мне так, это очень даже подозрительно. Я готов предоставить всё необходимое для более детального изучения моей машины, вплоть до удалённого доступа. В случае успеха - вознаграждение гарантирую.  :Wink: 




> Выполните процедуру, описанную в первом сообщении: http://virusinfo.info/showthread.php?t=3519


Готово.




> Файл сохранён как	100320_104859_virusinfo_files_PISICHKIN-PC_4ba47debb7a5b.zip
> Размер файла	2141510
> MD5	fe0c8302cdd68488fc9d0c635211d519

----------


## AndreyKa

Результат:


> Архив 100320_104859_virusinfo_files_PISICHKIN-PC_4ba47debb7a5b.zip, загружен 20.03.2010 11:10:31, размер 2141510 байт
> Всего файлов: 27 (исполняемых 25), из них:
> зловреды или опасные объекты: 0
> подозрительные: 0





> запустил RootkitUnhooker, который выдал мне мессагу о том, что тело RootkitUnhooker'а модифицировано и предложение исправить это, на что я ответил утвердительно, но RootkitUnhooker больше не работает.


Подозреваю, что RootkitUnhooker страдает суицидальными наклонностями.



> Так же постоянно реагирует проактивная защита Comodo


Тут явная паранойя.

----------


## Any

> Архив 100320_104859_virusinfo_files_PISICHKIN-PC_4ba47debb7a5b.zip, загружен 20.03.2010 11:10:31, размер 2141510 байт
> Всего файлов: 27 (исполняемых 25), из них:
> зловреды или опасные объекты: 0
> подозрительные: 0


То, что зловред не находят антивирусы вовсе не означает отсутствие такового. Вирусописатель может постоянно следить за своим продуктом и обновлять его. Так же не исключено, что он работает на уровне драйвера, аля ring0. Да кому я объясняю, Вы и сами всё это прекрасно понимаете.

Как насчёт хукнутых
NtCreateThread
NtOpenProcess
NtOpenThread
NtTerminateProcess?

И постоянные хуки MSCTF.dll со стороны всяких браузеров и прочих приложений. Это тоже паранойя по Вашему?
К тому же, с чего бы rundll32.exe трогать незапущенные приложения?

----------


## Any

Скажите, пожалуйста, сможите ли Вы чем-нибудь помочь или мне действовать самостоятельно?

----------


## AndreyKa

Я не вижу проблем и чем вам можно помочь, тоже.

----------


## Any

> Я не вижу проблем и чем вам можно помочь, тоже.


Хорошо, тогда ответьте, пожалуйста, на два вопроса, если это Вас не затруднит, конечно. 

1. Хукнутые NtCreateThread, NtOpenProcess, NtOpenThread, NtTerminateProcess неизвестным модулем это нормальное явление?

2. rundll32.exe в нормальном состоянии может трогать незапущенные приложения?

Заранее благодарю.

----------


## AndreyKa

1. Да.
2. Да.

----------

