Any
20.03.2010, 10:12
Здравствуйте, уважаемые специалисты!
Обнаружил RootkitUnhooker'ом на своей машине (WinNT 6.1.7600) зловред, который хукнул след. службы:
NtCreateThread
NtOpenProcess
NtOpenThread
NtTerminateProcess
Сделал анхук, спустя некоторое время запустил RootkitUnhooker, который выдал мне мессагу о том, что тело RootkitUnhooker'а модифицировано и предложение исправить это, на что я ответил утвердительно, но RootkitUnhooker больше не работает.
Так же постоянно реагирует проактивная защита Comodo почти на все запускаемые мною приложения, которые зачем-то пытаются хукнуть %WINDIR%\SYSTEM32\MSCTF.dll, а также на rundll32.exe, который постоянно что-то делает, например:
Создание процесса, запуск Program Files\WakeOnLan\WakeOnLan.exe
Создание процесса, запуск Program Files\Mozilla Firefox\plugins\np-mswmp.dll
Создание процесса, запуск Program Files\Intel\WiMAX\MiniportDriver\bpusb.sys
Создание процесса, запуск User\AppData\Local\Temp\cisinfo.ini
Создание процесса, запуск %WINDIR%\SYSTEM32\systemsf.ebd
Создание процесса, запуск %WINDIR%\SYSTEM32\apisetschema.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\aepdu.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\aeinv.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\ntdll.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\kernel32.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\KernelBase.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\user32.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\gdi32.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\lpk.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\usp10.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\msvcrt.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\imagehlp.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\AcLayers.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\apphelp.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\sspicli.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\shel32.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\shlwapi.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\ole32.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\oleaut32.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\profapi.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\winspool.drv
Создание процесса, запуск %WINDIR%\SYSTEM32\mpr.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\msctf.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\advapi32.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\sechost.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\version.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\fltlib.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\wer.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\sfc.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\sfc_os.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\msi.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\tdh.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\setupapi.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\devobj.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\cryptsp.dll
Помогите пожалуйста найти сам зловред и его админку (хотя бы ip адрес, куда отстукивает).
С уважением, Антон Андреевич.
Обнаружил RootkitUnhooker'ом на своей машине (WinNT 6.1.7600) зловред, который хукнул след. службы:
NtCreateThread
NtOpenProcess
NtOpenThread
NtTerminateProcess
Сделал анхук, спустя некоторое время запустил RootkitUnhooker, который выдал мне мессагу о том, что тело RootkitUnhooker'а модифицировано и предложение исправить это, на что я ответил утвердительно, но RootkitUnhooker больше не работает.
Так же постоянно реагирует проактивная защита Comodo почти на все запускаемые мною приложения, которые зачем-то пытаются хукнуть %WINDIR%\SYSTEM32\MSCTF.dll, а также на rundll32.exe, который постоянно что-то делает, например:
Создание процесса, запуск Program Files\WakeOnLan\WakeOnLan.exe
Создание процесса, запуск Program Files\Mozilla Firefox\plugins\np-mswmp.dll
Создание процесса, запуск Program Files\Intel\WiMAX\MiniportDriver\bpusb.sys
Создание процесса, запуск User\AppData\Local\Temp\cisinfo.ini
Создание процесса, запуск %WINDIR%\SYSTEM32\systemsf.ebd
Создание процесса, запуск %WINDIR%\SYSTEM32\apisetschema.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\aepdu.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\aeinv.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\ntdll.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\kernel32.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\KernelBase.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\user32.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\gdi32.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\lpk.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\usp10.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\msvcrt.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\imagehlp.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\AcLayers.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\apphelp.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\sspicli.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\shel32.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\shlwapi.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\ole32.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\oleaut32.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\profapi.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\winspool.drv
Создание процесса, запуск %WINDIR%\SYSTEM32\mpr.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\msctf.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\advapi32.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\sechost.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\version.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\fltlib.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\wer.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\sfc.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\sfc_os.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\msi.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\tdh.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\setupapi.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\devobj.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\cryptsp.dll
Помогите пожалуйста найти сам зловред и его админку (хотя бы ip адрес, куда отстукивает).
С уважением, Антон Андреевич.