Перехват функций API

Printable View

07.12.2012, 14:46
tripankrata

Вложений: 3

Перехват функций API

Windows update не работает, компьютер стал долго загружаться и завершать работу, по TCPView вижу появляющиеся и исчезающие процессы [System Process] PID:0, AVZ сообщает о перехвате API. Установленный Symantec EndPoint Protection ничего не видит. DrWeb CureIt в saveMode ничего не находит, с LiveCD – тоже. На других машинах со схожими симптомами установленный антивирус перестает обновляться, хотя иногда обновление в ручную проходит, иногда нет, плюс наблюдал самопроизвольную остановку служб Сервер и Рабочая станция.
07.12.2012, 14:47
Info_bot

Уважаемый(ая) [B]tripankrata[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
08.12.2012, 12:38
mrak74

Здравствуйте !!!

Выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('c:\windows\system32\mssrv32.exe','');
StopService('msupdate');
DeleteService('msupdate');
DeleteFile('c:\windows\system32\mssrv32.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки выполните скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы. Сделайте новые логи.
10.12.2012, 08:16
tripankrata

Вложений: 3

Карантин выслал, новые логи вот
10.12.2012, 08:28
mrak74

Сделайте лог полного сканирования [URL="http://virusinfo.info/showthread.php?t=53070&p=457118#post457118"][B]MBAM[/B][/URL]
10.12.2012, 16:33
tripankrata

Вложений: 1

Вот
10.12.2012, 20:07
Techno

[URL="http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584"]Удалите в MBAM[/URL]:
[CODE]HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> Действие не было предпринято.
HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> Действие не было предпринято.
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> Действие не было предпринято.
HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> Действие не было предпринято.
[/CODE]

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Что с проблемой?
11.12.2012, 10:29
tripankrata

Обновления Windows прошли, перезагрузка это субъективно .. пропустим. Через TCPView по прежнему вижу коннекты у процесса с PID 0 типа этого
[System Process] 0 TCP 192.168.111.137 2048 188.43.64.88 443 TIME_WAIT
[System Process] 0 TCP 192.168.111.137 1993 192.168.111.108 139 TIME_WAIT
[System Process] 0 TCP 192.168.111.137 1983 192.168.111.34 445 TIME_WAIT
[System Process] 0 TCP 192.168.111.137 2065 93.158.134.119 80 TIME_WAIT
Сообщения AVZ о перехвате функций API в Kernel и User как были так и остались.
11.12.2012, 11:00
mrak74

Рабочая группа сети, какая ? В журналах Windows есть сообщения [QUOTE]"Служба была запущена и затем остановлена. Некоторые службы автоматически останавливаются, если им нечего делать..." [/QUOTE]

[QUOTE][System Process] 0 TCP 192.168.111.137 2048 188.43.64.88 443 TIME_WAIT
[System Process] 0 TCP 192.168.111.137 1993 192.168.111.108 139 TIME_WAIT
[System Process] 0 TCP 192.168.111.137 1983 192.168.111.34 445 TIME_WAIT
[System Process] 0 TCP 192.168.111.137 2065 93.158.134.119 80 TIME_WAIT
Сообщения AVZ о перехвате функций API в Kernel и User как были так и остались. [/QUOTE] Это нормально.
11.12.2012, 11:38
tripankrata

Про остановку служб здесь написал в дополнение, конкретно по проблеме машины у которой остановились службы открыл согласно правилам отдельную тему [url]http://virusinfo.info/showthread.php?t=128331[/url]
Если с PID 0 и перехватом функций все ОК, то значит с этой машиной все в порядке.
Большое спасибо.
11.12.2012, 11:48
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]