-
Вложений: 3
Непонятные перехватчики
Внезапно начали падать одна за другой программы с ошибкой доступа к памяти. Снял винт, на другой машине прогнал свежий CureIt, он нашёл ntos.exe и ещё парочку файлов и все их удалил. После этого машина ведёт себя с виду нормально, но AVZ пишет странную вещь в логе при проверке:
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtResumeThread (297) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции NtResumeThread нейтрализован
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:WSARecv (71) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции WSARecv нейтрализован
Функция ws2_32.dll:WSASend (76) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции WSASend нейтрализован
Функция ws2_32.dll:closesocket (3) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции closesocket нейтрализован
Функция ws2_32.dll:connect (4) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции connect нейтрализован
Функция ws2_32.dll:recv (16) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции recv нейтрализован
Функция ws2_32.dll:send (19) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции send нейтрализован
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
В процессах и в драйверах вроде ничего подозрительного. Теряюсь в догадках.
-
Это нормально,выполните в [URL="http://virusinfo.info/showthread.php?t=7239"]AVZ[/URL]:
[CODE]begin
QuarantineFile('C:\WINDOWS\SYSTEM32\Userinit.exe','');
end.[/CODE]
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:[url]http://virusinfo.info/upload_virus.php?tid=22517[/url]
-
[QUOTE]Файл сохранён как 080506_084726_virus_4820616e5a1a4.zip
Размер файла 31902
MD5 5e059f7c328ea3d3ff0765892e78fe5f[/QUOTE]
А если не секрет, кто перехватывает функции? Просто интересно.
-
Все по-немножку,средства защиты и прочее программы,Userinit.exe у вас подмененный,его нужно заменить на чистый из дистрибутива
-
Вложений: 1
Хм. Поменял userinit на дистрибутивный, перезагрузился, и сразу странные перехваты пропали. Похоже, он и был злодеем.
На всякий случай ещё лог сделал.
-
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\userinit.exe - [B]Rootkit.Win32.Agent.aiv[/B] (DrWEB: Trojan.PWS.Lich)[/LIST][/LIST]
Page generated in 0.01648 seconds with 10 queries