ntdll.dll user32.dll cssdll32.dll Подозрение на Keylogger или троянскую DLL

Printable View

18.08.2008, 17:47
koala-mur

Вложений: 3

ntdll.dll user32.dll cssdll32.dll Подозрение на Keylogger или троянскую DLL

Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtClose (111) перехвачена, метод APICodeHijack.JmpTo[00395056]
>>> Код руткита в функции NtClose нейтрализован
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:EndTask (202) перехвачена, метод APICodeHijack.JmpTo[00394C26]
>>> Код руткита в функции EndTask нейтрализован
Функция user32.dll:keybd_event (727) перехвачена, метод APICodeHijack.JmpTo[00391546]
>>> Код руткита в функции keybd_event нейтрализован
Функция user32.dll:mouse_event (728 ) перехвачена, метод APICodeHijack.JmpTo[003916C6]
>>> Код руткита в функции mouse_event нейтрализован

Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\WINDOWS\system32\cssdll32.dll C:\WINDOWS\system32\guard32.dll
Также исчезли значки из Панели "Сетевые подключения" и служба Windows Installer перестала работать

...
18.08.2008, 18:31
Rene-gad

[COLOR="Red"][B]Внимание !!! База поcледний раз обновлялась 02.08.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)[/B][/COLOR]

C:\WINDOWS\system32\guard32.dll - от Comodo. Поэтому желательно на время лечения отключить и файрвол.

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA}');
DelBHO('{F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA}');
QuarantineFile('C:\Program Files\Comodo\Firewall\s1.tmp','');
QuarantineFile('C:\WINDOWS\system32\cssdll32.dll','');
DeleteFile('C:\WINDOWS\system32\cssdll32.dll');
DeleteFile('C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
18.08.2008, 19:55
koala-mur

Вложений: 3

...
18.08.2008, 19:58
Rene-gad

Почистили Ваш ПК.
Про Сервис Пак 3 Вам уже наверняка говорили :)
18.08.2008, 19:59
koala-mur

Чего глюков много?
У меня стоит сп3
18.08.2008, 20:06
Rene-gad

[QUOTE=koala-mur;269629]Чего глюков много?[/QUOTE]Что Вы имеете ввиду?
18.08.2008, 20:19
koala-mur

Я Вас не понимаю - мне этот пакет не стоило было устанавливать? Или я поставил не то - и не в том направлении я думаю вообще? Поконкретнее пожаласта
18.08.2008, 20:29
Rene-gad

[QUOTE=koala-mur;269629]
У меня стоит сп3[/QUOTE]
Не стоит:
[QUOTE]Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)[/QUOTE]
[QUOTE]Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора[/QUOTE]
Так уже конкретнее? ;)
18.08.2008, 20:45
koala-mur

ыыЙЙЙЙ [QUOTE]Или я поставил не то [/QUOTE]Расслабился Просто у меня система стоит давно уже, но проблем таких небыло Скачал этот "сп3" с внутренневки - не проконтролировал - спасибо тебе (вам) большое Ну и эксплорер пора бы обновить :)
21.08.2008, 17:27
koala-mur

Вложений: 3

Уважаемые, поставил сп3, но ничего не изменилось - добавились еще пара подозрений на... (nod тоже одну подозревает)
21.08.2008, 18:15
Rene-gad

Ничего подозрительного. На что НОД ругается? Может он с КОМОДОм не дружит?
21.08.2008, 18:40
koala-mur

Просто появление данной вещи:
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtClose (111) перехвачена, метод APICodeHijack.JmpTo[00395056]
>>> Код руткита в функции NtClose нейтрализован
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:EndTask (202) перехвачена, метод APICodeHijack.JmpTo[00394C26]
>>> Код руткита в функции EndTask нейтрализован
Функция user32.dll:keybd_event (727) перехвачена, метод APICodeHijack.JmpTo[00391546]
>>> Код руткита в функции keybd_event нейтрализован
Функция user32.dll:mouse_event (728 ) перехвачена, метод APICodeHijack.JmpTo[003916C6]
>>> Код руткита в функции mouse_event нейтрализован
как-то насторожило вместе с проблемами мыши и выбиванием процессов
вот на эти -> C:\Program Files\Nero\Nero 7\Nero Vision\VCDLib.dll >>> подозрение на Trojan-Downloader.Win32.Agent.ytu ( 08D09C58 00000000 0023A51B 002022DE 74752)
Файл успешно помещен в карантин (C:\Program Files\Nero\Nero 7\Nero Vision\VCDLib.dll) и C:\Program Files\Comodo\Firewall\s1.tmp >>> подозрение на AdvWare.Win32.MyWebSearch.bp ( 003C9F68 00000000 001EA011 00000000 499712)
Файл успешно помещен в карантин (C:\Program Files\Comodo\Firewall\s1.tmp)
nod -> C:\Program Files\Comodo\Firewall\s1.tmp - модифицированный Win32/AdInstaller приложение Может и да - тк в 3-ей Комоде появилась свой скан, но по первой проблеме с перехватом и файликом в nero не понимаю откуда взялось
21.08.2008, 18:57
Rene-gad

Вы же сказали, что НОД ругается??? Это сообщения АВЗ - он все перехваты анализирует. Насчет необходимости отключения файрволла я пишу в каждом сообщении.
22.08.2008, 02:31
pig

Вот по поводу НОДа:
[QUOTE=koala-mur;271983]nod -> C:\Program Files\Comodo\Firewall\s1.tmp - модифицированный Win32/AdInstaller приложение Может и да - тк в 3-ей Комоде появилась свой скан, но по первой проблеме с перехватом и файликом в nero не понимаю откуда взялось[/QUOTE]
22.08.2008, 09:07
koala-mur

Я отключаю фаервол - все по правилам
По поводу подозрений с руткитом: ответа так и не получил : (
Проводник (эксплорер) часто подвисает намертво при щелчке по корзине,
сетевое окружение вместе с иконкой подключения в трее так и не появлялись
[B]pig[/B] Да - это оно
22.08.2008, 11:03
Rene-gad

[QUOTE=koala-mur;272223]
По поводу подозрений с руткитом: ответа так и не получил : ([/QUOTE]Зто нормально :) АВЗ пытается нейтрализовать все перехваты.
[QUOTE]Проводник (эксплорер) часто подвисает намертво при щелчке по корзине, [/QUOTE]
Очевидно какая-то ошибка в реестре - мы к сожалению не видим ее в логах.
[QUOTE]сетевое окружение вместе с иконкой подключения в трее так и не появлялись[/QUOTE]Попробуйте выполнить это: [url]http://virusinfo.info/showthread.php?t=20712[/url]
22.08.2008, 11:13
koala-mur

[url]http://virusinfo.info/showthread.php?t=20712[/url]
Не помогло
Корзина и еще Мой компьютер. Так чистится через тотал и заходит через него нормально - остальные значки нормально - это происходит после скана avz
22.02.2009, 07:15
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]