Перехвачены ntdll.dll,user32.dll,ws2_32.dll,wininet.dll

Printable View

08.11.2009, 12:28
Krema

Перехвачены ntdll.dll,user32.dll,ws2_32.dll,wininet.dll

Здравствуйте!
Вчера антивирус проверил компьютер и удалил 3 трояна. Сегодня AVZ находит перехваченные функции:
[CODE]
[SIZE=2]Анализ ntdll.dll, таблица экспорта найдена в секции .text[/SIZE]
[SIZE=2][COLOR=#ff0000][SIZE=2][COLOR=#ff0000]Функция ntdll.dll:LdrGetProcedureAddress (65) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C919328->035C1F[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]Функция ntdll.dll:LdrLoadDll (70) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C915CBB->035C84[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]Функция ntdll.dll:NtCreateFile (123) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D0AE->035F35[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]Функция ntdll.dll:NtCreateThread (140) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D1AE->035BED[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]Функция ntdll.dll:NtQueryDirectoryFile (234) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D76E->036266[/COLOR][/SIZE]
[/COLOR][/SIZE][SIZE=2]Анализ user32.dll, таблица экспорта найдена в секции .text[/SIZE]
[SIZE=2][COLOR=#ff0000][SIZE=2][COLOR=#ff0000]Функция user32.dll:DestroyWindow (154) перехвачена, метод ProcAddressHijack.GetProcAddress ->7E36DAEA->036157[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]Функция user32.dll:EndDialog (199) перехвачена, метод ProcAddressHijack.GetProcAddress ->7E3759C9->035718[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]Функция user32.dll:GetClipboardData (258) перехвачена, метод ProcAddressHijack.GetProcAddress ->7E380D7A->03652B[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]Функция user32.dll:TranslateMessage (683) перехвачена, метод ProcAddressHijack.GetProcAddress ->7E368BF6->0367D5[/COLOR][/SIZE]
[/COLOR][/SIZE][SIZE=2]Анализ advapi32.dll, таблица экспорта найдена в секции .text[/SIZE]
[SIZE=2]Анализ ws2_32.dll, таблица экспорта найдена в секции .text[/SIZE]
[SIZE=2][COLOR=#ff0000][SIZE=2][COLOR=#ff0000]Функция ws2_32.dll:WSAConnect (33) перехвачена, метод ProcAddressHijack.GetProcAddress ->71AA0C69->035652[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]Функция ws2_32.dll:closesocket (3) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A99639->03F0B7[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]Функция ws2_32.dll:connect (4) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A9406A->0356DA[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]Функция ws2_32.dll:send (19) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A9428A->03F0DE[/COLOR][/SIZE]
[/COLOR][/SIZE][SIZE=2]Анализ wininet.dll, таблица экспорта найдена в секции .text[/SIZE]
[SIZE=2][COLOR=#ff0000][SIZE=2][COLOR=#ff0000]Функция wininet.dll:HttpQueryInfoA (206) перехвачена, метод ProcAddressHijack.GetProcAddress ->3F9F0C67->03E22B[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]Функция wininet.dll:HttpQueryInfoW (207) перехвачена, метод ProcAddressHijack.GetProcAddress ->3F9F7E66->03E27A[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]Функция wininet.dll:HttpSendRequestA (208) перехвачена, метод ProcAddressHijack.GetProcAddress ->3F9FCD50->03EAE7[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]Функция wininet.dll:HttpSendRequestExA (209) перехвачена, метод ProcAddressHijack.GetProcAddress ->3FA5D5BE->03EBC6[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]Функция wininet.dll:HttpSendRequestExW (210) перехвачена, метод ProcAddressHijack.GetProcAddress ->3FA0353A->03EBA9[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]Функция wininet.dll:HttpSendRequestW (211) перехвачена, метод ProcAddressHijack.GetProcAddress ->3FA10845->03EACA[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]Функция wininet.dll:InternetCloseHandle (224) перехвачена, метод ProcAddressHijack.GetProcAddress ->3F9EDA71->03E6A4[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]Функция wininet.dll:InternetQueryDataAvailable (272) перехвачена, метод ProcAddressHijack.GetProcAddress ->3F9FAE0D->03E869[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]Функция wininet.dll:InternetReadFile (276) перехвачена, метод ProcAddressHijack.GetProcAddress ->3F9FABCC->03E810[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]Функция wininet.dll:InternetReadFileExA (277) перехвачена, метод ProcAddressHijack.GetProcAddress ->3FA13F50->03E84B[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]Функция wininet.dll:InternetReadFileExW (278) перехвачена, метод ProcAddressHijack.GetProcAddress ->3FA13F18->03E82D[/COLOR][/SIZE]
[/COLOR][/SIZE][/CODE]
И ещё некоторые функции перехвачены неизвестным или [SIZE=2][COLOR=#ff0000][SIZE=2][COLOR=#ff0000][COLOR=black]spby.sys..[/COLOR][/COLOR][/SIZE][/COLOR][/SIZE]
Логи прикрепляю.
Помогите пожалуйста! Заранее очень благодарна!
08.11.2009, 12:35
Макcим

Выполните скрипт в AVZ[CODE]begin
QuarantineFile('C:\Documents and Settings\Crematoria\Local Settings\Temporary Internet Files\Content.IE5\SYJIHI0Y\setup[1].exe','');
DelBHO('92780B25-18CC-41C8-B9BE-3C9C571A8263');
DelBHO('3CA2F312-6F6E-4B53-A66E-4E65E497C8C0');
DelAutorunByFileName('C:\WINDOWS\system32\sdra64.exe');
RebootWindows(false);
end.[/CODE]Загрузите карантин согласно приложению №3 правил. Повторите лог virusinfo_syscheck.zip

[size="1"][color="#666686"][B][I]Добавлено через 47 секунд[/I][/B][/color][/size]

Ваш перехватчик - Alcohol.
08.11.2009, 12:53
Krema

Сделала - вроде всё исправилось! :) А то что всё равно выделено красным - с чем это связано?
Файл virus.zip слишком большой получается...
08.11.2009, 13:09
Krema

Сделала ещё раз сбор информации и опять выдал те же перехваты функций как в заголовке темы! :(
08.11.2009, 14:21
thyrex

Попробуйте это [url]http://support.kaspersky.ru/viruses/solutions?qid=208636943[/url]
08.11.2009, 14:27
Krema

Программой KatesKiller.exe ничего не находит..

[CODE]
Trojan-PSW.Win32.Kates removing tool, Kaspersky Lab 2009
version 1.2.0 Oct 19 2009 13:26:09
scanning threads ...

scanning modules...

scanning registry ...

completed
Infected threads: 0
Spliced functions: 0
Deleted files: 0
Fixed registry keys: 0
[/CODE]
08.11.2009, 14:30
thyrex

Пофиксить в HiJack
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,[/CODE]

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
08.11.2009, 14:54
Krema

Сделала - больше не появляется перехватчиков, как писала в заголовке, но остались эти:
[CODE]
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=0846E0)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 8055B6E0
KiST = 80503960 (284)
Функция NtCreateKey (29) перехвачена (8062212E->BA6A70E0), перехватчик spnx.sys
Функция NtEnumerateKey (47) перехвачена (8062296E->BA6C5CA4), перехватчик spnx.sys
Функция NtEnumerateValueKey (49) перехвачена (80622BD8->BA6C6032), перехватчик spnx.sys
Функция NtOpenKey (77) перехвачена (806234C4->BA6A70C0), перехватчик spnx.sys
Функция NtOpenSection (7D) перехвачена (805A8EC2->BA5C813C), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys
Функция NtQueryKey (A0) перехвачена (806237E8->BA6C610A), перехватчик spnx.sys
Функция NtQueryValueKey (B1) перехвачена (806201E8->BA6C5F8A), перехватчик spnx.sys
Функция NtSetValueKey (F7) перехвачена (806207EE->BA6C619C), перехватчик spnx.sys
Функция NtSystemDebugControl (FF) перехвачена (80615F8E->BA5C8072), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys
Проверено функций: 284, перехвачено: 9, восстановлено: 0
[/CODE]

Логи прикрепляю. Virus.zip выслала..
08.11.2009, 15:12
thyrex

Это от антивируса и эмулятора дисков

В логах чисто

Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8
Установите Adobe Acrobat 9.1 или удалите старый
08.11.2009, 15:50
Krema

Спасибо Вам огромное!!! Просто нет слов! Благодарю за помощь! :)
09.11.2009, 15:50
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]15[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\sdra64.exe - [B]Trojan-Spy.Win32.Zbot.acyn[/B][*] d:\programs\mirc.eclipse\mirc.exe - [B]not-a-virus:Client-IRC.Win32.mIRC.616[/B] ( DrWEB: Program.mIRC.616 )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]