AVZ нахродит вот такое... (заявка №8820)
Пользователь обратился [URL=http://virusinfo.info/911test]в сервис 911[/URL], указав на следующие проблемы в работе его компьютера:
1) Другие проблемы (включая проблемы с оборудованием)...
Протокол антивирусной утилиты AVZ версии 4.32
Сканирование запущено в 28.02.2010 21:07:19
Загружена база: сигнатуры - 265459, нейропрофили - 2, микропрограммы лечения - 56, база от 28.02.2010 17:19
Загружены микропрограммы эвристики: 381
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 184496
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:LdrGetProcedureAddress (65) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C9177B8->0357C0
Функция ntdll.dll:LdrLoadDll (70) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C915CD3->035825
Функция ntdll.dll:NtCreateThread (140) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D1AE->03578E
Функция ntdll.dll:NtQueryDirectoryFile (234) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D76E->03593A
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:EndDialog (199) перехвачена, метод ProcAddressHijack.GetProcAddress ->7E374A4E->035441
Функция user32.dll:GetClipboardData (258) перехвачена, метод ProcAddressHijack.GetProcAddress ->7E380DBA->035BFF
Функция user32.dll:TranslateMessage (683) перехвачена, метод ProcAddressHijack.GetProcAddress ->7E368BF6->035EA9
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:WSAConnect (33) перехвачена, метод ProcAddressHijack.GetProcAddress ->71AA0C81->0353E1
Функция ws2_32.dll:closesocket (3) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A93E2B->03EACF
Функция ws2_32.dll:connect (4) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A94A07->035421
Функция ws2_32.dll:send (19) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A94C27->03EAF6
Анализ wininet.dll, таблица экспорта найдена в секции .text
Функция wininet.dll:HttpQueryInfoA (206) перехвачена, метод ProcAddressHijack.GetProcAddress ->3F9F7425->03DC41
Функция wininet.dll:HttpQueryInfoW (207) перехвачена, метод ProcAddressHijack.GetProcAddress ->3F9FE5D3->03DC90
Функция wininet.dll:HttpSendRequestA (208) перехвачена, метод ProcAddressHijack.GetProcAddress ->3FA03550->03E4FF
Функция wininet.dll:HttpSendRequestExA (209) перехвачена, метод ProcAddressHijack.GetProcAddress ->3FA5B43E->03E5DE
Функция wininet.dll:HttpSendRequestExW (210) перехвачена, метод ProcAddressHijack.GetProcAddress ->3FA08C41->03E5C1
Функция wininet.dll:HttpSendRequestW (211) перехвачена, метод ProcAddressHijack.GetProcAddress ->3FA0F01F->03E4E2
Функция wininet.dll:InternetCloseHandle (224) перехвачена, метод ProcAddressHijack.GetProcAddress ->3F9F4261->03E0BA
Функция wininet.dll:InternetQueryDataAvailable (272) перехвачена, метод ProcAddressHijack.GetProcAddress ->3FA0162D->03E27F
Функция wininet.dll:InternetReadFile (276) перехвачена, метод ProcAddressHijack.GetProcAddress ->3FA013EC->03E226
Функция wininet.dll:InternetReadFileExA (277) перехвачена, метод ProcAddressHijack.GetProcAddress ->3FA12995->03E261
Функция wininet.dll:InternetReadFileExW (278) перехвачена, метод ProcAddressHijack.GetProcAddress ->3FA1295D->03E243
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=083220)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 8055A220
KiST = 804E26B8 (284)
Функция NtAssignProcessToJobObject (13) перехвачена (805A24CA->8A31DA70), перехватчик не опред
Дата обращения: 28.02.2010 22:30:51
Номер заявки: [URL=http://virusinfo.info/911test/?action=case_show_directions&case_id=8820]8820[/URL]
Trojan-Spy.Win32.Zbot.agme
[B]01.03.2010 0:00:24[/B] на зараженном компьютере были обнаружены следующие вредоносные файлы:
[LIST=1][*] [B]C:\WINDOWS\system32\sdra64.exe[/B] - [URL=http://www.securelist.com/ru/find?words=Trojan-Spy.Win32.Zbot.agme]Trojan-Spy.Win32.Zbot.agme[/URL]
[LIST][*] размер: 111616 байт[*] версия: "6.1.4209.3860"[*] копирайты: "bxxpxjmleoyughpj"[*] детект других антивирусов: DrWEB 5.0: Зловред Trojan.PWS.Panda.171; Avast4: Зловред Win32:Spyware-gen [Spy][/LIST][/LIST]
