здравствуйте! началось все с того, что антивирус нортон удалил файл advapi32.dll, пометив его как вирус, сразу после этого на экран стало вылезать окно - файл BurstHelper.exe с какой то ошибкой парсинга, в диспетчере задач этот процесс отказывался открывать местонахождение. убить его так же не получалось, так как он автоматически запускался сразу, выдавая описанную выше ошибку парсинга. адрес нахождения файла удалось узнать только при включении консоли в диспетчере задач, но самого файла я там не нашел. так же в реестре были несколько записей связанные с файлом BurstHelper.exe от какой то TeamViewer. записи выглядели так, точнее значения _____ {2}.\\?\pci#ven_13f6&dev_8788&subsys_85211043&rev_ 00#{6994ad04-93ef-11d0-a3cc-00a0c9223196}\aa_topology/00010005|\Device\HarddiskVolume4\ProgramData\Micro soft\Windows NT\DefaultUser\v.{59031a47-3f72-44a7-89c5-5595fe6b30ee}\BurstHelper.exe%b{00000000-0000-0000-0000-000000000000}
антивирусы при повторных сканированиях ничего больше не нашли(ни касперский, ни нортон), хотя окно с ошибкой было постоянно открыто. сегодня окно пропало, записей в реестре тоже уже нет. я решил проверить компьютер с помощью AVZ и он показал перехват в advapi32.dll и еще нескольких длл файлах!
Протокол антивирусной утилиты AVZ версии 4.46
Сканирование запущено в 31.01.2019 20:54:18
Загружена база: сигнатуры - 297569, нейропрофили - 2, микропрограммы лечения - 56, база от 29.01.2019 16:00
Загружены микропрограммы эвристики: 402
Загружены микропрограммы ИПУ: 10
Загружены цифровые подписи системных файлов: 1038076
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 10.0.17763, "Windows 10 Home", дата инсталляции 15.11.2018 03:04:51
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1130) перехвачена, метод ProcAddressHijack.GetProcAddress ->766A2010->764964E0
Перехватчик kernel32.dll:ReadConsoleInputExA (1130) нейтрализован
Функция kernel32.dll:ReadConsoleInputExW (1131) перехвачена, метод ProcAddressHijack.GetProcAddress ->766A2043->76496510
Перехватчик kernel32.dll:ReadConsoleInputExW (1131) нейтрализован
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtMakeTemporaryObject (40 перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции NtMakeTemporaryObject нейтрализован
Функция ntdll.dll:NtSetSystemTime (615) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции NtSetSystemTime нейтрализован
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:Wow64Transition (1503) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции Wow64Transition - ошибка стандартной нейтрализации (невозможно изменить область памяти, возможно противодействие со стороны руткита)
Ошибка анализа библиотеки user32.dll
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CveEventWrite (1234) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F18B34->76498F10
Перехватчик advapi32.dll:CveEventWrite (1234) нейтрализован
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1387) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F19A5B->765CF680
Перехватчик advapi32.dll:I_ScRegisterPreshutdownRestart (1387) нейтрализован
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:NetFreeAadJoinInformation (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->7390C18A->66553F80
Перехватчик netapi32.dll:NetFreeAadJoinInformation (130) нейтрализован
Функция netapi32.dll:NetGetAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->7390C1B9->66554300
Перехватчик netapi32.dll:NetGetAadJoinInformation (131) нейтрализован
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
Количество найденных процессов: 8
Количество загруженных модулей: 223
Проверка памяти завершена
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Igor1990, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора))и пофиксите только эти строки:
вот лог. правда третьей строки первого блока кода - 022 - Task:, в списке строк не оказалось. и еще одно - когда нортон только обнаружил вирус, я пытался открыть расположение файла bursthelper через диспетчер задач, но не получалось. потом я решил найти его с помощью process explorer, но при его запуске bursthelper сразу же закрывался и окно с ошибкой сразу пропадало, пока не закрою process exp.
перехвачена, метод CodeHijack (метод не определен)
Ответить с цитированием
