Показано с 1 по 10 из 10.

Подозрение на руткит (метод APICodeHijack.JmpTo) (заявка № 10019)

  1. #1
    Junior Member Репутация
    Регистрация
    23.04.2007
    Сообщений
    4
    Вес репутации
    39

    Thumbs up Подозрение на руткит (метод APICodeHijack.JmpTo)

    AVZ утверждает, что найден код руткита в файлах kernel32.dll, ntdll.dll и user32.dll (метод APICodeHijack.JmpTo). Так ли это на самом деле?

    Dr.Web и AVG Anti-rootkit ничего не находят. RootkitRevealer и Avira RootKit Detection обнаруживают кое-что в реестре, но мне непонятно, опасно ли то, что они находят.

    С нетерпением жду комментариев специалистов.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\vp6dec_settings.cpl','');
     QuarantineFile('C:\WINDOWS\system32\DNHlp32.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
     QuarantineFile('c:\Program Files\rom\server\svchost.exe','');
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    "Пофиксите" в HijackThis
    Код:
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - shell32.dll (file missing)
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - shell32.dll (file missing)
    O20 - Winlogon Notify: ROMwlnotify - ROMwln.dll (file missing)
    Пришлите файлы карантина по правилам раздела "Помогите". Радмин сами ставили?

  4. #3
    Junior Member Репутация
    Регистрация
    23.04.2007
    Сообщений
    4
    Вес репутации
    39
    Цитата Сообщение от MaXim Посмотреть сообщение
    Радмин сами ставили?
    Сам. И ROM тоже сам ставил и сам переименовал в svchost.exe.

    Файлы отправил, строки пофиксил.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Файлы чистые. Руткита у Вас нет. Зато Ваш радмин попал в расширенные базы Касперского

    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

    Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

  6. #5
    Junior Member Репутация
    Регистрация
    23.04.2007
    Сообщений
    4
    Вес репутации
    39
    Цитата Сообщение от MaXim Посмотреть сообщение
    Файлы чистые. Руткита у Вас нет.
    То, что файлы чистые, я и сам догадывался. Меня интересует, почему AVZ находит код руткита в указанных файлах.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Меня интересует, почему AVZ находит код руткита в указанных файлах.
    Это нормально. Вполне легитимные приложения (антивирусы, файрволы) совершают перехваты функций.

  8. #7
    Junior Member Репутация
    Регистрация
    23.04.2007
    Сообщений
    4
    Вес репутации
    39
    Цитата Сообщение от MaXim Посмотреть сообщение
    Это нормально. Вполне легитимные приложения (антивирусы, файрволы) совершают перехваты функций.
    Это всё понятно. Но хотелось бы знать, какие именно легитимные приложения перехватывают функции в файлах kernel32.dll, ntdll.dll и user32.dll в моём конкретном случае. Иначе вполне можно предположить наличие неизвестного (в частности, программе AVZ) руткита.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Цитата Сообщение от odlopez Посмотреть сообщение
    хотелось бы знать, какие именно легитимные приложения перехватывают функции в файлах kernel32.dll, ntdll.dll и user32.dll в моём конкретном случае.
    Как минимум Outpost.

  10. #9
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    294
    Цитата Сообщение от odlopez Посмотреть сообщение
    Это всё понятно. Но хотелось бы знать, какие именно легитимные приложения перехватывают функции в файлах kernel32.dll, ntdll.dll и user32.dll в моём конкретном случае. Иначе вполне можно предположить наличие неизвестного (в частности, программе AVZ) руткита.
    Попробуйте воспользоваться утилитой RkUnhooker (на этом сайте есть отдельная ветка, ей посвященная, там должна быть ссылка на ее сайт) - она значительно "интеллектуальнее" с точки зрения определения перехватчиков в сравнении с AVZ.

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 11
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\program files\\rom\\server\\svchost.exe - not-a-virus:RemoteAdmin.Win32.ROM.b


  • Уважаемый(ая) odlopez, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Перехватчик APICodeHijack.JmpTo
      От Wissper в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 21.10.2011, 19:54
    2. APICodeHijack.JmpTo в логах avz
      От Catharos в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 10.03.2011, 08:35
    3. метод APICodeHijack.JmpTo
      От gregoir в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 16.12.2009, 09:06
    4. AVZ определяет метод APICodeHijack.JmpTo
      От Доцент в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 30.01.2009, 21:35
    5. Ответов: 0
      Последнее сообщение: 13.11.2006, 11:24

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01554 seconds with 17 queries