Показано с 1 по 3 из 3.

Грузит HDD, выключает защитник windows. (заявка № 143342)

  1. #1
    Junior Member Репутация
    Регистрация
    06.08.2013
    Сообщений
    2
    Вес репутации
    39

    Грузит HDD, выключает защитник windows.

    Здравствуйте.

    Подхватил непонятное malware, сделал проверку с помощью cureit, нашел несколько зараженных файлов.

    в AVZ подозрительные строчки
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    SDT найдена (RVA=1689C0)
    Ядро ntkrnlpa.exe обнаружено в памяти по адресу 82C52000
    SDT = 82DBA9C0
    KiST = 82CC16F0 (401)
    Функция NtDeleteValueKey (6A) - модификация машинного кода. Метод JmpTo. jmp 864ADE4B
    Функция NtEnumerateKey (74) - модификация машинного кода. Метод JmpTo. jmp 864ADAE7
    Функция NtEnumerateValueKey (77) - модификация машинного кода. Метод JmpTo. jmp 864ADC00
    Функция NtOpenKey (B6) - модификация машинного кода. Метод JmpTo. jmp 864ADA1D
    Функция NtQueryDirectoryFile (DF) - модификация машинного кода. Метод JmpTo. jmp 864AE075
    Функция NtSetValueKey (166) - модификация машинного кода. Метод JmpTo. jmp 864ADD3D
    Функция NtShutdownSystem (168) - модификация машинного кода. Метод JmpTo. jmp 864AC8EE
    Функция NtQueryDirectoryFile (82ECC62F) - модификация машинного кода. Метод JmpTo. jmp 864AE075
    Функция NtShutdownSystem (82F5364B) - модификация машинного кода. Метод JmpTo. jmp 864AC8EE
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) antropod, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    06.08.2013
    Сообщений
    2
    Вес репутации
    39
    Выполнил скрипт "поиск и нейтрализация rootkit", вот лог
    Выполняется стандартный скрипт: 1. Поиск и нейтрализации RootKit UserMode и KernelMode
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    SDT найдена (RVA=1689C0)
    Ядро ntkrnlpa.exe обнаружено в памяти по адресу 82C52000
    SDT = 82DBA9C0
    KiST = 82CC16F0 (401)
    Функция NtDeleteValueKey (6A) - модификация машинного кода. Метод JmpTo. jmp 864ADE4B
    >>> Функция воcстановлена успешно !
    Функция NtEnumerateKey (74) - модификация машинного кода. Метод JmpTo. jmp 864ADAE7
    >>> Функция воcстановлена успешно !
    Функция NtEnumerateValueKey (77) - модификация машинного кода. Метод JmpTo. jmp 864ADC00
    >>> Функция воcстановлена успешно !
    Функция NtOpenKey (B6) - модификация машинного кода. Метод JmpTo. jmp 864ADA1D
    >>> Функция воcстановлена успешно !
    Функция NtQueryDirectoryFile (DF) - модификация машинного кода. Метод JmpTo. jmp 864AE075
    >>> Функция воcстановлена успешно !
    Функция NtSetValueKey (166) - модификация машинного кода. Метод JmpTo. jmp 864ADD3D
    >>> Функция воcстановлена успешно !
    Функция NtShutdownSystem (16 - модификация машинного кода. Метод JmpTo. jmp 864AC8EE
    >>> Функция воcстановлена успешно !
    Проверено функций: 401, перехвачено: 0, восстановлено: 7
    1.3 Проверка IDT и SYSENTER
    Анализ для процессора 1
    Анализ для процессора 2
    CmpCallCallBacks = 00000000
    Проверка IDT и SYSENTER завершена
    >>>> Подозрение на RootKit nethost H:\Windows\system32\drivers\nethost.sys
    1.4 Поиск маскировки процессов и драйверов
    Проверка не производится, так как не установлен драйвер мониторинга AVZPM
    1.5 Проверка обработчиков IRP
    Драйвер успешно загружен
    Проверка завершена
    - - - Добавлено - - -

    Отправил файл "H:\Windows\system32\drivers\nethost.sys" на virustotal:

    ESET-NOD32 Win32/Rootkit.BlackEnergy.AA
    Fortinet W32/ZAccess.DAK!tr

  • Уважаемый(ая) antropod, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 22
      Последнее сообщение: 26.06.2013, 15:22
    2. Ответов: 1
      Последнее сообщение: 23.07.2010, 20:19
    3. Ответов: 8
      Последнее сообщение: 14.10.2008, 14:24
    4. никак не выключить windows xp
      От redkiyz в разделе Microsoft Windows
      Ответов: 7
      Последнее сообщение: 18.09.2008, 01:37
    5. Защитник Windows
      От Nickolas в разделе Антивирусы
      Ответов: 4
      Последнее сообщение: 11.07.2008, 17:34

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00427 seconds with 18 queries