Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 31.

Перехваченные функции и странные драйверы (заявка № 15251)

  1. #1
    Junior Member Репутация
    Регистрация
    10.12.2007
    Сообщений
    27
    Вес репутации
    60

    Question Перехваченные функции и странные драйверы

    Сначала NOD32 IMON стал сообщать о попытках загрузки трояна, потом оказалось, что файервол (встроенный) отключен. Когда включил его обратно, в него стал добавляться explorer.exe как исключение под именем enable.
    Стал проверять всем чем только можно - CureIt нашёл в системе активного трояна-прокси, убил его, но после перезагрузки он его нашёл снова. Ситуация с автодобавлением эксплорера в список исключений файервола осталась.
    AVZ показывает несколько перехваченных функций + довольно странные драйверы в пространстве ядра:
    \SystemRoot\System32\Drivers\ah0yectg.SYS
    \??\E:\Temp\C18wPr8D.sys (это уж вообще ни в какие ворота - драйвер запущен из временного каталога %) ).
    С системой явно чтото плохое случилось, посоветуйте, плз, как избавиться от заразы наименьшей кровью?
    (Логи прилагаю)
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    пофиксите ....
    Код:
    O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
    O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
    ntoskrnl.exe пришлите по правилам ...

  4. #3
    Junior Member Репутация
    Регистрация
    10.12.2007
    Сообщений
    27
    Вес репутации
    60

    не копируется ntoskrnl

    Указанные строчки пофиксил, спасибо.
    ntoskrnl.exe находится по двум путям - system32 и ServicePackFiles\i386, но после копирования в карантин ни один из них в карантин не попадает - как быть?
    Имеет ли смысл высылать этот файл (а размер и дата создания у обоих совпадают) минуя карантин AVZ ?

    На текущий момент ситуация такова: после запуска InternetExplorer'а он выдаёт ошибку доступа к памяти вида инструкция по адресу 0x7c80a250 попыталась прочитать память по адресу 0x04a85000, которая прочитана быть не может.
    Если окошко с ошибкой не закрывать - интернет эксплорер'ом можно продолжать пользоваться.
    В списке модулей ядра AVZ по прежнему показывает левый драйвер с неудобоваримым именем, причём имя меняется при перезагрузках, например, на текущий момент это aqefjbbn.SYS.
    Подскажите, плз, как быть дальше?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    ntoskrnl.exe очевидно чистый, не карантинится потому, что проходит по базе безопасных. "Левый" драйвер с меняющися именем - от Alcohol 120%.

    Видны остатки Symantec (Norton) Антивируса, надо их подчистить таким скриптом:
    Код:
    begin
     BC_DeleteFile('C:\W\System32\NavLogon.dll');
     BC_DeleteSvc('Symantec Core LC');
    BC_Activate;
    RebootWindows(true);
    end.
    После этого скачайте новую версию AVZ 4.29 и сделайте новые логи.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    10.12.2007
    Сообщений
    27
    Вес репутации
    60

    проблемы остались

    1) скрипт выполнил, но кажется всё равно какие-то ссылки на эту dll остались
    2) ntoskrnl.exe в списке модулей пространства ядра у AVZ (версию обновил) показана _не_ зелёным цветом - безопасна ли она в этом случае?
    3) деинсталлировал и удалил каталог алкоголика - драйвер со странным именем всё равно появляется - подскажите, плз, как избавиться от остатков?
    4) остались сообщения о перехваченных функциях от AVZ (хотя, кажется, их стало поменьше)
    5) - самое неприятное - по прежнему после перезагрузки в список исключений файервола добавляется эксплорер! Зачем ему порты слушать - явный непорядок...

    Прилагаю новые логи, помогите долечить плз.
    P.S. С проблемного компьютера невозможно загрузить аттачменты на форум.

  7. #6
    Junior Member Репутация
    Регистрация
    10.12.2007
    Сообщений
    27
    Вес репутации
    60

    логи

    отправлять приходится по одному и с другой машины :/
    Вложения Вложения

  8. #7
    Junior Member Репутация
    Регистрация
    10.12.2007
    Сообщений
    27
    Вес репутации
    60

    AVZ log

    AVZ log
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    1 впринципе ничего страшного ...
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     DeleteFile('C:\W\System32\NavLogon.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    2 прошел по базе безопасных ...
    3 алкоголь нормально не удаляется ..... драйвера нужно чистить руками ...
    4 ничего зловредного не наблюдаю ...
    5 explorer.exe - прходит по базе безопасных ....

  10. #9
    Junior Member Репутация
    Регистрация
    10.12.2007
    Сообщений
    27
    Вес репутации
    60
    с пунктом 5 согласиться не могу - в другой инсталляции WinXP explorer в списке исключений фаэрвола отсутствует + добавляет он себя без ведома, а точнее вопреки, пользователю.
    Есть ли способ излечить его от такого поведения (и чем оно может быть вызвано в данной ситуации?) ?

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\W\system32\DRIVERS\axvodka.sys','');
     QuarantineFile('C:\W\system32\6274724A4ECE9E6A.sys','');
    DelWinlogonNotifyByFileName('C:\W\System32\NavLogon.dll');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите новый карантин по правилам.
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    10.12.2007
    Сообщений
    27
    Вес репутации
    60
    Карантин выслал. Заглянул в dat-файлы в карантине - одни сплошные нули....
    Жду дальнейших указаний, спасибо.

  13. #12
    Junior Member Репутация
    Регистрация
    10.12.2007
    Сообщений
    27
    Вес репутации
    60

    explorer в архив не добавляется

    выполнил скрипт по карантинированию экслорера, при архивации в virus.zip dat-файлы не добавляются.
    На всякий случай высылаю virus.zip
    Чистая ли система или нужно продолжать лечение?

    Добавлено через 7 часов 7 минут

    обновлённый AVZ выдал такое сообщение
    C:\Program Files\Internet Explorer\setupapi.dll >>> подозрение на Trojan.Win32.Agent.dgw ( 075D57B8 04886AB1 001BE708 001B0A4B 17920)

    Последний раз редактировалось _RRR_; 16.12.2007 в 11:24. Причина: Добавлено

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    давайте новые логи ....

  15. #14
    Junior Member Репутация
    Регистрация
    10.12.2007
    Сообщений
    27
    Вес репутации
    60

    новые логи

    вот
    Вложения Вложения

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Еще и логи AVZ нужно...

  17. #16
    Junior Member Репутация
    Регистрация
    10.12.2007
    Сообщений
    27
    Вес репутации
    60
    не могу отправить никак с этого компа.... сейчас с другого добавлю

  18. #17
    Junior Member Репутация
    Регистрация
    10.12.2007
    Сообщений
    27
    Вес репутации
    60

    AVZ logs

    AVZ logs
    P.S.
    чудеса, с другой машины в той же сети по NAT аттачи присоединились мгновенно...
    карантин приаттачить или выслать отдельно?
    Вложения Вложения

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Карантин выслать по правилам.

  20. #19
    Junior Member Репутация
    Регистрация
    10.12.2007
    Сообщений
    27
    Вес репутации
    60
    выслал

  21. #20
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    C:\Program Files\Internet Explorer\setupapi.dll - Trojan.Win32.Agent.dkf - подтверждение с вирустотал. Будем удалять!
    Вот скрипт для удаления:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
    ExecuteSysClean;
    
    RebootWindows(true);
    end.
    Ограничивали себя сами? Если нет, то надо профиксить вот эту строчку
    в логе HijackThis:
    Код:
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    Добавлено через 10 минут

    sptd.sys - нормальный перехватчик от Daemon Tools
    Последний раз редактировалось PavelA; 17.12.2007 в 18:07. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  • Уважаемый(ая) _RRR_, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 4
      Последнее сообщение: 14.03.2012, 00:16
    2. перехваченные функции
      От iriska_ip в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 20.01.2011, 20:33
    3. Ответов: 18
      Последнее сообщение: 29.07.2010, 15:29
    4. перехваченные функции
      От AgentOrange в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 03:31
    5. Ответов: 4
      Последнее сообщение: 01.08.2008, 10:40

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00380 seconds with 20 queries