Показано с 1 по 7 из 7.

Руткит (+ возможно Backdoor) (заявка № 202724)

  1. #1
    Junior Member Репутация
    Регистрация
    28.07.2016
    Сообщений
    3
    Вес репутации
    28

    Руткит (+ возможно Backdoor)

    Недавно сам по себе запустился скайп, решил проверить AVZ`шкой ноутбук на наличие вирусов.
    Из протокола:
    Код:
    Протокол антивирусной утилиты AVZ версии 4.46Сканирование запущено в 03.08.2016 20:49:12
    Загружена база: сигнатуры - 297569, нейропрофили - 2, микропрограммы лечения - 56, база от 03.08.2016 16:00
    Загружены микропрограммы эвристики: 408
    Загружены микропрограммы ИПУ: 10
    Загружены цифровые подписи системных файлов: 809131
    Режим эвристического анализатора: Максимальный уровень эвристики
    Режим лечения: выключено
    Версия Windows: 6.2.9200,  "Windows 8 Single Language", дата инсталляции 14.03.2014 22:37:23 ; AVZ работает с правами администратора (+)
    Восстановление системы: включено
    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
     Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
    Функция kernel32.dll:ReadConsoleInputExA (1103) перехвачена, метод ProcAddressHijack.GetProcAddress ->748CBCF2->7538F05C
    Функция kernel32.dll:ReadConsoleInputExW (1104) перехвачена, метод ProcAddressHijack.GetProcAddress ->748CBD25->7538F080
     Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Функция ntdll.dll:NtCreateFile (268) перехвачена, метод ProcAddressHijack.GetProcAddress ->7704E060->60CB12A3
    Функция ntdll.dll:NtSetInformationFile (547) перехвачена, метод ProcAddressHijack.GetProcAddress ->7704DD80->60C934CF
    Функция ntdll.dll:NtSetValueKey (577) перехвачена, метод ProcAddressHijack.GetProcAddress ->7704E110->60CA9925
    Функция ntdll.dll:ZwCreateFile (1621) перехвачена, метод ProcAddressHijack.GetProcAddress ->7704E060->60CB12A3
    Функция ntdll.dll:ZwSetInformationFile (1898) перехвачена, метод ProcAddressHijack.GetProcAddress ->7704DD80->60C934CF
    Функция ntdll.dll:ZwSetValueKey (1928) перехвачена, метод ProcAddressHijack.GetProcAddress ->7704E110->60CA9925
     Анализ user32.dll, таблица экспорта найдена в секции .text
    Функция user32.dll:CallNextHookEx (1531) перехвачена, метод ProcAddressHijack.GetProcAddress ->74B57723->60C93537
    Функция user32.dll:SetWindowsHookExW (2298) перехвачена, метод ProcAddressHijack.GetProcAddress ->74B62119->60CEC5DF
     Анализ advapi32.dll, таблица экспорта найдена в секции .text
     Анализ ws2_32.dll, таблица экспорта найдена в секции .text
     Анализ wininet.dll, таблица экспорта найдена в секции .text
     Анализ rasapi32.dll, таблица экспорта найдена в секции .text
     Анализ urlmon.dll, таблица экспорта найдена в секции .text
     Анализ netapi32.dll, таблица экспорта найдена в секции .text
    Пробывал нейтрализовать с последующей перезагрузкой ноутбука - после повторного детектирования на руткит - такая же картина.
    Подумал что антивирус Avast обновился и по-новому работает, решил подстраховать себя и включил APS чтобы прослушать порты. К моему удивлению после авторизации на одном сайте APS поднял тревогу, в статистике прослушивались ~10 портов. (аварийно выключил ноутбук, поэтому какие именно порты прослушивались - не могу сказать)

    virusinfo_syscure.zip не могу прикрепить в силу того, что после выполнения скрипта в AVZ вылезает следующая картинка (отключение антивируса и перезагрузки ноутбука не помогли решить эту проблему)
    9HGcUb.jpg

    Сканировал уже чем только возможно: AVZ, KVRT, Dr. Web CureIt!, Malwayrebytes Anti-Malware. Также сделал полное сканирование Avast`ом. Удалить руткит так и не удалось. Сижу в растерянности, не знаю что делать
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) maximporsche, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    Цитата Сообщение от maximporsche Посмотреть сообщение
    Сижу в растерянности, не знаю что делать
    Не искать руткит там, где его нет. Чисто по логам.
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    28.07.2016
    Сообщений
    3
    Вес репутации
    28
    Всё же прошу проверить мои логи ещё раз. Вчера передались данные от электронной почты (мыло:пасс), которые нигде не публиковались и не сохранялись на ноутбуке, я их только копировал и вставлял.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    Сделайте лог сканирования МВАМ.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    28.07.2016
    Сообщений
    3
    Вес репутации
    28
    Лог MBAM
    Вложения Вложения
    • Тип файла: txt log.txt (3.9 Кб, 1 просмотров)

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    Удалите в MBAM (переместите в карантин) всё, кроме:
    Код:
    PUP.Optional.OpenCandy, C:\Users\Admin\Desktop\CheatEngine651.exe, , [94060e3cfc9e999d42befc917b869e62], 
    HackTool.Agent.OL, C:\Users\Admin\Desktop\Maxim\Рабочий стол\Soft.rar, , [4e4cc5855545f04691d69eb7f60c03fd], 
    HackTool.Agent.OL, C:\Users\Admin\Desktop\Maxim\Рабочий стол\слив БД\HavijPro\Havij.exe, , [debcd278dfbba98d2e3957fe45bd2cd4], 
    RiskWare.Tool.CK, C:\Users\Admin\Desktop\Maxim\Desktop_2\Delphi\keygen\keygen.exe, , [8b0f94b6653585b15d1c0811d32f58a8], 
    CrackTool.Agent, C:\Users\Admin\Documents\Zona Downloads\vegaspro12.0.367\vegas.pro.12.-patch.exe\vegas.pro.12.-patch.exe, , [71294ffbcbcf1d19727c06367c86e61a], 
    RiskWare.Keygen, C:\Users\Admin\Downloads\SONY Vegas Pro 9.0e Build 1147 32 64 bit\Keygen.exe, , [faa0094135650036d4c4b1adda283dc3], 
    HackTool.Agent.OL, C:\Windows\SysWOW64\HavijPro\Havij.exe, , [4c4e80ca4852cb6b52153223b1515ba5],
    В остальном - чисто.
    WBR,
    Vadim

Похожие темы

  1. Возможно руткит
    От yuramic в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 08.04.2016, 15:26
  2. Возможно руткит
    От Dmmitriy в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 05.02.2013, 11:33
  3. Возможно руткит.
    От mithell в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 12.04.2010, 19:31
  4. Возможно руткит
    От Бонифаций в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 26.09.2009, 17:14
  5. Возможно, руткит
    От Lemmit в разделе Вредоносные программы
    Ответов: 2
    Последнее сообщение: 11.08.2008, 12:27

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00302 seconds with 20 queries