Недавно сам по себе запустился скайп, решил проверить AVZ`шкой ноутбук на наличие вирусов.
Из протокола:
Код:
Протокол антивирусной утилиты AVZ версии 4.46Сканирование запущено в 03.08.2016 20:49:12
Загружена база: сигнатуры - 297569, нейропрофили - 2, микропрограммы лечения - 56, база от 03.08.2016 16:00
Загружены микропрограммы эвристики: 408
Загружены микропрограммы ИПУ: 10
Загружены цифровые подписи системных файлов: 809131
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 6.2.9200, "Windows 8 Single Language", дата инсталляции 14.03.2014 22:37:23 ; AVZ работает с правами администратора (+)
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1103) перехвачена, метод ProcAddressHijack.GetProcAddress ->748CBCF2->7538F05C
Функция kernel32.dll:ReadConsoleInputExW (1104) перехвачена, метод ProcAddressHijack.GetProcAddress ->748CBD25->7538F080
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (268) перехвачена, метод ProcAddressHijack.GetProcAddress ->7704E060->60CB12A3
Функция ntdll.dll:NtSetInformationFile (547) перехвачена, метод ProcAddressHijack.GetProcAddress ->7704DD80->60C934CF
Функция ntdll.dll:NtSetValueKey (577) перехвачена, метод ProcAddressHijack.GetProcAddress ->7704E110->60CA9925
Функция ntdll.dll:ZwCreateFile (1621) перехвачена, метод ProcAddressHijack.GetProcAddress ->7704E060->60CB12A3
Функция ntdll.dll:ZwSetInformationFile (1898) перехвачена, метод ProcAddressHijack.GetProcAddress ->7704DD80->60C934CF
Функция ntdll.dll:ZwSetValueKey (1928) перехвачена, метод ProcAddressHijack.GetProcAddress ->7704E110->60CA9925
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1531) перехвачена, метод ProcAddressHijack.GetProcAddress ->74B57723->60C93537
Функция user32.dll:SetWindowsHookExW (2298) перехвачена, метод ProcAddressHijack.GetProcAddress ->74B62119->60CEC5DF
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
Пробывал нейтрализовать с последующей перезагрузкой ноутбука - после повторного детектирования на руткит - такая же картина.
Подумал что антивирус Avast обновился и по-новому работает, решил подстраховать себя и включил APS чтобы прослушать порты. К моему удивлению после авторизации на одном сайте APS поднял тревогу, в статистике прослушивались ~10 портов. (аварийно выключил ноутбук, поэтому какие именно порты прослушивались - не могу сказать)
virusinfo_syscure.zip не могу прикрепить в силу того, что после выполнения скрипта в AVZ вылезает следующая картинка (отключение антивируса и перезагрузки ноутбука не помогли решить эту проблему) 9HGcUb.jpg
Сканировал уже чем только возможно: AVZ, KVRT, Dr. Web CureIt!, Malwayrebytes Anti-Malware. Также сделал полное сканирование Avast`ом. Удалить руткит так и не удалось. Сижу в растерянности, не знаю что делать
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) maximporsche, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Всё же прошу проверить мои логи ещё раз. Вчера передались данные от электронной почты (мыло:пасс), которые нигде не публиковались и не сохранялись на ноутбуке, я их только копировал и вставлял.