-
Junior Member
- Вес репутации
- 58
AVZ обнаружил непонятные таблицы экспорта
После запуска проверки AVZ выделил непонятные для меня функции:
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:GetClipboardData (25 перехвачена, метод ProcAddressHijack.GetProcAddress ->77D5FCB2->134FD6
Функция user32.dll:GetMessageA (315) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D5EA45->1352AF
Функция user32.dll:GetMessageW (319) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D391A3->1352DB
Функция user32.dlleekMessageA (510) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D3CEFD->135307
Функция user32.dlleekMessageW (511) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D39278->135336
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:WSASend (76) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A96233->13F13E
Функция ws2_32.dll:WSASendTo (7 перехвачена, метод ProcAddressHijack.GetProcAddress ->71AA0A95->13F123
Функция ws2_32.dll:closesocket (3) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A99639->13F113
Функция ws2_32.dll:send (19) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A9428A->13F1AA
Функция ws2_32.dll:sendto (20) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A92C69->13F174
Анализ wininet.dll, таблица экспорта найдена в секции .text
Функция wininet.dll:HttpQueryInfoA (205) перехвачена, метод ProcAddressHijack.GetProcAddress ->771B8C6A->13DF9A
Функция wininet.dll:HttpQueryInfoW (206) перехвачена, метод ProcAddressHijack.GetProcAddress ->771C7756->13DFEB
Функция wininet.dll:HttpSendRequestA (207) перехвачена, метод ProcAddressHijack.GetProcAddress ->771B76B8->13EB53
Функция wininet.dll:HttpSendRequestExA (20 перехвачена, метод ProcAddressHijack.GetProcAddress ->7720190D->13EC38
Функция wininet.dll:HttpSendRequestExW (209) перехвачена, метод ProcAddressHijack.GetProcAddress ->771C53EB->13EC1B
Функция wininet.dll:HttpSendRequestW (210) перехвачена, метод ProcAddressHijack.GetProcAddress ->77201808->13EB33
Функция wininet.dll:InternetCloseHandle (223) перехвачена, метод ProcAddressHijack.GetProcAddress ->771B61DC->13E40F
Функция wininet.dll:InternetQueryDataAvailable (26 перехвачена, метод ProcAddressHijack.GetProcAddress ->771C325F->13E5BF
Функция wininet.dll:InternetReadFile (272) перехвачена, метод ProcAddressHijack.GetProcAddress ->771B9555->13E55D
Функция wininet.dll:InternetReadFileExA (273) перехвачена, метод ProcAddressHijack.GetProcAddress ->771E7E9A->13E59E
Функция wininet.dll:InternetReadFileExW (274) перехвачена, метод ProcAddressHijack.GetProcAddress ->771E88D6->13E57D
Не подскажите, что это может быть?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 58
Сообщение от
Rene-gad
Спасибо. Я здесь впервые, так что извиняюсь.
Надеюсь сейчас всё зделал правельно
Последний раз редактировалось Rene-gad; 04.06.2008 в 15:58.
-
Сообщение от
Veselyi_Rodger
Надеюсь сейчас всё зделал правельно
Почти: virusinfo_syscheck и virusinfo_syscure создаются АВЗ в формате .htm и запаковываются в zip-архивы . Именно эти архивы мы и ждем от Вас .
-
-
Junior Member
- Вес репутации
- 58
Сообщение от
Rene-gad
Почти:
virusinfo_syscheck и
virusinfo_syscure создаются АВЗ в формате
.htm и запаковываются в
zip-архивы . Именно эти архивы мы и ждем от Вас
.
А я смотю htm не ставится решил поставить в доступном формате.
Прекрепляю
-
Пофиксите
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки пришлите карантин согласно приложению 3 правил и повторите логи.
-