Показано с 1 по 7 из 7.

Как избавится от перехвадчиков? [not-a-virus:AdWare.Win32.Webalt.f, not-a-virus:AdWare.Win32.Webalt.e ] (заявка № 36637)

  1. #1
    Junior Member Репутация
    Регистрация
    02.01.2009
    Сообщений
    4
    Вес репутации
    33

    Exclamation Как избавится от перехвадчиков? [not-a-virus:AdWare.Win32.Webalt.f, not-a-virus:AdWare.Win32.Webalt.e ]

    Сегодня проверил АВЗхой систему и обнаружил интересные логи...
    Код:
    1.1 Поиск перехватчиков API, работающих в UserMode
     Анализ kernel32.dll, таблица экспорта найдена в секции .text
     Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Функция ntdll.dll:LdrGetProcedureAddress (65) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C919B88->13436C
    Функция ntdll.dll:LdrLoadDll (70) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C9161CA->1343AA
    Функция ntdll.dll:NtCreateThread (140) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D7D2->134339
    Функция ntdll.dll:NtQueryDirectoryFile (234) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90DF5E->134418
     Анализ user32.dll, таблица экспорта найдена в секции .text
    Функция user32.dll:GetClipboardData (258) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D5FCB2->134720
    Функция user32.dll:GetMessageA (315) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D5EA45->1349F9
    Функция user32.dll:GetMessageW (319) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D391A3->134A25
    Функция user32.dll:PeekMessageA (510) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D3CEFD->134A51
    Функция user32.dll:PeekMessageW (511) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D39278->134A80
     Анализ advapi32.dll, таблица экспорта найдена в секции .text
     Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Функция ws2_32.dll:WSASend (76) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A96233->13EAFA
    Функция ws2_32.dll:WSASendTo (78) перехвачена, метод ProcAddressHijack.GetProcAddress ->71AA0A95->13EADF
    Функция ws2_32.dll:closesocket (3) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A99639->13EACF
    Функция ws2_32.dll:send (19) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A9428A->13EB66
    Функция ws2_32.dll:sendto (20) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A92C69->13EB30
     Анализ wininet.dll, таблица экспорта найдена в секции .text
    Функция wininet.dll:HttpQueryInfoA (205) перехвачена, метод ProcAddressHijack.GetProcAddress ->771B8C6A->13D958
    Функция wininet.dll:HttpQueryInfoW (206) перехвачена, метод ProcAddressHijack.GetProcAddress ->771C7756->13D9A9
    Функция wininet.dll:HttpSendRequestA (207) перехвачена, метод ProcAddressHijack.GetProcAddress ->771B76B8->13E50F
    Функция wininet.dll:HttpSendRequestExA (208) перехвачена, метод ProcAddressHijack.GetProcAddress ->7720190D->13E5F4
    Функция wininet.dll:HttpSendRequestExW (209) перехвачена, метод ProcAddressHijack.GetProcAddress ->771C53EB->13E5D7
    Функция wininet.dll:HttpSendRequestW (210) перехвачена, метод ProcAddressHijack.GetProcAddress ->77201808->13E4EF
    Функция wininet.dll:InternetCloseHandle (223) перехвачена, метод ProcAddressHijack.GetProcAddress ->771B61DC->13DDCD
    Функция wininet.dll:InternetQueryDataAvailable (268) перехвачена, метод ProcAddressHijack.GetProcAddress ->771C325F->13DF7D
    Функция wininet.dll:InternetReadFile (272) перехвачена, метод ProcAddressHijack.GetProcAddress ->771B9555->13DF1B
    Функция wininet.dll:InternetReadFileExA (273) перехвачена, метод ProcAddressHijack.GetProcAddress ->771E7E9A->13DF5C
    Функция wininet.dll:InternetReadFileExW (274) перехвачена, метод ProcAddressHijack.GetProcAddress ->771E88D6->13DF3B
     Анализ rasapi32.dll, таблица экспорта найдена в секции .text
     Анализ urlmon.dll, таблица экспорта найдена в секции .text
     Анализ netapi32.dll, таблица экспорта найдена в секции .text
    Как от них избавится я незнаю вот и обратился к вам по помощь.
    Зарание благодарен
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\system.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\system32\system.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    02.01.2009
    Сообщений
    4
    Вес репутации
    33
    Карантин выслал
    Вот логи. По моиму все норм. Перехвадчиков уже не находит, но всерамно хотелось бы услышать вердикт мастера)
    Вложения Вложения

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DelBHO('{6C3BDD12-4B6F-44F1-87CB-4D94E1ED38A5}');
     DelBHO('{D4C56A33-3488-495B-8033-9BF834E276D8}');
     QuarantineFile('C:\Program Files\Webalta\WebaltaUpdaterService.exe','');
     QuarantineFile('C:\PROGRA~1\Webalta\WEBALT~2.DLL','');
     QuarantineFile('C:\PROGRA~1\Webalta\WEBALT~1.DLL','');
     DeleteFile('C:\Program Files\Webalta\WebaltaUpdaterService.exe');
     DeleteFile('C:\PROGRA~1\Webalta\WEBALT~2.DLL');
     DeleteFile('C:\PROGRA~1\Webalta\WEBALT~1.DLL');
     BC_ImportAll;
     ExecuteSysClean;
     BC_DeleteSvc('WebaltaController');
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!
    Пришлите карантин согласно приложению 3 правил.
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=36637

    3. Сделайте новые логи (только п.2 и 3 раздела Диагностика).
    Сердце решает кого любить... Судьба решает с кем быть...

  6. #5
    Junior Member Репутация
    Регистрация
    02.01.2009
    Сообщений
    4
    Вес репутации
    33
    Вот логи
    Карантин выслал согласно правил
    Вложения Вложения

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    Ничего зловредного в логах нет.
    Сердце решает кого любить... Судьба решает с кем быть...

  8. #7
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 21
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\progra~1\\webalta\\webaltaadshunter.dll - not-a-virus:AdWare.Win32.Webalt.f (DrWEB: Trojan.DownLoad.26787)
      2. c:\\progra~1\\webalta\\webaltatoolbar.dll - not-a-virus:AdWare.Win32.Webalt.e
      3. c:\\progra~1\\webalta\\webalt~1.dll - not-a-virus:AdWare.Win32.Webalt.e
      4. c:\\progra~1\\webalta\\webalt~2.dll - not-a-virus:AdWare.Win32.Webalt.f (DrWEB: Trojan.DownLoad.26787)
      5. c:\\windows\\system32\\ntos.exe - Trojan-Dropper.Win32.Agent.abdh (DrWEB: Trojan.PWS.Panda.9)


  • Уважаемый(ая) Neiros, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. avz.обноружил множество перехвадчиков.
      От tarakatoom в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 30.10.2009, 00:57
    2. Ответов: 10
      Последнее сообщение: 24.08.2009, 19:56
    3. Перехвадчик не определен
      От Archangel666 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 25.01.2009, 21:11
    4. И снова перехвадчики...
      От Neiros в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 13.01.2009, 19:22
    5. Никак не могу избавится от перехватчиков
      От nikk.D в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 12.11.2008, 17:31

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01282 seconds with 17 queries