-
Junior Member
- Вес репутации
- 56
Модификация машинного кода. Что это?
При сканировании системы в отчете выдается такое сообщение:
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=076EC0)
Ядро KERNEL1.EXE обнаружено в памяти по адресу 804D4000
SDT = 8054AEC0
KiST = 80502588 (284)
Функция IoEnumerateDeviceObjectList (804D4A1A) - модификация машинного кода. Метод не определен., внедрение с байта 15
Функция IoGetLowerDeviceObject (804D4999) - модификация машинного кода. Метод не определен., внедрение с байта 5
Функция IoInitializeIrp (804D483C) - модификация машинного кода. Метод не определен., внедрение с байта 6
Функция KeInsertHeadQueue (804D47FF) - модификация машинного кода. Метод не определен., внедрение с байта 5
Проверено функций: 284, перехвачено: 0, восстановлено: 0
Что это означает и если это опасно как с этим бороться?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Незарегистрированный
Guest
Присоединяюсь к вопросу.
Чем и зачем делаются такие изменения?
Каким образом их можно устранить?
-
-
Логи AVZ приложите. По ним станет понятно, кто это делает.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 56
Проблема таже... вот лог:
Протокол антивирусной утилиты AVZ версии 4.30
Сканирование запущено в 03.02.2009 13:48:21
Загружена база: сигнатуры - 208344, нейропрофили - 2, микропрограммы лечения - 56, база от 02.02.2009 22:44
Загружены микропрограммы эвристики: 372
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 89556
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, Service Pack 1 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=076EC0)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D4000
SDT = 8054AEC0
KiST = 80502588 (284)
Функция IoEnumerateDeviceObjectList (804D4A1A) - модификация машинного кода. Метод не определен., внедрение с байта 15
Функция IoGetLowerDeviceObject (804D4999) - модификация машинного кода. Метод не определен., внедрение с байта 5
Функция IoInitializeIrp (804D483C) - модификация машинного кода. Метод не определен., внедрение с байта 6
Функция KeInsertHeadQueue (804D47FF) - модификация машинного кода. Метод не определен., внедрение с байта 5
Проверено функций: 284, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 29
Количество загруженных модулей: 319
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Documents and Settings\LocalService\Cookies\index.dat
Прямое чтение C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
Прямое чтение C:\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat
Прямое чтение C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat
Прямое чтение C:\Documents and Settings\LocalService\NTUSER.DAT
Прямое чтение C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
Прямое чтение C:\Documents and Settings\NetworkService\NTUSER.DAT
Прямое чтение C:\Documents and Settings\User\Cookies\index.dat
Прямое чтение C:\Documents and Settings\User\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
Прямое чтение C:\Documents and Settings\User\Local Settings\History\History.IE5\index.dat
Прямое чтение C:\Documents and Settings\User\Local Settings\History\History.IE5\MSHist012009020320090 204\index.dat
Прямое чтение C:\Documents and Settings\User\Local Settings\Temp\Cookies\index.dat
Прямое чтение C:\Documents and Settings\User\Local Settings\Temp\History\History.IE5\index.dat
Прямое чтение C:\Documents and Settings\User\Local Settings\Temp\Temporary Internet Files\Content.IE5\index.dat
Прямое чтение C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\index.dat
Прямое чтение C:\Documents and Settings\User\NTUSER.DAT
Прямое чтение C:\Program Files\ESET\cache\CACHE.NDB
Прямое чтение C:\Program Files\ESET\logs\warnlog.dat
Прямое чтение C:\Program Files\Kerio\WinRoute Firewall\logs\alert.log
Прямое чтение C:\Program Files\Kerio\WinRoute Firewall\logs\config.log
Прямое чтение C:\Program Files\Kerio\WinRoute Firewall\logs\debug.log
Прямое чтение C:\Program Files\Kerio\WinRoute Firewall\logs\debug.log.idx
Прямое чтение C:\Program Files\Kerio\WinRoute Firewall\logs\dial.log
Прямое чтение C:\Program Files\Kerio\WinRoute Firewall\logs\dial.log.idx
Прямое чтение C:\Program Files\Kerio\WinRoute Firewall\logs\filter.log.idx
Прямое чтение C:\Program Files\Kerio\WinRoute Firewall\logs\http.log
Прямое чтение C:\Program Files\Kerio\WinRoute Firewall\logs\http.log.idx
Прямое чтение C:\Program Files\Kerio\WinRoute Firewall\logs\security.log
Прямое чтение C:\Program Files\Kerio\WinRoute Firewall\logs\security.log.idx
Прямое чтение C:\Program Files\Kerio\WinRoute Firewall\logs\warning.log
Прямое чтение C:\Program Files\Kerio\WinRoute Firewall\logs\warning.log.idx
Прямое чтение C:\Program Files\Kerio\WinRoute Firewall\logs\web.log
Прямое чтение C:\Program Files\Kerio\WinRoute Firewall\logs\web.log.idx
Прямое чтение C:\System Volume Information\_restore{CC45252B-6B82-41C2-95A9-70F55747FEFE}\RP555\change.log
Прямое чтение C:\WINDOWS\SchedLgU.Txt
Прямое чтение C:\WINDOWS\system32\config\AppEvent.Evt
Прямое чтение C:\WINDOWS\system32\config\default
Прямое чтение C:\WINDOWS\system32\config\SAM
Прямое чтение C:\WINDOWS\system32\config\SecEvent.Evt
Прямое чтение C:\WINDOWS\system32\config\SECURITY
Прямое чтение C:\WINDOWS\system32\config\software
Прямое чтение C:\WINDOWS\system32\config\SysEvent.Evt
Прямое чтение C:\WINDOWS\system32\config\system
Прямое чтение C:\WINDOWS\system32\config\system.LOG
Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR
Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A
Прямое чтение C:\WINDOWS\Temp\Perflib_Perfdata_6ec.dat
D:\Downloads\l2walker1074.rar/{RAR}/1074\L2Walker.exe >>>>> Packed.Win32.Black.a
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 155 TCP портов и 49 UDP портов
>>> Обратите внимание: Порт 4899 TCP - Remote Admin (c:\windows\system32\r_server.exe - опознан как безопасный процесс)
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ и справке)
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
>> Безопасность: разрешен автоматический вход в систему
Проверка завершена
9. Мастер поиска и устранения проблем
>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
>>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX - исправлено
>> Разрешен автозапуск с HDD
>>> Разрешен автозапуск с HDD - исправлено
>> Разрешен автозапуск с сетевых дисков
>>> Разрешен автозапуск с сетевых дисков - исправлено
>> Разрешен автозапуск со сменных носителей
>>> Разрешен автозапуск со сменных носителей - исправлено
Проверка завершена
Просканировано файлов: 306105, извлечено из архивов: 253453, найдено вредоносных программ 1, подозрений - 0
Сканирование завершено в 03.02.2009 15:02:48
Сканирование длилось 01:14:29
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info
-
Vert01et, anyskin
это не правильный лог и не сюда вот, читаем внимательно: http://virusinfo.info/showthread.php?t=1235
-