Показано с 1 по 5 из 5.

Модификация машинного кода. Что это?

  1. #1
    Junior Member Репутация
    Регистрация
    18.01.2009
    Сообщений
    1
    Вес репутации
    33

    Модификация машинного кода. Что это?

    При сканировании системы в отчете выдается такое сообщение:

    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    SDT найдена (RVA=076EC0)
    Ядро KERNEL1.EXE обнаружено в памяти по адресу 804D4000
    SDT = 8054AEC0
    KiST = 80502588 (284)
    Функция IoEnumerateDeviceObjectList (804D4A1A) - модификация машинного кода. Метод не определен., внедрение с байта 15
    Функция IoGetLowerDeviceObject (804D4999) - модификация машинного кода. Метод не определен., внедрение с байта 5
    Функция IoInitializeIrp (804D483C) - модификация машинного кода. Метод не определен., внедрение с байта 6
    Функция KeInsertHeadQueue (804D47FF) - модификация машинного кода. Метод не определен., внедрение с байта 5

    Проверено функций: 284, перехвачено: 0, восстановлено: 0

    Что это означает и если это опасно как с этим бороться?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Незарегистрированный
    Guest
    Присоединяюсь к вопросу.
    Чем и зачем делаются такие изменения?
    Каким образом их можно устранить?

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Логи AVZ приложите. По ним станет понятно, кто это делает.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  5. #4
    Junior Member Репутация
    Регистрация
    03.02.2009
    Сообщений
    7
    Вес репутации
    33
    Проблема таже... вот лог:

    Протокол антивирусной утилиты AVZ версии 4.30
    Сканирование запущено в 03.02.2009 13:48:21
    Загружена база: сигнатуры - 208344, нейропрофили - 2, микропрограммы лечения - 56, база от 02.02.2009 22:44
    Загружены микропрограммы эвристики: 372
    Загружены микропрограммы ИПУ: 9
    Загружены цифровые подписи системных файлов: 89556
    Режим эвристического анализатора: Средний уровень эвристики
    Режим лечения: включено
    Версия Windows: 5.1.2600, Service Pack 1 ; AVZ работает с правами администратора
    Восстановление системы: включено
    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    SDT найдена (RVA=076EC0)
    Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D4000
    SDT = 8054AEC0
    KiST = 80502588 (284)
    Функция IoEnumerateDeviceObjectList (804D4A1A) - модификация машинного кода. Метод не определен., внедрение с байта 15
    Функция IoGetLowerDeviceObject (804D4999) - модификация машинного кода. Метод не определен., внедрение с байта 5
    Функция IoInitializeIrp (804D483C) - модификация машинного кода. Метод не определен., внедрение с байта 6
    Функция KeInsertHeadQueue (804D47FF) - модификация машинного кода. Метод не определен., внедрение с байта 5
    Проверено функций: 284, перехвачено: 0, восстановлено: 0
    1.3 Проверка IDT и SYSENTER
    Анализ для процессора 1
    Проверка IDT и SYSENTER завершена
    1.4 Поиск маскировки процессов и драйверов
    Поиск маскировки процессов и драйверов завершен
    Драйвер успешно загружен
    1.5 Проверка обработчиков IRP
    Проверка завершена
    2. Проверка памяти
    Количество найденных процессов: 29
    Количество загруженных модулей: 319
    Проверка памяти завершена
    3. Сканирование дисков
    Прямое чтение C:\Documents and Settings\LocalService\Cookies\index.dat
    Прямое чтение C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
    Прямое чтение C:\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat
    Прямое чтение C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat
    Прямое чтение C:\Documents and Settings\LocalService\NTUSER.DAT
    Прямое чтение C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
    Прямое чтение C:\Documents and Settings\NetworkService\NTUSER.DAT
    Прямое чтение C:\Documents and Settings\User\Cookies\index.dat
    Прямое чтение C:\Documents and Settings\User\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
    Прямое чтение C:\Documents and Settings\User\Local Settings\History\History.IE5\index.dat
    Прямое чтение C:\Documents and Settings\User\Local Settings\History\History.IE5\MSHist012009020320090 204\index.dat
    Прямое чтение C:\Documents and Settings\User\Local Settings\Temp\Cookies\index.dat
    Прямое чтение C:\Documents and Settings\User\Local Settings\Temp\History\History.IE5\index.dat
    Прямое чтение C:\Documents and Settings\User\Local Settings\Temp\Temporary Internet Files\Content.IE5\index.dat
    Прямое чтение C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\index.dat
    Прямое чтение C:\Documents and Settings\User\NTUSER.DAT
    Прямое чтение C:\Program Files\ESET\cache\CACHE.NDB
    Прямое чтение C:\Program Files\ESET\logs\warnlog.dat
    Прямое чтение C:\Program Files\Kerio\WinRoute Firewall\logs\alert.log
    Прямое чтение C:\Program Files\Kerio\WinRoute Firewall\logs\config.log
    Прямое чтение C:\Program Files\Kerio\WinRoute Firewall\logs\debug.log
    Прямое чтение C:\Program Files\Kerio\WinRoute Firewall\logs\debug.log.idx
    Прямое чтение C:\Program Files\Kerio\WinRoute Firewall\logs\dial.log
    Прямое чтение C:\Program Files\Kerio\WinRoute Firewall\logs\dial.log.idx
    Прямое чтение C:\Program Files\Kerio\WinRoute Firewall\logs\filter.log.idx
    Прямое чтение C:\Program Files\Kerio\WinRoute Firewall\logs\http.log
    Прямое чтение C:\Program Files\Kerio\WinRoute Firewall\logs\http.log.idx
    Прямое чтение C:\Program Files\Kerio\WinRoute Firewall\logs\security.log
    Прямое чтение C:\Program Files\Kerio\WinRoute Firewall\logs\security.log.idx
    Прямое чтение C:\Program Files\Kerio\WinRoute Firewall\logs\warning.log
    Прямое чтение C:\Program Files\Kerio\WinRoute Firewall\logs\warning.log.idx
    Прямое чтение C:\Program Files\Kerio\WinRoute Firewall\logs\web.log
    Прямое чтение C:\Program Files\Kerio\WinRoute Firewall\logs\web.log.idx
    Прямое чтение C:\System Volume Information\_restore{CC45252B-6B82-41C2-95A9-70F55747FEFE}\RP555\change.log
    Прямое чтение C:\WINDOWS\SchedLgU.Txt
    Прямое чтение C:\WINDOWS\system32\config\AppEvent.Evt
    Прямое чтение C:\WINDOWS\system32\config\default
    Прямое чтение C:\WINDOWS\system32\config\SAM
    Прямое чтение C:\WINDOWS\system32\config\SecEvent.Evt
    Прямое чтение C:\WINDOWS\system32\config\SECURITY
    Прямое чтение C:\WINDOWS\system32\config\software
    Прямое чтение C:\WINDOWS\system32\config\SysEvent.Evt
    Прямое чтение C:\WINDOWS\system32\config\system
    Прямое чтение C:\WINDOWS\system32\config\system.LOG
    Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR
    Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A
    Прямое чтение C:\WINDOWS\Temp\Perflib_Perfdata_6ec.dat
    D:\Downloads\l2walker1074.rar/{RAR}/1074\L2Walker.exe >>>>> Packed.Win32.Black.a
    4. Проверка Winsock Layered Service Provider (SPI/LSP)
    Настройки LSP проверены. Ошибок не обнаружено
    5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
    6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
    В базе 317 описаний портов
    На данном ПК открыто 155 TCP портов и 49 UDP портов
    >>> Обратите внимание: Порт 4899 TCP - Remote Admin (c:\windows\system32\r_server.exe - опознан как безопасный процесс)
    На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ и справке)
    7. Эвристичеcкая проверка системы
    Проверка завершена
    8. Поиск потенциальных уязвимостей
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
    >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    >> Безопасность: разрешен автоматический вход в систему
    Проверка завершена
    9. Мастер поиска и устранения проблем
    >> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
    >>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX - исправлено
    >> Разрешен автозапуск с HDD
    >>> Разрешен автозапуск с HDD - исправлено
    >> Разрешен автозапуск с сетевых дисков
    >>> Разрешен автозапуск с сетевых дисков - исправлено
    >> Разрешен автозапуск со сменных носителей
    >>> Разрешен автозапуск со сменных носителей - исправлено
    Проверка завершена
    Просканировано файлов: 306105, извлечено из архивов: 253453, найдено вредоносных программ 1, подозрений - 0
    Сканирование завершено в 03.02.2009 15:02:48
    Сканирование длилось 01:14:29
    Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
    то Вы можете обратиться в конференцию - http://virusinfo.info

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Vert01et, anyskin
    это не правильный лог и не сюда вот, читаем внимательно: http://virusinfo.info/showthread.php?t=1235

Похожие темы

  1. Модификация машинного кода.
    От Quit в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 03.11.2010, 12:40
  2. Модификация машинного кода
    От ssh в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 04.07.2009, 23:21
  3. Модификация машинного кода
    От Ивпал в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 22.02.2009, 05:32
  4. Модификация машинного кода
    От Aлeкceй в разделе Помогите!
    Ответов: 9
    Последнее сообщение: 22.02.2009, 04:00
  5. Модификация машинного кода.
    От ViVeda в разделе Помогите!
    Ответов: 8
    Последнее сообщение: 13.02.2008, 18:26

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00837 seconds with 16 queries