Показано с 1 по 9 из 9.

LoadLibraryA перехвачена (заявка № 44382)

  1. #1
    Junior Member Репутация
    Регистрация
    22.04.2009
    Сообщений
    13
    Вес репутации
    32

    Question LoadLibraryA перехвачена

    Функция kernel32.dlloadLibraryA (581) перехвачена, метод APICodeHijack.JmpTo[10006E56]

    Еще из симптомов открывает шары к дискам. Других анамалий не замеченно. Приклипил логи.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Базы обновить, логи переделать...

  4. #3
    Junior Member Репутация
    Регистрация
    22.04.2009
    Сообщений
    13
    Вес репутации
    32
    Вы думаете последние базы кашперского менее обьемлющие чем базы avz? ладно обновлю....

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    При чем тут Касперский? Нужно обновить базы AVZ...

  6. #5
    Junior Member Репутация
    Регистрация
    22.04.2009
    Сообщений
    13
    Вес репутации
    32
    вот прошу....
    Вложения Вложения

  7. #6
    Junior Member Репутация
    Регистрация
    22.04.2009
    Сообщений
    13
    Вес репутации
    32
    Скажите хотябы что за метод такой перехвата APICodeHijack.JmpTo
    Вроде и таблица экспорта целая, да и сам код от стандартной функции.
    Ну подскажите как отловить модуль в котором зараза засела. Хоть идеи какиенибуть? Уже 2 раз ловлю эту дрянь, первый раз пришлось переустанавливать
    Последний раз редактировалось Lumintus; 23.04.2009 в 23:20.

  8. #7
    Junior Member Репутация
    Регистрация
    22.04.2009
    Сообщений
    13
    Вес репутации
    32
    Воте еще лог тулзы от кашперского, там перехватов побольше видно, так и не удалось вычеслить модуль.. еще бы тулза сразу перехваты не снимала, у меня был бы шанс
    Вложения Вложения

  9. #8
    Junior Member Репутация
    Регистрация
    22.04.2009
    Сообщений
    13
    Вес репутации
    32
    Парни ну хоть какието идеи есть? мне бы только понять в каком он модули сидит, есть мысля раз уж у меня стоит syser взять да посмотреть кто перехватывает, но есть НО, я вообще не могу найти перехват, и я только вникаю в сусер. Посему хочу спросить что за метож перехвата в логах, те какова его техничская реализация.

    Добавлено через 1 час 27 минут

    НУ давайте вместе разбираться LoadLibraryA по адрессу 7c801d7b перехвачена (я хз как я не нашел перехвата) и новый обработчик вроде как в 61f03c6f (смотрим что поет итилиа от кашпера) Но сусер там не находит перехвата!!там вообще не чего нет, те свободная память

    Добавлено через 1 час 6 минут

    Новая информация!! насколько я понял перехват только в процессе explorer.exe и еще хочу заметить что обработчик по адрессу 10006e56 действительно валидин по этому адрессу в этом процессе (адресс обработчика взят из avz). Метод перехвата мне так и не ясен, может создатель avz просветит меня, я же пока покапаюсь в таблицах ипорта экспорта

    Добавлено через 25 минут

    Подозрения потвердились зверье в explorer.exe теперь осталось выяснить как он туда попадает, скажите какие ключи есть которые подгружают dll к explorer, хотя у меня подозрение что инжект может быть из сторонего процесса

    Добавлено через 15 минут

    Последние новости с фронта, вирус забит в угол. Теперь достоверно извесно что он прячеться в explorer.exe и загружаеться в памяти посредством самого процесса, так что искать надо в реестре. Я пока перехвачу загрузку библиотек и постораюсь поймать момент перехвата функции и определить модуль.
    Последний раз редактировалось Lumintus; 24.04.2009 в 19:29. Причина: Добавлено

  10. #9
    Junior Member Репутация
    Регистрация
    22.04.2009
    Сообщений
    13
    Вес репутации
    32
    ПРишлите пожалуйста мне список модулей в процессе explorer.exe из здоровоко компьютора,

  • Уважаемый(ая) Lumintus, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. перехваченные функции
      От iriska_ip в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 20.01.2011, 20:33
    2. Перехвачены функции
      От yuramic в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 02.02.2010, 14:23
    3. RootKit NtUnloadKey (107) перехвачена
      От Pradromalo в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 16.07.2009, 17:07
    4. 5 перехваченных функций
      От zeiba в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 24.03.2009, 17:31
    5. Ответов: 2
      Последнее сообщение: 27.01.2009, 00:15

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01614 seconds with 17 queries