Функция kernel32.dlloadLibraryA (581) перехвачена, метод APICodeHijack.JmpTo[10006E56]
Еще из симптомов открывает шары к дискам. Других анамалий не замеченно. Приклипил логи.
Функция kernel32.dlloadLibraryA (581) перехвачена, метод APICodeHijack.JmpTo[10006E56]
Еще из симптомов открывает шары к дискам. Других анамалий не замеченно. Приклипил логи.
Базы обновить, логи переделать...
Вы думаете последние базы кашперского менее обьемлющие чем базы avz? ладно обновлю....
При чем тут Касперский? Нужно обновить базы AVZ...
вот прошу....
Скажите хотябы что за метод такой перехвата APICodeHijack.JmpTo
Вроде и таблица экспорта целая, да и сам код от стандартной функции.
Ну подскажите как отловить модуль в котором зараза засела. Хоть идеи какиенибуть? Уже 2 раз ловлю эту дрянь, первый раз пришлось переустанавливать
Последний раз редактировалось Lumintus; 24.04.2009 в 00:20.
Воте еще лог тулзы от кашперского, там перехватов побольше видно, так и не удалось вычеслить модуль.. еще бы тулза сразу перехваты не снимала, у меня был бы шанс
Парни ну хоть какието идеи есть? мне бы только понять в каком он модули сидит, есть мысля раз уж у меня стоит syser взять да посмотреть кто перехватывает, но есть НО, я вообще не могу найти перехват, и я только вникаю в сусер. Посему хочу спросить что за метож перехвата в логах, те какова его техничская реализация.
Добавлено через 1 час 27 минут
НУ давайте вместе разбираться LoadLibraryA по адрессу 7c801d7b перехвачена (я хз как я не нашел перехвата) и новый обработчик вроде как в 61f03c6f (смотрим что поет итилиа от кашпера) Но сусер там не находит перехвата!!там вообще не чего нет, те свободная память
Добавлено через 1 час 6 минут
Новая информация!! насколько я понял перехват только в процессе explorer.exe и еще хочу заметить что обработчик по адрессу 10006e56 действительно валидин по этому адрессу в этом процессе (адресс обработчика взят из avz). Метод перехвата мне так и не ясен, может создатель avz просветит меня, я же пока покапаюсь в таблицах ипорта экспорта
Добавлено через 25 минут
Подозрения потвердились зверье в explorer.exe теперь осталось выяснить как он туда попадает, скажите какие ключи есть которые подгружают dll к explorer, хотя у меня подозрение что инжект может быть из сторонего процесса
Добавлено через 15 минут
Последние новости с фронта, вирус забит в угол. Теперь достоверно извесно что он прячеться в explorer.exe и загружаеться в памяти посредством самого процесса, так что искать надо в реестре. Я пока перехвачу загрузку библиотек и постораюсь поймать момент перехвата функции и определить модуль.
Последний раз редактировалось Lumintus; 24.04.2009 в 20:29. Причина: Добавлено
ПРишлите пожалуйста мне список модулей в процессе explorer.exe из здоровоко компьютора,
Уважаемый(ая) Lumintus, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.