Показано с 1 по 11 из 11.

Перехвачены ntdll.dll,user32.dll,ws2_32.dll,wininet.dll (заявка № 59597)

  1. #1
    Junior Member Репутация
    Регистрация
    08.11.2009
    Сообщений
    6
    Вес репутации
    31

    Thumbs up Перехвачены ntdll.dll,user32.dll,ws2_32.dll,wininet.dll

    Здравствуйте!
    Вчера антивирус проверил компьютер и удалил 3 трояна. Сегодня AVZ находит перехваченные функции:
    Код:
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Функция ntdll.dll:LdrGetProcedureAddress (65) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C919328->035C1F
    Функция ntdll.dll:LdrLoadDll (70) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C915CBB->035C84
    Функция ntdll.dll:NtCreateFile (123) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D0AE->035F35
    Функция ntdll.dll:NtCreateThread (140) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D1AE->035BED
    Функция ntdll.dll:NtQueryDirectoryFile (234) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D76E->036266
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Функция user32.dll:DestroyWindow (154) перехвачена, метод ProcAddressHijack.GetProcAddress ->7E36DAEA->036157
    Функция user32.dll:EndDialog (199) перехвачена, метод ProcAddressHijack.GetProcAddress ->7E3759C9->035718
    Функция user32.dll:GetClipboardData (258) перехвачена, метод ProcAddressHijack.GetProcAddress ->7E380D7A->03652B
    Функция user32.dll:TranslateMessage (683) перехвачена, метод ProcAddressHijack.GetProcAddress ->7E368BF6->0367D5
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Функция ws2_32.dll:WSAConnect (33) перехвачена, метод ProcAddressHijack.GetProcAddress ->71AA0C69->035652
    Функция ws2_32.dll:closesocket (3) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A99639->03F0B7
    Функция ws2_32.dll:connect (4) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A9406A->0356DA
    Функция ws2_32.dll:send (19) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A9428A->03F0DE
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Функция wininet.dll:HttpQueryInfoA (206) перехвачена, метод ProcAddressHijack.GetProcAddress ->3F9F0C67->03E22B
    Функция wininet.dll:HttpQueryInfoW (207) перехвачена, метод ProcAddressHijack.GetProcAddress ->3F9F7E66->03E27A
    Функция wininet.dll:HttpSendRequestA (208) перехвачена, метод ProcAddressHijack.GetProcAddress ->3F9FCD50->03EAE7
    Функция wininet.dll:HttpSendRequestExA (209) перехвачена, метод ProcAddressHijack.GetProcAddress ->3FA5D5BE->03EBC6
    Функция wininet.dll:HttpSendRequestExW (210) перехвачена, метод ProcAddressHijack.GetProcAddress ->3FA0353A->03EBA9
    Функция wininet.dll:HttpSendRequestW (211) перехвачена, метод ProcAddressHijack.GetProcAddress ->3FA10845->03EACA
    Функция wininet.dll:InternetCloseHandle (224) перехвачена, метод ProcAddressHijack.GetProcAddress ->3F9EDA71->03E6A4
    Функция wininet.dll:InternetQueryDataAvailable (272) перехвачена, метод ProcAddressHijack.GetProcAddress ->3F9FAE0D->03E869
    Функция wininet.dll:InternetReadFile (276) перехвачена, метод ProcAddressHijack.GetProcAddress ->3F9FABCC->03E810
    Функция wininet.dll:InternetReadFileExA (277) перехвачена, метод ProcAddressHijack.GetProcAddress ->3FA13F50->03E84B
    Функция wininet.dll:InternetReadFileExW (278) перехвачена, метод ProcAddressHijack.GetProcAddress ->3FA13F18->03E82D
    
    И ещё некоторые функции перехвачены неизвестным или spby.sys..
    Логи прикрепляю.
    Помогите пожалуйста! Заранее очень благодарна!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1696
    Выполните скрипт в AVZ
    Код:
    begin
     QuarantineFile('C:\Documents and Settings\Crematoria\Local Settings\Temporary Internet Files\Content.IE5\SYJIHI0Y\setup[1].exe','');
     DelBHO('92780B25-18CC-41C8-B9BE-3C9C571A8263');
     DelBHO('3CA2F312-6F6E-4B53-A66E-4E65E497C8C0');
     DelAutorunByFileName('C:\WINDOWS\system32\sdra64.exe');
     RebootWindows(false);
    end.
    Загрузите карантин согласно приложению №3 правил. Повторите лог virusinfo_syscheck.zip

    Добавлено через 47 секунд

    Ваш перехватчик - Alcohol.
    Последний раз редактировалось Макcим; 08.11.2009 в 12:35. Причина: Добавлено

  4. #3
    Junior Member Репутация
    Регистрация
    08.11.2009
    Сообщений
    6
    Вес репутации
    31
    Сделала - вроде всё исправилось! А то что всё равно выделено красным - с чем это связано?
    Файл virus.zip слишком большой получается...

  5. #4
    Junior Member Репутация
    Регистрация
    08.11.2009
    Сообщений
    6
    Вес репутации
    31
    Сделала ещё раз сбор информации и опять выдал те же перехваты функций как в заголовке темы!

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    08.11.2009
    Сообщений
    6
    Вес репутации
    31
    Программой KatesKiller.exe ничего не находит..

    Код:
    Trojan-PSW.Win32.Kates removing tool, Kaspersky Lab 2009
    version 1.2.0   Oct 19 2009 13:26:09
    scanning        threads ...
    
    scanning        modules...
    
    scanning        registry ...
    
    
    completed
    Infected threads:               0
    Spliced functions:              0
    Deleted files:                  0
    Fixed registry keys:            0

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Пофиксить в HiJack
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    08.11.2009
    Сообщений
    6
    Вес репутации
    31
    Сделала - больше не появляется перехватчиков, как писала в заголовке, но остались эти:
    Код:
    1.2 Поиск перехватчиков API, работающих в KernelMode
     Драйвер успешно загружен
     SDT найдена (RVA=0846E0)
     Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
       SDT = 8055B6E0
       KiST = 80503960 (284)
    Функция NtCreateKey (29) перехвачена (8062212E->BA6A70E0), перехватчик spnx.sys
    Функция NtEnumerateKey (47) перехвачена (8062296E->BA6C5CA4), перехватчик spnx.sys
    Функция NtEnumerateValueKey (49) перехвачена (80622BD8->BA6C6032), перехватчик spnx.sys
    Функция NtOpenKey (77) перехвачена (806234C4->BA6A70C0), перехватчик spnx.sys
    Функция NtOpenSection (7D) перехвачена (805A8EC2->BA5C813C), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys
    Функция NtQueryKey (A0) перехвачена (806237E8->BA6C610A), перехватчик spnx.sys
    Функция NtQueryValueKey (B1) перехвачена (806201E8->BA6C5F8A), перехватчик spnx.sys
    Функция NtSetValueKey (F7) перехвачена (806207EE->BA6C619C), перехватчик spnx.sys
    Функция NtSystemDebugControl (FF) перехвачена (80615F8E->BA5C8072), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys
    Проверено функций: 284, перехвачено: 9, восстановлено: 0
    Логи прикрепляю. Virus.zip выслала..

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Это от антивируса и эмулятора дисков

    В логах чисто

    Установите SP3 (может потребоваться активация) + все новые заплатки
    Установите Internet Explorer 8
    Установите Adobe Acrobat 9.1 или удалите старый
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    08.11.2009
    Сообщений
    6
    Вес репутации
    31
    Спасибо Вам огромное!!! Просто нет слов! Благодарю за помощь!

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 15
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.acyn
      2. d:\programs\mirc.eclipse\mirc.exe - not-a-virus:Client-IRC.Win32.mIRC.616 ( DrWEB: Program.mIRC.616 )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) Krema, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Функция user32.dll перехвачена
      От den901 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 07.09.2011, 13:51
    2. Ответов: 4
      Последнее сообщение: 08.09.2010, 09:29
    3. Ответов: 17
      Последнее сообщение: 22.02.2009, 07:15
    4. Вирус в ws2_32.dll как лечить ?
      От novice в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 02.11.2008, 19:49
    5. Функция ntdll.dll:LdrLoadDll (123) перехвачена
      От phdstudent в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 23.11.2007, 18:56

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00175 seconds with 16 queries