Показано с 1 по 3 из 3.

Основной скрипт исследования (заявка №641)

  1. #1
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Основной скрипт исследования (заявка №641)

    Пользователь обратился в сервис 911, указав на следующие проблемы в работе его компьютера:
    Версия Microsoft Windows: Microsoft Windows XP, Build=2600, SP="Service Pack 3"
    Восстановление системы: включено
    1.1 Поиск перехватчиков API, работающих в пользовательском режиме
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Обнаружена модификация IAT: CreateProcessA - 00C10010<>7C80236B
    Обнаружена модификация IAT: GetModuleFileNameA - 00C10080<>7C80B55F
    Обнаружена модификация IAT: GetModuleFileNameW - 00C100F0<>7C80B465
    Обнаружена модификация IAT: CreateProcessW - 00C10160<>7C802336
    Обнаружена модификация IAT: LoadLibraryW - 00C10240<>7C80AEDB
    Обнаружена модификация IAT: LoadLibraryA - 00C10320<>7C801D7B
    Обнаружена модификация IAT: GetProcAddress - 00C10390<>7C80AE30
    Обнаружена модификация IAT: FreeLibrary - 00C10400<>7C80AC6E
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в привилегированном режиме
    Драйвер успешно загружен
    SDT найдена (RVA=083220)
    Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
    SDT = 8055A220
    KiST = 804E26A8 (284)
    Функция NtCreateKey (29) перехвачена (80572EAD->F84320E0), перехватчик spbu.sys
    Функция NtEnumerateKey (47) перехвачена (805735B4->F8450CA2), перехватчик spbu.sys
    Функция NtEnumerateValueKey (49) перехвачена (80590679->F8451030), перехватчик spbu.sys
    Функция NtOpenKey (77) перехвачена (80568EF9->F84320C0), перехватчик spbu.sys
    Функция NtQueryKey (A0) перехвачена (805732BD->F8451108), перехватчик spbu.sys
    Функция NtQueryValueKey (B1) перехвачена (8056A392->F8450F88), перехватчик spbu.sys
    Функция NtSetValueKey (F7) перехвачена (80579A53->F845119A), перехватчик spbu.sys
    Проверено функций: 284, перехвачено: 7, восстановлено: 0
    1.3 Проверка IDT и SYSENTER
    Анализ для процессора 1
    Проверка IDT и SYSENTER завершена
    1.4 Поиск маскировки процессов и драйверов
    Проверка не производится, так как не установлен драйвер мониторинга AVZPM
    Драйвер успешно загружен
    1.5 Проверка обработчиков IRP
    \FileSystem\ntfs[IRP_MJ_CREATE] = 8236D1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_CLOSE] = 8236D1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_WRITE] = 8236D1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8236D1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8236D1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8236D1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_EA] = 8236D1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8236D1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8236D1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8236D1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8236D1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8236D1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8236D1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8236D1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8236D1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_PNP] = 8236D1F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_CREATE] = 82169500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_CLOSE] = 82169500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_WRITE] = 82169500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 82169500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 82169500 -> перехватчик не определен
    \FileSystem\FastFat[
    Дата обращения: 06.12.2009 7:14:04
    Номер заявки: 641

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Отчет о карантине

    30.12.2009 15:30:23 на зараженном компьютере были обнаружены следующие вредоносные файлы:
    1. c:\windows\viodrv.exe - Trojan.Win32.Agent2.lhd
      • размер: 570880 байт
      • дата файла: 08.11.2009 12:24:52


  4. #3
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    02.01.2010 7:01:17 лечение успешно завершено

Похожие темы

  1. Протокол исследования системы AVZ 4.35 spif.sys Подозрение на RootKit (заявка №68626)
    От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
    Ответов: 2
    Последнее сообщение: 30.04.2011, 23:00
  2. скрипт прописывает себя в файлах (заявка №43523)
    От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
    Ответов: 2
    Последнее сообщение: 21.12.2010, 18:00
  3. Ответов: 3
    Последнее сообщение: 27.05.2008, 19:40

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00220 seconds with 16 queries