-
Основной скрипт исследования (заявка №641)
Пользователь обратился в сервис 911, указав на следующие проблемы в работе его компьютера:
Версия Microsoft Windows: Microsoft Windows XP, Build=2600, SP="Service Pack 3"
Восстановление системы: включено
1.1 Поиск перехватчиков API, работающих в пользовательском режиме
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Обнаружена модификация IAT: CreateProcessA - 00C10010<>7C80236B
Обнаружена модификация IAT: GetModuleFileNameA - 00C10080<>7C80B55F
Обнаружена модификация IAT: GetModuleFileNameW - 00C100F0<>7C80B465
Обнаружена модификация IAT: CreateProcessW - 00C10160<>7C802336
Обнаружена модификация IAT: LoadLibraryW - 00C10240<>7C80AEDB
Обнаружена модификация IAT: LoadLibraryA - 00C10320<>7C801D7B
Обнаружена модификация IAT: GetProcAddress - 00C10390<>7C80AE30
Обнаружена модификация IAT: FreeLibrary - 00C10400<>7C80AC6E
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в привилегированном режиме
Драйвер успешно загружен
SDT найдена (RVA=083220)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 8055A220
KiST = 804E26A8 (284)
Функция NtCreateKey (29) перехвачена (80572EAD->F84320E0), перехватчик spbu.sys
Функция NtEnumerateKey (47) перехвачена (805735B4->F8450CA2), перехватчик spbu.sys
Функция NtEnumerateValueKey (49) перехвачена (80590679->F8451030), перехватчик spbu.sys
Функция NtOpenKey (77) перехвачена (80568EF9->F84320C0), перехватчик spbu.sys
Функция NtQueryKey (A0) перехвачена (805732BD->F8451108), перехватчик spbu.sys
Функция NtQueryValueKey (B1) перехвачена (8056A392->F8450F88), перехватчик spbu.sys
Функция NtSetValueKey (F7) перехвачена (80579A53->F845119A), перехватчик spbu.sys
Проверено функций: 284, перехвачено: 7, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 8236D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8236D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8236D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8236D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8236D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8236D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8236D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8236D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8236D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8236D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8236D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8236D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8236D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8236D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8236D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8236D1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 82169500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 82169500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 82169500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 82169500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 82169500 -> перехватчик не определен
\FileSystem\FastFat[
Дата обращения: 06.12.2009 7:14:04
Номер заявки: 641
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отчет о карантине
30.12.2009 15:30:23 на зараженном компьютере были обнаружены следующие вредоносные файлы:
- c:\windows\viodrv.exe - Trojan.Win32.Agent2.lhd
- размер: 570880 байт
- дата файла: 08.11.2009 12:24:52
-
-
Итог лечения
02.01.2010 7:01:17 лечение успешно завершено
-