-
Junior Member
- Вес репутации
- 55
mspuhost.exe
На флешке немогу удалить троян mspuhost.exe.
1. антивируса нет, fireval нет
2. во время сбора информации было открыто только приложение Opera
1. Поиск RootKit и программ, перехватывающих функции API
>> Опасно ! Обнаружена маскировка процессов
>>>> Обнаружена маскировка процесса 1312 mspuhost.exe
-----------
--------
---
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 8A3851F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8A3851F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8A3851F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8A3851F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8A3851F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8A3851F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8A3851F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A3851F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8A3851F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8A3851F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A3851F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8A3851F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8A3851F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8A3851F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8A3851F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8A3851F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 88D491F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 88D491F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 88D491F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 88D491F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 88D491F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 88D491F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 88D491F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 88D491F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 88D491F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 88D491F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 88D491F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 88D491F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 88D491F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 88D491F8 -> перехватчик не определен
----------
--------
---
Функция ntdll.dll:NtQuerySystemInformation (263) перехвачена, метод APICodeHijack.PushAndRet
Функция ntdll.dll:RtlGetNativeSystemInformation (610) перехвачена, метод APICodeHijack.PushAndRet
Функция ntdll.dllwOpenProcess (1021) перехвачена, метод APICodeHijack.PushAndRet
Функция ntdll.dllwQueryDirectoryFile (1044) перехвачена, метод APICodeHijack.PushAndRet
Функция ntdll.dllwQuerySystemInformation (1073) перехвачена, метод APICodeHijack.PushAndRet
--------
------
---
Функция NtCreateKey (29) перехвачена (8057791D->F74D60E0), перехватчик sprn.sys
Функция NtEnumerateKey (47) перехвачена (80578E14->F74F4CA4), перехватчик sprn.sys
Функция NtEnumerateValueKey (49) перехвачена (80587693->F74F5032), перехватчик sprn.sys
Функция NtOpenKey (77) перехвачена (80572BF4->F74D60C0), перехватчик sprn.sys
Функция NtQueryKey (A0) перехвачена (80578A14->F74F510A), перехватчик sprn.sys
Функция NtQueryValueKey (B1) перехвачена (80573037->F74F4F8A), перехватчик sprn.sys
Функция NtSetValueKey (F7) перехвачена (8058228C->F74F519C), перехватчик sprn.sys
----------
-------
---
7. Эвристичеcкая проверка системы
>>> D:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)
>>> C:\WINDOWS\system32\sfcfiles.dll ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
>>> C:\WINDOWS\system32\netprotocol.dll ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
>>> C:\WINDOWS\system32\wuauclt.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
>>> C:\WINDOWS\system32\msdtc.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
>>> C:\WINDOWS\system32\netprotdrvss ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
------------------
------------
---
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Documents and Settings\All Users\Application Data\msuwarn\sdata.dll --> Подозрение на Keylogger или троянскую DLL
C:\Documents and Settings\All Users\Application Data\msuwarn\sdata.dll>>> Поведенческий анализ
1. Реагирует на события: клавиатура
C:\Documents and Settings\All Users\Application Data\msuwarn\sdata.dll>>> Нейросеть: файл с вероятностью 0.00% похож на типовой перехватчик событий клавиатуры/мыши
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\netprotocol.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\msuwarn\sdata.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\msuwarn\mspuhost.exe','');
DeleteFile('C:\Documents and Settings\All Users\Application Data\msuwarn\mspuhost.exe');
DeleteFile('C:\Documents and Settings\All Users\Application Data\msuwarn\sdata.dll');
DeleteFile('c:\windows\system32\netprotocol.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 праивил
повторите лог
-