-
AVZ нахродит вот такое... (заявка №8820)
Пользователь обратился в сервис 911, указав на следующие проблемы в работе его компьютера:
1) Другие проблемы (включая проблемы с оборудованием)...
Протокол антивирусной утилиты AVZ версии 4.32
Сканирование запущено в 28.02.2010 21:07:19
Загружена база: сигнатуры - 265459, нейропрофили - 2, микропрограммы лечения - 56, база от 28.02.2010 17:19
Загружены микропрограммы эвристики: 381
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 184496
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:LdrGetProcedureAddress (65) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C9177B8->0357C0
Функция ntdll.dll:LdrLoadDll (70) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C915CD3->035825
Функция ntdll.dll:NtCreateThread (140) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D1AE->03578E
Функция ntdll.dll:NtQueryDirectoryFile (234) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D76E->03593A
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:EndDialog (199) перехвачена, метод ProcAddressHijack.GetProcAddress ->7E374A4E->035441
Функция user32.dll:GetClipboardData (258) перехвачена, метод ProcAddressHijack.GetProcAddress ->7E380DBA->035BFF
Функция user32.dll:TranslateMessage (683) перехвачена, метод ProcAddressHijack.GetProcAddress ->7E368BF6->035EA9
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:WSAConnect (33) перехвачена, метод ProcAddressHijack.GetProcAddress ->71AA0C81->0353E1
Функция ws2_32.dll:closesocket (3) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A93E2B->03EACF
Функция ws2_32.dll:connect (4) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A94A07->035421
Функция ws2_32.dll:send (19) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A94C27->03EAF6
Анализ wininet.dll, таблица экспорта найдена в секции .text
Функция wininet.dll:HttpQueryInfoA (206) перехвачена, метод ProcAddressHijack.GetProcAddress ->3F9F7425->03DC41
Функция wininet.dll:HttpQueryInfoW (207) перехвачена, метод ProcAddressHijack.GetProcAddress ->3F9FE5D3->03DC90
Функция wininet.dll:HttpSendRequestA (208) перехвачена, метод ProcAddressHijack.GetProcAddress ->3FA03550->03E4FF
Функция wininet.dll:HttpSendRequestExA (209) перехвачена, метод ProcAddressHijack.GetProcAddress ->3FA5B43E->03E5DE
Функция wininet.dll:HttpSendRequestExW (210) перехвачена, метод ProcAddressHijack.GetProcAddress ->3FA08C41->03E5C1
Функция wininet.dll:HttpSendRequestW (211) перехвачена, метод ProcAddressHijack.GetProcAddress ->3FA0F01F->03E4E2
Функция wininet.dll:InternetCloseHandle (224) перехвачена, метод ProcAddressHijack.GetProcAddress ->3F9F4261->03E0BA
Функция wininet.dll:InternetQueryDataAvailable (272) перехвачена, метод ProcAddressHijack.GetProcAddress ->3FA0162D->03E27F
Функция wininet.dll:InternetReadFile (276) перехвачена, метод ProcAddressHijack.GetProcAddress ->3FA013EC->03E226
Функция wininet.dll:InternetReadFileExA (277) перехвачена, метод ProcAddressHijack.GetProcAddress ->3FA12995->03E261
Функция wininet.dll:InternetReadFileExW (278) перехвачена, метод ProcAddressHijack.GetProcAddress ->3FA1295D->03E243
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=083220)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 8055A220
KiST = 804E26B8 (284)
Функция NtAssignProcessToJobObject (13) перехвачена (805A24CA->8A31DA70), перехватчик не опред
Дата обращения: 28.02.2010 22:30:51
Номер заявки: 8820
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Trojan-Spy.Win32.Zbot.agme
01.03.2010 0:00:24 на зараженном компьютере были обнаружены следующие вредоносные файлы:
- C:\WINDOWS\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.agme
- размер: 111616 байт
- версия: "6.1.4209.3860"
- копирайты: "bxxpxjmleoyughpj"
- детект других антивирусов: DrWEB 5.0: Зловред Trojan.PWS.Panda.171; Avast4: Зловред Win32:Spyware-gen [Spy]
-
-
Итог лечения
01.03.2010 1:04:09 лечение успешно завершено
-
