Показано с 1 по 9 из 9.

Помогите, пожалуйста, найти зловред.

  1. #1
    Junior Member Репутация
    Регистрация
    20.03.2010
    Сообщений
    5
    Вес репутации
    52

    Thumbs up Помогите, пожалуйста, найти зловред.

    Здравствуйте, уважаемые специалисты!

    Обнаружил RootkitUnhooker'ом на своей машине (WinNT 6.1.7600) зловред, который хукнул след. службы:
    NtCreateThread
    NtOpenProcess
    NtOpenThread
    NtTerminateProcess

    Сделал анхук, спустя некоторое время запустил RootkitUnhooker, который выдал мне мессагу о том, что тело RootkitUnhooker'а модифицировано и предложение исправить это, на что я ответил утвердительно, но RootkitUnhooker больше не работает.

    Так же постоянно реагирует проактивная защита Comodo почти на все запускаемые мною приложения, которые зачем-то пытаются хукнуть %WINDIR%\SYSTEM32\MSCTF.dll, а также на rundll32.exe, который постоянно что-то делает, например:
    Создание процесса, запуск Program Files\WakeOnLan\WakeOnLan.exe
    Создание процесса, запуск Program Files\Mozilla Firefox\plugins\np-mswmp.dll
    Создание процесса, запуск Program Files\Intel\WiMAX\MiniportDriver\bpusb.sys
    Создание процесса, запуск User\AppData\Local\Temp\cisinfo.ini
    Создание процесса, запуск %WINDIR%\SYSTEM32\systemsf.ebd
    Создание процесса, запуск %WINDIR%\SYSTEM32\apisetschema.dll
    Создание процесса, запуск %WINDIR%\SYSTEM32\aepdu.dll
    Создание процесса, запуск %WINDIR%\SYSTEM32\aeinv.dll
    Создание процесса, запуск %WINDIR%\SYSTEM32\ntdll.dll
    Создание процесса, запуск %WINDIR%\SYSTEM32\kernel32.dll
    Создание процесса, запуск %WINDIR%\SYSTEM32\KernelBase.dll
    Создание процесса, запуск %WINDIR%\SYSTEM32\user32.dll
    Создание процесса, запуск %WINDIR%\SYSTEM32\gdi32.dll
    Создание процесса, запуск %WINDIR%\SYSTEM32\lpk.dll
    Создание процесса, запуск %WINDIR%\SYSTEM32\usp10.dll
    Создание процесса, запуск %WINDIR%\SYSTEM32\msvcrt.dll
    Создание процесса, запуск %WINDIR%\SYSTEM32\imagehlp.dll
    Создание процесса, запуск %WINDIR%\SYSTEM32\AcLayers.dll
    Создание процесса, запуск %WINDIR%\SYSTEM32\apphelp.dll
    Создание процесса, запуск %WINDIR%\SYSTEM32\sspicli.dll
    Создание процесса, запуск %WINDIR%\SYSTEM32\shel32.dll
    Создание процесса, запуск %WINDIR%\SYSTEM32\shlwapi.dll
    Создание процесса, запуск %WINDIR%\SYSTEM32\ole32.dll
    Создание процесса, запуск %WINDIR%\SYSTEM32\oleaut32.dll
    Создание процесса, запуск %WINDIR%\SYSTEM32\profapi.dll
    Создание процесса, запуск %WINDIR%\SYSTEM32\winspool.drv
    Создание процесса, запуск %WINDIR%\SYSTEM32\mpr.dll
    Создание процесса, запуск %WINDIR%\SYSTEM32\msctf.dll
    Создание процесса, запуск %WINDIR%\SYSTEM32\advapi32.dll
    Создание процесса, запуск %WINDIR%\SYSTEM32\sechost.dll
    Создание процесса, запуск %WINDIR%\SYSTEM32\version.dll
    Создание процесса, запуск %WINDIR%\SYSTEM32\fltlib.dll
    Создание процесса, запуск %WINDIR%\SYSTEM32\wer.dll
    Создание процесса, запуск %WINDIR%\SYSTEM32\sfc.dll
    Создание процесса, запуск %WINDIR%\SYSTEM32\sfc_os.dll
    Создание процесса, запуск %WINDIR%\SYSTEM32\msi.dll
    Создание процесса, запуск %WINDIR%\SYSTEM32\tdh.dll
    Создание процесса, запуск %WINDIR%\SYSTEM32\setupapi.dll
    Создание процесса, запуск %WINDIR%\SYSTEM32\devobj.dll
    Создание процесса, запуск %WINDIR%\SYSTEM32\cryptsp.dll

    Помогите пожалуйста найти сам зловред и его админку (хотя бы ip адрес, куда отстукивает).

    С уважением, Антон Андреевич.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Не видно ничего подозрительного.
    Выполните процедуру, описанную в первом сообщении: http://virusinfo.info/showthread.php?t=3519

  4. #3
    Junior Member Репутация
    Регистрация
    20.03.2010
    Сообщений
    5
    Вес репутации
    52
    Не видно ничего подозрительного.
    Разве то, что rundll32.exe постоянно запускает всякие левые процессы и модифицирует незапущенный софт не является подозрительным? А то, что RootkitUnhooker говорит, что его тело модифицировано? По мне так, это очень даже подозрительно. Я готов предоставить всё необходимое для более детального изучения моей машины, вплоть до удалённого доступа. В случае успеха - вознаграждение гарантирую.

    Выполните процедуру, описанную в первом сообщении: http://virusinfo.info/showthread.php?t=3519
    Готово.

    Файл сохранён как 100320_104859_virusinfo_files_PISICHKIN-PC_4ba47debb7a5b.zip
    Размер файла 2141510
    MD5 fe0c8302cdd68488fc9d0c635211d519

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Результат:
    Цитата Сообщение от CyberHelper Посмотреть сообщение
    Архив 100320_104859_virusinfo_files_PISICHKIN-PC_4ba47debb7a5b.zip, загружен 20.03.2010 11:10:31, размер 2141510 байт
    Всего файлов: 27 (исполняемых 25), из них:
    зловреды или опасные объекты: 0
    подозрительные: 0
    Цитата Сообщение от Any Посмотреть сообщение
    запустил RootkitUnhooker, который выдал мне мессагу о том, что тело RootkitUnhooker'а модифицировано и предложение исправить это, на что я ответил утвердительно, но RootkitUnhooker больше не работает.
    Подозреваю, что RootkitUnhooker страдает суицидальными наклонностями.
    Цитата Сообщение от Any Посмотреть сообщение
    Так же постоянно реагирует проактивная защита Comodo
    Тут явная паранойя.

  6. #5
    Junior Member Репутация
    Регистрация
    20.03.2010
    Сообщений
    5
    Вес репутации
    52
    Архив 100320_104859_virusinfo_files_PISICHKIN-PC_4ba47debb7a5b.zip, загружен 20.03.2010 11:10:31, размер 2141510 байт
    Всего файлов: 27 (исполняемых 25), из них:
    зловреды или опасные объекты: 0
    подозрительные: 0
    То, что зловред не находят антивирусы вовсе не означает отсутствие такового. Вирусописатель может постоянно следить за своим продуктом и обновлять его. Так же не исключено, что он работает на уровне драйвера, аля ring0. Да кому я объясняю, Вы и сами всё это прекрасно понимаете.

    Как насчёт хукнутых
    NtCreateThread
    NtOpenProcess
    NtOpenThread
    NtTerminateProcess?

    И постоянные хуки MSCTF.dll со стороны всяких браузеров и прочих приложений. Это тоже паранойя по Вашему?
    К тому же, с чего бы rundll32.exe трогать незапущенные приложения?
    Последний раз редактировалось Any; 20.03.2010 в 14:10. Причина: Дополнил.

  7. #6
    Junior Member Репутация
    Регистрация
    20.03.2010
    Сообщений
    5
    Вес репутации
    52
    Скажите, пожалуйста, сможите ли Вы чем-нибудь помочь или мне действовать самостоятельно?

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Я не вижу проблем и чем вам можно помочь, тоже.

  9. #8
    Junior Member Репутация
    Регистрация
    20.03.2010
    Сообщений
    5
    Вес репутации
    52
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Я не вижу проблем и чем вам можно помочь, тоже.
    Хорошо, тогда ответьте, пожалуйста, на два вопроса, если это Вас не затруднит, конечно.

    1. Хукнутые NtCreateThread, NtOpenProcess, NtOpenThread, NtTerminateProcess неизвестным модулем это нормальное явление?

    2. rundll32.exe в нормальном состоянии может трогать незапущенные приложения?

    Заранее благодарю.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    1. Да.
    2. Да.

Похожие темы

  1. Ответов: 3
    Последнее сообщение: 18.01.2010, 06:30
  2. Ответов: 0
    Последнее сообщение: 18.01.2010, 00:14
  3. Помогите, пожалуйста, найти вирус на сайте
    От autopapa в разделе Лечение и защита сайтов от вирусов
    Ответов: 3
    Последнее сообщение: 10.09.2009, 12:30
  4. Ответов: 15
    Последнее сообщение: 22.02.2009, 05:09
  5. Ответов: 11
    Последнее сообщение: 03.11.2008, 16:59

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01378 seconds with 17 queries