-
Junior Member
- Вес репутации
- 52
Помогите, пожалуйста, найти зловред.
Здравствуйте, уважаемые специалисты!
Обнаружил RootkitUnhooker'ом на своей машине (WinNT 6.1.7600) зловред, который хукнул след. службы:
NtCreateThread
NtOpenProcess
NtOpenThread
NtTerminateProcess
Сделал анхук, спустя некоторое время запустил RootkitUnhooker, который выдал мне мессагу о том, что тело RootkitUnhooker'а модифицировано и предложение исправить это, на что я ответил утвердительно, но RootkitUnhooker больше не работает.
Так же постоянно реагирует проактивная защита Comodo почти на все запускаемые мною приложения, которые зачем-то пытаются хукнуть %WINDIR%\SYSTEM32\MSCTF.dll, а также на rundll32.exe, который постоянно что-то делает, например:
Создание процесса, запуск Program Files\WakeOnLan\WakeOnLan.exe
Создание процесса, запуск Program Files\Mozilla Firefox\plugins\np-mswmp.dll
Создание процесса, запуск Program Files\Intel\WiMAX\MiniportDriver\bpusb.sys
Создание процесса, запуск User\AppData\Local\Temp\cisinfo.ini
Создание процесса, запуск %WINDIR%\SYSTEM32\systemsf.ebd
Создание процесса, запуск %WINDIR%\SYSTEM32\apisetschema.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\aepdu.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\aeinv.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\ntdll.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\kernel32.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\KernelBase.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\user32.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\gdi32.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\lpk.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\usp10.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\msvcrt.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\imagehlp.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\AcLayers.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\apphelp.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\sspicli.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\shel32.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\shlwapi.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\ole32.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\oleaut32.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\profapi.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\winspool.drv
Создание процесса, запуск %WINDIR%\SYSTEM32\mpr.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\msctf.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\advapi32.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\sechost.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\version.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\fltlib.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\wer.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\sfc.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\sfc_os.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\msi.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\tdh.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\setupapi.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\devobj.dll
Создание процесса, запуск %WINDIR%\SYSTEM32\cryptsp.dll
Помогите пожалуйста найти сам зловред и его админку (хотя бы ip адрес, куда отстукивает).
С уважением, Антон Андреевич.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Не видно ничего подозрительного.
Выполните процедуру, описанную в первом сообщении: http://virusinfo.info/showthread.php?t=3519
-
-
Junior Member
- Вес репутации
- 52
Не видно ничего подозрительного.
Разве то, что rundll32.exe постоянно запускает всякие левые процессы и модифицирует незапущенный софт не является подозрительным? А то, что RootkitUnhooker говорит, что его тело модифицировано? По мне так, это очень даже подозрительно. Я готов предоставить всё необходимое для более детального изучения моей машины, вплоть до удалённого доступа. В случае успеха - вознаграждение гарантирую.
Готово.
Файл сохранён как 100320_104859_virusinfo_files_PISICHKIN-PC_4ba47debb7a5b.zip
Размер файла 2141510
MD5 fe0c8302cdd68488fc9d0c635211d519
-
Результат:
Сообщение от
CyberHelper
Архив 100320_104859_virusinfo_files_PISICHKIN-PC_4ba47debb7a5b.zip, загружен 20.03.2010 11:10:31, размер 2141510 байт
Всего файлов: 27 (исполняемых 25), из них:
зловреды или опасные объекты: 0
подозрительные: 0
Сообщение от
Any
запустил RootkitUnhooker, который выдал мне мессагу о том, что тело RootkitUnhooker'а модифицировано и предложение исправить это, на что я ответил утвердительно, но RootkitUnhooker больше не работает.
Подозреваю, что RootkitUnhooker страдает суицидальными наклонностями.
Сообщение от
Any
Так же постоянно реагирует проактивная защита Comodo
Тут явная паранойя.
-
-
Junior Member
- Вес репутации
- 52
Архив 100320_104859_virusinfo_files_PISICHKIN-PC_4ba47debb7a5b.zip, загружен 20.03.2010 11:10:31, размер 2141510 байт
Всего файлов: 27 (исполняемых 25), из них:
зловреды или опасные объекты: 0
подозрительные: 0
То, что зловред не находят антивирусы вовсе не означает отсутствие такового. Вирусописатель может постоянно следить за своим продуктом и обновлять его. Так же не исключено, что он работает на уровне драйвера, аля ring0. Да кому я объясняю, Вы и сами всё это прекрасно понимаете.
Как насчёт хукнутых
NtCreateThread
NtOpenProcess
NtOpenThread
NtTerminateProcess?
И постоянные хуки MSCTF.dll со стороны всяких браузеров и прочих приложений. Это тоже паранойя по Вашему?
К тому же, с чего бы rundll32.exe трогать незапущенные приложения?
Последний раз редактировалось Any; 20.03.2010 в 14:10.
Причина: Дополнил.
-
Junior Member
- Вес репутации
- 52
Скажите, пожалуйста, сможите ли Вы чем-нибудь помочь или мне действовать самостоятельно?
-
Я не вижу проблем и чем вам можно помочь, тоже.
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
AndreyKa
Я не вижу проблем и чем вам можно помочь, тоже.
Хорошо, тогда ответьте, пожалуйста, на два вопроса, если это Вас не затруднит, конечно.
1. Хукнутые NtCreateThread, NtOpenProcess, NtOpenThread, NtTerminateProcess неизвестным модулем это нормальное явление?
2. rundll32.exe в нормальном состоянии может трогать незапущенные приложения?
Заранее благодарю.
-
-