Показано с 1 по 8 из 8.

При отправке сообщений Outlook 2007 зависает, AVZ находит руткит. (заявка № 89473)

  1. #1
    Junior Member Репутация
    Регистрация
    07.10.2010
    Сообщений
    8
    Вес репутации
    27

    Exclamation При отправке сообщений Outlook 2007 зависает, AVZ находит руткит.

    При отправке сообщений Outlook 2007 зависает, AVZ находит руткит. После лечения и перезагрузки руткит появляется снова. Антивирусные утиллиты вирусов не обнаруживают.

    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Функция ntdll.dlldrLoadDll (70) перехвачена, метод APICodeHijack.JmpTo[0EA834A7]
    >>> Код руткита в функции LdrLoadDll нейтрализован
    Функция ntdll.dll:NtEnumerateValueKey (161) перехвачена, метод APICodeHijack.JmpTo[0EA88EEE]
    >>> Код руткита в функции NtEnumerateValueKey нейтрализован
    Функция ntdll.dll:NtQueryDirectoryFile (234) перехвачена, метод APICodeHijack.JmpTo[0EA894EF]
    >>> Код руткита в функции NtQueryDirectoryFile нейтрализован
    Функция ntdll.dll:NtResumeThread (297) перехвачена, метод APICodeHijack.JmpTo[0EA896A5]
    >>> Код руткита в функции NtResumeThread нейтрализован
    Функция ntdll.dll:NtVdmControl (359) перехвачена, метод APICodeHijack.JmpTo[0EA895A7]
    >>> Код руткита в функции NtVdmControl нейтрализован
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Функция user32.dll:TranslateMessage (683) перехвачена, метод APICodeHijack.JmpTo[0EA8580B]
    >>> Код руткита в функции TranslateMessage нейтрализован
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Функция advapi32.dll:CryptEncrypt (145) перехвачена, метод APICodeHijack.JmpTo[0EA86EC8]
    >>> Код руткита в функции CryptEncrypt нейтрализован
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Функция ws2_32.dll:send (19) перехвачена, метод APICodeHijack.JmpTo[0EA8E446]
    >>> Код руткита в функции send нейтрализован
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Функция wininet.dll:HttpAddRequestHeadersA (200) перехвачена, метод APICodeHijack.JmpTo[0EA8EFC6]
    >>> Код руткита в функции HttpAddRequestHeadersA нейтрализован
    Функция wininet.dll:HttpOpenRequestA (205) перехвачена, метод APICodeHijack.JmpTo[0EA8EBF6]
    >>> Код руткита в функции HttpOpenRequestA нейтрализован
    Функция wininet.dll:HttpQueryInfoA (207) перехвачена, метод APICodeHijack.JmpTo[0EA91736]
    >>> Код руткита в функции HttpQueryInfoA нейтрализован
    Функция wininet.dll:HttpSendRequestA (209) перехвачена, метод APICodeHijack.JmpTo[0EA876DB]
    >>> Код руткита в функции HttpSendRequestA нейтрализован
    Функция wininet.dll:HttpSendRequestW (212) перехвачена, метод APICodeHijack.JmpTo[0EA87812]
    >>> Код руткита в функции HttpSendRequestW нейтрализован
    Функция wininet.dll:InternetCloseHandle (225) перехвачена, метод APICodeHijack.JmpTo[0EA92226]
    >>> Код руткита в функции InternetCloseHandle нейтрализован
    Функция wininet.dll:InternetQueryDataAvailable (273) перехвачена, метод APICodeHijack.JmpTo[0EA8F236]
    >>> Код руткита в функции InternetQueryDataAvailable нейтрализован
    Функция wininet.dll:InternetReadFile (277) перехвачена, метод APICodeHijack.JmpTo[0EA91F86]
    >>> Код руткита в функции InternetReadFile нейтрализован
    Функция wininet.dll:InternetReadFileExA (27 перехвачена, метод APICodeHijack.JmpTo[0EA920D6]
    >>> Код руткита в функции InternetReadFileExA нейтрализован
    Функция wininet.dll:InternetWriteFile (309) перехвачена, метод APICodeHijack.JmpTo[0EA87949]
    >>> Код руткита в функции InternetWriteFile нейтрализован

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,463
    Вес репутации
    1269
    Пофиксите в hijackthis -

    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);  
     QuarantineFile('C:\temporaryx.exe\temporaryx.exe','');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

  4. #3
    Junior Member Репутация
    Регистрация
    07.10.2010
    Сообщений
    8
    Вес репутации
    27
    Выполнено.
    Файл сохранён как101007_201947_quarantine_4cadf3231fdc5.zip
    Размер файла289999
    MD598c45f4635254246285f0050cefab920

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,463
    Вес репутации
    1269
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);  
     DeleteFile('C:\temporaryx.exe\temporaryx.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','temporaryx.exe');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','temporaryx.exe');
     RegKeyParamDel('HKEY_USERS','S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run','temporaryx.exe');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','temporaryx.exe');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    - Повторите логи

  6. #5
    Junior Member Репутация
    Регистрация
    07.10.2010
    Сообщений
    8
    Вес репутации
    27
    вроде придушили заразу

  7. #6
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,463
    Вес репутации
    1269
    Плохого не вижу, проблем не наблюдается?

  8. #7
    Junior Member Репутация
    Регистрация
    07.10.2010
    Сообщений
    8
    Вес репутации
    27
    Оутлук снесен)))) Сейчас поставлю, отпишусь))

    Добавлено через 14 минут

    Все заработало, функционал полностью восстановлен.
    AVZ ничего подозрительного не показывает.
    Спасибо за высокий профессионализм и оперативное реагирование!
    Последний раз редактировалось Taschpuk; 07.10.2010 в 21:03. Причина: Добавлено

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\temporaryx.exe\\temporaryx.exe - Trojan.Win32.Jorik.SpyEyes.dz ( DrWEB: Trojan.DownLoader1.27435, BitDefender: Trojan.Generic.4864705, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) Taschpuk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Outlook зависает при отправке писем
      От Genius12399 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 06.10.2011, 09:20
    2. Outlook 2007 won't open
      От moporho в разделе Malware Removal Service
      Ответов: 1
      Последнее сообщение: 04.06.2009, 08:50
    3. проблемы с outlook 2007
      От martin79 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 12.07.2007, 10:03
    4. Ответов: 25
      Последнее сообщение: 25.06.2007, 13:47

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00098 seconds with 16 queries