Показано с 1 по 13 из 13.

Подозрение на скрытую загрузку библиотек через AppInit_DLLs (заявка № 97845)

  1. #1
    Junior Member Репутация
    Регистрация
    10.02.2011
    Сообщений
    8
    Вес репутации
    26

    Thumbs up Подозрение на скрытую загрузку библиотек через AppInit_DLLs

    Подозрение на скрытую загрузку библиотек через AppInit_DLLs
    Не знаю что делать? Помогите, пожалуйста, разобраться.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199

  4. #3
    Junior Member Репутация
    Регистрация
    10.02.2011
    Сообщений
    8
    Вес репутации
    26

    Подозрение на скрытую загрузку библиотек через AppInit_DLLs

    Сделала диагностику

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    Профиксите в HijackThis
    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
    R3 - Default URLSearchHook is missing
    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
    O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
    O13 - Gopher Prefix: 
    O20 - AppInit_DLLs: ,
    - Сделайте повторный лог hijackthis.log

  6. #5
    Junior Member Репутация
    Регистрация
    10.02.2011
    Сообщений
    8
    Вес репутации
    26
    Сделано.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    -Профиксите в HijackThis
    Код:
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
    O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
    O13 - Gopher Prefix: 
    O20 - AppInit_DLLs: ,
    2.Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteService('FXDrv32');
     DeleteFile('E:\FXDrv32.sys');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs','');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

  8. #7
    Junior Member Репутация
    Регистрация
    10.02.2011
    Сообщений
    8
    Вес репутации
    26
    Сделано.

  9. #8
    Junior Member Репутация
    Регистрация
    10.02.2011
    Сообщений
    8
    Вес репутации
    26

    Маскировка процессов и драйверов

    Поиск маскировки процессов и драйверов
    Маскировка процесса с PID=456, имя = ""
    >> обнаружена подмена PID (текущий PID=0, реальный = 456)
    Маскировка процесса с PID=508, имя = ""
    >> обнаружена подмена PID (текущий PID=0, реальный = 50
    Маскировка процесса с PID=556, имя = ""
    >> обнаружена подмена PID (текущий PID=0, реальный = 556)
    Маскировка процесса с PID=956, имя = ""
    >> обнаружена подмена PID (текущий PID=0, реальный = 956)
    Маскировка процесса с PID=1640, имя = ""
    >> обнаружена подмена PID (текущий PID=0, реальный = 1640)
    Маскировка процесса с PID=1824, имя = ""
    >> обнаружена подмена PID (текущий PID=0, реальный = 1824)
    Маскировка процесса с PID=1852, имя = ""
    >> обнаружена подмена PID (текущий PID=0, реальный = 1852)
    Маскировка процесса с PID=1868, имя = ""
    >> обнаружена подмена PID (текущий PID=0, реальный = 186
    Маскировка процесса с PID=1908, имя = ""
    >> обнаружена подмена PID (текущий PID=0, реальный = 190
    Маскировка процесса с PID=1104, имя = ""
    >> обнаружена подмена PID (текущий PID=0, реальный = 1104)
    Маскировка процесса с PID=2252, имя = ""
    >> обнаружена подмена PID (текущий PID=0, реальный = 2252)
    Маскировка процесса с PID=2948, имя = ""
    >> обнаружена подмена PID (текущий PID=0, реальный = 294
    Маскировка процесса с PID=3412, имя = ""
    >> обнаружена подмена PID (текущий PID=0, реальный = 3412)
    Маскировка процесса с PID=3488, имя = ""
    >> обнаружена подмена PID (текущий PID=0, реальный = 348
    Маскировка процесса с PID=756, имя = ""
    >> обнаружена подмена PID (текущий PID=0, реальный = 756)
    Маскировка процесса с PID=848, имя = ""
    >> обнаружена подмена PID (текущий PID=0, реальный = 84
    Маскировка процесса с PID=3500, имя = ""
    >> обнаружена подмена PID (текущий PID=0, реальный = 3500)
    Маскировка процесса с PID=2336, имя = ""
    >> обнаружена подмена PID (текущий PID=0, реальный = 2336)
    Маскировка процесса с PID=3088, имя = ""
    >> обнаружена подмена PID (текущий PID=0, реальный = 308
    Маскировка процесса с PID=3856, имя = ""
    >> обнаружена подмена PID (текущий PID=0, реальный = 3856)
    Маскировка процесса с PID=984, имя = ""
    >> обнаружена подмена PID (текущий PID=0, реальный = 984)
    Маскировка процесса с PID=720, имя = ""
    >> обнаружена подмена PID (текущий PID=0, реальный = 720)
    Маскировка процесса с PID=1636, имя = ""
    >> обнаружена подмена PID (текущий PID=0, реальный = 1636)
    Маскировка процесса с PID=2372, имя = ""
    >> обнаружена подмена PID (текущий PID=0, реальный = 2372)
    Маскировка процесса с PID=3108, имя = ""
    >> обнаружена подмена PID (текущий PID=0, реальный = 310
    Маскировка процесса с PID=2724, имя = ""
    >> обнаружена подмена PID (текущий PID=0, реальный = 2724)
    Маскировка процесса с PID=2220, имя = ""
    >> обнаружена подмена PID (текущий PID=0, реальный = 2220)
    Поиск маскировки процессов и драйверов завершен
    -------------------------------------------------------------------------------

    Как с этим быть?

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    В маскировках на Vista ничего необычного

    Забавные животные на Рабочем столе - сами устанавливали?

    Сделайте лог полного сканирования МВАМ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    10.02.2011
    Сообщений
    8
    Вес репутации
    26
    Забавных животных сама установила.
    Попробую сделать предложенное.

  12. #11
    Junior Member Репутация
    Регистрация
    10.02.2011
    Сообщений
    8
    Вес репутации
    26
    просканировала, нашлось 5 инфицированных объектов.

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    - удалите в MBAM
    Код:
    Заражённые ключи в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.
    
    Заражённые файлы:
    c:\Windows\System32\config\svchost.exe (Trojan.StartPage) -> No action taken.

  14. #13
    Junior Member Репутация
    Регистрация
    10.02.2011
    Сообщений
    8
    Вес репутации
    26
    Удалила.

  • Уважаемый(ая) Ajgul, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 4
      Последнее сообщение: 06.03.2012, 10:07
    2. Ответов: 8
      Последнее сообщение: 20.03.2010, 01:27
    3. Ответов: 4
      Последнее сообщение: 22.02.2009, 02:14
    4. Ответов: 3
      Последнее сообщение: 20.09.2007, 09:37
    5. AVZ-Подозрение на скрытую загрузку библиотек
      От Gyk в разделе Вредоносные программы
      Ответов: 4
      Последнее сообщение: 20.10.2006, 20:06

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01160 seconds with 16 queries