Подозрение на зараженность ПК, после взлома

@bizi · Регистрация: 28.07.2015

Author24 — интернет-сервис помощи студентам

Здравствуйте! Недавно злоумышленник получил доступ к моим персональным данным.
Везде пароли поменял, уровень доступа повысил. Но до сих пор не знаю каким образом это было осуществлено.
Лицензионное ПО dr.web ничего не находит. Посоветовали просканировать при помощи AVZ и вот тут уже много "красного", но вредоночные программы вроде как тоже не обнаружил!

Помогите разобраться заражен ПК или нет и если да, то как лечить? Спасибо!

Файл из автологгера прилагаю!CollectionLog-2015.07.28-02.51.zip

@Sandor · 28.07.2015, 09:44

Здравствуйте!

Видна адварь.

Внимание! Рекомендации написаны специально для пользователя bizi. Если рекомендации написаны не для вас, не используйте их -
это может повредить вашей системе!!! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
____________________________________________

Подготовьте лог сканирования AdwCleaner.

@bizi · 28.07.2015, 17:02 **[ТС]**

Спасибо за оперативный ответ! Удалил то, что нашлось, логи прилагаю. На этом все?
AdwCleaner[S0].txt
AdwCleaner[R0].txt

@Sandor · 28.07.2015, 18:55

Сообщение от bizi

На этом все?

Почти.

Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Удалить).
Подтвердите удаление нажав кнопку: Да.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

@bizi · 28.07.2015, 19:38 **[ТС]**

Все сделал, при выполнении скрипта ничего не обнаружено.
Но если просто запустить скан AVZ, то выдает красным вот это:

Функция kernel32.dll:ReadConsoleInputExA (1095) перехвачена, метод ProcAddressHijack.GetProcAddress ->75714F8E->77C41A70
Функция kernel32.dll:ReadConsoleInputExW (1096) перехвачена, метод ProcAddressHijack.GetProcAddress ->75714FC1->77C41AA0
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (268) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D9C9C0->7240B720
Функция ntdll.dll:NtMakeTemporaryObject (380) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:NtSetInformationFile (549) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D9C6E0->7240B540
Функция ntdll.dll:NtSetSystemTime (573) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:NtSetValueKey (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D9CA70->7240C900
Функция ntdll.dll:ZwCreateFile (1649) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D9C9C0->7240B720
Функция ntdll.dll:ZwMakeTemporaryObject (1759) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:ZwSetInformationFile (1928) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D9C6E0->7240B540
Функция ntdll.dll:ZwSetSystemTime (1952) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:ZwSetValueKey (1959) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D9CA70->7240C900
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1531) перехвачена, метод ProcAddressHijack.GetProcAddress ->76DE8DC0->7240B490
Функция user32.dll:SendInput (2205) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:SetWindowsHookExW (2303) перехвачена, метод ProcAddressHijack.GetProcAddress ->76DF5FA0->72460DB0

А также вот такое:
C:\Windows\Temp\TS_7D78.tmp >>> подозрение на Trojan.Win32.Agent2.byu ( 1B8F9200 1E621768 004D6E44 004D6E44 131072)

Будет добры, что означает перехват этих самых функций и что делать с этим подозрением?

@Sandor · 28.07.2015, 19:42

Не обращать внимания ни на первое, ни на второе. Перехваты могут быть у вполне легальных программ, к примеру, антивирусов. Второе - ложное срабатывание на часть драйвера принтера.

Рекомендации после удаления вредоносного ПО

@bizi · 28.07.2015, 19:52 **[ТС]**

Sandor, Спасибо вам большое! Всего наилучшего!

@bizi 0 / 0 / 0 Регистрация: 28.07.2015 Сообщений: 4
		1
	Подозрение на зараженность ПК, после взлома 28.07.2015, 03:09. Показов 7961. Ответов 6 Метки нет (Все метки) Здравствуйте! Недавно злоумышленник получил доступ к моим персональным данным. Везде пароли поменял, уровень доступа повысил. Но до сих пор не знаю каким образом это было осуществлено. Лицензионное ПО dr.web ничего не находит. Посоветовали просканировать при помощи AVZ и вот тут уже много "красного", но вредоночные программы вроде как тоже не обнаружил! Помогите разобраться заражен ПК или нет и если да, то как лечить? Спасибо! Файл из автологгера прилагаю!CollectionLog-2015.07.28-02.51.zip 0

@Sandor 22304 / 15785 / 3051 Регистрация: 08.10.2012 Сообщений: 64,187
	28.07.2015, 09:44	2
	Здравствуйте! Видна адварь. Внимание! Рекомендации написаны специально для пользователя bizi. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе!!! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ____________________________________________ Подготовьте лог сканирования AdwCleaner. 0

@bizi 0 / 0 / 0 Регистрация: 28.07.2015 Сообщений: 4
	28.07.2015, 17:02 [ТС]	3
	Спасибо за оперативный ответ! Удалил то, что нашлось, логи прилагаю. На этом все? AdwCleaner[S0].txt AdwCleaner[R0].txt 0

@Sandor 22304 / 15785 / 3051 Регистрация: 08.10.2012 Сообщений: 64,187
	28.07.2015, 18:55	4
	Сообщение от bizi На этом все? Почти. Пожалуйста, запустите adwcleaner.exe Нажмите Uninstall (Удалить). Подтвердите удаление нажав кнопку: Да. Выполните скрипт в AVZ при наличии доступа в интернет: Код var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут). Перезагрузите компьютер. Снова выполните этот скрипт и убедитесь, что уязвимости устранены. 0

@bizi 0 / 0 / 0 Регистрация: 28.07.2015 Сообщений: 4
	28.07.2015, 19:38 [ТС]	5
	Все сделал, при выполнении скрипта ничего не обнаружено. Но если просто запустить скан AVZ, то выдает красным вот это: Функция kernel32.dll:ReadConsoleInputExA (1095) перехвачена, метод ProcAddressHijack.GetProcAddress ->75714F8E->77C41A70 Функция kernel32.dll:ReadConsoleInputExW (1096) перехвачена, метод ProcAddressHijack.GetProcAddress ->75714FC1->77C41AA0 Анализ ntdll.dll, таблица экспорта найдена в секции .text Функция ntdll.dll:NtCreateFile (268) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D9C9C0->7240B720 Функция ntdll.dll:NtMakeTemporaryObject (380) перехвачена, метод CodeHijack (метод не определен) Функция ntdll.dll:NtSetInformationFile (549) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D9C6E0->7240B540 Функция ntdll.dll:NtSetSystemTime (573) перехвачена, метод CodeHijack (метод не определен) Функция ntdll.dll:NtSetValueKey (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D9CA70->7240C900 Функция ntdll.dll:ZwCreateFile (1649) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D9C9C0->7240B720 Функция ntdll.dll:ZwMakeTemporaryObject (1759) перехвачена, метод CodeHijack (метод не определен) Функция ntdll.dll:ZwSetInformationFile (1928) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D9C6E0->7240B540 Функция ntdll.dll:ZwSetSystemTime (1952) перехвачена, метод CodeHijack (метод не определен) Функция ntdll.dll:ZwSetValueKey (1959) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D9CA70->7240C900 Анализ user32.dll, таблица экспорта найдена в секции .text Функция user32.dll:CallNextHookEx (1531) перехвачена, метод ProcAddressHijack.GetProcAddress ->76DE8DC0->7240B490 Функция user32.dll:SendInput (2205) перехвачена, метод CodeHijack (метод не определен) Функция user32.dll:SetWindowsHookExW (2303) перехвачена, метод ProcAddressHijack.GetProcAddress ->76DF5FA0->72460DB0 А также вот такое: C:\Windows\Temp\TS_7D78.tmp >>> подозрение на Trojan.Win32.Agent2.byu ( 1B8F9200 1E621768 004D6E44 004D6E44 131072) Будет добры, что означает перехват этих самых функций и что делать с этим подозрением? 0

@Sandor 22304 / 15785 / 3051 Регистрация: 08.10.2012 Сообщений: 64,187
	28.07.2015, 19:42	6
	Не обращать внимания ни на первое, ни на второе. Перехваты могут быть у вполне легальных программ, к примеру, антивирусов. Второе - ложное срабатывание на часть драйвера принтера. Рекомендации после удаления вредоносного ПО 0

@bizi 0 / 0 / 0 Регистрация: 28.07.2015 Сообщений: 4
	28.07.2015, 19:52 [ТС]	7
	Sandor, Спасибо вам большое! Всего наилучшего! 0