Ребят помогите! Нарвался на 1 серьезный вирус. Сейчас я проверяю компьютер ESET NOD32 Smart Security и AVZ 4.
Подозрение на маскировку файла процесса: c:\windows\system32\tiltwheelmouse.exe
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1103) перехвачена, метод ProcAddressHijack.GetProcAddress ->7557BCF2->7597F05C
Функция kernel32.dll:ReadConsoleInputExW (1104) перехвачена, метод ProcAddressHijack.GetProcAddress ->7557BD25->7597F080
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtdllDefWindowProc_W (646) перехвачена, метод ProcAddressHijack.GetProcAddress ->778CF796->7199190D
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallWindowProcW (1533) перехвачена, метод ProcAddressHijack.GetProcAddress ->75B4DE26->7199193D
Функция user32.dll:ChangeDisplaySettingsA (1538) перехвачена, метод ProcAddressHijack.GetProcAddress ->75BAEA28->719B549A
Функция user32.dll:ChangeDisplaySettingsExA (1539) перехвачена, метод ProcAddressHijack.GetProcAddress ->75BAEA51->719B5321
Функция user32.dll:ChangeDisplaySettingsExW (1540) перехвачена, метод ProcAddressHijack.GetProcAddress ->75B8FDD8->719B525C
Функция user32.dll:ChangeDisplaySettingsW (1541) перехвачена, метод ProcAddressHijack.GetProcAddress ->75B8FDAF->719B53E6
Функция user32.dll:DestroyWindow (1681) перехвачена, метод ProcAddressHijack.GetProcAddress ->75B4B324->71990BE8
Функция user32.dll:EnumChildWindows (1745) перехвачена, метод ProcAddressHijack.GetProcAddress ->75B4BB81->719735BC
Функция user32.dll:EnumDisplayDevicesA (1750) перехвачена, метод ProcAddressHijack.GetProcAddress ->75B578AB->7198F2A6
Функция user32.dll:EnumDisplayDevicesW (1751) перехвачена, метод ProcAddressHijack.GetProcAddress ->75B547DD->719B4E33
Функция user32.dll:EnumDisplaySettingsA (1753) перехвачена, метод ProcAddressHijack.GetProcAddress ->75B57AE3->719B5210
Функция user32.dll:EnumDisplaySettingsExA (1754) перехвачена, метод ProcAddressHijack.GetProcAddress ->75B57B0F->719B5172
Функция user32.dll:EnumDisplaySettingsExW (1755) перехвачена, метод ProcAddressHijack.GetProcAddress ->75B546D4->719B5120
Функция user32.dll:EnumDisplaySettingsW (1756) перехвачена, метод ProcAddressHijack.GetProcAddress ->75B546AE->719B51C1
Функция user32.dll:EnumThreadWindows (1761) перехвачена, метод ProcAddressHijack.GetProcAddress ->75B4BC3A->71990C1D
Функция user32.dll:EnumWindows (1764) перехвачена, метод ProcAddressHijack.GetProcAddress ->75B56877->719CCCC5
Функция user32.dll:GetDC (1817) перехвачена, метод ProcAddressHijack.GetProcAddress ->75B49CCD->71990ABF
Функция user32.dll:GetDCEx (1818) перехвачена, метод ProcAddressHijack.GetProcAddress ->75B4F055->7198E030
Функция user32.dll:GetWindowDC (1954) перехвачена, метод ProcAddressHijack.GetProcAddress ->75B4B02D->71990DFC
Функция user32.dll:GetWindowLongW (1959) перехвачена, метод ProcAddressHijack.GetProcAddress ->75B49658->719918F5
Функция user32.dll:GetWindowThreadProcessId (1973) перехвачена, метод ProcAddressHijack.GetProcAddress ->75B497E5->719CCCAF
Функция user32.dll:IsWindowVisible (2043) перехвачена, метод ProcAddressHijack.GetProcAddress ->75B4A185->719CCC99
Функция user32.dll:MessageBoxA (2090) перехвачена, метод ProcAddressHijack.GetProcAddress ->75BA5E31->719CDEEA
Функция user32.dll:MessageBoxExA (2091) перехвачена, метод ProcAddressHijack.GetProcAddress ->75BA5E77->719CDE4B
Функция user32.dll:MessageBoxExW (2092) перехвачена, метод ProcAddressHijack.GetProcAddress ->75BA5E9B->719CDDFA
Функция user32.dll:MessageBoxIndirectA (2093) перехвачена, метод ProcAddressHijack.GetProcAddress ->75BA6057->719CDDB5
Функция user32.dll:MessageBoxIndirectW (2094) перехвачена, метод
ProcAddressHijack.GetProcAddress ->75B69C1E->719CDD6D
Функция user32.dll:MessageBoxW (2097) перехвачена, метод
https://www.sendspace.com/file/xczmi1 ссылка на тот самый вирус
https://www.virustotal.com/ru/file/f425dd1c8da54ee9115e2cf83152ad8d7cd5a8b6b039a4325a30b3fafbc7429a/analysis/ ссылка на проверку этого exe файла
Сейчас нашел неизвестное подключение в "Сети".
dr.web cure it скачай, он сам всё почистит. А нод32 - в топку за бездействие
AVZ ругается на нормальные действия антивируса. Вы ищите только явно вредоносные процессы и файлы. И лучше не AVZ - он для понимающих! - а что-то более автоматизированное:
Malwarebytes Anti-Malware (MBAM) http://www.comss.ru/page.php?id=84
HitmanPro http://www.comss.ru/page.php?id=612
Dr.Web CureIt http://www.freedrweb.com/cureit/
какой нах вирус, это дибильный антивирус глюк поймал, считывает прерывание стстемной программы, притакой активности давно бы уже компьютер заблокировался, просканируй онлайн антивирусом, ни чего там нет особенного, просто какой нмбудь рекламный банер....
ну ты вообще ВИРУСОФОБИЕЙ страдаешь, зачем серьезному вирусу делать атаку на твой крмпьютер, ты подумал, у тебя что свех-секретная стратегическая информация на нем...
Авастом еще посканируй вдобавак еще чего нибудь найдет