|
|
Регистрация Восстановить пароль |
Регистрация | Задать вопрос |
Заплачу за решение |
Новые сообщения |
Сообщения за день |
Расширенный поиск |
Правила |
Всё прочитано |
|
Опции темы | Поиск в этой теме |
01.08.2019, 21:44 | #1 |
Новичок
Джуниор
Регистрация: 01.08.2019
Сообщений: 4
|
AVZ периодически обнаруживает кучу руткитов с методом перехвата APICodeHijack.JmpTo.
Доброго времени суток. Несмотря на то, что после каждого анализа AVZ проводилось восстановление системы и нейтрализация руткитов, они лезут снова. Может, это ложное срабатывание на антивирус? Уже и другими антируткит-программами проверял (спойлер: почти все из них даже намека на руткиты не обнаружили), и трояны не раз удалялись, но AVZ все равно продолжает ругаться на некие таинственные перехватчики, притом, в довесок ко всему, еще и пишет "MailBomb detected". Хотя вредоносных программ по окончании проверки не видит (!). Насколько знаю, утилита достаточно параноидальная, и я бы уже забыл о произошедшем, если бы GMER не выдал логи, которые я пропустил через анализатор, и в итоге получил подозрение на tdl3-заражение. Помогите разобраться, что это вообще такое, и почему оно бесконечно вылетает даже при отсутствии каких-либо вредоносных программ?
Из отчета. Часть 1: Восстановление системы: включено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Функция kernel32.dll:CopyFileExW (117) перехвачена, метод APICodeHijack.JmpTo[7505BB63] >>> Код руткита в функции CopyFileExW нейтрализован Функция kernel32.dll:CreateProcessInternalW (170) перехвачена, метод APICodeHijack.JmpTo[75060188] >>> Код руткита в функции CreateProcessInternalW нейтрализован Функция kernel32.dll:MoveFileWithProgressA (869) перехвачена, метод APICodeHijack.JmpTo[7505B0C4] >>> Код руткита в функции MoveFileWithProgressA нейтрализован Функция kernel32.dll:MoveFileWithProgressW (870) перехвачена, метод APICodeHijack.JmpTo[7505B2F0] >>> Код руткита в функции MoveFileWithProgressW нейтрализован Анализ ntdll.dll, таблица экспорта найдена в секции .text Функция ntdll.dll:LdrLoadDll (137) перехвачена, метод APICodeHijack.JmpTo[7505D99D] >>> Код руткита в функции LdrLoadDll нейтрализован Функция ntdll.dll:LdrUnloadDll (161) перехвачена, метод APICodeHijack.JmpTo[7506D2A2] >>> Код руткита в функции LdrUnloadDll нейтрализован Функция ntdll.dll:NtAdjustPrivilegesToken (190) перехвачена, метод APICodeHijack.JmpTo[75065C30] >>> Код руткита в функции NtAdjustPrivilegesToken нейтрализован Функция ntdll.dll:NtAlpcConnectPort (200) перехвачена, метод APICodeHijack.JmpTo[750651B8] >>> Код руткита в функции NtAlpcConnectPort нейтрализован Функция ntdll.dll:NtAlpcCreatePort (201) перехвачена, метод APICodeHijack.JmpTo[750668C5] >>> Код руткита в функции NtAlpcCreatePort нейтрализован Функция ntdll.dll:NtAlpcSendWaitReceivePort (217) перехвачена, метод APICodeHijack.JmpTo[75066628] >>> Код руткита в функции NtAlpcSendWaitReceivePort нейтрализован Функция ntdll.dll:NtClose (228) перехвачена, метод APICodeHijack.JmpTo[7506D388] >>> Код руткита в функции NtClose нейтрализован Функция ntdll.dll:NtConnectPort (237) перехвачена, метод APICodeHijack.JmpTo[75062CF0] >>> Код руткита в функции NtConnectPort нейтрализован Функция ntdll.dll:NtCreateEvent (242) перехвачена, метод APICodeHijack.JmpTo[75061D67] >>> Код руткита в функции NtCreateEvent нейтрализован Функция ntdll.dll:NtCreateEventPair (243) перехвачена, метод APICodeHijack.JmpTo[750669B8] >>> Код руткита в функции NtCreateEventPair нейтрализован Функция ntdll.dll:NtCreateFile (244) перехвачена, метод APICodeHijack.JmpTo[75063ED6] >>> Код руткита в функции NtCreateFile нейтрализован Функция ntdll.dll:NtCreateMutant (252) перехвачена, метод APICodeHijack.JmpTo[75061C2E] >>> Код руткита в функции NtCreateMutant нейтрализован Функция ntdll.dll:NtCreatePort (255) перехвачена, метод APICodeHijack.JmpTo[75066AAB] >>> Код руткита в функции NtCreatePort нейтрализован Функция ntdll.dll:NtCreateSection (262) перехвачена, метод APICodeHijack.JmpTo[75063A10] >>> Код руткита в функции NtCreateSection нейтрализован Функция ntdll.dll:NtCreateSemaphore (263) перехвачена, метод APICodeHijack.JmpTo[75061EA3] >>> Код руткита в функции NtCreateSemaphore нейтрализован Функция ntdll.dll:NtCreateSymbolicLinkObjec t (264) перехвачена, метод APICodeHijack.JmpTo[75065EDA] >>> Код руткита в функции NtCreateSymbolicLinkObject нейтрализован Функция ntdll.dll:NtCreateThread (265) перехвачена, метод APICodeHijack.JmpTo[75062743] >>> Код руткита в функции NtCreateThread нейтрализован Функция ntdll.dll:NtCreateThreadEx (266) перехвачена, метод APICodeHijack.JmpTo[7506571F] >>> Код руткита в функции NtCreateThreadEx нейтрализован Функция ntdll.dll:NtDeviceIoControlFile (286) перехвачена, метод APICodeHijack.JmpTo[75066CD0] >>> Код руткита в функции NtDeviceIoControlFile нейтрализован Функция ntdll.dll:NtLoadDriver (335) перехвачена, метод APICodeHijack.JmpTo[75062F72] >>> Код руткита в функции NtLoadDriver нейтрализован Функция ntdll.dll:NtMakeTemporaryObject (344) перехвачена, метод APICodeHijack.JmpTo[7506330E] >>> Код руткита в функции NtMakeTemporaryObject нейтрализован Функция ntdll.dll:NtOpenFile (359) перехвачена, метод APICodeHijack.JmpTo[750641BE] >>> Код руткита в функции NtOpenFile нейтрализован Функция ntdll.dll:NtOpenSection (374) перехвачена, метод APICodeHijack.JmpTo[75063829] >>> Код руткита в функции NtOpenSection нейтрализован Функция ntdll.dll:NtReadVirtualMemory (457) перехвачена, метод APICodeHijack.JmpTo[7506263A] >>> Код руткита в функции NtReadVirtualMemory нейтрализован Функция ntdll.dll:NtSetInformationProcess (513) перехвачена, метод APICodeHijack.JmpTo[750634BB] >>> Код руткита в функции NtSetInformationProcess нейтрализован Функция ntdll.dll:NtSetSystemInformation (530) перехвачена, метод APICodeHijack.JmpTo[7506312C] >>> Код руткита в функции NtSetSystemInformation нейтрализован Функция ntdll.dll:NtShutdownSystem (540) перехвачена, метод APICodeHijack.JmpTo[75065B5D] >>> Код руткита в функции NtShutdownSystem нейтрализован Функция ntdll.dll:NtSystemDebugControl (548) перехвачена, метод APICodeHijack.JmpTo[750636CC] >>> Код руткита в функции NtSystemDebugControl нейтрализован Функция ntdll.dll:NtTerminateProcess (550) перехвачена, метод APICodeHijack.JmpTo[75062B31] >>> Код руткита в функции NtTerminateProcess нейтрализован Функция ntdll.dll:NtTerminateThread (551) перехвачена, метод APICodeHijack.JmpTo[75062972] >>> Код руткита в функции NtTerminateThread нейтрализован Функция ntdll.dll:NtWriteVirtualMemory (598) перехвачена, метод APICodeHijack.JmpTo[750626BF] >>> Код руткита в функции NtWriteVirtualMemory нейтрализован Функция ntdll.dll:RtlAllocateHeap (645) перехвачена, метод APICodeHijack.JmpTo[75055625] >>> Код руткита в функции RtlAllocateHeap нейтрализован Функция ntdll.dll:RtlCreateHeap (725) перехвачена, метод APICodeHijack.JmpTo[75066C44] >>> Код руткита в функции RtlCreateHeap нейтрализован Функция ntdll.dll:RtlDestroyHeap (780) перехвачена, метод APICodeHijack.JmpTo[75066C79] >>> Код руткита в функции RtlDestroyHeap нейтрализован Анализ user32.dll, таблица экспорта найдена в секции .text Функция user32.dll:BlockInput (1517) перехвачена, метод APICodeHijack.JmpTo[750712B9] >>> Код руткита в функции BlockInput нейтрализован Функция user32.dll:ClipCursor (1581) перехвачена, метод APICodeHijack.JmpTo[75071C2D] |
01.08.2019, 21:46 | #2 |
Новичок
Джуниор
Регистрация: 01.08.2019
Сообщений: 4
|
Отчет. Часть 2:
>>> Код руткита в функции ClipCursor нейтрализован Функция user32.dll:CloseClipboard (1582) перехвачена, метод APICodeHijack.JmpTo[75071442] >>> Код руткита в функции CloseClipboard нейтрализован Функция user32.dll:EnableWindow (1725) перехвачена, метод APICodeHijack.JmpTo[7507188F] >>> Код руткита в функции EnableWindow нейтрализован Функция user32.dll:GetAsyncKeyState (1772) перехвачена, метод APICodeHijack.JmpTo[75070A2B] >>> Код руткита в функции GetAsyncKeyState нейтрализован Функция user32.dll:GetClipboardData (1787) перехвачена, метод APICodeHijack.JmpTo[7507151E] >>> Код руткита в функции GetClipboardData нейтрализован Функция user32.dll:GetKeyState (1826) перехвачена, метод APICodeHijack.JmpTo[7507084B] >>> Код руткита в функции GetKeyState нейтрализован Функция user32.dll:GetKeyboardState (1831) перехвачена, метод APICodeHijack.JmpTo[75070653] >>> Код руткита в функции GetKeyboardState нейтрализован Функция user32.dll:MoveWindow (2052) перехвачена, метод APICodeHijack.JmpTo[75070D74] >>> Код руткита в функции MoveWindow нейтрализован Функция user32.dll:PostMessageA (2078) перехвачена, метод APICodeHijack.JmpTo[7506E286] >>> Код руткита в функции PostMessageA нейтрализован Функция user32.dll:PostMessageW (2079) перехвачена, метод APICodeHijack.JmpTo[7506E50A] >>> Код руткита в функции PostMessageW нейтрализован Функция user32.dll:PostThreadMessageA (2081) перехвачена, метод APICodeHijack.JmpTo[7506E78E] >>> Код руткита в функции PostThreadMessageA нейтрализован Функция user32.dll:PostThreadMessageW (2082) перехвачена, метод APICodeHijack.JmpTo[7506E9C7] >>> Код руткита в функции PostThreadMessageW нейтрализован Функция user32.dll:RegisterHotKey (2111) перехвачена, метод APICodeHijack.JmpTo[750716E7] >>> Код руткита в функции RegisterHotKey нейтрализован Функция user32.dll:RegisterRawInputDevices (2115) перехвачена, метод APICodeHijack.JmpTo[75070BFF] >>> Код руткита в функции RegisterRawInputDevices нейтрализован Функция user32.dll:SendDlgItemMessageA (2139) перехвачена, метод APICodeHijack.JmpTo[75070028] >>> Код руткита в функции SendDlgItemMessageA нейтрализован Функция user32.dll:SendDlgItemMessageW (2140) перехвачена, метод APICodeHijack.JmpTo[7507025C] >>> Код руткита в функции SendDlgItemMessageW нейтрализован Функция user32.dll:SendInput (2143) перехвачена, метод APICodeHijack.JmpTo[75070490] >>> Код руткита в функции SendInput нейтрализован Функция user32.dll:SendMessageA (2144) перехвачена, метод APICodeHijack.JmpTo[7506EC00] >>> Код руткита в функции SendMessageA нейтрализован Функция user32.dll:SendMessageCallbackA (2145) перехвачена, метод APICodeHijack.JmpTo[7506F63C] >>> Код руткита в функции SendMessageCallbackA нейтрализован Функция user32.dll:SendMessageCallbackW (2146) перехвачена, метод APICodeHijack.JmpTo[7506F8BF] >>> Код руткита в функции SendMessageCallbackW нейтрализован Функция user32.dll:SendMessageTimeoutA (2147) перехвачена, метод APICodeHijack.JmpTo[7506F108] >>> Код руткита в функции SendMessageTimeoutA нейтрализован Функция user32.dll:SendMessageTimeoutW (2148) перехвачена, метод APICodeHijack.JmpTo[7506F3A2] >>> Код руткита в функции SendMessageTimeoutW нейтрализован Функция user32.dll:SendMessageW (2149) перехвачена, метод APICodeHijack.JmpTo[7506EE84] >>> Код руткита в функции SendMessageW нейтрализован Функция user32.dll:SendNotifyMessageA (2150) перехвачена, метод APICodeHijack.JmpTo[7506FB42] >>> Код руткита в функции SendNotifyMessageA нейтрализован Функция user32.dll:SendNotifyMessageW (2151) перехвачена, метод APICodeHijack.JmpTo[7506FDB5] >>> Код руткита в функции SendNotifyMessageW нейтрализован Функция user32.dll:SetClipboardData (2159) перехвачена, метод APICodeHijack.JmpTo[750714EE] >>> Код руткита в функции SetClipboardData нейтрализован Функция user32.dll:SetClipboardViewer (2160) перехвачена, метод APICodeHijack.JmpTo[75071162] >>> Код руткита в функции SetClipboardViewer нейтрализован Функция user32.dll:SetParent (2191) перехвачена, метод APICodeHijack.JmpTo[75070F7F] >>> Код руткита в функции SetParent нейтрализован Функция user32.dll:SetSysColors (2206) перехвачена, метод APICodeHijack.JmpTo[750720B1] >>> Код руткита в функции SetSysColors нейтрализован Функция user32.dll:SetSystemCursor (2208) перехвачена, метод APICodeHijack.JmpTo[75071F6C] >>> Код руткита в функции SetSystemCursor нейтрализован Функция user32.dll:SetWinEventHook (2216) перехвачена, метод APICodeHijack.JmpTo[7506DCF9] >>> Код руткита в функции SetWinEventHook нейтрализован Функция user32.dll:SetWindowLongA (2220) перехвачена, метод APICodeHijack.JmpTo[7506DEFC] >>> Код руткита в функции SetWindowLongA нейтрализован Функция user32.dll:SetWindowLongW (2221) перехвачена, метод APICodeHijack.JmpTo[7506E0C1] >>> Код руткита в функции SetWindowLongW нейтрализован Функция user32.dll:SetWindowsHookExA (2231) перехвачена, метод APICodeHijack.JmpTo[7506D524] >>> Код руткита в функции SetWindowsHookExA нейтрализован Функция user32.dll:SetWindowsHookExW (2232) перехвачена, метод APICodeHijack.JmpTo[7506D79F] >>> Код руткита в функции SetWindowsHookExW нейтрализован Функция user32.dll:SwitchDesktop (2257) перехвачена, метод APICodeHijack.JmpTo[75071E25] >>> Код руткита в функции SwitchDesktop нейтрализован Функция user32.dll:SystemParametersInfoA (2260) перехвачена, метод APICodeHijack.JmpTo[7506DA1A] >>> Код руткита в функции SystemParametersInfoA нейтрализован Функция user32.dll:SystemParametersInfoW (2261) перехвачена, метод APICodeHijack.JmpTo[7506DB91] >>> Код руткита в функции SystemParametersInfoW нейтрализован Функция user32.dll:keybd_event (2329) перехвачена, метод APICodeHijack.JmpTo[7505C2C6] >>> Код руткита в функции keybd_event нейтрализован Функция user32.dll:mouse_event (2330) перехвачена, метод APICodeHijack.JmpTo[7505C42E] >>> Код руткита в функции mouse_event нейтрализован Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM 2. Проверка памяти Количество найденных процессов: 10 Анализатор - изучается процесс 2132 C:\Users\User\AppData\Roaming\uTorr ent\updates\3.5.5_45311\utorrentie. exe [ES]:Может работать с сетью [ES]:Приложение не имеет видимых окон [ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ? |
01.08.2019, 21:48 | #3 |
Новичок
Джуниор
Регистрация: 01.08.2019
Сообщений: 4
|
Отчет. Часть 3:
Анализатор - изучается процесс 5660 C:\Users\User\AppData\Roaming\uTorr ent\updates\3.5.5_45311\utorrentie. exe [ES]:Может работать с сетью [ES]:Приложение не имеет видимых окон [ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ? Количество загруженных модулей: 194 Проверка памяти завершена 3. Сканирование дисков Прямое чтение C:\Program Files\COMODO\GeekBuddy\lps-cspm\components\core\component-2\configuration_1033.db Прямое чтение C:\ProgramData\Comodo\Cis\lmdb\cmdd ata-lock Прямое чтение C:\ProgramData\Comodo\Cis\lmdb\cmdu rl Прямое чтение C:\ProgramData\Comodo\Cis\lmdb\cmdu rl-lock Прямое чтение C:\ProgramData\Comodo\Cis\lmdb\vcac t Прямое чтение C:\ProgramData\Comodo\Cis\lmdb\vcac t-lock Прямое чтение C:\ProgramData\Comodo\Firewall Pro\cislogs.sdb Прямое чтение C:\ProgramData\Comodo\lps4\lps-ca\vt.db Прямое чтение C:\ProgramData\Malwarebytes\MBAMSer vice\logs\MBAMSERVICE.LOG Прямое чтение C:\ProgramData\Microsoft\Network\Do wnloader\qmgr0.dat Прямое чтение C:\ProgramData\Microsoft\Network\Do wnloader\qmgr1.dat Прямое чтение C:\ProgramData\Microsoft\Search\Dat a\Applications\Windows\MSS.log Прямое чтение C:\ProgramData\Microsoft\Search\Dat a\Applications\Windows\MSStmp.log Прямое чтение C:\ProgramData\Microsoft\Search\Dat a\Applications\Windows\Projects\Sys temIndex\Indexer\CiFiles\00010004.w id Прямое чтение C:\ProgramData\Microsoft\Search\Dat a\Applications\Windows\Projects\Sys temIndex\Indexer\CiFiles\00010004.w sb Прямое чтение C:\ProgramData\Microsoft\Search\Dat a\Applications\Windows\tmp.edb Прямое чтение C:\System Volume Information\Syscache.hve Прямое чтение C:\System Volume Information\Syscache.hve.LOG1 Прямое чтение C:\Users\User\AppData\Local\BitTorr entHelper\ledger.bt.co.btdb Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\BrowserMetrics\BrowserMetrics-5D42A9F5-7F4.pma Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\CrashpadMetrics.pma~RF10fe40c. TMP Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\000389.log Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Cache\data_0 Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Cache\data_1 Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Cache\index Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Cookies Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Current Session Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Current Tabs Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\databases\Databases.db Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Extension Cookies Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Extension State\000063.log Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Favicons Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\File System\Origins\000003.log Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\GCM Store\000003.log Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\GPUCache\data_0 Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\GPUCache\data_1 Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\GPUCache\data_2 Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\GPUCache\data_3 Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\GPUCache\index Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\History Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\History-journal Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\IndexedDB\chrome-extension_mciiogijehkdemklbdcbfkefi mifhecn_0.indexeddb.leveldb\000080. log Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Local Extension Settings\lhhgpflelfbhnihnbjigpgdbah gkbghp\000003.log Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Local Extension Settings\omghfjlpggmjjaagoclmmobgdo dcjboh\000003.log Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Local Storage\leveldb\000509.log Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Local Storage\leveldb\LOG Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Local Storage\leveldb\MANIFEST-000001 Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Login Data Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Network Action Predictor Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\previews_opt_out.db Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\QuotaManager Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Service Worker\Database\000003.log Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Session Storage\000656.log Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Session Storage\LOG Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Session Storage\MANIFEST-000001 Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Shortcuts Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Site Characteristics Database\000003.log Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Sync Data\SyncData.sqlite3 Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Top Sites Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\VideoDecodeStats\00000 3.log Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Visited Links Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Web Data Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Safe Browsing Cookies Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\ShaderCache\GPUCache\data_0 Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\ShaderCache\GPUCache\data_1 Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\ShaderCache\GPUCache\data_2 Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\ShaderCache\GPUCache\data_3 Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\ShaderCache\GPUCache\index Прямое чтение C:\Users\User\AppData\Local\Microso ft\Internet Explorer\MSIMGSIZ.DAT |
01.08.2019, 21:48 | #4 |
Новичок
Джуниор
Регистрация: 01.08.2019
Сообщений: 4
|
Отчет. Часть 4:
Прямое чтение C:\Users\User\AppData\Local\Microso ft\Windows\Explorer\thumbcache_32.d b Прямое чтение C:\Users\User\AppData\Local\Microso ft\Windows\Explorer\thumbcache_idx. db Прямое чтение C:\Users\User\AppData\Local\Microso ft\Windows\History\History.IE5\inde x.dat Прямое чтение C:\Users\User\AppData\Local\Microso ft\Windows\History\Low\History.IE5\ index.dat Прямое чтение C:\Users\User\AppData\Local\Microso ft\Windows\History\Low\History.IE5\ MSHist012019080120190802\index.dat Прямое чтение C:\Users\User\AppData\Local\Microso ft\Windows\Temporary Internet Files\Content.IE5\index.dat Прямое чтение C:\Users\User\AppData\Local\Microso ft\Windows\Temporary Internet Files\Low\Content.IE5\index.dat Прямое чтение C:\Users\User\AppData\Local\Microso ft\Windows\UsrClass.dat Прямое чтение C:\Users\User\AppData\Local\Microso ft\Windows\UsrClass.dat.LOG1 Прямое чтение C:\Users\User\AppData\Local\Microso ft\Windows\UsrClass.dat{cb294aa2-a398-11e9-8b39-e42e7a7c095b}.TM.blf Прямое чтение C:\Users\User\AppData\Local\Microso ft\Windows\UsrClass.dat{cb294aa2-a398-11e9-8b39-e42e7a7c095b}.TMContainer0000000000 0000000001.regtrans-ms Прямое чтение C:\Users\User\AppData\Local\Microso ft\Windows\UsrClass.dat{cb294aa2-a398-11e9-8b39-e42e7a7c095b}.TMContainer0000000000 0000000002.regtrans-ms Прямое чтение C:\Users\User\AppData\LocalLow\uTor rent\uTorrent_2068_00B7B2B0_6938271 13 Прямое чтение C:\Users\User\AppData\LocalLow\uTor rent\uTorrent_2068_00B7B348_2040648 75 Прямое чтение C:\Users\User\AppData\Roaming\Micro soft\Windows\Cookies\index.dat Прямое чтение C:\Users\User\AppData\Roaming\Micro soft\Windows\Cookies\Low\index.dat Прямое чтение C:\Users\User\AppData\Roaming\Micro soft\Windows\IETldCache\index.dat Прямое чтение C:\Users\User\AppData\Roaming\Micro soft\Windows\IETldCache\Low\index.d at Прямое чтение C:\Users\User\NTUSER.DAT Прямое чтение C:\Users\User\ntuser.dat.LOG1 Прямое чтение C:\Users\User\NTUSER.DAT{016888bd-6c6f-11de-8d1d-001e0bcde3ec}.TM.blf Прямое чтение C:\Users\User\NTUSER.DAT{016888bd-6c6f-11de-8d1d-001e0bcde3ec}.TMContainer0000000000 0000000001.regtrans-ms Прямое чтение C:\Users\User\NTUSER.DAT{016888bd-6c6f-11de-8d1d-001e0bcde3ec}.TMContainer0000000000 0000000002.regtrans-ms Прямое чтение C:\Windows\ServiceProfiles\LocalSer vice\NTUSER.DAT Прямое чтение C:\Windows\ServiceProfiles\LocalSer vice\NTUSER.DAT.LOG1 Прямое чтение C:\Windows\ServiceProfiles\LocalSer vice\NTUSER.DAT{016888bd-6c6f-11de-8d1d-001e0bcde3ec}.TM.blf Прямое чтение C:\Windows\ServiceProfiles\LocalSer vice\NTUSER.DAT{016888bd-6c6f-11de-8d1d-001e0bcde3ec}.TMContainer0000000000 0000000001.regtrans-ms Прямое чтение C:\Windows\ServiceProfiles\LocalSer vice\NTUSER.DAT{016888bd-6c6f-11de-8d1d-001e0bcde3ec}.TMContainer0000000000 0000000002.regtrans-ms Прямое чтение C:\Windows\ServiceProfiles\NetworkS ervice\NTUSER.DAT Прямое чтение C:\Windows\ServiceProfiles\NetworkS ervice\NTUSER.DAT.LOG1 Прямое чтение C:\Windows\ServiceProfiles\NetworkS ervice\NTUSER.DAT{016888bd-6c6f-11de-8d1d-001e0bcde3ec}.TM.blf Прямое чтение C:\Windows\ServiceProfiles\NetworkS ervice\NTUSER.DAT{016888bd-6c6f-11de-8d1d-001e0bcde3ec}.TMContainer0000000000 0000000001.regtrans-ms Прямое чтение C:\Windows\ServiceProfiles\NetworkS ervice\NTUSER.DAT{016888bd-6c6f-11de-8d1d-001e0bcde3ec}.TMContainer0000000000 0000000002.regtrans-ms Прямое чтение C:\Windows\System32\catroot2\edb.lo g Прямое чтение C:\Windows\System32\LogFiles\WUDF\W UDFTrace.etl Прямое чтение C:\Windows\Tasks\SCHEDLGU.TXT Прямое чтение D:\Telegram Desktop\log.txt Прямое чтение D:\Telegram Desktop\tdata\user_data\cache\1\bin log word/media/image7.emf MailBomb detected ! word/media/image1.emf MailBomb detected ! word/media/image7.emf MailBomb detected ! word/media/image1.emf MailBomb detected ! word/media/image7.emf MailBomb detected ! word/media/image1.emf MailBomb detected ! word/media/image7.emf MailBomb detected ! word/media/image1.emf MailBomb detected ! Странно и то, что кэш в телеграм я чистил, однако AVZ продолжает выдавать "MailBomb detected". На форумах пишут, что обычно данная утилита ругается таким образом на очень большие файлы, хотя после очистки кэша их там чисто физически быть не может. |
02.08.2019, 03:30 | #5 |
Программист
Участник клуба
Регистрация: 23.06.2009
Сообщений: 1,772
|
Сходите сюда: https://safezone.cc/pravila/
Последний раз редактировалось Black Fregat; 02.08.2019 в 16:35. |
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Декомпилирование кода для исследования руткитов | challengerr | Общие вопросы C/C++ | 12 | 28.02.2015 05:16 |
findwindowex не обнаруживает LabeledEdit (Клавиатура для сенсорной панели) | TilerDerton | Общие вопросы Delphi | 2 | 02.04.2014 11:36 |
Удаление руткитов | RPG-MARKET | Общие вопросы C/C++ | 8 | 04.08.2011 09:13 |
AVZ нашел APICodeHijack.JmpTo | Сtrl | Безопасность, Шифрование | 7 | 01.04.2011 11:41 |
не обнаруживает сатовский жесткий | Vladislav | Компьютерное железо | 13 | 20.07.2008 19:57 |