Форум программистов
 
Контакты: о проблемах с регистрацией, почтой и по другим вопросам пишите сюда - alarforum@yandex.ru, проверяйте папку спам! Обязательно пройдите активизацию e-mail.

Вернуться   Форум программистов > Технологии > Безопасность, Шифрование
Регистрация

Восстановить пароль
Повторная активизация e-mail


Донат для форума - использовать для поднятия настроения себе и модераторам

А ещё здесь можно купить рекламу за 25 тыс руб в месяц! ) пишите сюда - alarforum@yandex.ru

Ответ
 
Опции темы
Старый 01.08.2019, 22:44   #1
Геннадий98
Новичок
 
Регистрация: 01.08.2019
Сообщений: 4
Репутация: 10
Восклицание AVZ периодически обнаруживает кучу руткитов с методом перехвата APICodeHijack.JmpTo.

Доброго времени суток. Несмотря на то, что после каждого анализа AVZ проводилось восстановление системы и нейтрализация руткитов, они лезут снова. Может, это ложное срабатывание на антивирус? Уже и другими антируткит-программами проверял (спойлер: почти все из них даже намека на руткиты не обнаружили), и трояны не раз удалялись, но AVZ все равно продолжает ругаться на некие таинственные перехватчики, притом, в довесок ко всему, еще и пишет "MailBomb detected". Хотя вредоносных программ по окончании проверки не видит (!). Насколько знаю, утилита достаточно параноидальная, и я бы уже забыл о произошедшем, если бы GMER не выдал логи, которые я пропустил через анализатор, и в итоге получил подозрение на tdl3-заражение. Помогите разобраться, что это вообще такое, и почему оно бесконечно вылетает даже при отсутствии каких-либо вредоносных программ?

Из отчета. Часть 1:

Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:CopyFileExW (117) перехвачена, метод APICodeHijack.JmpTo[7505BB63]
>>> Код руткита в функции CopyFileExW нейтрализован
Функция kernel32.dll:CreateProcessInternalW (170) перехвачена, метод APICodeHijack.JmpTo[75060188]
>>> Код руткита в функции CreateProcessInternalW нейтрализован
Функция kernel32.dll:MoveFileWithProgressA (869) перехвачена, метод APICodeHijack.JmpTo[7505B0C4]
>>> Код руткита в функции MoveFileWithProgressA нейтрализован
Функция kernel32.dll:MoveFileWithProgressW (870) перехвачена, метод APICodeHijack.JmpTo[7505B2F0]
>>> Код руткита в функции MoveFileWithProgressW нейтрализован
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:LdrLoadDll (137) перехвачена, метод APICodeHijack.JmpTo[7505D99D]
>>> Код руткита в функции LdrLoadDll нейтрализован
Функция ntdll.dll:LdrUnloadDll (161) перехвачена, метод APICodeHijack.JmpTo[7506D2A2]
>>> Код руткита в функции LdrUnloadDll нейтрализован
Функция ntdll.dll:NtAdjustPrivilegesToken (190) перехвачена, метод APICodeHijack.JmpTo[75065C30]
>>> Код руткита в функции NtAdjustPrivilegesToken нейтрализован
Функция ntdll.dll:NtAlpcConnectPort (200) перехвачена, метод APICodeHijack.JmpTo[750651B8]
>>> Код руткита в функции NtAlpcConnectPort нейтрализован
Функция ntdll.dll:NtAlpcCreatePort (201) перехвачена, метод APICodeHijack.JmpTo[750668C5]
>>> Код руткита в функции NtAlpcCreatePort нейтрализован
Функция ntdll.dll:NtAlpcSendWaitReceivePort (217) перехвачена, метод APICodeHijack.JmpTo[75066628]
>>> Код руткита в функции NtAlpcSendWaitReceivePort нейтрализован
Функция ntdll.dll:NtClose (228) перехвачена, метод APICodeHijack.JmpTo[7506D388]
>>> Код руткита в функции NtClose нейтрализован
Функция ntdll.dll:NtConnectPort (237) перехвачена, метод APICodeHijack.JmpTo[75062CF0]
>>> Код руткита в функции NtConnectPort нейтрализован
Функция ntdll.dll:NtCreateEvent (242) перехвачена, метод APICodeHijack.JmpTo[75061D67]
>>> Код руткита в функции NtCreateEvent нейтрализован
Функция ntdll.dll:NtCreateEventPair (243) перехвачена, метод APICodeHijack.JmpTo[750669B8]
>>> Код руткита в функции NtCreateEventPair нейтрализован
Функция ntdll.dll:NtCreateFile (244) перехвачена, метод APICodeHijack.JmpTo[75063ED6]
>>> Код руткита в функции NtCreateFile нейтрализован
Функция ntdll.dll:NtCreateMutant (252) перехвачена, метод APICodeHijack.JmpTo[75061C2E]
>>> Код руткита в функции NtCreateMutant нейтрализован
Функция ntdll.dll:NtCreatePort (255) перехвачена, метод APICodeHijack.JmpTo[75066AAB]
>>> Код руткита в функции NtCreatePort нейтрализован
Функция ntdll.dll:NtCreateSection (262) перехвачена, метод APICodeHijack.JmpTo[75063A10]
>>> Код руткита в функции NtCreateSection нейтрализован
Функция ntdll.dll:NtCreateSemaphore (263) перехвачена, метод APICodeHijack.JmpTo[75061EA3]
>>> Код руткита в функции NtCreateSemaphore нейтрализован
Функция ntdll.dll:NtCreateSymbolicLinkObjec t (264) перехвачена, метод APICodeHijack.JmpTo[75065EDA]
>>> Код руткита в функции NtCreateSymbolicLinkObject нейтрализован
Функция ntdll.dll:NtCreateThread (265) перехвачена, метод APICodeHijack.JmpTo[75062743]
>>> Код руткита в функции NtCreateThread нейтрализован
Функция ntdll.dll:NtCreateThreadEx (266) перехвачена, метод APICodeHijack.JmpTo[7506571F]
>>> Код руткита в функции NtCreateThreadEx нейтрализован
Функция ntdll.dll:NtDeviceIoControlFile (286) перехвачена, метод APICodeHijack.JmpTo[75066CD0]
>>> Код руткита в функции NtDeviceIoControlFile нейтрализован
Функция ntdll.dll:NtLoadDriver (335) перехвачена, метод APICodeHijack.JmpTo[75062F72]
>>> Код руткита в функции NtLoadDriver нейтрализован
Функция ntdll.dll:NtMakeTemporaryObject (344) перехвачена, метод APICodeHijack.JmpTo[7506330E]
>>> Код руткита в функции NtMakeTemporaryObject нейтрализован
Функция ntdll.dll:NtOpenFile (359) перехвачена, метод APICodeHijack.JmpTo[750641BE]
>>> Код руткита в функции NtOpenFile нейтрализован
Функция ntdll.dll:NtOpenSection (374) перехвачена, метод APICodeHijack.JmpTo[75063829]
>>> Код руткита в функции NtOpenSection нейтрализован
Функция ntdll.dll:NtReadVirtualMemory (457) перехвачена, метод APICodeHijack.JmpTo[7506263A]
>>> Код руткита в функции NtReadVirtualMemory нейтрализован
Функция ntdll.dll:NtSetInformationProcess (513) перехвачена, метод APICodeHijack.JmpTo[750634BB]
>>> Код руткита в функции NtSetInformationProcess нейтрализован
Функция ntdll.dll:NtSetSystemInformation (530) перехвачена, метод APICodeHijack.JmpTo[7506312C]
>>> Код руткита в функции NtSetSystemInformation нейтрализован
Функция ntdll.dll:NtShutdownSystem (540) перехвачена, метод APICodeHijack.JmpTo[75065B5D]
>>> Код руткита в функции NtShutdownSystem нейтрализован
Функция ntdll.dll:NtSystemDebugControl (548) перехвачена, метод APICodeHijack.JmpTo[750636CC]
>>> Код руткита в функции NtSystemDebugControl нейтрализован
Функция ntdll.dll:NtTerminateProcess (550) перехвачена, метод APICodeHijack.JmpTo[75062B31]
>>> Код руткита в функции NtTerminateProcess нейтрализован
Функция ntdll.dll:NtTerminateThread (551) перехвачена, метод APICodeHijack.JmpTo[75062972]
>>> Код руткита в функции NtTerminateThread нейтрализован
Функция ntdll.dll:NtWriteVirtualMemory (598) перехвачена, метод APICodeHijack.JmpTo[750626BF]
>>> Код руткита в функции NtWriteVirtualMemory нейтрализован
Функция ntdll.dll:RtlAllocateHeap (645) перехвачена, метод APICodeHijack.JmpTo[75055625]
>>> Код руткита в функции RtlAllocateHeap нейтрализован
Функция ntdll.dll:RtlCreateHeap (725) перехвачена, метод APICodeHijack.JmpTo[75066C44]
>>> Код руткита в функции RtlCreateHeap нейтрализован
Функция ntdll.dll:RtlDestroyHeap (780) перехвачена, метод APICodeHijack.JmpTo[75066C79]
>>> Код руткита в функции RtlDestroyHeap нейтрализован
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:BlockInput (1517) перехвачена, метод APICodeHijack.JmpTo[750712B9]
>>> Код руткита в функции BlockInput нейтрализован
Функция user32.dll:ClipCursor (1581) перехвачена, метод APICodeHijack.JmpTo[75071C2D]
Геннадий98 вне форума   Ответить с цитированием
Старый 01.08.2019, 22:46   #2
Геннадий98
Новичок
 
Регистрация: 01.08.2019
Сообщений: 4
Репутация: 10
По умолчанию

Отчет. Часть 2:

>>> Код руткита в функции ClipCursor нейтрализован
Функция user32.dll:CloseClipboard (1582) перехвачена, метод APICodeHijack.JmpTo[75071442]
>>> Код руткита в функции CloseClipboard нейтрализован
Функция user32.dll:EnableWindow (1725) перехвачена, метод APICodeHijack.JmpTo[7507188F]
>>> Код руткита в функции EnableWindow нейтрализован
Функция user32.dll:GetAsyncKeyState (1772) перехвачена, метод APICodeHijack.JmpTo[75070A2B]
>>> Код руткита в функции GetAsyncKeyState нейтрализован
Функция user32.dll:GetClipboardData (1787) перехвачена, метод APICodeHijack.JmpTo[7507151E]
>>> Код руткита в функции GetClipboardData нейтрализован
Функция user32.dll:GetKeyState (1826) перехвачена, метод APICodeHijack.JmpTo[7507084B]
>>> Код руткита в функции GetKeyState нейтрализован
Функция user32.dll:GetKeyboardState (1831) перехвачена, метод APICodeHijack.JmpTo[75070653]
>>> Код руткита в функции GetKeyboardState нейтрализован
Функция user32.dll:MoveWindow (2052) перехвачена, метод APICodeHijack.JmpTo[75070D74]
>>> Код руткита в функции MoveWindow нейтрализован
Функция user32.dll:PostMessageA (2078) перехвачена, метод APICodeHijack.JmpTo[7506E286]
>>> Код руткита в функции PostMessageA нейтрализован
Функция user32.dll:PostMessageW (2079) перехвачена, метод APICodeHijack.JmpTo[7506E50A]
>>> Код руткита в функции PostMessageW нейтрализован
Функция user32.dll:PostThreadMessageA (2081) перехвачена, метод APICodeHijack.JmpTo[7506E78E]
>>> Код руткита в функции PostThreadMessageA нейтрализован
Функция user32.dll:PostThreadMessageW (2082) перехвачена, метод APICodeHijack.JmpTo[7506E9C7]
>>> Код руткита в функции PostThreadMessageW нейтрализован
Функция user32.dll:RegisterHotKey (2111) перехвачена, метод APICodeHijack.JmpTo[750716E7]
>>> Код руткита в функции RegisterHotKey нейтрализован
Функция user32.dll:RegisterRawInputDevices (2115) перехвачена, метод APICodeHijack.JmpTo[75070BFF]
>>> Код руткита в функции RegisterRawInputDevices нейтрализован
Функция user32.dll:SendDlgItemMessageA (2139) перехвачена, метод APICodeHijack.JmpTo[75070028]
>>> Код руткита в функции SendDlgItemMessageA нейтрализован
Функция user32.dll:SendDlgItemMessageW (2140) перехвачена, метод APICodeHijack.JmpTo[7507025C]
>>> Код руткита в функции SendDlgItemMessageW нейтрализован
Функция user32.dll:SendInput (2143) перехвачена, метод APICodeHijack.JmpTo[75070490]
>>> Код руткита в функции SendInput нейтрализован
Функция user32.dll:SendMessageA (2144) перехвачена, метод APICodeHijack.JmpTo[7506EC00]
>>> Код руткита в функции SendMessageA нейтрализован
Функция user32.dll:SendMessageCallbackA (2145) перехвачена, метод APICodeHijack.JmpTo[7506F63C]
>>> Код руткита в функции SendMessageCallbackA нейтрализован
Функция user32.dll:SendMessageCallbackW (2146) перехвачена, метод APICodeHijack.JmpTo[7506F8BF]
>>> Код руткита в функции SendMessageCallbackW нейтрализован
Функция user32.dll:SendMessageTimeoutA (2147) перехвачена, метод APICodeHijack.JmpTo[7506F108]
>>> Код руткита в функции SendMessageTimeoutA нейтрализован
Функция user32.dll:SendMessageTimeoutW (2148) перехвачена, метод APICodeHijack.JmpTo[7506F3A2]
>>> Код руткита в функции SendMessageTimeoutW нейтрализован
Функция user32.dll:SendMessageW (2149) перехвачена, метод APICodeHijack.JmpTo[7506EE84]
>>> Код руткита в функции SendMessageW нейтрализован
Функция user32.dll:SendNotifyMessageA (2150) перехвачена, метод APICodeHijack.JmpTo[7506FB42]
>>> Код руткита в функции SendNotifyMessageA нейтрализован
Функция user32.dll:SendNotifyMessageW (2151) перехвачена, метод APICodeHijack.JmpTo[7506FDB5]
>>> Код руткита в функции SendNotifyMessageW нейтрализован
Функция user32.dll:SetClipboardData (2159) перехвачена, метод APICodeHijack.JmpTo[750714EE]
>>> Код руткита в функции SetClipboardData нейтрализован
Функция user32.dll:SetClipboardViewer (2160) перехвачена, метод APICodeHijack.JmpTo[75071162]
>>> Код руткита в функции SetClipboardViewer нейтрализован
Функция user32.dll:SetParent (2191) перехвачена, метод APICodeHijack.JmpTo[75070F7F]
>>> Код руткита в функции SetParent нейтрализован
Функция user32.dll:SetSysColors (2206) перехвачена, метод APICodeHijack.JmpTo[750720B1]
>>> Код руткита в функции SetSysColors нейтрализован
Функция user32.dll:SetSystemCursor (2208) перехвачена, метод APICodeHijack.JmpTo[75071F6C]
>>> Код руткита в функции SetSystemCursor нейтрализован
Функция user32.dll:SetWinEventHook (2216) перехвачена, метод APICodeHijack.JmpTo[7506DCF9]
>>> Код руткита в функции SetWinEventHook нейтрализован
Функция user32.dll:SetWindowLongA (2220) перехвачена, метод APICodeHijack.JmpTo[7506DEFC]
>>> Код руткита в функции SetWindowLongA нейтрализован
Функция user32.dll:SetWindowLongW (2221) перехвачена, метод APICodeHijack.JmpTo[7506E0C1]
>>> Код руткита в функции SetWindowLongW нейтрализован
Функция user32.dll:SetWindowsHookExA (2231) перехвачена, метод APICodeHijack.JmpTo[7506D524]
>>> Код руткита в функции SetWindowsHookExA нейтрализован
Функция user32.dll:SetWindowsHookExW (2232) перехвачена, метод APICodeHijack.JmpTo[7506D79F]
>>> Код руткита в функции SetWindowsHookExW нейтрализован
Функция user32.dll:SwitchDesktop (2257) перехвачена, метод APICodeHijack.JmpTo[75071E25]
>>> Код руткита в функции SwitchDesktop нейтрализован
Функция user32.dll:SystemParametersInfoA (2260) перехвачена, метод APICodeHijack.JmpTo[7506DA1A]
>>> Код руткита в функции SystemParametersInfoA нейтрализован
Функция user32.dll:SystemParametersInfoW (2261) перехвачена, метод APICodeHijack.JmpTo[7506DB91]
>>> Код руткита в функции SystemParametersInfoW нейтрализован
Функция user32.dll:keybd_event (2329) перехвачена, метод APICodeHijack.JmpTo[7505C2C6]
>>> Код руткита в функции keybd_event нейтрализован
Функция user32.dll:mouse_event (2330) перехвачена, метод APICodeHijack.JmpTo[7505C42E]
>>> Код руткита в функции mouse_event нейтрализован
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
Количество найденных процессов: 10
Анализатор - изучается процесс 2132 C:\Users\User\AppData\Roaming\uTorr ent\updates\3.5.5_45311\utorrentie. exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Геннадий98 вне форума   Ответить с цитированием
Старый 01.08.2019, 22:48   #3
Геннадий98
Новичок
 
Регистрация: 01.08.2019
Сообщений: 4
Репутация: 10
По умолчанию

Отчет. Часть 3:

Анализатор - изучается процесс 5660 C:\Users\User\AppData\Roaming\uTorr ent\updates\3.5.5_45311\utorrentie. exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Количество загруженных модулей: 194
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Program Files\COMODO\GeekBuddy\lps-cspm\components\core\component-2\configuration_1033.db
Прямое чтение C:\ProgramData\Comodo\Cis\lmdb\cmdd ata-lock
Прямое чтение C:\ProgramData\Comodo\Cis\lmdb\cmdu rl
Прямое чтение C:\ProgramData\Comodo\Cis\lmdb\cmdu rl-lock
Прямое чтение C:\ProgramData\Comodo\Cis\lmdb\vcac t
Прямое чтение C:\ProgramData\Comodo\Cis\lmdb\vcac t-lock
Прямое чтение C:\ProgramData\Comodo\Firewall Pro\cislogs.sdb
Прямое чтение C:\ProgramData\Comodo\lps4\lps-ca\vt.db
Прямое чтение C:\ProgramData\Malwarebytes\MBAMSer vice\logs\MBAMSERVICE.LOG
Прямое чтение C:\ProgramData\Microsoft\Network\Do wnloader\qmgr0.dat
Прямое чтение C:\ProgramData\Microsoft\Network\Do wnloader\qmgr1.dat
Прямое чтение C:\ProgramData\Microsoft\Search\Dat a\Applications\Windows\MSS.log
Прямое чтение C:\ProgramData\Microsoft\Search\Dat a\Applications\Windows\MSStmp.log
Прямое чтение C:\ProgramData\Microsoft\Search\Dat a\Applications\Windows\Projects\Sys temIndex\Indexer\CiFiles\00010004.w id
Прямое чтение C:\ProgramData\Microsoft\Search\Dat a\Applications\Windows\Projects\Sys temIndex\Indexer\CiFiles\00010004.w sb
Прямое чтение C:\ProgramData\Microsoft\Search\Dat a\Applications\Windows\tmp.edb
Прямое чтение C:\System Volume Information\Syscache.hve
Прямое чтение C:\System Volume Information\Syscache.hve.LOG1
Прямое чтение C:\Users\User\AppData\Local\BitTorr entHelper\ledger.bt.co.btdb
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\BrowserMetrics\BrowserMetrics-5D42A9F5-7F4.pma
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\CrashpadMetrics.pma~RF10fe40c. TMP
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\000389.log
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Cache\data_0
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Cache\data_1
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Cache\index
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Cookies
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Current Session
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Current Tabs
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\databases\Databases.db
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Extension Cookies
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Extension State\000063.log
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Favicons
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\File System\Origins\000003.log
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\GCM Store\000003.log
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\GPUCache\data_0
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\GPUCache\data_1
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\GPUCache\data_2
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\GPUCache\data_3
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\GPUCache\index
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\History
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\History-journal
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\IndexedDB\chrome-extension_mciiogijehkdemklbdcbfkefi mifhecn_0.indexeddb.leveldb\000080. log
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Local Extension Settings\lhhgpflelfbhnihnbjigpgdbah gkbghp\000003.log
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Local Extension Settings\omghfjlpggmjjaagoclmmobgdo dcjboh\000003.log
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Local Storage\leveldb\000509.log
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Local Storage\leveldb\LOG
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Local Storage\leveldb\MANIFEST-000001
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Login Data
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Network Action Predictor
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\previews_opt_out.db
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\QuotaManager
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Service Worker\Database\000003.log
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Session Storage\000656.log
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Session Storage\LOG
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Session Storage\MANIFEST-000001
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Shortcuts
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Site Characteristics Database\000003.log
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Sync Data\SyncData.sqlite3
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Top Sites
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\VideoDecodeStats\00000 3.log
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Visited Links
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Default\Web Data
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\Safe Browsing Cookies
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\ShaderCache\GPUCache\data_0
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\ShaderCache\GPUCache\data_1
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\ShaderCache\GPUCache\data_2
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\ShaderCache\GPUCache\data_3
Прямое чтение C:\Users\User\AppData\Local\Google\ Chrome\User Data\ShaderCache\GPUCache\index
Прямое чтение C:\Users\User\AppData\Local\Microso ft\Internet Explorer\MSIMGSIZ.DAT
Геннадий98 вне форума   Ответить с цитированием
Старый 01.08.2019, 22:48   #4
Геннадий98
Новичок
 
Регистрация: 01.08.2019
Сообщений: 4
Репутация: 10
По умолчанию

Отчет. Часть 4:

Прямое чтение C:\Users\User\AppData\Local\Microso ft\Windows\Explorer\thumbcache_32.d b
Прямое чтение C:\Users\User\AppData\Local\Microso ft\Windows\Explorer\thumbcache_idx. db
Прямое чтение C:\Users\User\AppData\Local\Microso ft\Windows\History\History.IE5\inde x.dat
Прямое чтение C:\Users\User\AppData\Local\Microso ft\Windows\History\Low\History.IE5\ index.dat
Прямое чтение C:\Users\User\AppData\Local\Microso ft\Windows\History\Low\History.IE5\ MSHist012019080120190802\index.dat
Прямое чтение C:\Users\User\AppData\Local\Microso ft\Windows\Temporary Internet Files\Content.IE5\index.dat
Прямое чтение C:\Users\User\AppData\Local\Microso ft\Windows\Temporary Internet Files\Low\Content.IE5\index.dat
Прямое чтение C:\Users\User\AppData\Local\Microso ft\Windows\UsrClass.dat
Прямое чтение C:\Users\User\AppData\Local\Microso ft\Windows\UsrClass.dat.LOG1
Прямое чтение C:\Users\User\AppData\Local\Microso ft\Windows\UsrClass.dat{cb294aa2-a398-11e9-8b39-e42e7a7c095b}.TM.blf
Прямое чтение C:\Users\User\AppData\Local\Microso ft\Windows\UsrClass.dat{cb294aa2-a398-11e9-8b39-e42e7a7c095b}.TMContainer0000000000 0000000001.regtrans-ms
Прямое чтение C:\Users\User\AppData\Local\Microso ft\Windows\UsrClass.dat{cb294aa2-a398-11e9-8b39-e42e7a7c095b}.TMContainer0000000000 0000000002.regtrans-ms
Прямое чтение C:\Users\User\AppData\LocalLow\uTor rent\uTorrent_2068_00B7B2B0_6938271 13
Прямое чтение C:\Users\User\AppData\LocalLow\uTor rent\uTorrent_2068_00B7B348_2040648 75
Прямое чтение C:\Users\User\AppData\Roaming\Micro soft\Windows\Cookies\index.dat
Прямое чтение C:\Users\User\AppData\Roaming\Micro soft\Windows\Cookies\Low\index.dat
Прямое чтение C:\Users\User\AppData\Roaming\Micro soft\Windows\IETldCache\index.dat
Прямое чтение C:\Users\User\AppData\Roaming\Micro soft\Windows\IETldCache\Low\index.d at
Прямое чтение C:\Users\User\NTUSER.DAT
Прямое чтение C:\Users\User\ntuser.dat.LOG1
Прямое чтение C:\Users\User\NTUSER.DAT{016888bd-6c6f-11de-8d1d-001e0bcde3ec}.TM.blf
Прямое чтение C:\Users\User\NTUSER.DAT{016888bd-6c6f-11de-8d1d-001e0bcde3ec}.TMContainer0000000000 0000000001.regtrans-ms
Прямое чтение C:\Users\User\NTUSER.DAT{016888bd-6c6f-11de-8d1d-001e0bcde3ec}.TMContainer0000000000 0000000002.regtrans-ms
Прямое чтение C:\Windows\ServiceProfiles\LocalSer vice\NTUSER.DAT
Прямое чтение C:\Windows\ServiceProfiles\LocalSer vice\NTUSER.DAT.LOG1
Прямое чтение C:\Windows\ServiceProfiles\LocalSer vice\NTUSER.DAT{016888bd-6c6f-11de-8d1d-001e0bcde3ec}.TM.blf
Прямое чтение C:\Windows\ServiceProfiles\LocalSer vice\NTUSER.DAT{016888bd-6c6f-11de-8d1d-001e0bcde3ec}.TMContainer0000000000 0000000001.regtrans-ms
Прямое чтение C:\Windows\ServiceProfiles\LocalSer vice\NTUSER.DAT{016888bd-6c6f-11de-8d1d-001e0bcde3ec}.TMContainer0000000000 0000000002.regtrans-ms
Прямое чтение C:\Windows\ServiceProfiles\NetworkS ervice\NTUSER.DAT
Прямое чтение C:\Windows\ServiceProfiles\NetworkS ervice\NTUSER.DAT.LOG1
Прямое чтение C:\Windows\ServiceProfiles\NetworkS ervice\NTUSER.DAT{016888bd-6c6f-11de-8d1d-001e0bcde3ec}.TM.blf
Прямое чтение C:\Windows\ServiceProfiles\NetworkS ervice\NTUSER.DAT{016888bd-6c6f-11de-8d1d-001e0bcde3ec}.TMContainer0000000000 0000000001.regtrans-ms
Прямое чтение C:\Windows\ServiceProfiles\NetworkS ervice\NTUSER.DAT{016888bd-6c6f-11de-8d1d-001e0bcde3ec}.TMContainer0000000000 0000000002.regtrans-ms
Прямое чтение C:\Windows\System32\catroot2\edb.lo g
Прямое чтение C:\Windows\System32\LogFiles\WUDF\W UDFTrace.etl
Прямое чтение C:\Windows\Tasks\SCHEDLGU.TXT
Прямое чтение D:\Telegram Desktop\log.txt
Прямое чтение D:\Telegram Desktop\tdata\user_data\cache\1\bin log
word/media/image7.emf MailBomb detected !
word/media/image1.emf MailBomb detected !
word/media/image7.emf MailBomb detected !
word/media/image1.emf MailBomb detected !
word/media/image7.emf MailBomb detected !
word/media/image1.emf MailBomb detected !
word/media/image7.emf MailBomb detected !
word/media/image1.emf MailBomb detected !

Странно и то, что кэш в телеграм я чистил, однако AVZ продолжает выдавать "MailBomb detected". На форумах пишут, что обычно данная утилита ругается таким образом на очень большие файлы, хотя после очистки кэша их там чисто физически быть не может.
Геннадий98 вне форума   Ответить с цитированием
Старый 02.08.2019, 04:30   #5
Black Fregat
Программист
Профессионал
 
Аватар для Black Fregat
 
Регистрация: 23.06.2009
Сообщений: 1,475
Репутация: 1021
По умолчанию

Сходите сюда: https://safezone.cc/pravila/

Последний раз редактировалось Black Fregat; 02.08.2019 в 17:35.
Black Fregat на форуме   Ответить с цитированием
Ответ

Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Декомпилирование кода для исследования руткитов challengerr Общие вопросы C/C++ 12 28.02.2015 06:16
findwindowex не обнаруживает LabeledEdit (Клавиатура для сенсорной панели) TilerDerton Общие вопросы Delphi 2 02.04.2014 11:36
Удаление руткитов RPG-MARKET Общие вопросы C/C++ 8 04.08.2011 09:13
AVZ нашел APICodeHijack.JmpTo Сtrl Безопасность, Шифрование 7 01.04.2011 11:41
не обнаруживает сатовский жесткий Vladislav Железо 13 20.07.2008 19:57


00:29.


Powered by vBulletin® Version 3.8.11
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.