Добрый день!
У меня проблема - вчера подцепил троян Trojan.Blackmailer.origin. По крайней мере Dr Web 4.70 с обновлениями от 02.03.2009 так его находит.
При сканировании находит файлы вида A0001234.dll в папках Restore и Documents and Settings. Пишет что они не изличимы и перемещает в карантин. После этого всё равно в IE при старте вылазит порнуха с предложением отправить sms для удаления этого. Я и Dr Webom проверял, и Cure It - проблема не уходит, вирус все равно сидит в системе. Подскажите что делать?
Trojan.Blackmailer.origin
Автор
den003
, мар 02 2009 06:37
-
Тема закрыта
27 ответов в этой теме
#2
belsa
-
- Posters
- 4 Сообщений:
Newbie
Отправлено 02 Март 2009 - 06:58
Здравствуйте!
Да проблема есть и её надо решать я как не очень опытный в этих делах могу дать только несколько советов
!)Сделать логи и выложить сюда для рассмотрения умными людьми которые помогают нам в решении этих проблем( С Уважением)
2)Скачать Live CD и применить по назначению т.е запустить сканер до загрузки системы
Да проблема есть и её надо решать я как не очень опытный в этих делах могу дать только несколько советов
!)Сделать логи и выложить сюда для рассмотрения умными людьми которые помогают нам в решении этих проблем( С Уважением)
2)Скачать Live CD и применить по назначению т.е запустить сканер до загрузки системы
#3
alexxOr
-
- Posters
- 36 Сообщений:
Newbie
Отправлено 02 Март 2009 - 09:42
а где можно подхватить эту штучку? дайте ссылки
и еще интересно, эта реклама сама ставится, без предупреждений? или все таки выскакивают таблички, типа "хотите установить кодек"(или подобное)
у одного была такая реклама, 2 раза, убрать легко, но мне интересно где он её подхватил (возможно на сайтах ХхХ)
и еще интересно, эта реклама сама ставится, без предупреждений? или все таки выскакивают таблички, типа "хотите установить кодек"(или подобное)
у одного была такая реклама, 2 раза, убрать легко, но мне интересно где он её подхватил (возможно на сайтах ХхХ)
#4
John
-
- Posters
- 399 Сообщений:
Member
Отправлено 02 Март 2009 - 10:39
Вот тут http://forum.drweb.com/index.php?showtopic=277652 все написано что делатьДобрый день!
У меня проблема - вчера подцепил троян Trojan.Blackmailer.origin. По крайней мере Dr Web 4.70 с обновлениями от 02.03.2009 так его находит.
При сканировании находит файлы вида A0001234.dll в папках Restore и Documents and Settings. Пишет что они не изличимы и перемещает в карантин. После этого всё равно в IE при старте вылазит порнуха с предложением отправить sms для удаления этого. Я и Dr Webom проверял, и Cure It - проблема не уходит, вирус все равно сидит в системе. Подскажите что делать?
А конкретно вам надо сделать логи:
HijackThis
RkU
CureIT
Прикрепить их сюда.
#5
den003
-
- Posters
- 13 Сообщений:
Newbie
Отправлено 02 Март 2009 - 15:31
Логи сделал, только не могу их прикрепить к сообщению. Нажимаю Upload - и страница виснет...
Может их так выложить, текстом в самом сообщении?
Может их так выложить, текстом в самом сообщении?
#6
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 02 Март 2009 - 15:33
Если виснет, то выкладывайте, только используйте "[ code ]" и "[ /code ]" (без пробелов).Логи сделал, только не могу их прикрепить к сообщению. Нажимаю Upload - и страница виснет...
Может их так выложить, текстом в самом сообщении?
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#7
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 02 Март 2009 - 15:34
Сжимать архиваторами пробовали?Логи сделал, только не могу их прикрепить к сообщению. Нажимаю Upload - и страница виснет...
Может их так выложить, текстом в самом сообщении?
Есть запрет на определенные расширения файлов.
(Можно временно отключить Spider Gate и закачать)
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#8
den003
-
- Posters
- 13 Сообщений:
Newbie
Отправлено 02 Март 2009 - 16:08
архиватор и отключение spider не помогает. Выкладываю текстом.
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:18:08, on 02.03.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\DAEMON Tools\daemon.exe C:\Program Files\DrWeb AV-Desk\drwagnui.exe C:\Program Files\DrWeb AV-Desk\SPIDERML.EXE C:\Program Files\DrWeb AV-Desk\SPIDERGATE.EXE C:\Program Files\DrWeb AV-Desk\SPIDERUI.EXE C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe C:\Program Files\DrWeb AV-Desk\DWENGINE.EXE C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Program Files\DrWeb AV-Desk\SPIDERNT.EXE C:\WINDOWS\Inf\zpx2.exe C:\Program Files\DrWeb AV-Desk\drwagntd.exe C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\DOCUMENTS AND SETTINGS\DENIS\РАБОЧИЙ СТОЛ\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url="http://www.academ.org/"]http://www.academ.org/[/url] R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8600 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: jmclibP - {46D48A11-2BA8-40B9-B31E-0FC9F1DB2241} - C:\Documents and Settings\All Users\Application Data\jmclib.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [DrWebAgentUI] "C:\Program Files\DrWeb AV-Desk\drwagnui.exe" O4 - HKLM\..\Run: [SpIDerMail] "C:\Program Files\DrWeb AV-Desk\SPIDERML.EXE" O4 - HKLM\..\Run: [spidergate] "C:\Program Files\DrWeb AV-Desk\SPIDERGATE.EXE" -autorun O4 - HKLM\..\Run: [SpIDerNT] "C:\Program Files\DrWeb AV-Desk\SPIDERUI.EXE" /agent O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O23 - Service: Dr.Web® AV-Desk Agent (drwagntd) - Doctor Web, Ltd. - C:\Program Files\DrWeb AV-Desk\drwagntd.exe O23 - Service: Dr.Web ® Scanning Engine (DrWebEngine) - Doctor Web, Ltd. - C:\Program Files\DrWeb AV-Desk\DWENGINE.EXE O23 - Service: Dr.Web® AV-Desk Upgrade Service (drwupgrade) - Doctor Web, Ltd. - C:\Program Files\DrWeb AV-Desk\1\drwupgrade.exe O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: SpIDer Guard ® for Windows (spidernt) - Doctor Web, Ltd. - C:\Program Files\DrWeb AV-Desk\SPIDERNT.EXE O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe O23 - Service: Windows Security Guard (winsecguard) - Unknown owner - C:\WINDOWS\Inf\zpx2.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe -- End of file - 5767 bytes
Сообщение было изменено userr: 02 Март 2009 - 16:55
приведено в обозримый вид
#9
den003
-
- Posters
- 13 Сообщений:
Newbie
Отправлено 02 Март 2009 - 16:09
[codebox]RkUnhooker report generator v0.7
==============================================
Rootkit Unhooker kernel version: 3.8.342.554
==============================================
Windows Major Version: 5
Windows Minor Version: 1
Windows Build Number: 2600
==============================================
>SSDT State
NtCreateKey
Actual Address 0xF843E0B0
Hooked by: sptd.sys
NtEnumerateKey
Actual Address 0xF844384E
Hooked by: sptd.sys
NtEnumerateValueKey
Actual Address 0xF8443BEE
Hooked by: sptd.sys
NtOpenKey
Actual Address 0xF843E090
Hooked by: sptd.sys
NtQueryKey
Actual Address 0xF8443CC6
Hooked by: sptd.sys
NtQueryValueKey
Actual Address 0xF8443B46
Hooked by: sptd.sys
NtSetValueKey
Actual Address 0xF8443D58
Hooked by: sptd.sys
==============================================
>Shadow
NtUserMessageCall
Actual Address 0xF834F088
Hooked by: dwprot.sys
NtUserPostMessage
Actual Address 0xF834EFFC
Hooked by: dwprot.sys
NtUserPostThreadMessage
Actual Address 0xF834E5CC
Hooked by: dwprot.sys
NtUserQueryWindow
Actual Address 0xF834E50E
Hooked by: dwprot.sys
==============================================
>Processes
Process: System
Process Id: 4
EPROCESS Address: 0x823CA660
Process: C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
Process Id: 304
EPROCESS Address: 0x81DB5510
Process: C:\WINDOWS\system32\smss.exe
Process Id: 516
EPROCESS Address: 0x82252020
Process: C:\WINDOWS\system32\csrss.exe
Process Id: 572
EPROCESS Address: 0x821320E0
Process: C:\WINDOWS\system32\winlogon.exe
Process Id: 596
EPROCESS Address: 0x82089950
Process: C:\WINDOWS\system32\services.exe
Process Id: 644
EPROCESS Address: 0x82094020
Process: C:\WINDOWS\system32\lsass.exe
Process Id: 656
EPROCESS Address: 0x820F45A0
Process: C:\WINDOWS\system32\wdfmgr.exe
Process Id: 780
EPROCESS Address: 0x81A76020
Process: C:\WINDOWS\system32\svchost.exe
Process Id: 912
EPROCESS Address: 0x81F22978
Process: C:\WINDOWS\system32\svchost.exe
Process Id: 960
EPROCESS Address: 0x8206F9D8
Process: C:\WINDOWS\system32\svchost.exe
Process Id: 1032
EPROCESS Address: 0x82128020
Process: C:\WINDOWS\inf\zpx2.exe
Process Id: 1108
EPROCESS Address: 0x81B8B990
Process: C:\WINDOWS\system32\svchost.exe
Process Id: 1156
EPROCESS Address: 0x82135628
Process: C:\WINDOWS\explorer.exe
Process Id: 1328
EPROCESS Address: 0x8207FDA0
Process: C:\WINDOWS\system32\svchost.exe
Process Id: 1352
EPROCESS Address: 0x81F14280
Process: C:\WINDOWS\system32\spoolsv.exe
Process Id: 1492
EPROCESS Address: 0x81DA75C0
Process: C:\WINDOWS\SOUNDMAN.EXE
Process Id: 1568
EPROCESS Address: 0x821DADA0
Process: C:\Program Files\DAEMON Tools\daemon.exe
Process Id: 1576
EPROCESS Address: 0x81EE95C0
Process: C:\WINDOWS\system32\ctfmon.exe
Process Id: 1692
EPROCESS Address: 0x81F0F550
Process: C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
Process Id: 1716
EPROCESS Address: 0x81F36C08
Process: C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
Process Id: 1852
EPROCESS Address: 0x820F0990
Process: C:\Program Files\Mozilla Firefox\firefox.exe
Process Id: 1860
EPROCESS Address: 0x820F3B90
Process: C:\WINDOWS\system32\alg.exe
Process Id: 2208
EPROCESS Address: 0x81A62718
Process: C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
Process Id: 2508
EPROCESS Address: 0x81D29DA0
Process: C:\Program Files\DrWeb AV-Desk\SPIDERNT.EXE
Process Id: 484
EPROCESS Address: 0x81A7C580
Process: C:\Program Files\DrWeb AV-Desk\drwagnui.exe
Process Id: 1612
EPROCESS Address: 0x81EE5458
Process: C:\Program Files\DrWeb AV-Desk\SPIDERML.EXE
Process Id: 1620
EPROCESS Address: 0x821EBDA0
Process: C:\Program Files\DrWeb AV-Desk\SPIDERGATE.EXE
Process Id: 1652
EPROCESS Address: 0x81F33978
Process: C:\Program Files\DrWeb AV-Desk\SPIDERUI.EXE
Process Id: 1660
EPROCESS Address: 0x81DFBDA0
Process: C:\Program Files\DrWeb AV-Desk\drwagntd.exe
Process Id: 1768
EPROCESS Address: 0x81B76718
Process: C:\Program Files\DrWeb AV-Desk\DWENGINE.EXE
Process Id: 1904
EPROCESS Address: 0x82082DA0
Process: C:\LE38\CTwh3lh.exe
Process Id: 2372
EPROCESS Address: 0x81A90708
==============================================
>Drivers
Driver: C:\WINDOWS\system32\ntoskrnl.exe
Address: 0x804D7000
Size: 2190976 bytes
Driver: PnpManager
Address: 0x804D7000
Size: 2190976 bytes
Driver: RAW
Address: 0x804D7000
Size: 2190976 bytes
Driver: WMIxWDM
Address: 0x804D7000
Size: 2190976 bytes
Driver: C:\WINDOWS\System32\ati3duag.dll
Address: 0xBFA43000
Size: 1892352 bytes
Driver: Win32k
Address: 0xBF800000
Size: 1847296 bytes
Driver: C:\WINDOWS\System32\win32k.sys
Address: 0xBF800000
Size: 1847296 bytes
Driver: 00000044
Address: 0xF843D000
Size: 880640 bytes
Driver: sptd.sys
Address: 0xF843D000
Size: 880640 bytes
Driver: C:\WINDOWS\system32\DRIVERS\ati2mtag.sys
Address: 0xF811F000
Size: 815104 bytes
Driver: C:\WINDOWS\system32\drivers\ALCXWDM.SYS
Address: 0xF7FF0000
Size: 618496 bytes
Driver: Ntfs.sys
Address: 0xF8270000
Size: 577536 bytes
Driver: C:\WINDOWS\System32\ativvaxx.dll
Address: 0xBFC11000
Size: 520192 bytes
Driver: C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
Address: 0xB2E3F000
Size: 458752 bytes
Driver: C:\WINDOWS\system32\drivers\ALCXSENS.SYS
Address: 0xF7F6A000
Size: 401408 bytes
Driver: C:\WINDOWS\system32\DRIVERS\update.sys
Address: 0xF7BA8000
Size: 385024 bytes
Driver: C:\WINDOWS\system32\DRIVERS\tcpip.sys
Address: 0xB2F4C000
Size: 364544 bytes
Driver: C:\WINDOWS\system32\DRIVERS\srv.sys
Address: 0xB2547000
Size: 335872 bytes
Driver: C:\WINDOWS\System32\Drivers\afaaqrgi.SYS
Address: 0xF7F20000
Size: 303104 bytes
Driver: C:\WINDOWS\System32\ATMFD.DLL
Address: 0xBFFA0000
Size: 286720 bytes
Driver: C:\WINDOWS\System32\Drivers\HTTP.sys
Address: 0xB21E6000
Size: 266240 bytes
Driver: C:\Program Files\DrWeb AV-Desk\SPIDER.SYS
Address: 0xB2BE0000
Size: 266240 bytes
Driver: C:\WINDOWS\System32\ati2cqag.dll
Address: 0xBFA0B000
Size: 229376 bytes
Driver: C:\WINDOWS\System32\ati2dvag.dll
Address: 0xBF9D5000
Size: 221184 bytes
Driver: C:\WINDOWS\system32\DRIVERS\rdpdr.sys
Address: 0xF7DEC000
Size: 196608 bytes
Driver: ACPI.sys
Address: 0xF83F7000
Size: 188416 bytes
Driver: C:\WINDOWS\system32\DRIVERS\mrxdav.sys
Address: 0xB2718000
Size: 184320 bytes
Driver: C:\WINDOWS\system32\drivers\NDIS.SYS
Address: 0xF8314000
Size: 184320 bytes
Driver: C:\WINDOWS\system32\DRIVERS\rdbss.sys
Address: 0xB2ED7000
Size: 176128 bytes
Driver: C:\WINDOWS\system32\DRIVERS\netbt.sys
Address: 0xB2F24000
Size: 163840 bytes
Driver: dmio.sys
Address: 0xF83A1000
Size: 155648 bytes
Driver: C:\WINDOWS\system32\DRIVERS\ipnat.sys
Address: 0xB2E19000
Size: 155648 bytes
Driver: C:\WINDOWS\system32\drivers\portcls.sys
Address: 0xF7FCC000
Size: 147456 bytes
Driver: C:\WINDOWS\system32\DRIVERS\USBPORT.SYS
Address: 0xF80E7000
Size: 147456 bytes
Driver: C:\WINDOWS\system32\DRIVERS\ks.sys
Address: 0xF8087000
Size: 143360 bytes
Driver: C:\WINDOWS\System32\drivers\afd.sys
Address: 0xB2F02000
Size: 139264 bytes
Driver: ACPI_HAL
Address: 0x806EE000
Size: 131840 bytes
Driver: C:\WINDOWS\system32\hal.dll
Address: 0x806EE000
Size: 131840 bytes
Driver: fltmgr.sys
Address: 0xF8369000
Size: 131072 bytes
Driver: ftdisk.sys
Address: 0xF83C7000
Size: 126976 bytes
Driver: Mup.sys
Address: 0xF8256000
Size: 106496 bytes
Driver: atapi.sys
Address: 0xF8389000
Size: 98304 bytes
Driver: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xB2D61000
Size: 98304 bytes
Driver: C:\WINDOWS\System32\Drivers\SCSIPORT.SYS
Address: 0xF8425000
Size: 98304 bytes
Driver: C:\Program Files\DrWeb AV-Desk\dwshield.sys
Address: 0xB26D9000
Size: 94208 bytes
Driver: KSecDD.sys
Address: 0xF82FD000
Size: 94208 bytes
Driver: C:\WINDOWS\system32\DRIVERS\ndiswan.sys
Address: 0xF7EF5000
Size: 94208 bytes
Driver: dwprot.sys
Address: 0xF8341000
Size: 90112 bytes
Driver: C:\WINDOWS\system32\drivers\wdmaud.sys
Address: 0xB2883000
Size: 86016 bytes
Driver: C:\WINDOWS\system32\DRIVERS\parport.sys
Address: 0xF7F0C000
Size: 81920 bytes
Driver: C:\WINDOWS\system32\DRIVERS\VIDEOPRT.SYS
Address: 0xF810B000
Size: 81920 bytes
Driver: C:\WINDOWS\system32\DRIVERS\ipsec.sys
Address: 0xB2FA5000
Size: 77824 bytes
Driver: C:\WINDOWS\System32\drivers\dxg.sys
Address: 0xBF9C3000
Size: 73728 bytes
Driver: sr.sys
Address: 0xF8357000
Size: 73728 bytes
Driver: pci.sys
Address: 0xF83E6000
Size: 69632 bytes
Driver: C:\WINDOWS\system32\DRIVERS\psched.sys
Address: 0xF7E44000
Size: 69632 bytes
Driver: C:\WINDOWS\System32\Drivers\Cdfs.SYS
Address: 0xF8695000
Size: 65536 bytes
Driver: C:\WINDOWS\system32\DRIVERS\cdrom.sys
Address: 0xF8715000
Size: 65536 bytes
Driver: C:\WINDOWS\system32\DRIVERS\nic1394.sys
Address: 0xF86F5000
Size: 65536 bytes
Driver: ohci1394.sys
Address: 0xF8535000
Size: 65536 bytes
Driver: C:\WINDOWS\system32\DRIVERS\serial.sys
Address: 0xF8745000
Size: 65536 bytes
Driver: C:\WINDOWS\system32\DRIVERS\arp1394.sys
Address: 0xF8665000
Size: 61440 bytes
Driver: C:\WINDOWS\system32\drivers\drmk.sys
Address: 0xF8735000
Size: 61440 bytes
Driver: C:\WINDOWS\system32\DRIVERS\redbook.sys
Address: 0xF8725000
Size: 61440 bytes
Driver: C:\WINDOWS\system32\drivers\sysaudio.sys
Address: 0xB2A20000
Size: 61440 bytes
Driver: C:\WINDOWS\system32\DRIVERS\usbhub.sys
Address: 0xF8625000
Size: 61440 bytes
Driver: C:\WINDOWS\system32\DRIVERS\1394BUS.SYS
Address: 0xF8545000
Size: 57344 bytes
Driver: C:\WINDOWS\system32\DRIVERS\CLASSPNP.SYS
Address: 0xF8595000
Size: 53248 bytes
Driver: C:\WINDOWS\system32\DRIVERS\i8042prt.sys
Address: 0xF8755000
Size: 53248 bytes
Driver: C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
Address: 0xF8765000
Size: 53248 bytes
Driver: VolSnap.sys
Address: 0xF8575000
Size: 53248 bytes
Driver: C:\WINDOWS\system32\DRIVERS\raspptp.sys
Address: 0xF8785000
Size: 49152 bytes
Driver: agp440.sys
Address: 0xF85B5000
Size: 45056 bytes
Driver: C:\WINDOWS\System32\Drivers\Fips.SYS
Address: 0xF8645000
Size: 45056 bytes
Driver: C:\WINDOWS\system32\DRIVERS\imapi.sys
Address: 0xF8705000
Size: 45056 bytes
Driver: MountMgr.sys
Address: 0xF8565000
Size: 45056 bytes
Driver: C:\WINDOWS\system32\DRIVERS\raspppoe.sys
Address: 0xF8775000
Size: 45056 bytes
Driver: C:\WINDOWS\system32\DRIVERS\intelppm.sys
Address: 0xF86E5000
Size: 40960 bytes
Driver: isapnp.sys
Address: 0xF8555000
Size: 40960 bytes
Driver: C:\WINDOWS\System32\Drivers\NDProxy.SYS
Address: 0xF8615000
Size: 40960 bytes
Driver: C:\WINDOWS\system32\DRIVERS\termdd.sys
Address: 0xF85E5000
Size: 40960 bytes
Driver: disk.sys
Address: 0xF8585000
Size: 36864 bytes
Driver: C:\WINDOWS\system32\DRIVERS\msgpc.sys
Address: 0xF8795000
Size: 36864 bytes
Driver: C:\WINDOWS\system32\DRIVERS\netbios.sys
Address: 0xF8635000
Size: 36864 bytes
Driver: PxHelp20.sys
Address: 0xF85A5000
Size: 36864 bytes
Driver: C:\WINDOWS\system32\DRIVERS\wanarp.sys
Address: 0xF8655000
Size: 36864 bytes
Driver: C:\WINDOWS\System32\Drivers\Npfs.SYS
Address: 0xF88DD000
Size: 32768 bytes
Driver: C:\WINDOWS\system32\DRIVERS\usbehci.sys
Address: 0xF8835000
Size: 32768 bytes
Driver: C:\WINDOWS\System32\Drivers\karlchen.SYS
Address: 0xF88ED000
Size: 28672 bytes
Driver: C:\WINDOWS\system32\DRIVERS\kbdclass.sys
Address: 0xF8895000
Size: 28672 bytes
Driver: C:\WINDOWS\System32\Drivers\PCIIDEX.SYS
Address: 0xF87B5000
Size: 28672 bytes
Driver: C:\WINDOWS\system32\DRIVERS\mouclass.sys
Address: 0xF888D000
Size: 24576 bytes
Driver: C:\WINDOWS\system32\DRIVERS\RTL8139.SYS
Address: 0xF883D000
Size: 24576 bytes
Driver: C:\WINDOWS\system32\DRIVERS\usbuhci.sys
Address: 0xF882D000
Size: 24576 bytes
Driver: C:\WINDOWS\System32\drivers\vga.sys
Address: 0xF88CD000
Size: 24576 bytes
Driver: C:\WINDOWS\System32\Drivers\Msfs.SYS
Address: 0xF88D5000
Size: 20480 bytes
Driver: PartMgr.sys
Address: 0xF87BD000
Size: 20480 bytes
Driver: C:\WINDOWS\system32\DRIVERS\ptilink.sys
Address: 0xF889D000
Size: 20480 bytes
Driver: C:\WINDOWS\system32\DRIVERS\raspti.sys
Address: 0xF88A5000
Size: 20480 bytes
Driver: C:\WINDOWS\system32\drivers\TDI.SYS
Address: 0xF87C5000
Size: 20480 bytes
Driver: C:\WINDOWS\System32\watchdog.sys
Address: 0xF88F5000
Size: 20480 bytes
Driver: C:\WINDOWS\system32\DRIVERS\mssmbios.sys
Address: 0xF81FE000
Size: 16384 bytes
Driver: C:\WINDOWS\system32\DRIVERS\ndisuio.sys
Address: 0xB2C7D000
Size: 16384 bytes
Driver: C:\WINDOWS\system32\DRIVERS\serenum.sys
Address: 0xF8226000
Size: 16384 bytes
Driver: C:\WINDOWS\system32\BOOTVID.dll
Address: 0xF8945000
Size: 12288 bytes
Driver: C:\WINDOWS\System32\drivers\Dxapi.sys
Address: 0xF820A000
Size: 12288 bytes
Driver: C:\WINDOWS\system32\DRIVERS\gameenum.sys
Address: 0xF8222000
Size: 12288 bytes
Driver: C:\WINDOWS\system32\DRIVERS\ndistapi.sys
Address: 0xF821E000
Size: 12288 bytes
Driver: C:\WINDOWS\system32\drivers\pfc.sys
Address: 0xF8A19000
Size: 12288 bytes
Driver: C:\WINDOWS\system32\DRIVERS\rasacd.sys
Address: 0xF8A25000
Size: 12288 bytes
Driver: C:\WINDOWS\System32\Drivers\Beep.SYS
Address: 0xF8A5B000
Size: 8192 bytes
Driver: dmload.sys
Address: 0xF8A3B000
Size: 8192 bytes
Driver: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF8A6F000
Size: 8192 bytes
Driver: C:\WINDOWS\System32\Drivers\Fs_Rec.SYS
Address: 0xF8A59000
Size: 8192 bytes
Driver: intelide.sys
Address: 0xF8A39000
Size: 8192 bytes
Driver: C:\WINDOWS\system32\KDCOM.DLL
Address: 0xF8A35000
Size: 8192 bytes
Driver: C:\WINDOWS\System32\Drivers\mnmdd.SYS
Address: 0xF8A5D000
Size: 8192 bytes
Driver: C:\WINDOWS\System32\Drivers\ParVdm.SYS
Address: 0xF8A61000
Size: 8192 bytes
Driver: C:\WINDOWS\System32\DRIVERS\RDPCDD.sys
Address: 0xF8A5F000
Size: 8192 bytes
Driver: C:\WINDOWS\system32\DRIVERS\swenum.sys
Address: 0xF8A53000
Size: 8192 bytes
Driver: C:\WINDOWS\system32\DRIVERS\USBD.SYS
Address: 0xF8A55000
Size: 8192 bytes
Driver: C:\WINDOWS\System32\Drivers\WMILIB.SYS
Address: 0xF8A37000
Size: 8192 bytes
Driver: C:\WINDOWS\system32\DRIVERS\audstub.sys
Address: 0xF8BFD000
Size: 4096 bytes
Driver: C:\WINDOWS\System32\drivers\dxgthk.sys
Address: 0xF8B54000
Size: 4096 bytes
Driver: C:\WINDOWS\system32\drivers\msmpu401.sys
Address: 0xF8BFC000
Size: 4096 bytes
Driver: C:\WINDOWS\System32\Drivers\Null.SYS
Address: 0xF8B0D000
Size: 4096 bytes
Driver: PCIIde.sys
Address: 0xF8AFD000
Size: 4096 bytes
Driver: unknown_irp_handler
Address: 0x822100C8
Size: 3896 bytes
Driver: unknown_irp_handler
Address: 0x82131100
Size: 3840 bytes
Driver: unknown_irp_handler
Address: 0x823D51D8
Size: 3624 bytes
Driver: unknown_irp_handler
Address: 0x820631D8
Size: 3624 bytes
Driver: unknown_irp_handler
Address: 0x820C41D8
Size: 3624 bytes
Driver: unknown_irp_handler
Address: 0x8236B1D8
Size: 3624 bytes
Driver: unknown_irp_handler
Address: 0x823D71D8
Size: 3624 bytes
Driver: unknown_irp_handler
Address: 0x81C12380
Size: 3200 bytes
Driver: unknown_irp_handler
Address: 0x81EE5398
Size: 3176 bytes
Driver: unknown_irp_handler
Address: 0x820C74F8
Size: 2824 bytes
Driver: unknown_irp_handler
Address: 0x8220B5A0
Size: 2656 bytes
Driver: unknown_irp_handler
Address: 0x822445D8
Size: 2600 bytes
Driver: unknown_irp_handler
Address: 0x820EF718
Size: 2280 bytes
Driver: unknown_irp_handler
Address: 0x821F0788
Size: 2168 bytes
Driver: unknown_irp_handler
Address: 0x8209F980
Size: 1664 bytes
Driver: unknown_irp_handler
Address: 0x82249D08
Size: 760 bytes
Driver: unknown_irp_handler
Address: 0x81B6AEA0
Size: 352 bytes
==============================================
>Stealth
==============================================
>Hooks
Key object-->ParseProcedure, Type: Kernel Object [dwprot.sys]
ntoskrnl.exe+0x00004AA2, Type: Inline - RelativeJump 0x804DBAA2 [ntoskrnl.exe]
Process object-->DeleteProcedure, Type: Kernel Object [dwprot.sys]
Process object-->OpenProcedure, Type: Kernel Object [dwprot.sys]
Thread object-->OpenProcedure, Type: Kernel Object [dwprot.sys][/codebox]
==============================================
Rootkit Unhooker kernel version: 3.8.342.554
==============================================
Windows Major Version: 5
Windows Minor Version: 1
Windows Build Number: 2600
==============================================
>SSDT State
NtCreateKey
Actual Address 0xF843E0B0
Hooked by: sptd.sys
NtEnumerateKey
Actual Address 0xF844384E
Hooked by: sptd.sys
NtEnumerateValueKey
Actual Address 0xF8443BEE
Hooked by: sptd.sys
NtOpenKey
Actual Address 0xF843E090
Hooked by: sptd.sys
NtQueryKey
Actual Address 0xF8443CC6
Hooked by: sptd.sys
NtQueryValueKey
Actual Address 0xF8443B46
Hooked by: sptd.sys
NtSetValueKey
Actual Address 0xF8443D58
Hooked by: sptd.sys
==============================================
>Shadow
NtUserMessageCall
Actual Address 0xF834F088
Hooked by: dwprot.sys
NtUserPostMessage
Actual Address 0xF834EFFC
Hooked by: dwprot.sys
NtUserPostThreadMessage
Actual Address 0xF834E5CC
Hooked by: dwprot.sys
NtUserQueryWindow
Actual Address 0xF834E50E
Hooked by: dwprot.sys
==============================================
>Processes
Process: System
Process Id: 4
EPROCESS Address: 0x823CA660
Process: C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
Process Id: 304
EPROCESS Address: 0x81DB5510
Process: C:\WINDOWS\system32\smss.exe
Process Id: 516
EPROCESS Address: 0x82252020
Process: C:\WINDOWS\system32\csrss.exe
Process Id: 572
EPROCESS Address: 0x821320E0
Process: C:\WINDOWS\system32\winlogon.exe
Process Id: 596
EPROCESS Address: 0x82089950
Process: C:\WINDOWS\system32\services.exe
Process Id: 644
EPROCESS Address: 0x82094020
Process: C:\WINDOWS\system32\lsass.exe
Process Id: 656
EPROCESS Address: 0x820F45A0
Process: C:\WINDOWS\system32\wdfmgr.exe
Process Id: 780
EPROCESS Address: 0x81A76020
Process: C:\WINDOWS\system32\svchost.exe
Process Id: 912
EPROCESS Address: 0x81F22978
Process: C:\WINDOWS\system32\svchost.exe
Process Id: 960
EPROCESS Address: 0x8206F9D8
Process: C:\WINDOWS\system32\svchost.exe
Process Id: 1032
EPROCESS Address: 0x82128020
Process: C:\WINDOWS\inf\zpx2.exe
Process Id: 1108
EPROCESS Address: 0x81B8B990
Process: C:\WINDOWS\system32\svchost.exe
Process Id: 1156
EPROCESS Address: 0x82135628
Process: C:\WINDOWS\explorer.exe
Process Id: 1328
EPROCESS Address: 0x8207FDA0
Process: C:\WINDOWS\system32\svchost.exe
Process Id: 1352
EPROCESS Address: 0x81F14280
Process: C:\WINDOWS\system32\spoolsv.exe
Process Id: 1492
EPROCESS Address: 0x81DA75C0
Process: C:\WINDOWS\SOUNDMAN.EXE
Process Id: 1568
EPROCESS Address: 0x821DADA0
Process: C:\Program Files\DAEMON Tools\daemon.exe
Process Id: 1576
EPROCESS Address: 0x81EE95C0
Process: C:\WINDOWS\system32\ctfmon.exe
Process Id: 1692
EPROCESS Address: 0x81F0F550
Process: C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
Process Id: 1716
EPROCESS Address: 0x81F36C08
Process: C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
Process Id: 1852
EPROCESS Address: 0x820F0990
Process: C:\Program Files\Mozilla Firefox\firefox.exe
Process Id: 1860
EPROCESS Address: 0x820F3B90
Process: C:\WINDOWS\system32\alg.exe
Process Id: 2208
EPROCESS Address: 0x81A62718
Process: C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
Process Id: 2508
EPROCESS Address: 0x81D29DA0
Process: C:\Program Files\DrWeb AV-Desk\SPIDERNT.EXE
Process Id: 484
EPROCESS Address: 0x81A7C580
Process: C:\Program Files\DrWeb AV-Desk\drwagnui.exe
Process Id: 1612
EPROCESS Address: 0x81EE5458
Process: C:\Program Files\DrWeb AV-Desk\SPIDERML.EXE
Process Id: 1620
EPROCESS Address: 0x821EBDA0
Process: C:\Program Files\DrWeb AV-Desk\SPIDERGATE.EXE
Process Id: 1652
EPROCESS Address: 0x81F33978
Process: C:\Program Files\DrWeb AV-Desk\SPIDERUI.EXE
Process Id: 1660
EPROCESS Address: 0x81DFBDA0
Process: C:\Program Files\DrWeb AV-Desk\drwagntd.exe
Process Id: 1768
EPROCESS Address: 0x81B76718
Process: C:\Program Files\DrWeb AV-Desk\DWENGINE.EXE
Process Id: 1904
EPROCESS Address: 0x82082DA0
Process: C:\LE38\CTwh3lh.exe
Process Id: 2372
EPROCESS Address: 0x81A90708
==============================================
>Drivers
Driver: C:\WINDOWS\system32\ntoskrnl.exe
Address: 0x804D7000
Size: 2190976 bytes
Driver: PnpManager
Address: 0x804D7000
Size: 2190976 bytes
Driver: RAW
Address: 0x804D7000
Size: 2190976 bytes
Driver: WMIxWDM
Address: 0x804D7000
Size: 2190976 bytes
Driver: C:\WINDOWS\System32\ati3duag.dll
Address: 0xBFA43000
Size: 1892352 bytes
Driver: Win32k
Address: 0xBF800000
Size: 1847296 bytes
Driver: C:\WINDOWS\System32\win32k.sys
Address: 0xBF800000
Size: 1847296 bytes
Driver: 00000044
Address: 0xF843D000
Size: 880640 bytes
Driver: sptd.sys
Address: 0xF843D000
Size: 880640 bytes
Driver: C:\WINDOWS\system32\DRIVERS\ati2mtag.sys
Address: 0xF811F000
Size: 815104 bytes
Driver: C:\WINDOWS\system32\drivers\ALCXWDM.SYS
Address: 0xF7FF0000
Size: 618496 bytes
Driver: Ntfs.sys
Address: 0xF8270000
Size: 577536 bytes
Driver: C:\WINDOWS\System32\ativvaxx.dll
Address: 0xBFC11000
Size: 520192 bytes
Driver: C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
Address: 0xB2E3F000
Size: 458752 bytes
Driver: C:\WINDOWS\system32\drivers\ALCXSENS.SYS
Address: 0xF7F6A000
Size: 401408 bytes
Driver: C:\WINDOWS\system32\DRIVERS\update.sys
Address: 0xF7BA8000
Size: 385024 bytes
Driver: C:\WINDOWS\system32\DRIVERS\tcpip.sys
Address: 0xB2F4C000
Size: 364544 bytes
Driver: C:\WINDOWS\system32\DRIVERS\srv.sys
Address: 0xB2547000
Size: 335872 bytes
Driver: C:\WINDOWS\System32\Drivers\afaaqrgi.SYS
Address: 0xF7F20000
Size: 303104 bytes
Driver: C:\WINDOWS\System32\ATMFD.DLL
Address: 0xBFFA0000
Size: 286720 bytes
Driver: C:\WINDOWS\System32\Drivers\HTTP.sys
Address: 0xB21E6000
Size: 266240 bytes
Driver: C:\Program Files\DrWeb AV-Desk\SPIDER.SYS
Address: 0xB2BE0000
Size: 266240 bytes
Driver: C:\WINDOWS\System32\ati2cqag.dll
Address: 0xBFA0B000
Size: 229376 bytes
Driver: C:\WINDOWS\System32\ati2dvag.dll
Address: 0xBF9D5000
Size: 221184 bytes
Driver: C:\WINDOWS\system32\DRIVERS\rdpdr.sys
Address: 0xF7DEC000
Size: 196608 bytes
Driver: ACPI.sys
Address: 0xF83F7000
Size: 188416 bytes
Driver: C:\WINDOWS\system32\DRIVERS\mrxdav.sys
Address: 0xB2718000
Size: 184320 bytes
Driver: C:\WINDOWS\system32\drivers\NDIS.SYS
Address: 0xF8314000
Size: 184320 bytes
Driver: C:\WINDOWS\system32\DRIVERS\rdbss.sys
Address: 0xB2ED7000
Size: 176128 bytes
Driver: C:\WINDOWS\system32\DRIVERS\netbt.sys
Address: 0xB2F24000
Size: 163840 bytes
Driver: dmio.sys
Address: 0xF83A1000
Size: 155648 bytes
Driver: C:\WINDOWS\system32\DRIVERS\ipnat.sys
Address: 0xB2E19000
Size: 155648 bytes
Driver: C:\WINDOWS\system32\drivers\portcls.sys
Address: 0xF7FCC000
Size: 147456 bytes
Driver: C:\WINDOWS\system32\DRIVERS\USBPORT.SYS
Address: 0xF80E7000
Size: 147456 bytes
Driver: C:\WINDOWS\system32\DRIVERS\ks.sys
Address: 0xF8087000
Size: 143360 bytes
Driver: C:\WINDOWS\System32\drivers\afd.sys
Address: 0xB2F02000
Size: 139264 bytes
Driver: ACPI_HAL
Address: 0x806EE000
Size: 131840 bytes
Driver: C:\WINDOWS\system32\hal.dll
Address: 0x806EE000
Size: 131840 bytes
Driver: fltmgr.sys
Address: 0xF8369000
Size: 131072 bytes
Driver: ftdisk.sys
Address: 0xF83C7000
Size: 126976 bytes
Driver: Mup.sys
Address: 0xF8256000
Size: 106496 bytes
Driver: atapi.sys
Address: 0xF8389000
Size: 98304 bytes
Driver: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xB2D61000
Size: 98304 bytes
Driver: C:\WINDOWS\System32\Drivers\SCSIPORT.SYS
Address: 0xF8425000
Size: 98304 bytes
Driver: C:\Program Files\DrWeb AV-Desk\dwshield.sys
Address: 0xB26D9000
Size: 94208 bytes
Driver: KSecDD.sys
Address: 0xF82FD000
Size: 94208 bytes
Driver: C:\WINDOWS\system32\DRIVERS\ndiswan.sys
Address: 0xF7EF5000
Size: 94208 bytes
Driver: dwprot.sys
Address: 0xF8341000
Size: 90112 bytes
Driver: C:\WINDOWS\system32\drivers\wdmaud.sys
Address: 0xB2883000
Size: 86016 bytes
Driver: C:\WINDOWS\system32\DRIVERS\parport.sys
Address: 0xF7F0C000
Size: 81920 bytes
Driver: C:\WINDOWS\system32\DRIVERS\VIDEOPRT.SYS
Address: 0xF810B000
Size: 81920 bytes
Driver: C:\WINDOWS\system32\DRIVERS\ipsec.sys
Address: 0xB2FA5000
Size: 77824 bytes
Driver: C:\WINDOWS\System32\drivers\dxg.sys
Address: 0xBF9C3000
Size: 73728 bytes
Driver: sr.sys
Address: 0xF8357000
Size: 73728 bytes
Driver: pci.sys
Address: 0xF83E6000
Size: 69632 bytes
Driver: C:\WINDOWS\system32\DRIVERS\psched.sys
Address: 0xF7E44000
Size: 69632 bytes
Driver: C:\WINDOWS\System32\Drivers\Cdfs.SYS
Address: 0xF8695000
Size: 65536 bytes
Driver: C:\WINDOWS\system32\DRIVERS\cdrom.sys
Address: 0xF8715000
Size: 65536 bytes
Driver: C:\WINDOWS\system32\DRIVERS\nic1394.sys
Address: 0xF86F5000
Size: 65536 bytes
Driver: ohci1394.sys
Address: 0xF8535000
Size: 65536 bytes
Driver: C:\WINDOWS\system32\DRIVERS\serial.sys
Address: 0xF8745000
Size: 65536 bytes
Driver: C:\WINDOWS\system32\DRIVERS\arp1394.sys
Address: 0xF8665000
Size: 61440 bytes
Driver: C:\WINDOWS\system32\drivers\drmk.sys
Address: 0xF8735000
Size: 61440 bytes
Driver: C:\WINDOWS\system32\DRIVERS\redbook.sys
Address: 0xF8725000
Size: 61440 bytes
Driver: C:\WINDOWS\system32\drivers\sysaudio.sys
Address: 0xB2A20000
Size: 61440 bytes
Driver: C:\WINDOWS\system32\DRIVERS\usbhub.sys
Address: 0xF8625000
Size: 61440 bytes
Driver: C:\WINDOWS\system32\DRIVERS\1394BUS.SYS
Address: 0xF8545000
Size: 57344 bytes
Driver: C:\WINDOWS\system32\DRIVERS\CLASSPNP.SYS
Address: 0xF8595000
Size: 53248 bytes
Driver: C:\WINDOWS\system32\DRIVERS\i8042prt.sys
Address: 0xF8755000
Size: 53248 bytes
Driver: C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
Address: 0xF8765000
Size: 53248 bytes
Driver: VolSnap.sys
Address: 0xF8575000
Size: 53248 bytes
Driver: C:\WINDOWS\system32\DRIVERS\raspptp.sys
Address: 0xF8785000
Size: 49152 bytes
Driver: agp440.sys
Address: 0xF85B5000
Size: 45056 bytes
Driver: C:\WINDOWS\System32\Drivers\Fips.SYS
Address: 0xF8645000
Size: 45056 bytes
Driver: C:\WINDOWS\system32\DRIVERS\imapi.sys
Address: 0xF8705000
Size: 45056 bytes
Driver: MountMgr.sys
Address: 0xF8565000
Size: 45056 bytes
Driver: C:\WINDOWS\system32\DRIVERS\raspppoe.sys
Address: 0xF8775000
Size: 45056 bytes
Driver: C:\WINDOWS\system32\DRIVERS\intelppm.sys
Address: 0xF86E5000
Size: 40960 bytes
Driver: isapnp.sys
Address: 0xF8555000
Size: 40960 bytes
Driver: C:\WINDOWS\System32\Drivers\NDProxy.SYS
Address: 0xF8615000
Size: 40960 bytes
Driver: C:\WINDOWS\system32\DRIVERS\termdd.sys
Address: 0xF85E5000
Size: 40960 bytes
Driver: disk.sys
Address: 0xF8585000
Size: 36864 bytes
Driver: C:\WINDOWS\system32\DRIVERS\msgpc.sys
Address: 0xF8795000
Size: 36864 bytes
Driver: C:\WINDOWS\system32\DRIVERS\netbios.sys
Address: 0xF8635000
Size: 36864 bytes
Driver: PxHelp20.sys
Address: 0xF85A5000
Size: 36864 bytes
Driver: C:\WINDOWS\system32\DRIVERS\wanarp.sys
Address: 0xF8655000
Size: 36864 bytes
Driver: C:\WINDOWS\System32\Drivers\Npfs.SYS
Address: 0xF88DD000
Size: 32768 bytes
Driver: C:\WINDOWS\system32\DRIVERS\usbehci.sys
Address: 0xF8835000
Size: 32768 bytes
Driver: C:\WINDOWS\System32\Drivers\karlchen.SYS
Address: 0xF88ED000
Size: 28672 bytes
Driver: C:\WINDOWS\system32\DRIVERS\kbdclass.sys
Address: 0xF8895000
Size: 28672 bytes
Driver: C:\WINDOWS\System32\Drivers\PCIIDEX.SYS
Address: 0xF87B5000
Size: 28672 bytes
Driver: C:\WINDOWS\system32\DRIVERS\mouclass.sys
Address: 0xF888D000
Size: 24576 bytes
Driver: C:\WINDOWS\system32\DRIVERS\RTL8139.SYS
Address: 0xF883D000
Size: 24576 bytes
Driver: C:\WINDOWS\system32\DRIVERS\usbuhci.sys
Address: 0xF882D000
Size: 24576 bytes
Driver: C:\WINDOWS\System32\drivers\vga.sys
Address: 0xF88CD000
Size: 24576 bytes
Driver: C:\WINDOWS\System32\Drivers\Msfs.SYS
Address: 0xF88D5000
Size: 20480 bytes
Driver: PartMgr.sys
Address: 0xF87BD000
Size: 20480 bytes
Driver: C:\WINDOWS\system32\DRIVERS\ptilink.sys
Address: 0xF889D000
Size: 20480 bytes
Driver: C:\WINDOWS\system32\DRIVERS\raspti.sys
Address: 0xF88A5000
Size: 20480 bytes
Driver: C:\WINDOWS\system32\drivers\TDI.SYS
Address: 0xF87C5000
Size: 20480 bytes
Driver: C:\WINDOWS\System32\watchdog.sys
Address: 0xF88F5000
Size: 20480 bytes
Driver: C:\WINDOWS\system32\DRIVERS\mssmbios.sys
Address: 0xF81FE000
Size: 16384 bytes
Driver: C:\WINDOWS\system32\DRIVERS\ndisuio.sys
Address: 0xB2C7D000
Size: 16384 bytes
Driver: C:\WINDOWS\system32\DRIVERS\serenum.sys
Address: 0xF8226000
Size: 16384 bytes
Driver: C:\WINDOWS\system32\BOOTVID.dll
Address: 0xF8945000
Size: 12288 bytes
Driver: C:\WINDOWS\System32\drivers\Dxapi.sys
Address: 0xF820A000
Size: 12288 bytes
Driver: C:\WINDOWS\system32\DRIVERS\gameenum.sys
Address: 0xF8222000
Size: 12288 bytes
Driver: C:\WINDOWS\system32\DRIVERS\ndistapi.sys
Address: 0xF821E000
Size: 12288 bytes
Driver: C:\WINDOWS\system32\drivers\pfc.sys
Address: 0xF8A19000
Size: 12288 bytes
Driver: C:\WINDOWS\system32\DRIVERS\rasacd.sys
Address: 0xF8A25000
Size: 12288 bytes
Driver: C:\WINDOWS\System32\Drivers\Beep.SYS
Address: 0xF8A5B000
Size: 8192 bytes
Driver: dmload.sys
Address: 0xF8A3B000
Size: 8192 bytes
Driver: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF8A6F000
Size: 8192 bytes
Driver: C:\WINDOWS\System32\Drivers\Fs_Rec.SYS
Address: 0xF8A59000
Size: 8192 bytes
Driver: intelide.sys
Address: 0xF8A39000
Size: 8192 bytes
Driver: C:\WINDOWS\system32\KDCOM.DLL
Address: 0xF8A35000
Size: 8192 bytes
Driver: C:\WINDOWS\System32\Drivers\mnmdd.SYS
Address: 0xF8A5D000
Size: 8192 bytes
Driver: C:\WINDOWS\System32\Drivers\ParVdm.SYS
Address: 0xF8A61000
Size: 8192 bytes
Driver: C:\WINDOWS\System32\DRIVERS\RDPCDD.sys
Address: 0xF8A5F000
Size: 8192 bytes
Driver: C:\WINDOWS\system32\DRIVERS\swenum.sys
Address: 0xF8A53000
Size: 8192 bytes
Driver: C:\WINDOWS\system32\DRIVERS\USBD.SYS
Address: 0xF8A55000
Size: 8192 bytes
Driver: C:\WINDOWS\System32\Drivers\WMILIB.SYS
Address: 0xF8A37000
Size: 8192 bytes
Driver: C:\WINDOWS\system32\DRIVERS\audstub.sys
Address: 0xF8BFD000
Size: 4096 bytes
Driver: C:\WINDOWS\System32\drivers\dxgthk.sys
Address: 0xF8B54000
Size: 4096 bytes
Driver: C:\WINDOWS\system32\drivers\msmpu401.sys
Address: 0xF8BFC000
Size: 4096 bytes
Driver: C:\WINDOWS\System32\Drivers\Null.SYS
Address: 0xF8B0D000
Size: 4096 bytes
Driver: PCIIde.sys
Address: 0xF8AFD000
Size: 4096 bytes
Driver: unknown_irp_handler
Address: 0x822100C8
Size: 3896 bytes
Driver: unknown_irp_handler
Address: 0x82131100
Size: 3840 bytes
Driver: unknown_irp_handler
Address: 0x823D51D8
Size: 3624 bytes
Driver: unknown_irp_handler
Address: 0x820631D8
Size: 3624 bytes
Driver: unknown_irp_handler
Address: 0x820C41D8
Size: 3624 bytes
Driver: unknown_irp_handler
Address: 0x8236B1D8
Size: 3624 bytes
Driver: unknown_irp_handler
Address: 0x823D71D8
Size: 3624 bytes
Driver: unknown_irp_handler
Address: 0x81C12380
Size: 3200 bytes
Driver: unknown_irp_handler
Address: 0x81EE5398
Size: 3176 bytes
Driver: unknown_irp_handler
Address: 0x820C74F8
Size: 2824 bytes
Driver: unknown_irp_handler
Address: 0x8220B5A0
Size: 2656 bytes
Driver: unknown_irp_handler
Address: 0x822445D8
Size: 2600 bytes
Driver: unknown_irp_handler
Address: 0x820EF718
Size: 2280 bytes
Driver: unknown_irp_handler
Address: 0x821F0788
Size: 2168 bytes
Driver: unknown_irp_handler
Address: 0x8209F980
Size: 1664 bytes
Driver: unknown_irp_handler
Address: 0x82249D08
Size: 760 bytes
Driver: unknown_irp_handler
Address: 0x81B6AEA0
Size: 352 bytes
==============================================
>Stealth
==============================================
>Hooks
Key object-->ParseProcedure, Type: Kernel Object [dwprot.sys]
ntoskrnl.exe+0x00004AA2, Type: Inline - RelativeJump 0x804DBAA2 [ntoskrnl.exe]
Process object-->DeleteProcedure, Type: Kernel Object [dwprot.sys]
Process object-->OpenProcedure, Type: Kernel Object [dwprot.sys]
Thread object-->OpenProcedure, Type: Kernel Object [dwprot.sys][/codebox]
#10
v.martyanov
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 02 Март 2009 - 16:09
C:\WINDOWS\Inf\zpx2.exe
C:\Documents and Settings\All Users\Application Data\jmclib.dll
Засылайте в вирлаб
C:\Documents and Settings\All Users\Application Data\jmclib.dll
Засылайте в вирлаб
Личный сайт по Энкодерам - http://vmartyanov.ru/
#11
den003
-
- Posters
- 13 Сообщений:
Newbie
Отправлено 02 Март 2009 - 16:11
A0006057.dll C:\Program Files\DrWeb AV-Desk\Infected.!!! Trojan.Blackmailer.origin Неизлечим.Перемещен. A0006104.dll.48ABCC5 C:\Program Files\DrWeb AV-Desk\Infected.!!! Trojan.Blackmailer.origin Неизлечим.Перемещен.
#12
John
-
- Posters
- 399 Сообщений:
Member
Отправлено 02 Март 2009 - 16:11
C:\WINDOWS\Inf\zpx2.exe
отправте на www.virustotal.com ссылку потом сюда кинте
отправте на www.virustotal.com ссылку потом сюда кинте
#13
den003
-
- Posters
- 13 Сообщений:
Newbie
Отправлено 02 Март 2009 - 16:16
C:\WINDOWS\Inf\zpx2.exe
C:\Documents and Settings\All Users\Application Data\jmclib.dll
Засылайте в вирлаб
ок. Сейчас вышлю через http://vms.drweb.com/sendvirus/
#14
v.martyanov
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 02 Март 2009 - 16:21
C:\WINDOWS\Inf\zpx2.exe
C:\Documents and Settings\All Users\Application Data\jmclib.dll
Засылайте в вирлаб
ок. Сейчас вышлю через http://vms.drweb.com/sendvirus/
И номер тикета сюда киньте.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#16
v.martyanov
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 02 Март 2009 - 16:27
ссылка с вирустотал:
http://www.virustotal.com/ru/analisis/4bcf...6abcb41e320275f
Номер тикета нужен.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#17
den003
-
- Posters
- 13 Сообщений:
Newbie
Отправлено 02 Март 2009 - 16:35
ссылка с вирустотал:
http://www.virustotal.com/ru/analisis/4bcf...6abcb41e320275f
Номер тикета нужен.
Это ?
4bd8c06c93a1ed169e3b2cf1258a186f на zpx2.exe
55e4b56eb3d4c5ba3989cd7af9986fd6 на jmclib.dll
Если нет, то скажите, где взять номер тикета?
#18
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 02 Март 2009 - 16:48
Нет.Это ? 4bd8c06c93a1ed169e3b2cf1258a186f
Должен прийти в почту: тема - что-то вроде "[drweb.com #806991] Создан: ..."Если нет, то скажите, где взять номер тикета?
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#19
v.martyanov
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 02 Март 2009 - 16:49
Если нет, то скажите, где взять номер тикета?
"ок. Сейчас вышлю через [url="http://vms.drweb.com/sendvirus/""]http://vms.drweb.com/sendvirus/"[/url] - Вот вышлите и будут номера, если мыло укажете.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#20
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 02 Март 2009 - 16:52
Борис,сюда http://forum.drweb.com/index.php?showtopic=276590 да и в Помощь при лечении нужно бы расжевать что такое тикет и примерчик тикета.....Уж очень часто спрашиваютДолжен прийти в почту: тема - что-то вроде "[drweb.com #806991] Создан: ..."
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
