17.06.2019, 00:57 [+3 UTC]
в нашей команде: 3 709 чел. | участники онлайн: 4 (рекорд: 21)

:: РЕГИСТРАЦИЯ

задать вопрос

все разделы

правила

новости

участники

доска почёта

форум

блоги

поиск

статистика

наш журнал

наши встречи

наша галерея

отзывы о нас

поддержка

руководство

Версия системы:
7.77 (31.05.2019)
JS-v.1.34 | CSS-v.3.35

Общие новости:
28.04.2019, 09:13

Форум:
10.06.2019, 07:36

Последний вопрос:
16.06.2019, 21:36
Всего: 149825

Последний ответ:
15.06.2019, 23:24
Всего: 258611

Последняя рассылка:
16.06.2019, 19:15

Писем в очереди:
0

Мы в соцсетях:

Наша кнопка:

RFpro.ru - здесь вам помогут!

Отзывы о нас:
22.12.2010, 15:41 »
FOXhunter
Спасибо за проделанную работу! Хотя я смирился с тем что в Google Chrome границы так и не отображаются, решил что пусть будет так как есть, ну потому что не реально исправлять код страниц, созданных с помощью Excel. Просто думал что я какой-то галочки не поставил что бы границы отображались, а они и так отображаются, но только не в Chrome'е [вопрос № 181411, ответ № 265003]
05.07.2011, 01:11 »
Ольга Андреева
Спасибо за советы, я постараюсь их учесть при покупке и настройке. [вопрос № 183741, ответ № 267883]

РАЗДЕЛ • Другие программы

Установка, настройка и работа в компьютерных программах.

[администратор рассылки: Цикалов Игорь Константинович (Модератор)]

Лучшие эксперты в этом разделе

Алексеев Владимир Николаевич
Статус: Мастер-Эксперт
Рейтинг: 384
solowey
Статус: Практикант
Рейтинг: 358
CradleA
Статус: Профессор
Рейтинг: 87

Перейти к консультации №:
 

Консультация онлайн # 142366
Раздел: • Другие программы
Автор вопроса: T1m-Lp
Отправлена: 27.08.2008, 01:22
Поступило ответов: 1

Здравствуйте, у меня такая проблема:
При запуске некоторых онлайн-приложений, а именно Mail.ru Agent 5.1, или отправке или принятии мультов, возникает ошибка – «Точка входа в процедуру InternetGetSecurityInfoByURLW не найдена в библиотеке DLL WININET.DLL».
Я пробовал просто заменить wininet.dll на другую, но ошибка не пропала.
Может быть это вирус? Если да, то, пожалуйста подскажите как от него избавиться.
(Также не работают учетные записи пользователей и восстановление системы).

Приложение:

Состояние: Консультация закрыта

Ответ # 227974 от FOXhunter (Профессионал)

Здравствуйте, !
У Вас действительно вирус. Скорее всего это - Trojan-Downloader.Win32.Agent.ns
Trojan-Downloader.Win32.Agent.ns


Rootkit: Да



Trojan-Downloader.Win32.Agent.ns детектируется антируткитом и антикейлоггером AVZ:


....
Функция wininet.dll:HttpSendRequestA (207) перехвачена, метод CodeHijack
(метод не определен)
...
C:\WINDOWS\system32\OLEADM.dll --> Подозрение на Keylogger или троянскую DLL

Изучение показало, что зловред выполнен в виде dll, которая внедряется в запущенные процессы (что и привело к ее обнаружению). Размер файла - 6657 байта, он ничем не сжат. У файла весьма убедительные поддельные копирайты - "Microsoft Corporation", "Microsoft OLE Extensions for Windows" версия "4.71.2900.0000". OLEADM.dll экспортирует единственную функцию, причем без имени. Установку файла выполняет дроппер, который как правило называется toolbar.exe, размер 8192 байта, сжат UPX. Дроппер прописывает ключи отложенного переименования в реестре, задавая ключ PendingFileRenameOperations. В результате программируется операция переименования:

\??\C:\WINDOWS\system32\oleadm32.dll
\??\C:\WINDOWS\system32\wininet.dll

oleadm32.dll хранится внутри toolbar.exe и создается им при запуске.
В результате после перезагрузки пораженного компьютера появляется перехват функции wininet.dll:HttpSendRequestA, что позволяет данному "зверю" отлавливать HTTP запросы. Перехват производится модификацией самого wininet.dll на диске, причем размер и дата файла wininet.dll на диске не изменяется (я обнаружил изменения сравнением эталонного и реально wininet.dll). В результате такого хитроумного метода внедрения в систему в реестре нет ни одной ссылки на oleadm32.dll ...
Модификации кода wininet.dll достаточно оригинальны - меняется точка входа в функцию инициализации DLL, причем новая точка входа указывает на зону между DOS заголовком и заголовком PE файла (троянский код начинается по смещению 40h от начала файла - эта зона между заголовками не используется и ее применение позволяет поместить троянский код без увеличения размера файла - похожий метод применялся в Чернобыльском вирусе и аналогах). Обнаружить факт заражения можно просмотром начала файла - в зараженном файле по смещению 4A (это самое начала файла) видна текстовая строка "OLEADM".


Лечение
Для лечения Trojan-Downloader.Win32.Agent.ns необходимо удалить библиотеку oleadm32.dll и восстановить файл wininet.dll из резервной копии. После удаления oleadm32.dll измененная wininet.dll продолжает нормально работать - не найдя oleadm32.dll троянский код отдает управление штатной функции инициализации wininet.dll, поэтому дальнейшая ее инициализация проходит нормально, но перехват функции AVZ по прежнему регистрирует.


Консультировал: FOXhunter (Профессионал)
Дата отправки: 27.08.2008, 07:52

Рейтинг ответа:

0

[подробно]

Сообщение
модераторам

Отправлять сообщения
модераторам могут
только участники портала.
ВОЙТИ НА ПОРТАЛ »
регистрация »

Возможность оставлять сообщения в мини-форумах консультаций доступна только после входа в систему.
Воспользуйтесь кнопкой входа вверху страницы, если Вы зарегистрированы или пройдите простую процедуру регистрации на Портале.

Яндекс Rambler's Top100

главная страница | поддержка | задать вопрос

Время генерирования страницы: 0.14320 сек.

© 2001-2019, Портал RFPRO.RU, Россия
Калашников О.А.  |  Гладенюк А.Г.
Версия системы: 7.77 от 31.05.2019
Версия JS: 1.34 | Версия CSS: 3.35