Показано с 1 по 6 из 6.

Функция NtUnloadKey (107) перехвачена (заявка № 12664)

  1. #1
    Junior Member Репутация
    Регистрация
    06.07.2007
    Сообщений
    16
    Вес репутации
    35

    Thumbs up Функция NtUnloadKey (107) перехвачена

    Доброго времени суток!
    Может это уже паранойя, но при сканировании только установленных ОС и ПО, AVZ выдал сообщение о перехвате функций ядра.
    Функция NtUnloadKey (107) перехвачена (8064C4D7->AA51E6D0), перехватчик C:\WINDOWS\system32\Drivers\uphcleanhlp.sys
    Что примечательно, файла перехватчика на указанном месте не нашел. Не нашел его также при загрузке с CD (WinPE).
    Попытка скопировать в карантин увенчалась неудачей:
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\Drivers\uphcleanhlp.sys)
    Карантин с использованием прямого чтения - ошибка
    При очередной подготовке к сканированию в Диспетчере задач случайно обратил внимание на процесс uphclean.exe. Поиском нашел его в C:\WINDOWS\system32 переименовать его не удалось. Убив процесс в Диспетчере смог переименовать. Но в карантин всеравно не смог поместить даже после перезагрузки с переименованным:
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\uphclean.ex)
    Карантин с использованием прямого чтения - ошибка
    Пришлось "химичить": скопировал в карантин "тоталом" переименовал и написал к нему .ini файл.
    Удалить этот переименованный файл никак не удается, хоть в процессах его уже и не видно (ошибка доступа).
    Логи AVZ эту бяку больше не видят, и перехвата также не наблюдается.
    Можно ли как-то узнать, вся ли зараза вычистилась? Или где-то дремлет в зародыше.
    Логи до и после удаления в приложении.
    Архив с подозрительными файлами отправлен:
    Файл сохранён как 070922_154905_virus_46f57fc16cc6f.zip
    Размер файла 671435
    MD5 0a71d0d66c7eabec5c92ff1807a42db4
    Спасибо.
    Вложения Вложения
    Последний раз редактировалось MCat; 23.09.2007 в 00:51. Причина: Дополнение

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    C:\WINDOWS\system32\MSGINA.dll чистый ...
    C:\WINDOWS\system32\uphclean.exe чистый ....виндосовский процесс ..
    ничего зловредного в логах ...

  4. #3
    Junior Member Репутация
    Регистрация
    06.07.2007
    Сообщений
    16
    Вес репутации
    35
    To: V_Bond
    Спасибо. Попробую вернуть назад. Посмотрю, что получится.
    Попутно вопрос. Если это чистые виндовзные процессы, то зачем им так прятаться? Чего боится дядюшка Билл?

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    большинство системных файлов прячется ... от пользователей которые пытаются удалить все ... что по их мнению не нужно ... ( видел случаи ,когда пытались удалит каталог WINDOWS ) ...

  6. #5
    Junior Member Репутация
    Регистрация
    06.07.2007
    Сообщений
    16
    Вес репутации
    35
    :-) Бывает и такое. Тоже встречал.
    Переименовал файлик назад (переименованию поддается, а удалению... кукиш) на лицо перехват и в процессах тот же .ехе файл и .sys файлы тоже появились.
    Кто знает... Спишем это на шутки дядюшки Билла, а не на кряки.
    В любом случае большое человеческое спасибо.

    Добавлено через 48 минут

    Любопытства ради спросил у гугла.
    Оказалось это сравнительно полезная вещь. Привожу ссылочку, может кого тоже заинтересует: http://forum.kaspersky.com/index.php...7&#entry387477
    Всем спасибо. Тему можно закрыть.
    Последний раз редактировалось MCat; 23.09.2007 в 02:25. Причина: Добавлено

  7. #6
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,562
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) MCat, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Функция user32.dll перехвачена
      От den901 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 07.09.2011, 14:51
    2. RootKit NtUnloadKey (107) перехвачена
      От Pradromalo в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 16.07.2009, 18:07
    3. Ответов: 12
      Последнее сообщение: 22.02.2009, 03:54
    4. Функция NtConnectPort (1F) перехвачена
      От gafan2 в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 22.02.2009, 02:28
    5. Функция NtConnectPort (1F) перехвачена
      От vibor1 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 16.03.2008, 13:34

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01240 seconds with 21 queries