Доброго времени суток!
Может это уже паранойя, но при сканировании только установленных ОС и ПО, AVZ выдал сообщение о перехвате функций ядра.
Функция NtUnloadKey (107) перехвачена (8064C4D7->AA51E6D0), перехватчик C:\WINDOWS\system32\Drivers\uphcleanhlp.sys
Что примечательно, файла перехватчика на указанном месте не нашел. Не нашел его также при загрузке с CD (WinPE).
Попытка скопировать в карантин увенчалась неудачей:
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\Drivers\uphcleanhlp.sys)
Карантин с использованием прямого чтения - ошибка
При очередной подготовке к сканированию в Диспетчере задач случайно обратил внимание на процесс uphclean.exe. Поиском нашел его в C:\WINDOWS\system32 переименовать его не удалось. Убив процесс в Диспетчере смог переименовать. Но в карантин всеравно не смог поместить даже после перезагрузки с переименованным:
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\uphclean.ex)
Карантин с использованием прямого чтения - ошибка
Пришлось "химичить": скопировал в карантин "тоталом" переименовал и написал к нему .ini файл.
Удалить этот переименованный файл никак не удается, хоть в процессах его уже и не видно (ошибка доступа).
Логи AVZ эту бяку больше не видят, и перехвата также не наблюдается.
Можно ли как-то узнать, вся ли зараза вычистилась? Или где-то дремлет в зародыше.
Логи до и после удаления в приложении.
Архив с подозрительными файлами отправлен:
Файл сохранён как 070922_154905_virus_46f57fc16cc6f.zip
Размер файла 671435
MD5 0a71d0d66c7eabec5c92ff1807a42db4
Спасибо.
Последний раз редактировалось MCat; 23.09.2007 в 00:51.
Причина: Дополнение
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
To: V_Bond
Спасибо. Попробую вернуть назад. Посмотрю, что получится.
Попутно вопрос. Если это чистые виндовзные процессы, то зачем им так прятаться? Чего боится дядюшка Билл?
большинство системных файлов прячется ... от пользователей которые пытаются удалить все ... что по их мнению не нужно ... ( видел случаи ,когда пытались удалит каталог WINDOWS ) ...
:-) Бывает и такое. Тоже встречал.
Переименовал файлик назад (переименованию поддается, а удалению... кукиш) на лицо перехват и в процессах тот же .ехе файл и .sys файлы тоже появились.
Кто знает... Спишем это на шутки дядюшки Билла, а не на кряки.
В любом случае большое человеческое спасибо.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Функция NtUnloadKey (107) перехвачена
