Показано с 1 по 7 из 7.

перехватчик в KernelMode sp?r.sys (заявка № 33203)

  1. #1
    Junior Member Репутация
    Регистрация
    29.10.2008
    Сообщений
    4
    Вес репутации
    57

    Thumbs up перехватчик в KernelMode sp?r.sys

    Здравствуйте.

    Недавно у меня приключилась большая неприятность, влезли на мой сайт по фтп и вписали всякую гадость во все файлы index в корне и на всех поддоменах, видимо пароли из фара стащила какая-то дрянь. Антивирусы ничего не находят. Проверил машину с помощью AVZ, есть какие-то странные перехваты каким-то драйвером со все время разным названием sp?r.sys, третья буква меняется, то n, то j, то еще что-то, возможно и четвертая буква тоже меняется. Еще одна была странность, появление в окне редактирования MS VS на моих глазах строки testtesttesttesttesttesttesttesttesttesttesttestte sttesttesttesttesttesttesttesttest,
    как будто кто-то слово test копировал многократно из буфера обмена, хотя в буфере обмена его как раз не было.

    Вроде все,

    спасибо.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    sp??.sys - это детки sptd.sys, который у вас с Демоническими инструментами поставился.
    testtesttest - это следы работы AVZ. Во время исследования системы никаких постороних действий делать не рекомендуется, вы мешаете AVZ ловить зверей. Она с помощью имитации клавиатурного ввода провоцирует кейлогеры.

    Что такое karna.dat? Если не знаете, то пришлите (см. Приложение 3) по красной ссылке. Лично я больше ничего подозрительного не углядел. Хотя ворюга вполне мог быть, сделать своё дело и самоуничтожиться.

  4. #3
    Junior Member Репутация
    Регистрация
    29.10.2008
    Сообщений
    4
    Вес репутации
    57
    Здравствуйте.
    К сожалению не знаю что такое karna.dat, и в карантине его нет.

    Извините что может быть глупость спрошу, но это сообщение меня смущает - "Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "karna.dat"". Значит ли это, что в системе происходит что-то похожее на что-то связанное с karna.dat, или AVZ увидел где-то файл karna.dat?

    Всем здоровья и успехов,
    Спасибо.

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Это мусор от вируса...

    Пофиксить

    Код:
    O20 - AppInit_DLLs:karna.dat
    Повторите лог HJT...

  6. #5
    Junior Member Репутация
    Регистрация
    29.10.2008
    Сообщений
    4
    Вес репутации
    57

    перехватчик в KernelMode sp?r.sys

    Спасибо, понял, мусор пофиксил

    Вот лог
    Вложения Вложения

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Чисто...

  8. #7
    Junior Member Репутация
    Регистрация
    29.10.2008
    Сообщений
    4
    Вес репутации
    57
    Спасибо большое,
    тему думаю можно закрывать

  • Уважаемый(ая) okurtsev, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. перехватчик KernelMode
      От CathMoscow в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 09.09.2009, 17:10
    2. sp**.sys - перехватчик KernelMode
      От 10fty в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 08.04.2009, 22:33
    3. Перехватчики KernelMode
      От alsoclean в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 04:41
    4. Перехватчик Kernelmode
      От Viola03 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 15.12.2008, 17:55
    5. Перехватчик KernelMode
      От Reuser в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 05.10.2008, 13:17

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01339 seconds with 18 queries