-
Junior Member
- Вес репутации
- 53
перехватчик spxx.sys
Доброго времени суток. В последнее время компьютер стал плохо себя вести, решил выполнить проверку. Скачал AVPTool, были найдены несколько троянцев. Вроде стало получше, но при сканировании машины AVZ выдаёт вот это
Код:
Функция NtCreateKey (29) перехвачена (80579528->F74D70E0), перехватчик spls.sys
Функция NtEnumerateKey (47) перехвачена (8057A69E->F74F5CA2), перехватчик spls.sys
Функция NtEnumerateValueKey (49) перехвачена (80590C93->F74F6030), перехватчик spls.sys
Функция NtOpenKey (77) перехвачена (80573F1D->F74D70C0), перехватчик spls.sys
Функция NtOpenSection (7D) перехвачена (8057B7EA->F7BD4F86), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtQueryKey (A0) перехвачена (8057A29E->F74F6108), перехватчик spls.sys
Функция NtQueryValueKey (B1) перехвачена (80574361->F74F5F88), перехватчик spls.sys
Функция NtSetValueKey (F7) перехвачена (80584921->F74F619A), перехватчик spls.sys
Функция NtSystemDebugControl (FF) перехвачена (80651001->F7BD4EBC), перехватчик C:\WINDOWS\system32\Drivers\dwprot.sys, драйвер опознан как безопасный
Проверено функций: 284, перехвачено: 9, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [B463016D] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [B462FFC2] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
Анализ для процессора 2
>>> Опасно - подозрение на подмену адреса ЦП[2].IDT[06] = [B463016D] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
>>> Опасно - подозрение на подмену адреса ЦП[2].IDT[0E] = [B462FFC2] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=B42BF000, размер=81920, имя = "\SystemRoot\system32\DRIVERS\parport.sys"
Ещё беспокоит постоянное создание в расшаренных папках скрытых *exe файлов с рандомными именами. Надеюсь на вашу помощь.
Готика - это не смерть всему живому, а жизнь всему мертвому...
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
sp**.sys-от эмулятора дисков.
Пофиксить в HijackThis
Код:
F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe,
ПК перезагрузите.
Установите SP3 (может потребоваться активация) + все новые заплатки
-
