-
Junior Member
- Вес репутации
- 62
Перехват Nt* функций по адресу F7CC06xx
Собственно сабж. Значит, все медленнее и медленнее стал работать интернет.
Решил провериться... а тут такое.
NtCreateKey" FIndx="41" HookPtr="F7CC06C6" HookType="1"
и далее 20 раз по разным Nt функциям все типа перехвачены...
Ну я как положено процедуру лечения. Каспер поубивал много. Потом АВЗ даже рапортовал что, убил перехватчики, но сбор данных в конце с запущенным эксплорером показал, что перехват остался.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в HijackThis:
Код:
O2 - BHO: TMAgent IE Adapter - {35A6E2B1-27A9-47D2-913C-559E1EF1D034} - C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll (file missing)
O3 - Toolbar: &Page Promoter Bar - {BA5D8DF9-1851-4660-B3AE-89E6E030AC34} - (no file)
O4 - HKLM\..\Run: [Generic Host for Win32 Services] $‘|x
Выполните скрипт в AVZ:
Код:
begin
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('Messenger', 4);
SetServiceStart('RemoteRegistry', 4);
DeleteService('xhhoo');
DeleteFileMask('C:\Documents and Settings\ORION & TOTO\Local Settings\Temp', '*.*',true);
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Перехваты могут осуществляться и легитимными программами, так что это не говорит о наличии заразы.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
сделал логи
...
ай... блин... сорри дико! я что-то второпях, сгоряча сделал диагностический пункт 1, 2, 3 ...
смущает то что АВЗ активно лечит и восстанавливает перехваты, но потом они опять появляются... следуя логике - полезные перехваты он бы не лечил...
-
Сообщение от
orion
смущает то что АВЗ активно лечит и восстанавливает перехваты, но потом они опять появляются... следуя логике - полезные перехваты он бы не лечил...
Логика тут другая: AVZ перехваты не "лечит", а снимает (временно). Полезные они или вредные - решать нам с вами, а не программе. Так что здесь все нормально.
В логах ничего зловредного не просматривается.
Замечания такие:
1. Видны процессы двух антивирусов - Avira и Nod32, непорядок, должен быть только один.
2.
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Рекомендуется установить SP3 и последующие обновления.
IE8 тоже поставьте, даже если используете другой браузер.
3. Radmin сами ставили, используете? Если нет - удалите.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
0. Спасибо за пояснения.
1. Хорошо - удалим.
2. Хорошо - "накатим". Конечно другой, сделаем....
3. Сам. Нет, не удалю! :-) Нужен по работе контролировать удаленно,
хотя во внутренней сетке он ничего не видит... там во внутренней сети вообще ничего не видно...
Добавлено через 2 минуты
Не я все таки хочу посмотреть кто занимается перехватом. Вот есть адрес HookPtr="F7CC06C6". Как посмотреть, кто это?
Последний раз редактировалось orion; 21.12.2010 в 14:34.
Причина: Добавлено