ApiCodeHijack

Printable View

27.11.2006, 21:49
alexeik

Вложений: 3

ApiCodeHijack

такое вот пишеться , что перехвачен. не пойму стоит ли обрщать внимание на это.спасибо.
27.11.2006, 22:05
RiC

Ничего особо подозрительного не заметно.
27.11.2006, 23:27
alexeik

Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод APICodeHijack.JmpTo[10005606]

просто вот это появляеться всегда. я не понимаю откуда происходит.
27.11.2006, 23:57
RiC

[QUOTE=alexeik]я не понимаю откуда происходит.[/QUOTE]
Касперский
27.11.2006, 23:59
alexeik

да вот никак не подумал бы. потому что его у меня не установлено.
28.11.2006, 00:01
alexeik

видимо я сканил когда был касперский. но вот Функция kernel32.dlloadLibraryA (57 перехвачена, метод APICodeHijack.JmpTo[10005606] это было в avz когда касперского небыло уже в системе.новые логи наверное лучше?
28.11.2006, 00:34
RiC

[QUOTE=alexeik]видимо я сканил когда был касперский. но вот Функция kernel32.dlloadLibraryA (57 перехвачена, метод APICodeHijack.JmpTo[10005606] это было в avz когда касперского небыло уже в системе.новые логи наверное лучше?[/QUOTE]
Тогда сделайте ещё лог Gmer -> [url]www.gmer.net[/url]
28.11.2006, 08:45
aintrust

[QUOTE=alexeik]да вот никак не подумал бы. потому что его у меня не установлено.[/QUOTE]
А ваш лог показывает обратное... ;) По крайней мере, один из основных драйверов Касперского, klif.sys, установлен и активно внедрен в систему. Все перехваты, что у вас показаны, делает именно этот драйвер.

Насколько я могу судить, у вас когда-то был установлен KAV/KIS 6-й версии (судя по кол-ву перехватов) или его бета, и вы его не совсем удачно удалили. Поэтому я советую вам скачать с ftp Касперского специальную утилиту для удаления остатков продукта. Найти ее можно тут: [URL="ftp://kav2006:[email protected]/KisKav6Remove.zip"]ftp://kav2006:[email protected]/KisKav6Remove.zip[/URL].

После удаления остатков Касперского пришлите логи еще раз, т.к. кое-что у вас еще нуждается в правке (к примеру, файл hosts)...
28.11.2006, 18:51
alexeik

сейчас делаю логи с gmer программы. если успеете уточнить, то со всех закладок логи? или только с rootkit.а про касперского я проверил klif.sys он нормально удалил(физически).до этого 500 дней не было антивиря никакого и всегда выдавал этот apicodehijack..
28.11.2006, 19:23
alexeik

Вложений: 4

вот тут новые логи+gmer.
29.11.2006, 09:42
aintrust

[QUOTE=alexeik]вот тут новые логи+gmer.[/QUOTE]
Значит, так:
1) перехват
[CODE]
Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод APICodeHijack.JmpTo[10005606]
[/CODE]
делает [I]ATI Tray Tools[/I], и это нормально;
2) перехваты
[CODE]
Функция ZwCreateKey (29) перехвачена (80576063->F75470B0), перехватчик sptd.sys
Функция ZwEnumerateKey (47) перехвачена (8057676A->F754BD1C), перехватчик sptd.sys
Функция ZwEnumerateValueKey (49) перехвачена (805871FE->F754C0BC), перехватчик sptd.sys
Функция ZwOpenKey (77) перехвачена (8056F4D5->F7547090), перехватчик sptd.sys
Функция ZwQueryKey (A0) перехвачена (80576473->F754C194), перехватчик sptd.sys
Функция ZwQueryValueKey (B1) перехвачена (805729A8->F754C014), перехватчик sptd.sys
Функция ZwSetValueKey (F7) перехвачена (8057C527->F754C226), перехватчик sptd.sys
[/CODE]
делает [I]Alcohol 120[/I], это тоже нормально;
3) что касается файлов, отмеченных [I]AVZ[/I] как "подозрительные" (от [I]Ace Clock XP[/I] и [I]Paradise Lagoon Screensaver[/I]), присылайте их сюда (по правилам форума) для дополнительного анализа или проверьте сами на [URL="http://www.virustotal.com"]http://www.virustotal.com[/URL];
4) в файле [I]hosts[/I] оставьте только строку
[CODE]
127.0.0.1 localhost
[/CODE]
а остальное уберите (если, конечно, не вы сами эти строки набили);
5) вам действительно нужно все, что у вас установлено? ;) Может, имеет смысл освободиться от "лишнего", чтобы не захламлять компьютер?
29.11.2006, 12:29
alexeik

о спасибо за ответ!
да вы правы hosts сдела мною:) и именно так.
про алкоголь да я понимаю что это он.
отослал на проверку на virustotal , но вот сюда не понимаю как:) не увидел правила.

а про ati tray tools спасибо, без нее как то шустрее бегает проводник.я убрал ее:)
29.11.2006, 14:27
aintrust

[QUOTE=alexeik]отослал на проверку на virustotal , но вот сюда не понимаю как:) не увидел правила.
[/QUOTE]
Если VirusTotal ничего плохого про эти файлы не сказал, то сюда можете не присылать.
29.11.2006, 19:27
alexeik

письмо от virustotal не пришло, видимо все ок. спасибо всем за консультацию!
29.11.2006, 21:26
pig

А вы на почту ответ заказывали? Робот должен ответить при любом диагнозе. Значит, либо что-то сломалось у них, либо ответ потерялся.