ApiCodeHijack

[alexeik]

такое вот пишеться , что перехвачен. не пойму стоит ли обрщать внимание на это.спасибо.

[RiC]

Ничего особо подозрительного не заметно.

[alexeik]

Функция kernel32.dlloadLibraryA (57 перехвачена, метод APICodeHijack.JmpTo[10005606]

просто вот это появляеться всегда. я не понимаю откуда происходит.

[RiC]

я не понимаю откуда происходит.

Касперский

[alexeik]

да вот никак не подумал бы. потому что его у меня не установлено.

[alexeik]

видимо я сканил когда был касперский. но вот Функция kernel32.dlloadLibraryA (57 перехвачена, метод APICodeHijack.JmpTo[10005606] это было в avz когда касперского небыло уже в системе.новые логи наверное лучше?

[RiC]

видимо я сканил когда был касперский. но вот Функция kernel32.dlloadLibraryA (57 перехвачена, метод APICodeHijack.JmpTo[10005606] это было в avz когда касперского небыло уже в системе.новые логи наверное лучше?

Тогда сделайте ещё лог Gmer -> www.gmer.net

[aintrust]

да вот никак не подумал бы. потому что его у меня не установлено.

А ваш лог показывает обратное... По крайней мере, один из основных драйверов Касперского, klif.sys, установлен и активно внедрен в систему. Все перехваты, что у вас показаны, делает именно этот драйвер.

Насколько я могу судить, у вас когда-то был установлен KAV/KIS 6-й версии (судя по кол-ву перехватов) или его бета, и вы его не совсем удачно удалили. Поэтому я советую вам скачать с ftp Касперского специальную утилиту для удаления остатков продукта. Найти ее можно тут: ftp://kav2006:[email protected].

После удаления остатков Касперского пришлите логи еще раз, т.к. кое-что у вас еще нуждается в правке (к примеру, файл hosts)...

[alexeik]

сейчас делаю логи с gmer программы. если успеете уточнить, то со всех закладок логи? или только с rootkit.а про касперского я проверил klif.sys он нормально удалил(физически).до этого 500 дней не было антивиря никакого и всегда выдавал этот apicodehijack..

[alexeik]

вот тут новые логи+gmer.

[aintrust]

вот тут новые логи+gmer.

Значит, так:
1) перехват

Код:

Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод APICodeHijack.JmpTo[10005606]

делает ATI Tray Tools, и это нормально;
2) перехваты

Код:

Функция ZwCreateKey (29) перехвачена (80576063->F75470B0), перехватчик sptd.sys
Функция ZwEnumerateKey (47) перехвачена (8057676A->F754BD1C), перехватчик sptd.sys
Функция ZwEnumerateValueKey (49) перехвачена (805871FE->F754C0BC), перехватчик sptd.sys
Функция ZwOpenKey (77) перехвачена (8056F4D5->F7547090), перехватчик sptd.sys
Функция ZwQueryKey (A0) перехвачена (80576473->F754C194), перехватчик sptd.sys
Функция ZwQueryValueKey (B1) перехвачена (805729A8->F754C014), перехватчик sptd.sys
Функция ZwSetValueKey (F7) перехвачена (8057C527->F754C226), перехватчик sptd.sys

делает Alcohol 120, это тоже нормально;
3) что касается файлов, отмеченных AVZ как "подозрительные" (от Ace Clock XP и Paradise Lagoon Screensaver), присылайте их сюда (по правилам форума) для дополнительного анализа или проверьте сами на http://www.virustotal.com;
4) в файле hosts оставьте только строку

Код:

127.0.0.1 localhost

а остальное уберите (если, конечно, не вы сами эти строки набили);
5) вам действительно нужно все, что у вас установлено? Может, имеет смысл освободиться от "лишнего", чтобы не захламлять компьютер?

[alexeik]

о спасибо за ответ!
да вы правы hosts сдела мною и именно так.
про алкоголь да я понимаю что это он.
отослал на проверку на virustotal , но вот сюда не понимаю как не увидел правила.

а про ati tray tools спасибо, без нее как то шустрее бегает проводник.я убрал ее

[aintrust]

отослал на проверку на virustotal , но вот сюда не понимаю как не увидел правила.

Если VirusTotal ничего плохого про эти файлы не сказал, то сюда можете не присылать.

[alexeik]

письмо от virustotal не пришло, видимо все ок. спасибо всем за консультацию!

[pig]

А вы на почту ответ заказывали? Робот должен ответить при любом диагнозе. Значит, либо что-то сломалось у них, либо ответ потерялся.