Показано с 1 по 2 из 2.

прокоментируйте пожалуйста. (заявка № 10547)

  1. #1
    Junior Member Репутация
    Регистрация
    21.06.2007
    Сообщений
    2
    Вес репутации
    39

    прокоментируйте пожалуйста.

    проверил комп AWZ вот места выделенные красным (что надо истправить?):
    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Функция kernel32.dlloadLibraryA (57 перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D77->7C883FC4
    Функция kernel32.dlloadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D4F->7C883FD3
    Функция kernel32.dlloadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF1->7C883FF1
    Функция kernel32.dlloadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AE4B->7C883FE2
    Детектирована модификация IAT: LoadLibraryA - 7C883FC4<>7C801D77
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    SDT найдена (RVA=08A500)
    Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
    SDT = 80561500
    KiST = 82288B58 (297)
    >>> Внимание, таблица KiST перемещена ! (804E48B0(284)->82288B58(297))
    Функция NtClose (19) перехвачена (8056E9E9->A2371D00), перехватчик C:\WINDOWS\System32\drivers\klif.sys
    Функция NtCreateProcess (2F) перехвачена (805C0BF0->A2371A20), перехватчик C:\WINDOWS\System32\drivers\klif.sys
    Функция NtCreateProcessEx (30) перехвачена (8058AB10->A2371B90), перехватчик C:\WINDOWS\System32\drivers\klif.sys
    Функция NtCreateSection (32) перехвачена (8056CE25->A2371E40), перехватчик C:\WINDOWS\System32\drivers\klif.sys
    Функция NtCreateThread (35) перехвачена (805849B2->A2372630), перехватчик C:\WINDOWS\System32\drivers\klif.sys
    Функция NtOpenProcess (7A) перехвачена (8057908C->A23717B0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
    Функция NtQueryInformationFile (97) перехвачена (8057ECBB->A23722F0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
    Функция NtQuerySystemInformation (AD) перехвачена (8058531F->A2372430), перехватчик C:\WINDOWS\System32\drivers\klif.sys
    Функция NtResumeThread (CE) перехвачена (80585029->A23725E0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
    Функция NtSetInformationProcess (E4) перехвачена (80581B2D->A23741F0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
    Функция NtSuspendThread (FE) перехвачена (80635A0B->A2372590), перехватчик C:\WINDOWS\System32\drivers\klif.sys
    Функция NtTerminateProcess (101) перехвачена (8058C399->A23721C0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
    Проверено функций: 284, перехвачено: 12, восстановлено: 0
    2) и ещё ~DF7632.tmp- это файл кажеться гадит, я его нашёл, но пом он кудато делся, кажеться удаляеться, но потом снова на месте что делать?
    Последний раз редактировалось Alex_Goodwin; 21.06.2007 в 16:08.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    847
    То что вы привели - перехваты от драйвера антивируса Касперского. Если есть подозрения, что машина заражена, сделайте ВСЕ логи по правилам раздела "Помогите" и прикрепите их к теме.

  • Уважаемый(ая) ARIGON, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Что-то новенькое! Прокоментируйте плз.
      От Stepanyuk в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 19.08.2011, 18:17
    2. Ответов: 9
      Последнее сообщение: 08.08.2011, 15:49
    3. Проверьте пожалуйста
      От Alexey_75 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 07.12.2009, 15:38
    4. Ответов: 3
      Последнее сообщение: 13.07.2008, 01:39
    5. Пожалуйста
      От Petyz в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 09.11.2007, 18:59

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00638 seconds with 16 queries