Что то странное творится с машиной. Сначала был непонятный трафик на внешние IP. Отловил вирус (DR.WEB-овской утилитой). Прогоняю AVZ - пишет про перехваченные функции.
При проверке файла klif.sys - все чисто. Ни одини из антивирусов не срабатывает.
Похоже на RootKit. Как избавиться
Что то странное творится с машиной. Сначала был непонятный трафик на внешние IP. Отловил вирус (DR.WEB-овской утилитой). Прогоняю AVZ - пишет про перехваченные функции.
При проверке файла klif.sys - все чисто. Ни одини из антивирусов не срабатывает.
Последний раз редактировалось alyen; 28.05.2008 в 12:46.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
В логах чисто. klif.sys - это перехватчик Касперского... Можно было ввести название в любой поисковик.
Спасибо.
А правильно понял, что
ИФункция kernel32.dll:GetProcAddress (40перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AC28->7C882FEC
Перехватчик kernel32.dll:GetProcAddress (40
Функция kernel32.dlloadLibraryA (57
Перехватчик kernel32.dll
>>> Функции LoadLibraryA - прививка процесса AVZ от перехвата подменой адреса !!)
Функция kernel32.dll
Перехватчик kernel32.dll
>>> Функции LoadLibraryExA - прививка процесса AVZ от перехвата подменой адреса !!)
Функция kernel32.dll
Перехватчик kernel32.dll
Функция kernel32.dll
Перехватчик kernel32.dll
Детектирована модификация IAT: LoadLibraryA - 7C882F9C<>7C801D77
Адрес в IAT восстановлен: LoadLibraryA
Детектирована модификация IAT: GetProcAddress - 7C882FEC<>7C80AC28
Адрес в IAT восстановлен: GetProcAddressЭто нормально ?>>> Внимание, таблица KiST перемещена ! (804E2D20(284)->85018B58(297))
Функция NtClose (19) перехвачена (805675D9->EED11810), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateKey (29) перехвачена (8056F063->EED043C0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateProcess (2F) перехвачена (805B3543->EED11520), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateProcessEx (30) перехвачена (805885D3->EED116A0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateSection (32) перехвачена (80564B1B->EED12120), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateSymbolicLinkObject (34) перехвачена (805A27B0->EED11D90), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateThread (35) перехвачена (8057F262->EED12A80), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDeleteKey (3F) перехвачена (8059D6BD->EED044E0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Нормально.
Уважаемый(ая) alyen, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
