Давно сидит этот зверь, но только недавно понял что это вирь.(сидит в ране и восстанавливается через 3-4 секунды после удаления через регклинер или тп.)
Плюс в логах авз всегда было что то подобное, но думал что это даемонтулз
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=08C500)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80563500
KiST = 804E4F40 (284)
Функция NtCreateKey (29) перехвачена (80579528->F74D90E0), перехватчик spft.sys
Функция NtEnumerateKey (47) перехвачена (8057A69E->F74F6CA2), перехватчик spft.sys
Функция NtEnumerateValueKey (49) перехвачена (80590C93->F74F7030), перехватчик spft.sys
Функция NtOpenKey (77) перехвачена (80573F1D->F74D90C0), перехватчик spft.sys
Функция NtQueryKey (A0) перехвачена (8057A29E->F74F710, перехватчик spft.sys
Функция NtQueryValueKey (B1) перехвачена (80574361->F74F6F8, перехватчик spft.sys
Функция NtSetValueKey (F7) перехвачена (80584921->F74F719A), перехватчик spft.sys
название перехватчика всегда разное 4 буквенное.
По ходу проверки Nod удалил прокси троян какой-то (kprof).
Вобщем хочется дочистить машину от гадостей. Заранее спасибо.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".
QuarantineFile('c:\windows\system32\sl4nt.exe','') ; - http://www.netal.com/sl4nt.htm
сервис для записи лога .. использую для лога сообщений от роутера. но в карантин отправлю.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: