Прошу помощи, не могу понять от куда взялась гадость - вот эта:
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=083220)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 8055A220
KiST = 804E26A8 (284)
Функция NtClose (19) перехвачена (805678DD->F85A402, перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtConnectPort (1F) перехвачена (805879EB->F88AE5BE), перехватчик C:\WINDOWS\System32\Drivers\bcftdi.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateKey (29) перехвачена (8057065D->F85A3FE0), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreatePagingFile (2D) перехвачена (805BBDB7->F8597B00), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreatePort (2E) перехвачена (805975B1->F88AE50E), перехватчик C:\WINDOWS\System32\Drivers\bcftdi.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateThread (35) перехвачена (8058E63F->F88AE3F, перехватчик C:\WINDOWS\System32\Drivers\bcftdi.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateKey (47) перехвачена (80570D64->F85985DC), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateValueKey (49) перехвачена (8059066B->F85A4120), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenFile (74) перехвачена (8056CD5B->F8597B40), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenKey (77) перехвачена (80568D59->F85A3FA4), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryKey (A0) перехвачена (80570A6D->F85985FC), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryValueKey (B1) перехвачена (8056A1F1->F85A4076), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetSystemPowerState (F1) перехвачена (8066768B->F85A3550), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetValueKey (F7) перехвачена (80572889->F85F619A), перехватчик spml.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtWriteVirtualMemory (115) перехвачена (8057E420->F88AE68A), перехватчик C:\WINDOWS\System32\Drivers\bcftdi.SYS, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Проверено функций: 284, перехвачено: 15, восстановлено: 15
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Драйвер успешно загружен
1.5 Проверка обработчиков IRP \FileSystem\ntfs[IRP_MJ_CREATE] = 82F591F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 82F591F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 82F591F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 82F591F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 82F591F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 82F591F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 82F591F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 82F591F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 82F591F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 82F591F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 82F591F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 82F591F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 82F591F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 82F591F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 82F591F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 82F591F8 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 30
Количество загруженных модулей: 306
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 13461, извлечено из архивов: 7363, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 14.11.2008 6:28:54
!!! Внимание !!! Восстановлено 15 функций KiST в ходе работы антируткита
и коим образом пробралась, да и как избежать в дальнейшем ........... и извеняюсь, что это мать его? кстати клава себя странно вела до перезагрузки типа не данные собирала, а печатала по два символа , в общем я исугался и давай к вам за хелпом. Вдруг девчёнки а я печатать не могу
Ну похоже я сегодня долго жаловаться буду...... эта зараза тока в русской раскладке так себя вела, а я блин инглиш не знаю в общем засада полная.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Поищите вот этот файл svchost.exe согласно приложению 2 правил, он должен быть только в этой директории:C:\WINDOWS\System32\, если будет в какой-то другой сообщите...
есть ещё один....
похоже на резервную копию дата создания, размер, модификация у обоих файлов одинаковая 15.04.08
лежит в папке C:\WINDOWS\System32\dllcache
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: