Показано с 1 по 13 из 13.

Перехватчик spcw.sys - опасен? (заявка № 36197)

  1. #1
    Junior Member Репутация
    Регистрация
    30.10.2008
    Сообщений
    15
    Вес репутации
    34

    Question Перехватчик spcw.sys - опасен?

    При сканировании компа с помощью avz4 постоянно находит вот такое -

    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    SDT найдена (RVA=083220)
    Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
    SDT = 8055A220
    KiST = 804E26A8 (284)
    Функция NtCreateKey (29) перехвачена (8057065D->F748F0E0), перехватчик spcw.sys
    Функция NtEnumerateKey (47) перехвачена (80570D64->F74ADCA2), перехватчик spcw.sys
    Функция NtEnumerateValueKey (49) перехвачена (80590677->F74AE030), перехватчик spcw.sys
    Функция NtOpenKey (77) перехвачена (80568D59->F748F0C0), перехватчик spcw.sys
    Функция NtQueryKey (A0) перехвачена (80570A6D->F74AE10, перехватчик spcw.sys
    Функция NtQueryValueKey (B1) перехвачена (8056A1F2->F74ADF8, перехватчик spcw.sys
    Функция NtSetValueKey (F7) перехвачена (80572889->F74AE19A), перехватчик spcw.sys
    Проверено функций: 284, перехвачено: 7, восстановлено: 0

    Что делать?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2

  4. #3
    Junior Member Репутация
    Регистрация
    30.10.2008
    Сообщений
    15
    Вес репутации
    34

    Перехватчик spcw.sys - опасен?

    Не появляется в логах avz_sysinfo.htm(virusinfo_syscure.zip), хоть тресни. Нод 32 отключил...
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Не видно ничего подозрительного.
    От Ad-Aware пользы мало, на мой взгляд.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    E:\Setup.exe- это что будет?
    следы от драйвера касперского болтаются, авптул ставили ?

    spcw.sys- от вашего эмулятора дисков
    Скачайте полиморфную версию avz у меня в подписи и ей сделать не достающий лог, интересно всё -таки

    P.S. Ad-Aware -согласен с Andreyka, действительно малополезная вещь , к тому же если в настройках не то нажать- ещё хуже будет. P.P.s RemotelyAnywhere- программа удалённого администрирования . знакомо?

  7. #6
    Junior Member Репутация
    Регистрация
    30.10.2008
    Сообщений
    15
    Вес репутации
    34
    drongo ,
    E:\Setup.exe- я не знаю откуда он взялся
    Касперского не ставил, авптул - не помню...
    Скачал из подписи special avz@ rapidshare.com - до лампочки - в логах появляется только virusinfo_syscheck.zip, а virusinfo_syscure.zip - нету!
    Ad-Aware стоит давно, да и не запущена...
    RemotelyAnywhere - стояла по необходимости(с работы подключался, веб-камеру проверял). Сейчас снёс.
    Почему virusinfo_syscure.zip не появляется?

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    E:\Setup.exe- пришлите по правилам- приложение 2

    Ad-Aware очень даже запущена - деинсталировать, если не пользуетесь, сервис то от неё работает всё время.

    Добавлено через 8 минут

    Почистим тогда следы авптул:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('is-KQ2A8drv');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\76567633.sys');
    BC_Importall;
    BC_Activate;
    RebootWindows(true);
    end.
    Последний раз редактировалось drongo; 24.12.2008 в 18:12. Причина: Добавлено

  9. #8
    Junior Member Репутация
    Регистрация
    30.10.2008
    Сообщений
    15
    Вес репутации
    34

    Перехватчик spcw.sys - опасен?

    Вот, добился логов.
    Вложения Вложения

  10. #9
    Junior Member Репутация
    Регистрация
    30.10.2008
    Сообщений
    15
    Вес репутации
    34
    Только сейчас деинсталировал Ad-Aware(уже после отсылки логов)...
    А вот по ...Почистим тогда следы авптул:... - я не знаю как это сделать... Сорри, просветите лопуха.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    скрипт же я написал, его и выполнить http://virusinfo.info/showthread.php?t=7239. Должно помочь.
    Код:
    begin SearchRootkit(true, true); SetAVZGuardStatus(True);  DeleteService('is-KQ2A8drv');  DeleteFile('C:\WINDOWS\system32\DRIVERS\76567633.sys'); BC_Importall; BC_Activate; RebootWindows(true); end.

  12. #11
    Junior Member Репутация
    Регистрация
    30.10.2008
    Сообщений
    15
    Вес репутации
    34
    drongo, код запустил, винды ребутнулись. Сейчас по новой просканировать?

    Может сюда объединить и эту мою тему - Кейлоггер или что за адрес?, собственно, из-за этого и стал сканировать...
    Откуда он там? У меня-то вроде нет ничего...

    Добавлено через 3 часа 8 минут

    Блин, не могу зайти в админку - что-то пытается загрузиться!
    Пароль наверное уже стырили, теперь сидят, размышляют - что бы с этим сайтом(электронный учебник для школьников) сделать?
    Как избавиться то? Пробовал с телефона зайти - при входе виснет всё не по-детски...
    Если пролезли на сайт - через фтп можно вылечить? Стоит CMS Joomla! 1.5.7
    Последний раз редактировалось realex; 25.12.2008 в 00:21. Причина: Добавлено

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Троян Pinch ворует все пароли, что есть на компьютере, а не только на доступ к сайтам. Так что советую поменять пароли.
    Утилитой CureIt компьютер проверяли? Она детектирует троян.
    Проще всего зайти в админку можно если добавить строку
    127.0.0.1 killer-link.ru
    в файл C:\WINDOWS\system32\DRIVERS\etc\hosts
    Можете ли вы исправить через FTP или нет, не знаю, завит от прав доступа.
    Проблема в том, что к страничке /administrator/ в конец приписан вредный скрипт.
    Проверьте, на других страничках тоже может быть.

  14. #13
    Junior Member Репутация
    Регистрация
    30.10.2008
    Сообщений
    15
    Вес репутации
    34
    Зайти на фтп могу - я администратор.
    Как на страничке/администратор найти этот код? В каком он может быть файле? Там вроде на все индекс выставлены права 444...

    Добавлено через 10 часов 31 минуту

    CureIt комп проверил - чисто. Что на фтп посмотреть?
    Последний раз редактировалось realex; 25.12.2008 в 23:04. Причина: Добавлено

  • Уважаемый(ая) realex, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Опасен ли вирус без расширения?
      От Greenge в разделе Общая сетевая безопасность
      Ответов: 6
      Последнее сообщение: 30.01.2011, 12:47
    2. spcw.sys/sprr.sys/etc.
      От avok в разделе Malware Removal Service
      Ответов: 1
      Последнее сообщение: 18.02.2009, 12:35
    3. Насколько опасен этот файл?
      От gstas в разделе Вредоносные программы
      Ответов: 1
      Последнее сообщение: 23.11.2008, 11:09
    4. Поиск в интернете опасен для ПК
      От Shu_b в разделе Новости интернет-пространства
      Ответов: 5
      Последнее сообщение: 17.05.2006, 13:14
    5. Что такое RiskTool.Win32.Processor.1001 и чем опасен, если опасен?
      От Xfield в разделе Вредоносные программы
      Ответов: 9
      Последнее сообщение: 14.09.2005, 15:24

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00543 seconds with 17 queries