Показано с 1 по 4 из 4.

Не удается истребить перехватчик (заявка № 73190)

  1. #1
    Junior Member Репутация
    Регистрация
    05.03.2010
    Сообщений
    4
    Вес репутации
    29

    Thumbs up Не удается истребить перехватчик

    Имеется вот такой лог:

    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    SDT найдена (RVA=0846E0)
    Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
    SDT = 8055B6E0
    KiST = 80503734 (284)
    Функция NtCreateKey (29) перехвачена (8062204E->B9EAA0E0), перехватчик spbp.sys
    Функция NtEnumerateKey (47) перехвачена (8062288E->B9EC7CA2), перехватчик spbp.sys
    Функция NtEnumerateValueKey (49) перехвачена (80622AF8->B9EC8030), перехватчик spbp.sys
    Функция NtOpenKey (77) перехвачена (806233E4->B9EAA0C0), перехватчик spbp.sys
    Функция NtQueryKey (A0) перехвачена (80623708->B9EC810, перехватчик spbp.sys
    Функция NtQueryValueKey (B1) перехвачена (80620108->B9EC7F8, перехватчик spbp.sys
    Функция NtSetValueKey (F7) перехвачена (8062070E->B9EC819A), перехватчик spbp.sys
    Проверено функций: 284, перехвачено: 7, восстановлено: 0

    \FileSystem\ntfs[IRP_MJ_CREATE] = 8A38B1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_CLOSE] = 8A38B1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_WRITE] = 8A38B1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8A38B1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8A38B1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8A38B1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_EA] = 8A38B1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A38B1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8A38B1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8A38B1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A38B1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8A38B1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8A38B1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8A38B1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8A38B1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_PNP] = 8A38B1F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_CREATE] = 8937C460 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_CLOSE] = 8937C460 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_WRITE] = 8937C460 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 8937C460 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 8937C460 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_EA] = 8937C460 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_EA] = 8937C460 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8937C460 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 8937C460 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 8937C460 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 8937C460 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 8937C460 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 8937C460 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_PNP] = 8937C460 -> перехватчик не определен

    После удаления spbp.sys с перезапуском системы, точно такой же перехватчик появляется под другим именем. Имена каждый раз новые. Если не удалять - остается старое имя.
    Все остальные уязвимости проверял и чистил - больше ничего подозрительного не осталась.
    Скопировать в карантин файл spbp.sys AVZ тоже не может - "Карантин с использованием прямого чтения - ошибка".

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    270
    У Вас установлен эмулятор дисков, например Daemon tools (эти драйвера как раз от него)? Эти перехваты неопасны. прочитайте и выполните правила

  4. #3
    Junior Member Репутация
    Регистрация
    05.03.2010
    Сообщений
    4
    Вес репутации
    29
    Да, установлен.

    После удаления spbp.sys появился spwi.sys.

    Функция NtCreateKey (29) перехвачена (8062204E->B9EAA0E0), перехватчик spwi.sys
    Функция NtEnumerateKey (47) перехвачена (8062288E->B9EC7CA2), перехватчик spwi.sys
    Функция NtEnumerateValueKey (49) перехвачена (80622AF8->B9EC8030), перехватчик spwi.sys
    Функция NtOpenKey (77) перехвачена (806233E4->B9EAA0C0), перехватчик spwi.sys
    Функция NtQueryKey (A0) перехвачена (80623708->B9EC810, перехватчик spwi.sys
    Функция NtQueryValueKey (B1) перехвачена (80620108->B9EC7F8, перехватчик spwi.sys
    Функция NtSetValueKey (F7) перехвачена (8062070E->B9EC819A), перехватчик spwi.sys

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    270
    В этом нет ничего плохого. Повторюсь, это драйвера от Daemon tools

  • Уважаемый(ая) vb-develop, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Не удается удается удалить вирус Net-Worm.Win32.Kolab.fhi (заявка №1009)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 10.02.2010, 18:01
    2. Хелп, не могу истребить Get accelerator
      От Vadson в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 05.12.2009, 03:35
    3. Ответов: 1
      Последнее сообщение: 31.05.2008, 19:33
    4. Ответов: 2
      Последнее сообщение: 12.02.2008, 15:11

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01532 seconds with 16 queries