-
Junior Member
- Вес репутации
- 52
Не удается истребить перехватчик
Имеется вот такой лог:
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=0846E0)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 8055B6E0
KiST = 80503734 (284)
Функция NtCreateKey (29) перехвачена (8062204E->B9EAA0E0), перехватчик spbp.sys
Функция NtEnumerateKey (47) перехвачена (8062288E->B9EC7CA2), перехватчик spbp.sys
Функция NtEnumerateValueKey (49) перехвачена (80622AF8->B9EC8030), перехватчик spbp.sys
Функция NtOpenKey (77) перехвачена (806233E4->B9EAA0C0), перехватчик spbp.sys
Функция NtQueryKey (A0) перехвачена (80623708->B9EC810, перехватчик spbp.sys
Функция NtQueryValueKey (B1) перехвачена (80620108->B9EC7F8, перехватчик spbp.sys
Функция NtSetValueKey (F7) перехвачена (8062070E->B9EC819A), перехватчик spbp.sys
Проверено функций: 284, перехвачено: 7, восстановлено: 0
\FileSystem\ntfs[IRP_MJ_CREATE] = 8A38B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8A38B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8A38B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8A38B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8A38B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8A38B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8A38B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A38B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8A38B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8A38B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A38B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8A38B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8A38B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8A38B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8A38B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8A38B1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 8937C460 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 8937C460 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 8937C460 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 8937C460 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 8937C460 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 8937C460 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 8937C460 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8937C460 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 8937C460 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 8937C460 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 8937C460 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 8937C460 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 8937C460 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 8937C460 -> перехватчик не определен
После удаления spbp.sys с перезапуском системы, точно такой же перехватчик появляется под другим именем. Имена каждый раз новые. Если не удалять - остается старое имя.
Все остальные уязвимости проверял и чистил - больше ничего подозрительного не осталась.
Скопировать в карантин файл spbp.sys AVZ тоже не может - "Карантин с использованием прямого чтения - ошибка".
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
У Вас установлен эмулятор дисков, например Daemon tools (эти драйвера как раз от него)? Эти перехваты неопасны. прочитайте и выполните правила
-
-
Junior Member
- Вес репутации
- 52
Да, установлен.
После удаления spbp.sys появился spwi.sys.
Функция NtCreateKey (29) перехвачена (8062204E->B9EAA0E0), перехватчик spwi.sys
Функция NtEnumerateKey (47) перехвачена (8062288E->B9EC7CA2), перехватчик spwi.sys
Функция NtEnumerateValueKey (49) перехвачена (80622AF8->B9EC8030), перехватчик spwi.sys
Функция NtOpenKey (77) перехвачена (806233E4->B9EAA0C0), перехватчик spwi.sys
Функция NtQueryKey (A0) перехвачена (80623708->B9EC810, перехватчик spwi.sys
Функция NtQueryValueKey (B1) перехвачена (80620108->B9EC7F8, перехватчик spwi.sys
Функция NtSetValueKey (F7) перехвачена (8062070E->B9EC819A), перехватчик spwi.sys
-
В этом нет ничего плохого. Повторюсь, это драйвера от Daemon tools
-