Перейти к содержанию
Правила раздела

Keylogger, обнаружено: IrpTableChanged [OK]

Андрей797979

Автор Андрей797979
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Андрей797979

Андрей797979

Опубликовано
  • Автор
Опубликовано

неужели случай с этим Keyloggerом безнадежен или нет такого инструмента против него? AVZ по ходу маловато? Наверно сезон отпусков взял свое начало и некому подсказать че еще дельного.... :)

 

замучал бук, но вышел все таки лог от gmer

+новый лог от AVZ

gmer.log

virusinfo_syscure.zip

  • Ответов 42
  • Создана
  • Последний ответ

Топ авторов темы

  • Андрей797979

    17

  • миднайт

    10

  • ТроПа

    9

  • DaTa

    4

Популярные дни

Топ авторов темы

Популярные дни

Изображения в теме

миднайт

миднайт

Опубликовано
Опубликовано (изменено)

Всеже восстановление системы не отключено (.

При выполнении скриптов надо еще отключиться от интернета.(есть три "левых" соединения)

Позже напишу скрипт если еще актуально. Много работы. (

В АВЗ сделать- Сервис-Поиск файлов на диске поискать файл ђslc.dll и попытаться скопировать его в карантин

 

зы. в авз старые базы. скачайте полиморфный авз отсюда http://www.speedshare.org/download.php?id=048411093

Изменено пользователем миднайт
миднайт

миднайт

Опубликовано
Опубликовано (изменено) 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('ASMMAP.sys','');
QuarantineFile('C:\Windows\system32\Drivers\removeany.sys','');
SetServiceStart('BXLOWU', 4);
StopService('BXLOWU');
DeleteService('BXLOWU');
SetServiceStart('FKCT', 4);
StopService('FKCT');
DeleteService('FKCT');
SetServiceStart('GYLBGH', 4);
StopService('GYLBGH');
DeleteService('GYLBGH');
SetServiceStart('OLKMOXGBYM', 4);
StopService('OLKMOXGBYM');
DeleteService('OLKMOXGBYM');
SetServiceStart('SPMLM', 4);
StopService('SPMLM');
DeleteService('SPMLM');
SetServiceStart('SYBHMU', 4);
StopService('SYBHMU');
DeleteService('SYBHMU');
QuarantineFile('OLKMOXGBYM.sys','');
QuarantineFile('SYBHMU.sys','');
QuarantineFile('SPMLM.sys','');
QuarantineFile('HED.sys','');
QuarantineFile('GYLBGH.sys','');
QuarantineFile('FKCT.sys','');
QuarantineFile('BXLOWU.sys','');
QuarantineFile('ATKGFNEXSrv.sys','');
DeleteFile('OLKMOXGBYM.sys');
DeleteFile('SPMLM.sys');
DeleteFile('SYBHMU.sys');
DeleteFile('GYLBGH.sys');
DeleteFile('FKCT.sys');
DeleteFile('BXLOWU.sys');
QuarantineFile('C:\ProgramData\Microsoft\Search\Data\Temp\usgthrsvc\Ntf7CDC.tmp','');
DeleteFile('C:\ProgramData\Microsoft\Search\Data\Temp\usgthrsvc\Ntf7CDC.tmp');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

и как обычно

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine3.zip');
end.

Изменено пользователем миднайт
SergeyUser

SergeyUser

Опубликовано
Опубликовано
Обновил касперского. и вот при проверке ругается на Клавиатурный перехват C:\WINDOWS\SYSTEM32\DRIVERS\KBFILTR.SYS Не завершен: Keylogger , Клавиатурный перехват C:\WINDOWS\SYSTEM32\DRIVERS\SYNTP.SYS Не завершен: Keylogger , обнаружено: IrpTableChanged .

Объясните плиз, на что ругается каспер :huh:

 

Логи ща выложу...

 

 

логи

 

Андрей797979, скорее всего, у вас все нормально. "C:\WINDOWS\SYSTEM32\DRIVERS\SYNTP.SYS" - Это:

 

Synaptics Touchpad Driver, который на вполне законных основаниях осуществляет перехват, реализуя свои прямые функции. Это попросту драйвер вашего тачпада. Если вас это смущает, можете его просто удалить, или добавить исключение. У меня точно такое же поведение.

Андрей797979

Андрей797979

Опубликовано
  • Автор
Опубликовано

на счет востановления системы. мой комьютер-свойства-защита системы-автоматически создавать точки восстановления на выбранных дисках-галочки сняты на обеих дисках.

скрипты выполнил-каспер молчит! файл ђslc.dll-не нашелся....

в авз старые базы. скачайте полиморфный авз отсюда http://www.speedshare.org/download.php?id=048411093 ССЫЛКА ЧЕТ НЕ РАБОТАЕТ

 

перегрузил комп и снова 22.06.2009 9:13:36 Клавиатурный перехват C:\WINDOWS\SYSTEM32\DRIVERS\SYNTP.SYS Не завершен: Keylogger

миднайт

миднайт

Опубликовано
Опубликовано (изменено)

@перегрузил комп и снова 22.06.2009 9:13:36 Клавиатурный перехват C:\WINDOWS\SYSTEM32\DRIVERS\SYNTP.SYS Не завершен: Keylogger

@

не причина для паники). это легетимный файл. можно его проверить в принципе. еще какие то проблемы остались?

зы. ссылка рабочая.

Изменено пользователем миднайт
Андрей797979

Андрей797979

Опубликовано
  • Автор
Опубликовано

если предупреждения о кл.перехвате не в счет тыгды-нет проблем :)

всем спасибо!

ROMIK

ROMIK

Опубликовано
Опубликовано
если предупреждения о кл.перехвате не в счет тыгды-нет проблем :)

всем спасибо!

 

Очень неожиданная концовка топика ;) :)

миднайт

миднайт

Опубликовано
Опубликовано

А вы зря смеетесь). Я же не говорил что в логах - чисто )). Если сейчас машина чуствует себя хорошо - то ОК.

ROMIK

ROMIK

Опубликовано
Опубликовано
А вы зря смеетесь). Я же не говорил что в логах - чисто )). Если сейчас машина чуствует себя хорошо - то ОК.

 

Не обижайтесь, просто концовка действительно интересная.

 

В частности это:

 

если предупреждения о кл.перехвате не в счет тыгды-нет проблем

всем спасибо!

ТроПа

ТроПа

Опубликовано
Опубликовано

Ну так выяснили, что перехват от легитимной программы.

Андрей797979

Андрей797979

Опубликовано
  • Автор
Опубликовано

Ну так выяснили, что перехват от легитимной программы.

 

 

что это значит? и что за прога?

миднайт

миднайт

Опубликовано
Опубликовано

The process Synaptics Touchpad Driver belongs to the software Synaptics Pointing Device Driver or Synaptics TouchPad Driver or Synaptics Device Driver by Synaptics, Inc (www.synaptics.com).

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Enei
      Обнаружил Trojan.Agent
      Автор Enei
      Помогите пожалуйста. На пк обнаружил вирус. Касперский не устанавливается, ошибка с синим экраном. Dr. Web видит, но не удаляет. Утилита AdwCleaner удалила некоторые, но не все. Она видит два файла: 1)С\Windows\System32\drivers\WinmonProcessMonitor.sys. (файл)   2) C\Windows\rss (папка). Пишет, что перемещены в карантин, но удалить не могу.
    • foroven
      Обнаружена сетевая атака
      Автор foroven
      Добрый день. После того как мы словили вирус шифровальщик и был установлен антивирусный продукт лаборатории Касперского, в его журнале каждый час стали появляться записи о сетевой атаке. Причем адрес атакующего компьютера это Linux-система с установленным Kerio Control. Может ли Касперсий так реагировать на его работу? Или он может быть заражен? Спасибо.
    • Vlad Kirsanov
      Майнер на компьютере обнаружен
      Автор Vlad Kirsanov
      Я обнаружил майнер который блокирует ссылки под неким Google DNS, я скину log из программы AVBr, мне нужно помощь с удалением вирусом вот log с программы AVBR
      AV_block_remove_2025.03.17-14.55.log
    • Shizgael
      обнаружен Trojan:Win64/DisguisedXMRigMiner
      Автор Shizgael
      microsoft security essential в автономном режиме находит но недолечивает после перезагрузки все возвращается обратно
      + видоизменяет хост добавляя в него все сайты антивирусов с нулевыми IP 
      file: C:\Program Files\Google\Chrome\updater.exe
      file: C:\Windows\System32\Tasks\GoogleUpdateTaskMachineQC->(UTF-16LE)
      taskscheduler: C:\Windows\System32\Tasks\GoogleUpdateTaskMachineQC
       
       
       
    • OneZero
      [РЕШЕНО] обнаружил NET.MALWARE.URL
      Автор OneZero
      Добрый день. Скачивал торрент файл и поймал какую - то ерунду которая значительно снизила работоспособность ноутбука. Использую DAW на протяжении года и при небольшой нагрузки в ПО начинаются резкие спады после которых невозможно пользоваться программой. Причем появилась эта проблема буквально дня 3 назад. Буду признателен, если вы сможете помочь избавиться от этого трояна.
      Лог прикрепляю в раре. 

      log.rar
×
×
  • Создать...