Keylogger, обнаружено: IrpTableChanged [OK]

[Андрей797979]

неужели случай с этим Keyloggerом безнадежен или нет такого инструмента против него? AVZ по ходу маловато? Наверно сезон отпусков взял свое начало и некому подсказать че еще дельного....

 

замучал бук, но вышел все таки лог от gmer

+новый лог от AVZ

gmer.log

virusinfo_syscure.zip

[миднайт]

Всеже восстановление системы не отключено (.

При выполнении скриптов надо еще отключиться от интернета.(есть три "левых" соединения)

Позже напишу скрипт если еще актуально. Много работы. (

В АВЗ сделать- Сервис-Поиск файлов на диске поискать файл ђslc.dll и попытаться скопировать его в карантин

 

зы. в авз старые базы. скачайте полиморфный авз отсюда http://www.speedshare.org/download.php?id=048411093

Изменено 20 июня, 2009 пользователем миднайт

[миднайт]

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('ASMMAP.sys','');
QuarantineFile('C:\Windows\system32\Drivers\removeany.sys','');
SetServiceStart('BXLOWU', 4);
StopService('BXLOWU');
DeleteService('BXLOWU');
SetServiceStart('FKCT', 4);
StopService('FKCT');
DeleteService('FKCT');
SetServiceStart('GYLBGH', 4);
StopService('GYLBGH');
DeleteService('GYLBGH');
SetServiceStart('OLKMOXGBYM', 4);
StopService('OLKMOXGBYM');
DeleteService('OLKMOXGBYM');
SetServiceStart('SPMLM', 4);
StopService('SPMLM');
DeleteService('SPMLM');
SetServiceStart('SYBHMU', 4);
StopService('SYBHMU');
DeleteService('SYBHMU');
QuarantineFile('OLKMOXGBYM.sys','');
QuarantineFile('SYBHMU.sys','');
QuarantineFile('SPMLM.sys','');
QuarantineFile('HED.sys','');
QuarantineFile('GYLBGH.sys','');
QuarantineFile('FKCT.sys','');
QuarantineFile('BXLOWU.sys','');
QuarantineFile('ATKGFNEXSrv.sys','');
DeleteFile('OLKMOXGBYM.sys');
DeleteFile('SPMLM.sys');
DeleteFile('SYBHMU.sys');
DeleteFile('GYLBGH.sys');
DeleteFile('FKCT.sys');
DeleteFile('BXLOWU.sys');
QuarantineFile('C:\ProgramData\Microsoft\Search\Data\Temp\usgthrsvc\Ntf7CDC.tmp','');
DeleteFile('C:\ProgramData\Microsoft\Search\Data\Temp\usgthrsvc\Ntf7CDC.tmp');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

и как обычно

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine3.zip');
end.

Изменено 20 июня, 2009 пользователем миднайт

[SergeyUser]

Обновил касперского. и вот при проверке ругается на Клавиатурный перехват C:\WINDOWS\SYSTEM32\DRIVERS\KBFILTR.SYS Не завершен: Keylogger , Клавиатурный перехват C:\WINDOWS\SYSTEM32\DRIVERS\SYNTP.SYS Не завершен: Keylogger , обнаружено: IrpTableChanged .

Объясните плиз, на что ругается каспер

 

Логи ща выложу...

 

 

логи

 

Андрей797979, скорее всего, у вас все нормально. "C:\WINDOWS\SYSTEM32\DRIVERS\SYNTP.SYS" - Это:

 

Synaptics Touchpad Driver, который на вполне законных основаниях осуществляет перехват, реализуя свои прямые функции. Это попросту драйвер вашего тачпада. Если вас это смущает, можете его просто удалить, или добавить исключение. У меня точно такое же поведение.

[Андрей797979]

на счет востановления системы. мой комьютер-свойства-защита системы-автоматически создавать точки восстановления на выбранных дисках-галочки сняты на обеих дисках.

скрипты выполнил-каспер молчит! файл ђslc.dll-не нашелся....

в авз старые базы. скачайте полиморфный авз отсюда http://www.speedshare.org/download.php?id=048411093 ССЫЛКА ЧЕТ НЕ РАБОТАЕТ

 

перегрузил комп и снова 22.06.2009 9:13:36 Клавиатурный перехват C:\WINDOWS\SYSTEM32\DRIVERS\SYNTP.SYS Не завершен: Keylogger

[миднайт]

@перегрузил комп и снова 22.06.2009 9:13:36 Клавиатурный перехват C:\WINDOWS\SYSTEM32\DRIVERS\SYNTP.SYS Не завершен: Keylogger

@

не причина для паники). это легетимный файл. можно его проверить в принципе. еще какие то проблемы остались?

зы. ссылка рабочая.

Изменено 22 июня, 2009 пользователем миднайт

[Андрей797979]

если предупреждения о кл.перехвате не в счет тыгды-нет проблем

всем спасибо!

[ROMIK]

если предупреждения о кл.перехвате не в счет тыгды-нет проблем

всем спасибо!

 

Очень неожиданная концовка топика

[миднайт]

А вы зря смеетесь). Я же не говорил что в логах - чисто )). Если сейчас машина чуствует себя хорошо - то ОК.

[ROMIK]

А вы зря смеетесь). Я же не говорил что в логах - чисто )). Если сейчас машина чуствует себя хорошо - то ОК.

 

Не обижайтесь, просто концовка действительно интересная.

 

В частности это:

 

если предупреждения о кл.перехвате не в счет тыгды-нет проблем

всем спасибо!

[ТроПа]

Ну так выяснили, что перехват от легитимной программы.

[Андрей797979]

Ну так выяснили, что перехват от легитимной программы.

 

 

что это значит? и что за прога?

[миднайт]

The process Synaptics Touchpad Driver belongs to the software Synaptics Pointing Device Driver or Synaptics TouchPad Driver or Synaptics Device Driver by Synaptics, Inc (www.synaptics.com).