Перейти к содержанию
Правила раздела

Перехватчик API! как удалить?

Varga_Sent

От Varga_Sent
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Varga_Sent Новичок

Varga_Sent

Опубликовано
Опубликовано

ОС Windows 7 Максимальная

 

Проблема: падает сеть.

Диагностика выдает: "Шлюз, установленный по умолчанию, не доступен. Подключение по локальной сети" не имеет допустимых параметров настройки IP.

 

Вот что пишет AVZ :

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Анализ user32.dll, таблица экспорта найдена в секции .text

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.2 Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

SDT найдена (RVA=169B00)

Ядро ntkrnlpa.exe обнаружено в памяти по адресу 8281C000

SDT = 82985B00

KiST = 8289AD5C (401)

Функция NtAdjustPrivilegesToken (0C) перехвачена (82A8CBE5->9A0A2E36), перехватчик C:\Windows\system32\DRIVERS\3223085drv.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtAlpcConnectPort (16) перехвачена (82A7D2A6->9A0A5074), перехватчик C:\Windows\system32\DRIVERS\3223085drv.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtAlpcCreatePort (17) перехвачена (829FCC82->9A0A52EE), перехватчик C:\Windows\system32\DRIVERS\3223085drv.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtConnectPort (3B) перехвачена (82A7FDB1->9A0A457E), перехватчик C:\Windows\system32\DRIVERS\3223085drv.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

- - - - - - - - - - - - - - - - - - - - -

1.3 Проверка IDT и SYSENTER

Анализ для процессора 1

Анализ для процессора 2

CmpCallCallBacks = 00000000

 

1.4 Поиск маскировки процессов и драйверов

Маскировка процесса с PID=556, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 556)

 

---------------------------------------

Анализатор - изучается процесс 3828 C:\Program Files\Mozilla Firefox\firefox.exe

[ES]:Может работать с сетью

[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?

Анализатор - изучается процесс 3528 C:\Program Files\Mozilla Firefox\plugin-container.exe

[ES]:Может работать с сетью

[ES]:Приложение не имеет видимых окон

 

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

Проверка отключена пользователем

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

Проверка отключена пользователем

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

скачайте OSAM

установите. запустите. дождитесь окончания сканирования.

вверху слева нажмите Save Log

полученный лог osam.html прикрепите к новому сообщению.

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup-<current number>.exe

Обновите базы.

После окончания обновления баз откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full (нажмите "Отклонить").

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

 

сделайте лог GSI

http://forum.kasperskyclub.ru/index.php?sh...ost&p=55906

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано (изменено)

Удалите в MBAM только следующие объекты:

Зараженные файлы:
c:\Users\Admin\downloads\winavi_mp4_converter_crack.zip.exe (PUP.SmsPay) -> No action taken.
c:\Users\Admin\downloads\acdsee+7.0+licence+code.exe (Trojan.Hoaxsms) -> No action taken.

 

Деинсталлируйте потнециально несовместимое с KIS ПО:

=> Malwarebytes' Anti-Malware, версия 1.51.2.1300	 
=> McAfee Security Scan Plus
=> Rootkit Unhooker LE 3.8 SR 2

 

Очистите временные файлы

Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner:

• скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

• если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

• нажмите No, если вы хотите оставить ваши сохраненные пароли

• если вы используете Opera, нажмите Opera - Select All - Empty Selected

нажмите No, если вы хотите оставить ваши сохраненные пароли.

 

Загрузившись в безопасном режиме, удалите остатки Kaspersky Virus Removal Tool с помощью утилиты из данной статьи.

http://support.kaspersky.ru/faq/?qid=208635705

Важно: выбирать AVP Tool Driver.

 

после всего этого повторите лог GSI

Изменено пользователем Roman_Five
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Danila05
      Помогите удалить майнер
      От Danila05
      Запускаю Avbr и каждый раз после проверки, вылетает красная строка где написан путь к файлу и пишет что трубуется перегрузка. Сколько раз не перезагружался пк, проблема остается. 

    • Fitulka
      API для "Безопасный QR-сканер" в Kaspersky Free
      От Fitulka
      Уважаемые сотрудники и руководители компании. Работаю материально-ответственным лицом в муниципальной организации, за небольшие деньги, но и спрос такой же. На балансе 560 единиц малоценки. Кто знает тот понимает, кто не знает это столы, стулья и даже куркуляторы дедушки Брежнева. На каждом инвентарный номер. Написанный разными людьми, в разное время, в разном состоянии, разными и даже перманентными маркерами.
      Соответственно инвентаризация проходит по старинке. Один крикнул, второй не услышал, третий забыл и так кругами к светлому будущему. Дня 3-4. 
      Супруга из Казахстана, ее подружка когда услышала что инвентаризация по "совдеповски", удивилась. А что в России не используются QR??? В Казахстане уже везде, по опыту Китая как я понял. 
      Нашел сайт вроде российский. Сделал на 25 штук(один кабинет) кодов. Распечатал на липкой бумаге. Наклеил. Проверил "безопасным сканером" работает без сбоев. Поинтересовался в типографии неубиваемая липкая маркировка 5000р за все. Это предприятие потянет без проблем. Кабинет к слову прошли без проблем и не возвращались к нему за 5 минут я засекал.
      Дело за безопасным сканером который сможет передавать данные на мой сервер PostgreSQL. 
      1. Вопрос- Возможно ли получить API Безопасного сканера?
      2. Вопрос -планирует ли компания развивать "Безопасный QR-сканер" в отдельную программу "Инвентарка" для работы при проведении инвентаризации.  Требуется всего то общи список материалов и оборудования и сканирование QR кодов с удалением или отметками в программе. Ну и конечно же раз уж есть сканер, где "Безопасный генератор QR кодов"?
       
       
       
        
       
    • Malus_Vir
      [РЕШЕНО] Не могу удалить NET:MALWARE.URL
      От Malus_Vir
      Здравствуйте
      Заметил, что ПК начал шуметь, запустил Cureit, нашел вирус, но не смог его удалить.
       
       
       
      Логи прикрепил:
       
      CollectionLog-2025.01.09-01.55.zip
    • Holikokl
      NET:MALWARE.URL не могу удалить
      От Holikokl
      dr.web cureit нашел эту прогу и не может удалить. Вчера испробовал много способов после чего вроде удалил и др веб его не видит но до сих пор нагружается процессор и оперативка
    • EuroMan
      Я не могу удалить вирус HEUR:Trojan.Multi.GenBadur.genw
      От EuroMan
      не могу это удалить мне пишется нужна перезагрузка и тд а когда я перезагружаю и проверяю оно остается

×
×
  • Создать...