Перейти к содержанию
Правила раздела

Перехватчик API! как удалить?

Varga_Sent

От Varga_Sent
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Varga_Sent Новичок

Varga_Sent

Опубликовано
Опубликовано

ОС Windows 7 Максимальная

 

Проблема: падает сеть.

Диагностика выдает: "Шлюз, установленный по умолчанию, не доступен. Подключение по локальной сети" не имеет допустимых параметров настройки IP.

 

Вот что пишет AVZ :

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Анализ user32.dll, таблица экспорта найдена в секции .text

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.2 Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

SDT найдена (RVA=169B00)

Ядро ntkrnlpa.exe обнаружено в памяти по адресу 8281C000

SDT = 82985B00

KiST = 8289AD5C (401)

Функция NtAdjustPrivilegesToken (0C) перехвачена (82A8CBE5->9A0A2E36), перехватчик C:\Windows\system32\DRIVERS\3223085drv.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtAlpcConnectPort (16) перехвачена (82A7D2A6->9A0A5074), перехватчик C:\Windows\system32\DRIVERS\3223085drv.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtAlpcCreatePort (17) перехвачена (829FCC82->9A0A52EE), перехватчик C:\Windows\system32\DRIVERS\3223085drv.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtConnectPort (3B) перехвачена (82A7FDB1->9A0A457E), перехватчик C:\Windows\system32\DRIVERS\3223085drv.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

- - - - - - - - - - - - - - - - - - - - -

1.3 Проверка IDT и SYSENTER

Анализ для процессора 1

Анализ для процессора 2

CmpCallCallBacks = 00000000

 

1.4 Поиск маскировки процессов и драйверов

Маскировка процесса с PID=556, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 556)

 

---------------------------------------

Анализатор - изучается процесс 3828 C:\Program Files\Mozilla Firefox\firefox.exe

[ES]:Может работать с сетью

[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?

Анализатор - изучается процесс 3528 C:\Program Files\Mozilla Firefox\plugin-container.exe

[ES]:Может работать с сетью

[ES]:Приложение не имеет видимых окон

 

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

Проверка отключена пользователем

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

Проверка отключена пользователем

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

скачайте OSAM

установите. запустите. дождитесь окончания сканирования.

вверху слева нажмите Save Log

полученный лог osam.html прикрепите к новому сообщению.

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup-<current number>.exe

Обновите базы.

После окончания обновления баз откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full (нажмите "Отклонить").

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

 

сделайте лог GSI

http://forum.kasperskyclub.ru/index.php?sh...ost&p=55906

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано (изменено)

Удалите в MBAM только следующие объекты:

Зараженные файлы:
c:\Users\Admin\downloads\winavi_mp4_converter_crack.zip.exe (PUP.SmsPay) -> No action taken.
c:\Users\Admin\downloads\acdsee+7.0+licence+code.exe (Trojan.Hoaxsms) -> No action taken.

 

Деинсталлируйте потнециально несовместимое с KIS ПО:

=> Malwarebytes' Anti-Malware, версия 1.51.2.1300	 
=> McAfee Security Scan Plus
=> Rootkit Unhooker LE 3.8 SR 2

 

Очистите временные файлы

Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner:

• скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

• если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

• нажмите No, если вы хотите оставить ваши сохраненные пароли

• если вы используете Opera, нажмите Opera - Select All - Empty Selected

нажмите No, если вы хотите оставить ваши сохраненные пароли.

 

Загрузившись в безопасном режиме, удалите остатки Kaspersky Virus Removal Tool с помощью утилиты из данной статьи.

http://support.kaspersky.ru/faq/?qid=208635705

Важно: выбирать AVP Tool Driver.

 

после всего этого повторите лог GSI

Изменено пользователем Roman_Five
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • AndyShugar
      [РЕШЕНО] HEUR:Trojan.Multi.GenBadur.genw не удалить!
      От AndyShugar
      Не удалить этот вирус и папка с его расположением не открывается. Прошу помощи

      CollectionLog-2024.11.01-22.04.zip
    • Юрий7_7
      Аналог сервиса Maxmind с немедленным получением рейтинга по API
      От Юрий7_7
      Добрый день!
       
      Если в линейке сервисов компании "Kaspersky" онлайн-сервис,
      который позволяет определить рейтинг надежности пользователя по его IP, телефону и набору полей
      его браузера. Хотя бы приближенно!? По аналогии с сервисом maxmind.
      Понятно, что с учетом текущих реалий (впн-сервисы разных мастей) точность такого сервиса
      может быть под вопросом, тем не менее.....
       
      То есть, нужен сервис, который будет работать по такому сценарию:
       
      1. Наш веб-сайт получает указанные выше данные пользователя
      2. Отправляет данные в сервис по средствам API в структуре json, например
      3. Немедленно получает по средствам того же API ответ с вычисленным рейтингом пользователя
       
      Если такой сервис у Касперских, как он называется и имеет ли он доступную стоимость?
      И, что немаловажно, насколько он пригоден для пользования и насколько свежая
      информация будет в базах у Касперских по этим данным?
       
      Спасибо за внимание и извините, если задал повторившийся вопрос!
       
      Юрий
       
       
    • moyyor
      [РЕШЕНО] Как удалить net:malware.url
      От moyyor
      Решил проверить ноут через DrWeb, обнаружился вирус net:malware.url. Как его удалить ? Логи прикрепил. 

      CollectionLog-2024.11.01-13.28.zip
    • NaaR
      Не могу удалить HEUR:Trojan.Multi.GenBadur.genw
      От NaaR
      Добрый день!
      Не получается самостоятельно удалить HEUR:Trojan.Multi.GenBadur.genw . После перезагрузки обнаруживается снова.
      Буду признателен за помощь. Спасибо.CollectionLog-2024.11.01-17.38.zip
    • Совух белобокий
      Как удалить ключ KES в KSC?
      От Совух белобокий
      Добрый день, господа!
      Имеем развёрнутый Kaspersky Security Center 14.2.20222 на Windows Server 2016, лицензионный ключ для продукта "Kaspersky Endpoint Security для бизнеса – Стандартный Russian Edition. 25-49 Node 1 year Renewal Download Licence - Лицензия" на 27 ПК, но почему-то на последний добавленный ПК не "прилетает" лиц. ключ, может быть потому, что все 27 лицензии уже использованы? Как тогда удалить ключ с одного из ПК (или это нужно делать с удалением самого KES на этом ПК?) чтобы освободилась лицензия для последнего ПК?
      Заранее благодарю за ответы!
×
×
  • Создать...