Перейти к содержанию
Правила раздела

Перехватчик API! как удалить?

Varga_Sent

От Varga_Sent
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Varga_Sent Новичок

Varga_Sent

Опубликовано
Опубликовано

ОС Windows 7 Максимальная

 

Проблема: падает сеть.

Диагностика выдает: "Шлюз, установленный по умолчанию, не доступен. Подключение по локальной сети" не имеет допустимых параметров настройки IP.

 

Вот что пишет AVZ :

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Анализ user32.dll, таблица экспорта найдена в секции .text

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.2 Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

SDT найдена (RVA=169B00)

Ядро ntkrnlpa.exe обнаружено в памяти по адресу 8281C000

SDT = 82985B00

KiST = 8289AD5C (401)

Функция NtAdjustPrivilegesToken (0C) перехвачена (82A8CBE5->9A0A2E36), перехватчик C:\Windows\system32\DRIVERS\3223085drv.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtAlpcConnectPort (16) перехвачена (82A7D2A6->9A0A5074), перехватчик C:\Windows\system32\DRIVERS\3223085drv.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtAlpcCreatePort (17) перехвачена (829FCC82->9A0A52EE), перехватчик C:\Windows\system32\DRIVERS\3223085drv.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtConnectPort (3B) перехвачена (82A7FDB1->9A0A457E), перехватчик C:\Windows\system32\DRIVERS\3223085drv.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

- - - - - - - - - - - - - - - - - - - - -

1.3 Проверка IDT и SYSENTER

Анализ для процессора 1

Анализ для процессора 2

CmpCallCallBacks = 00000000

 

1.4 Поиск маскировки процессов и драйверов

Маскировка процесса с PID=556, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 556)

 

---------------------------------------

Анализатор - изучается процесс 3828 C:\Program Files\Mozilla Firefox\firefox.exe

[ES]:Может работать с сетью

[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?

Анализатор - изучается процесс 3528 C:\Program Files\Mozilla Firefox\plugin-container.exe

[ES]:Может работать с сетью

[ES]:Приложение не имеет видимых окон

 

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

Проверка отключена пользователем

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

Проверка отключена пользователем

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

скачайте OSAM

установите. запустите. дождитесь окончания сканирования.

вверху слева нажмите Save Log

полученный лог osam.html прикрепите к новому сообщению.

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup-<current number>.exe

Обновите базы.

После окончания обновления баз откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full (нажмите "Отклонить").

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

 

сделайте лог GSI

http://forum.kasperskyclub.ru/index.php?sh...ost&p=55906

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано (изменено)

Удалите в MBAM только следующие объекты:

Зараженные файлы:
c:\Users\Admin\downloads\winavi_mp4_converter_crack.zip.exe (PUP.SmsPay) -> No action taken.
c:\Users\Admin\downloads\acdsee+7.0+licence+code.exe (Trojan.Hoaxsms) -> No action taken.

 

Деинсталлируйте потнециально несовместимое с KIS ПО:

=> Malwarebytes' Anti-Malware, версия 1.51.2.1300	 
=> McAfee Security Scan Plus
=> Rootkit Unhooker LE 3.8 SR 2

 

Очистите временные файлы

Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner:

• скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

• если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

• нажмите No, если вы хотите оставить ваши сохраненные пароли

• если вы используете Opera, нажмите Opera - Select All - Empty Selected

нажмите No, если вы хотите оставить ваши сохраненные пароли.

 

Загрузившись в безопасном режиме, удалите остатки Kaspersky Virus Removal Tool с помощью утилиты из данной статьи.

http://support.kaspersky.ru/faq/?qid=208635705

Важно: выбирать AVP Tool Driver.

 

после всего этого повторите лог GSI

Изменено пользователем Roman_Five
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Fitulka
      API для "Безопасный QR-сканер" в Kaspersky Free
      От Fitulka
      Уважаемые сотрудники и руководители компании. Работаю материально-ответственным лицом в муниципальной организации, за небольшие деньги, но и спрос такой же. На балансе 560 единиц малоценки. Кто знает тот понимает, кто не знает это столы, стулья и даже куркуляторы дедушки Брежнева. На каждом инвентарный номер. Написанный разными людьми, в разное время, в разном состоянии, разными и даже перманентными маркерами.
      Соответственно инвентаризация проходит по старинке. Один крикнул, второй не услышал, третий забыл и так кругами к светлому будущему. Дня 3-4. 
      Супруга из Казахстана, ее подружка когда услышала что инвентаризация по "совдеповски", удивилась. А что в России не используются QR??? В Казахстане уже везде, по опыту Китая как я понял. 
      Нашел сайт вроде российский. Сделал на 25 штук(один кабинет) кодов. Распечатал на липкой бумаге. Наклеил. Проверил "безопасным сканером" работает без сбоев. Поинтересовался в типографии неубиваемая липкая маркировка 5000р за все. Это предприятие потянет без проблем. Кабинет к слову прошли без проблем и не возвращались к нему за 5 минут я засекал.
      Дело за безопасным сканером который сможет передавать данные на мой сервер PostgreSQL. 
      1. Вопрос- Возможно ли получить API Безопасного сканера?
      2. Вопрос -планирует ли компания развивать "Безопасный QR-сканер" в отдельную программу "Инвентарка" для работы при проведении инвентаризации.  Требуется всего то общи список материалов и оборудования и сканирование QR кодов с удалением или отметками в программе. Ну и конечно же раз уж есть сканер, где "Безопасный генератор QR кодов"?
       
       
       
        
       
    • Malus_Vir
      Не могу удалить NET:MALWARE.URL
      От Malus_Vir
      Здравствуйте
      Заметил, что ПК начал шуметь, запустил Cureit, нашел вирус, но не смог его удалить.
       
       
       
      Логи прикрепил:
       
      CollectionLog-2025.01.09-01.55.zip
    • Zakhar62668
      Помогите удалить вирус
      От Zakhar62668
      Виндоус дефендер находит постоянно трояны, но удалить не может, также пытался установить разные антивирусы, но все они не запускаются, вылетают ошибки, а также в исключениях есть файлы, которые не удаляются. Сейчас, посмотрев форум, запустил компьютер в безопасном режиме и через флешку установил фарбар рекавери скан тулс(чтоб запустить его пришлось удалить ограничения в редакторе реестра)
    • Эльнар
      Помогите пожалуйста удалить вирус
      От Эльнар
      Здравствуйте! Помогите пожалуйста удалить вирус, скорее всего майнер. Он постоянно нагружает процессор, даже на рабочем столе. Как только открываю диспетчер задач, обороты вентиляторов процессора падают до нормального. Как только выхожу из диспетчера задач сразу обороты вентиляторов растут. При открытии диспетчера задач я не успеваю увидеть какой процесс нагружает компьютер. Эта проблема началась когда я установил программу видеомонтажа Magix Vegas Pro не с официального сайта. Так же из проблем не получается зайти в конфигурацию системы (msconfig), окошко сразу закрывается. При запуске антивируса Malwarebytes, он тоже сразу закрывается. Когда зашёл в систему через безопасную загрузку msconfig также не открывается, но удалось запустить malwarebytes и drweb, они нашли вирусы, но проблема не ушла. Запустил Kaspersky Removal Tool, он долго сканировал и нашёл вирусы. Один из них располагался в папке куда был установлен Magix Vegas Pro. После удаления вирусов ситуация к сожалению не изменилась. Приложил отчёт сборщика логов.
      CollectionLog-2024.12.02-15.07.zip
    • meowqqq
      как удалить вирус CHROMIUM.PAGE.MALWARE.URL
      От meowqqq
      Несколько раз находил этот вирус на своем компьютер удалял но он все ровно устанавливался 
      file:///C:/Users/short/Downloads/cureit(4280).log
       
×
×
  • Создать...