Перейти к содержанию
Varga_Sent

Перехватчик API! как удалить?

Рекомендуемые сообщения

ОС Windows 7 Максимальная

 

Проблема: падает сеть.

Диагностика выдает: "Шлюз, установленный по умолчанию, не доступен. Подключение по локальной сети" не имеет допустимых параметров настройки IP.

 

Вот что пишет AVZ :

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Анализ user32.dll, таблица экспорта найдена в секции .text

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.2 Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

SDT найдена (RVA=169B00)

Ядро ntkrnlpa.exe обнаружено в памяти по адресу 8281C000

SDT = 82985B00

KiST = 8289AD5C (401)

Функция NtAdjustPrivilegesToken (0C) перехвачена (82A8CBE5->9A0A2E36), перехватчик C:\Windows\system32\DRIVERS\3223085drv.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtAlpcConnectPort (16) перехвачена (82A7D2A6->9A0A5074), перехватчик C:\Windows\system32\DRIVERS\3223085drv.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtAlpcCreatePort (17) перехвачена (829FCC82->9A0A52EE), перехватчик C:\Windows\system32\DRIVERS\3223085drv.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtConnectPort (3B) перехвачена (82A7FDB1->9A0A457E), перехватчик C:\Windows\system32\DRIVERS\3223085drv.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

- - - - - - - - - - - - - - - - - - - - -

1.3 Проверка IDT и SYSENTER

Анализ для процессора 1

Анализ для процессора 2

CmpCallCallBacks = 00000000

 

1.4 Поиск маскировки процессов и драйверов

Маскировка процесса с PID=556, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 556)

 

---------------------------------------

Анализатор - изучается процесс 3828 C:\Program Files\Mozilla Firefox\firefox.exe

[ES]:Может работать с сетью

[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?

Анализатор - изучается процесс 3528 C:\Program Files\Mozilla Firefox\plugin-container.exe

[ES]:Может работать с сетью

[ES]:Приложение не имеет видимых окон

 

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

Проверка отключена пользователем

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

Проверка отключена пользователем

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

скачайте OSAM

установите. запустите. дождитесь окончания сканирования.

вверху слева нажмите Save Log

полученный лог osam.html прикрепите к новому сообщению.

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup-<current number>.exe

Обновите базы.

После окончания обновления баз откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full (нажмите "Отклонить").

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

 

сделайте лог GSI

http://forum.kasperskyclub.ru/index.php?sh...ost&p=55906

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Удалите в MBAM только следующие объекты:

Зараженные файлы:
c:\Users\Admin\downloads\winavi_mp4_converter_crack.zip.exe (PUP.SmsPay) -> No action taken.
c:\Users\Admin\downloads\acdsee+7.0+licence+code.exe (Trojan.Hoaxsms) -> No action taken.

 

Деинсталлируйте потнециально несовместимое с KIS ПО:

=> Malwarebytes' Anti-Malware, версия 1.51.2.1300	 
=> McAfee Security Scan Plus
=> Rootkit Unhooker LE 3.8 SR 2

 

Очистите временные файлы

Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner:

• скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

• если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

• нажмите No, если вы хотите оставить ваши сохраненные пароли

• если вы используете Opera, нажмите Opera - Select All - Empty Selected

нажмите No, если вы хотите оставить ваши сохраненные пароли.

 

Загрузившись в безопасном режиме, удалите остатки Kaspersky Virus Removal Tool с помощью утилиты из данной статьи.

http://support.kaspersky.ru/faq/?qid=208635705

Важно: выбирать AVP Tool Driver.

 

после всего этого повторите лог GSI

Изменено пользователем Roman_Five

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


×
×
  • Создать...