Andreyuser 2 Опубликовано 19 марта, 2014 Share Опубликовано 19 марта, 2014 (изменено) Не могу проверить компьютер на вирусы утилита kaspersky virus removal tool - не работает. В отчете утилиты avz есть перехватчики:Отчёт: 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=085700) Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000 SDT = 8055C700 KiST = 80504570 (284)Функция NtAdjustPrivilegesToken (0B) перехвачена (805EC440->A6BD2690), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtClose (19) перехвачена (805BC564->A6BD2F94), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtConnectPort (1F) перехвачена (805A4604->A6BD3DC8), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtCreateEvent (23) перехвачена (8060F0E0->A6BD4312), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtCreateFile (25) перехвачена (805790A2->A6BD3270), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtCreateKey (29) перехвачена (8062426A->A6BD1500), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtCreateMutant (2B) перехвачена (80617822->A6BD41F8), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtCreateNamedPipeFile (2C) перехвачена (805790DC->A6BD227E), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtCreatePort (2E) перехвачена (805A5120->A6BD40CC), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtCreateProcess (2F) перехвачена (805D1280->A6E2A6D6), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtCreateProcessEx (30) перехвачена (805D11CA->A6E2A9BE), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtCreateSection (32) перехвачена (805AB3FC->A6BD2426), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtCreateSemaphore (33) перехвачена (806151E0->A6BD4432), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtCreateThread (35) перехвачена (805D1068->A6BD2C1C), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtCreateWaitablePort (38) перехвачена (805A5144->A6BD4162), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtDebugActiveProcess (39) перехвачена (80643CB2->A6BD5B1A), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtDeleteKey (3F) перехвачена (80624706->A6BD1B0A), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtDeleteValueKey (41) перехвачена (806248D6->A6BD1EBE), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtDeviceIoControlFile (42) перехвачена (80579268->A6BD36F2), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtDuplicateObject (44) перехвачена (805BE03C->A6BD6D26), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtEnumerateKey (47) перехвачена (80624AB6->A6BD200A), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtEnumerateValueKey (49) перехвачена (80624D20->A6BD20A2), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtFsControlFile (54) перехвачена (8057929C->A6BD3500), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtLoadDriver (61) перехвачена (80584172->A6BD5C0C), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtLoadKey (62) перехвачена (8062648E->A6BD14DC), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtLoadKey2 (63) перехвачена (8062609A->A6BD14EE), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtMapViewOfSection (6C) перехвачена (805B206E->A6BD6374), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtNotifyChangeKey (6F) перехвачена (80626458->A6BD21CE), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtOpenEvent (72) перехвачена (8060F1E0->A6BD43A8), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtOpenFile (74) перехвачена (8057A1A0->A6BD3016), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtOpenKey (77) перехвачена (80625648->A6BD16C0), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtOpenMutant (78) перехвачена (806178FA->A6BD4288), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtOpenProcess (7A) перехвачена (805CB486->A6BD28CC), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtOpenSection (7D) перехвачена (805AA420->A6BD610E), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtOpenSemaphore (7E) перехвачена (806152DA->A6BD44C8), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtOpenThread (80) перехвачена (805CB712->A6BD27BE), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtQueryKey (A0) перехвачена (8062598A->A6BD213A), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtQueryMultipleValueKey (A1) перехвачена (806233B8->A6BD1D72), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtQuerySection (A7) перехвачена (805B8614->A6BD66AE), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtQueryValueKey (B1) перехвачена (8062248E->A6BD199C), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtQueueApcThread (B4) перехвачена (805D2786->A6BD5FA0), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtRenameKey (C0) перехвачена (80623C8C->A6BD1C2C), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtReplaceKey (C1) перехвачена (8062633E->A6BD0F16), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtReplyPort (C2) перехвачена (805A5520->A6BD482C), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtReplyWaitReceivePort (C3) перехвачена (805A64E8->A6BD46F2), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtRequestWaitReplyPort (C8) перехвачена (805A2DAA->A6BD58B4), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtRestoreKey (CC) перехвачена (80625C4A->A6BD128E), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtResumeThread (CE) перехвачена (805D4A48->A6BD6BC8), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtSaveKey (CF) перехвачена (80625D46->A6BD0EAE), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtSaveKeyEx (D0) перехвачена (80625E2C->A6DD6C3C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtSaveMergedKeys (D1) перехвачена (80625F54->A6DD6DD8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtSecureConnectPort (D2) перехвачена (805A3D98->A6BD3B0E), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtSetContextThread (D5) перехвачена (805D2C4A->A6BD2E38), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtSetInformationToken (E6) перехвачена (805FA790->A6BD5154), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtSetSecurityObject (ED) перехвачена (805C0662->A6BD5DAA), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtSetSystemInformation (F0) перехвачена (8060FE98->A6BD67FE), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtSetValueKey (F7) перехвачена (806227DC->A6BD1816), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtSuspendProcess (FD) перехвачена (805D4B10->A6BD68F0), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtSuspendThread (FE) перехвачена (805D4982->A6BD6A2A), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtSystemDebugControl (FF) перехвачена (8061823E->A6BD5A3E), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtTerminateProcess (101) перехвачена (805D2308->A6BD2A68), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtTerminateThread (102) перехвачена (805D2502->A6BD29C8), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtUnmapViewOfSection (10B) перехвачена (805B2E7C->A6BD6552), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция NtWriteVirtualMemory (115) перехвачена (805B4400->A6BD2B52), перехватчик C:\WINDOWS\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !>>> Код перехватчика нейтрализованФункция FsRtlCheckLockForReadAccess (804EAFE6) - модификация машинного кода. Метод JmpTo. jmp A6BC4FD0 \SystemRoot\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !Функция IoIsOperationSynchronous (804EF97C) - модификация машинного кода. Метод JmpTo. jmp A6BC53AC \SystemRoot\system32\DRIVERS\8616067drv.sys>>> Функция воcстановлена успешно !Проверено функций: 284, перехвачено: 64, восстановлено: 661.3 Проверка IDT и SYSENTER Анализ для процессора 1 Анализ для процессора 2 Анализ для процессора 3 Анализ для процессора 4CmpCallCallBacks = 00093D84Disable callback OK Проверка IDT и SYSENTER завершена1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM1.5 Проверка обработчиков IRP Драйвер успешно загружен\FileSystem\ntfs[iRP_MJ_CREATE] = 8AB301F8 -> перехватчик не определен\FileSystem\ntfs[iRP_MJ_CLOSE] = 8AB301F8 -> перехватчик не определен\FileSystem\ntfs[iRP_MJ_WRITE] = 8AB301F8 -> перехватчик не определен\FileSystem\ntfs[iRP_MJ_QUERY_INFORMATION] = 8AB301F8 -> перехватчик не определен\FileSystem\ntfs[iRP_MJ_SET_INFORMATION] = 8AB301F8 -> перехватчик не определен\FileSystem\ntfs[iRP_MJ_QUERY_EA] = 8AB301F8 -> перехватчик не определен\FileSystem\ntfs[iRP_MJ_SET_EA] = 8AB301F8 -> перехватчик не определен\FileSystem\ntfs[iRP_MJ_QUERY_VOLUME_INFORMATION] = 8AB301F8 -> перехватчик не определен\FileSystem\ntfs[iRP_MJ_SET_VOLUME_INFORMATION] = 8AB301F8 -> перехватчик не определен\FileSystem\ntfs[iRP_MJ_DIRECTORY_CONTROL] = 8AB301F8 -> перехватчик не определен\FileSystem\ntfs[iRP_MJ_FILE_SYSTEM_CONTROL] = 8AB301F8 -> перехватчик не определен\FileSystem\ntfs[iRP_MJ_DEVICE_CONTROL] = 8AB301F8 -> перехватчик не определен\FileSystem\ntfs[iRP_MJ_LOCK_CONTROL] = 8AB301F8 -> перехватчик не определен\FileSystem\ntfs[iRP_MJ_QUERY_SECURITY] = 8AB301F8 -> перехватчик не определен\FileSystem\ntfs[iRP_MJ_SET_SECURITY] = 8AB301F8 -> перехватчик не определен\FileSystem\ntfs[iRP_MJ_PNP] = 8AB301F8 -> перехватчик не определен Изменено 19 марта, 2014 пользователем Andreyuser Добавлен спойлер Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 19 марта, 2014 Share Опубликовано 19 марта, 2014 Ничего плохого в логах Ссылка на сообщение Поделиться на другие сайты
mike 1 1 043 Опубликовано 19 марта, 2014 Share Опубликовано 19 марта, 2014 Вирусов по логам не видно. 2 Ссылка на сообщение Поделиться на другие сайты
Andreyuser 2 Опубликовано 19 марта, 2014 Автор Share Опубликовано 19 марта, 2014 Сейчас сделал сканирование потенциально опасных файлов утилитой avz и нашел файл с нестандартным расширением: 3. Сканирование дисков C:\Program Files\VS Revo Group\Revo Uninstaller Pro\RevoAppBar.exe.BAK - PE файл с нестандартным расширением(степень опасности 5%) Файл успешно помещен в карантин (C:\Program Files\VS Revo Group\Revo Uninstaller Pro\RevoAppBar.exe.BAK) C:\Program Files\VS Revo Group\Revo Uninstaller Pro\RevoUninPro.exe.BAK - PE файл с нестандартным расширением(степень опасности 5%) Файл успешно помещен в карантин (C:\Program Files\VS Revo Group\Revo Uninstaller Pro\RevoUninPro.exe.BAK) При этом указанного файла в карантине нет(пусто) Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 19 марта, 2014 Share Опубликовано 19 марта, 2014 Сколько раз еще повторить? в логах порядок и никаких следов вирусов 3 Ссылка на сообщение Поделиться на другие сайты
Andreyuser 2 Опубликовано 19 марта, 2014 Автор Share Опубликовано 19 марта, 2014 (изменено) В списке работающих драйверов есть указанный как перехватчик - 8616067drv.sys. Выложил лог служб и активных драйверов. Можно драйвер 8616067drv.sys. удалить? Изменено 19 марта, 2014 пользователем Andreyuser 1 1 Ссылка на сообщение Поделиться на другие сайты
Soft 1 451 Опубликовано 19 марта, 2014 Share Опубликовано 19 марта, 2014 (изменено) @Andreyuser, вам не понятно...трижды повторили Изменено 19 марта, 2014 пользователем Soft 1 Ссылка на сообщение Поделиться на другие сайты
Andreyuser 2 Опубликовано 19 марта, 2014 Автор Share Опубликовано 19 марта, 2014 (изменено) Спасибо. Тема закрыта Изменено 19 марта, 2014 пользователем Andreyuser Ссылка на сообщение Поделиться на другие сайты
Roman_Five 489 Опубликовано 20 марта, 2014 Share Опубликовано 20 марта, 2014 @Andreyuser, в безопасном режиме удалите файл C:\WINDOWS\system32\DRIVERS\8616067drv.sys это драйвер от ранее использовавшегося KVRT и перестаньте мучить систему такими частыми проверками на вирусы. всё у вас чисто. 2 Ссылка на сообщение Поделиться на другие сайты
Andreyuser 2 Опубликовано 29 марта, 2014 Автор Share Опубликовано 29 марта, 2014 Тема закрыта 1 Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения