Технический форум - Показать сообщение отдельно

NLB · 24.12.2007, 23:43

Огромное спасибо. Скачал утилиту AVZ проверил:

часть текста протокола выделеная красным шрифтом. Если можно не моглибы вы сказать это серьезное или нет (и вообще что это такое)

1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:LoadLibraryA (571) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E7D961->77ED6F9C
Функция kernel32.dll:LoadLibraryExA (572) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E7D941->77ED6FB0
Функция kernel32.dll:LoadLibraryExW (573) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E7D839->77ED6FD8
Функция kernel32.dll:LoadLibraryW (574) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E73B38->77ED6FC4
Детектирована модификация IAT: LoadLibraryA - 77ED6F9C<>77E7D961
Детектирована модификация IAT: GetProcAddress - 77ED6FEC<>77E7B332

Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D4000
SDT = 8054AEC0
KiST = FF9EE008 (297)
>>> Внимание, таблица KiST перемещена ! (80502588(284)->FF9EE008(297))
Функция NtClose (19) перехвачена (80581355->F38B65B0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtCreateKey (29) перехвачена (8057AA2E->F38AB280), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtCreateProcess (2F) перехвачена (805AE8B3->F38B62C0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtCreateProcessEx (30) перехвачена (80590950->F38B6440), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtCreateSection (32) перехвачена (8057FB92->F38B6EE0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtCreateSymbolicLinkObject (34) перехвачена (805C0109->F38B6B2E), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtCreateThread (35) перехвачена (8058F00C->F38B7830), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtDeleteKey (3F) перехвачена (8056DE4B->F38AB340), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtDeleteValueKey (41) перехвачена (80567F3F->F38AB3C0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtDuplicateObject (44) перехвачена (80592B99->F38B6710), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtEnumerateKey (47) перехвачена (8057D323->F38AB450), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtEnumerateValueKey (49) перехвачена (8056A5F7->F38AB500), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtFlushKey (4F) перехвачена (805616E0->F38AB5B0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtInitializeRegistry (5C) перехвачена (805B682A->F38AB630), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtLoadKey (62) перехвачена (805B4523->F38ABE00), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtLoadKey2 (63) перехвачена (805B4535->F38AB650), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtNotifyChangeKey (6F) перехвачена (805739E6->F38AB6F0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtOpenFile (74) перехвачена (80585233->F9676028), перехватчик C:\WINDOWS\System32\Drivers\kl1.sys, драйвер опознан как безопасный
Функция NtOpenKey (77) перехвачена (8058272F->F38AB7D0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtOpenProcess (7A) перехвачена (80578115->F38B6050), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtOpenSection (7D) перехвачена (80588D43->F38B6D2E), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtQueryKey (A0) перехвачена (80573460->F38AB870), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtQueryMultipleValueKey (A1) перехвачена (8062A577->F38AB920), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtQuerySystemInformation (AD) перехвачена (8058B1F4->F38B74C6), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtQueryValueKey (B1) перехвачена (805833FB->F38AB9D0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtReplaceKey (C1) перехвачена (8062AC99->F38ABA80), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtRestoreKey (CC) перехвачена (80629B9A->F38ABB10), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtResumeThread (CE) перехвачена (8058F519->F38B77A0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtSaveKey (CF) перехвачена (80629C34->F38ABBA0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtSetContextThread (D5) перехвачена (805BBD83->F38B7B80), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtSetInformationFile (E0) перехвачена (80592589->F38B8270), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtSetInformationKey (E2) перехвачена (8062A157->F38ABC30), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtSetInformationProcess (E4) перехвачена (80590056->F38BACD0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtSetValueKey (F7) перехвачена (805722DC->F38ABCD0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtSuspendThread (FE) перехвачена (805C1DD7->F38B7750), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtTerminateProcess (101) перехвачена (80591C32->F38B7300), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtUnloadKey (107) перехвачена (80629E33->F38ABDC0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtWriteVirtualMemory (115) перехвачена (8058FF6C->F38B65D0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция IoEnumerateDeviceObjectList (804D4A1A) - модификация машинного кода. Метод не определен., внедрение с байта 15
Функция IoGetLowerDeviceObject (804D4999) - модификация машинного кода. Метод не определен., внедрение с байта 5
Функция IoInitializeIrp (804D483C) - модификация машинного кода. Метод не определен., внедрение с байта 6
Функция KeInsertHeadQueue (804D47FF) - модификация машинного кода. Метод не определен., внедрение с байта 5
Проверено функций: 284, перехвачено: 38, восстановлено: 0

9. Мастер поиска и устранения проблем
>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
>> Таймаут завершения служб находится за пределами допустимых значений

24.12.2007, 23:43	#9 (permalink)
NLB Member Регистрация: 22.12.2007 Сообщений: 17 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	Огромное спасибо. Скачал утилиту AVZ проверил: часть текста протокола выделеная красным шрифтом. Если можно не моглибы вы сказать это серьезное или нет (и вообще что это такое) 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Функция kernel32.dll:LoadLibraryA (571) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E7D961->77ED6F9C Функция kernel32.dll:LoadLibraryExA (572) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E7D941->77ED6FB0 Функция kernel32.dll:LoadLibraryExW (573) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E7D839->77ED6FD8 Функция kernel32.dll:LoadLibraryW (574) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E73B38->77ED6FC4 Детектирована модификация IAT: LoadLibraryA - 77ED6F9C<>77E7D961 Детектирована модификация IAT: GetProcAddress - 77ED6FEC<>77E7B332 Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D4000 SDT = 8054AEC0 KiST = FF9EE008 (297) >>> Внимание, таблица KiST перемещена ! (80502588(284)->FF9EE008(297)) Функция NtClose (19) перехвачена (80581355->F38B65B0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный Функция NtCreateKey (29) перехвачена (8057AA2E->F38AB280), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный Функция NtCreateProcess (2F) перехвачена (805AE8B3->F38B62C0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный Функция NtCreateProcessEx (30) перехвачена (80590950->F38B6440), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный Функция NtCreateSection (32) перехвачена (8057FB92->F38B6EE0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный Функция NtCreateSymbolicLinkObject (34) перехвачена (805C0109->F38B6B2E), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный Функция NtCreateThread (35) перехвачена (8058F00C->F38B7830), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный Функция NtDeleteKey (3F) перехвачена (8056DE4B->F38AB340), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный Функция NtDeleteValueKey (41) перехвачена (80567F3F->F38AB3C0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный Функция NtDuplicateObject (44) перехвачена (80592B99->F38B6710), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный Функция NtEnumerateKey (47) перехвачена (8057D323->F38AB450), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный Функция NtEnumerateValueKey (49) перехвачена (8056A5F7->F38AB500), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный Функция NtFlushKey (4F) перехвачена (805616E0->F38AB5B0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный Функция NtInitializeRegistry (5C) перехвачена (805B682A->F38AB630), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный Функция NtLoadKey (62) перехвачена (805B4523->F38ABE00), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный Функция NtLoadKey2 (63) перехвачена (805B4535->F38AB650), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный Функция NtNotifyChangeKey (6F) перехвачена (805739E6->F38AB6F0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный Функция NtOpenFile (74) перехвачена (80585233->F9676028), перехватчик C:\WINDOWS\System32\Drivers\kl1.sys, драйвер опознан как безопасный Функция NtOpenKey (77) перехвачена (8058272F->F38AB7D0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный Функция NtOpenProcess (7A) перехвачена (80578115->F38B6050), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный Функция NtOpenSection (7D) перехвачена (80588D43->F38B6D2E), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный Функция NtQueryKey (A0) перехвачена (80573460->F38AB870), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный Функция NtQueryMultipleValueKey (A1) перехвачена (8062A577->F38AB920), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный Функция NtQuerySystemInformation (AD) перехвачена (8058B1F4->F38B74C6), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный Функция NtQueryValueKey (B1) перехвачена (805833FB->F38AB9D0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный Функция NtReplaceKey (C1) перехвачена (8062AC99->F38ABA80), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный Функция NtRestoreKey (CC) перехвачена (80629B9A->F38ABB10), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный Функция NtResumeThread (CE) перехвачена (8058F519->F38B77A0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный Функция NtSaveKey (CF) перехвачена (80629C34->F38ABBA0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный Функция NtSetContextThread (D5) перехвачена (805BBD83->F38B7B80), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный Функция NtSetInformationFile (E0) перехвачена (80592589->F38B8270), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный Функция NtSetInformationKey (E2) перехвачена (8062A157->F38ABC30), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный Функция NtSetInformationProcess (E4) перехвачена (80590056->F38BACD0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный Функция NtSetValueKey (F7) перехвачена (805722DC->F38ABCD0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный Функция NtSuspendThread (FE) перехвачена (805C1DD7->F38B7750), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный Функция NtTerminateProcess (101) перехвачена (80591C32->F38B7300), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный Функция NtUnloadKey (107) перехвачена (80629E33->F38ABDC0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный Функция NtWriteVirtualMemory (115) перехвачена (8058FF6C->F38B65D0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный Функция IoEnumerateDeviceObjectList (804D4A1A) - модификация машинного кода. Метод не определен., внедрение с байта 15 Функция IoGetLowerDeviceObject (804D4999) - модификация машинного кода. Метод не определен., внедрение с байта 5 Функция IoInitializeIrp (804D483C) - модификация машинного кода. Метод не определен., внедрение с байта 6 Функция KeInsertHeadQueue (804D47FF) - модификация машинного кода. Метод не определен., внедрение с байта 5 Проверено функций: 284, перехвачено: 38, восстановлено: 0 9. Мастер поиска и устранения проблем >> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX >> Таймаут завершения служб находится за пределами допустимых значений

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070