rootkit suspectat (cererea № 178061)
Suspiciunea unui rootkit?
Buna ziua!
Acum o lună, computerul ca ceva ciudat a ieșit din hibernare (nu hibernare): Ecran de pornire se stinge brusc, și conduce, a continuat să lucreze intens. Eu, departe de păcat, oprit butonul. Apoi am verificat și am constatat modificări ciudat ca mai jos. Nu este un fapt, desigur, că ei erau în acel moment, poate chiar mai devreme.
Verificați avz găsit următoarele puncte suspecte:
Funcția NtMapViewOfSection (A8) interceptat (8384872F-> 91B2A490), cârlig C: \ Windows \ system32 \ drivers \ aswSP.sys
>>> Funcția restaurat cu succes!
>>> cod Hook blocat
Funcția NtModifyBootEntry (A9) interceptat (839073D8-> 91A57B98), cârlig C: \ Windows \ system32 \ drivers \ aswSnx.sys
>>> Funcția restaurat cu succes!
>>> cod Hook blocat
Funcția NtNotifyChangeKey (AC) interceptat (837FBE5F-> 91A5CFE0), cârlig C: \ Windows \ system32 \ drivers \ aswSnx.sys
>>> Funcția restaurat cu succes!
>>> cod Hook blocat
NtNotifyChangeMultipleKeys (AD) interceptat (837FAF81-> 91A59EDC), cârlig C: \ Windows \ system32 \ drivers \ aswSnx.sys
>>> Funcția restaurat cu succes!
>>> cod Hook blocat
Funcția NtOpenEvent (B1) interceptat (83811DF4-> 91A646CA), cârlig C: \ Windows \ system32 \ drivers \ aswSnx.sys
>>> Funcția restaurat cu succes!
>>> cod Hook blocat
Funcția NtOpenEventPair (B2) interceptat (8390CFD5-> 91A6470E), cârlig C: \ Windows \ system32 \ drivers \ aswSnx.sys
>>> Funcția restaurat cu succes!
>>> cod Hook blocat
.
Funcția NtQueryObject (F8) interceptat (83802F57-> 91A59CF4), cârlig C: \ Windows \ system32 \ drivers \ aswSnx.sys
>>> Funcția restaurat cu succes!
>>> cod Hook blocat
.
Funcția NtQueueApcThreadEx (10E) interceptat (837F9EAF-> 91A59A02), cârlig C: \ Windows \ system32 \ drivers \ aswSnx.sys
>>> Funcția restaurat cu succes!
>>> cod Hook blocat
.
Funcția NtQueueApcThreadEx (10E) interceptat (837F9EAF-> 91A59A02), cârlig C: \ Windows \ system32 \ drivers \ aswSnx.sys
>>> Funcția restaurat cu succes!
>>> cod Hook blocat
.
Funcția NtShutdownSystem (168) interceptat (83905419-> 91A57918), cârlig C: \ Windows \ system32 \ drivers \ aswSnx.sys
>>> Funcția restaurat cu succes!
>>> cod Hook blocat
pe de o parte - aceasta este, cum ar fi, un AVAST regulat, dar bănuiți că restul interceptărilor sale sunt etichetate conducător auto recunoscute ca fiind de încredere - și acestea nu sunt.
2)
MmGetPhysicalAddress Funcția (8366F86F) - mașină modificarea codului Metoda nu este definit.
>>> Funcția restaurat cu succes!
MmMapIoSpace Funcția (8366FD9B) - mașină modificarea codului Metoda nu este definit.
>>> Funcția restaurat cu succes!
acest lucru pare să nu fi fost (în profil au o versiune mai veche, la prețuri ca fiind sanatoase)
Atenție. Restaurat 84 Funcții Kist în timpul antiRootkit operație
Aici, înainte de a existat o 81 - a venit din altă parte 3.
Se toate intrările din ultimul log (atașat). Din păcate, acțiunile prevăzute în instrucțiunile cu script-urile nu a reușit doar parțial, ca cel mai important script de test fac obiectul unui dumping (vezi imaginea). În timp ce verificarea discului - probabil, atunci când a fugit în seiful anti-virus? Cealaltă, în măsura în care este posibil atașat.
De asemenea, am rulat un script pentru a identifica vulnerabilitățile, așa cum recomandă aici. A identificat trei vulnerabilitati, patch-ul a închis cu succes, așa cum se recomandă în rezultatele scenariului. Pe router, așa cum sa dovedit, implicit nu a fost inclusă SPI
Vă mulțumim anticipat pentru sfat!
C: \ Windows \ system32 \ drivers \ aswSnx.sys - este Avast conducător auto.
Sunt conștient de. Întrebare - de ce nu este recunoscut ca de încredere (ca și în alte linii)? Are această înlocuire, o oră?
Am scris mai sus că au încercat sincer. Dar, din acest punct din problema
Run avz *. Deschideți meniul „File“ => „script-uri standard“ și marcați punctul №3 „tratament script-ul / carantină și a aduna informații pentru secțiunea“ Ajutor! „Virusinfo.info“ ( „Analiza de sistem avansat cu modul de ștergere malware activat“). Faceți clic pe „Executare script-uri selectate“ ( „Executare script-uri selectate“). scanarea automată se efectuează, de tratament și de investigare a sistemului, care rezultă în jurnalul este salvat în directorul avz LOG în dosarul arhiva virusinfo_syscure.zip.
În al doilea rând, după cum am scris în descriere, script-ul în timpul executării cade. Întotdeauna, în același loc, este atașat imaginea. Anti-Virus este dezactivat, dar cu toate acestea.
Vă mulțumim! protecție suprapusă după pauză, ca urmare a trebuit să reinstalați totul. Dacă aș putea, câteva precizări:
1) Malwarebytes Anti-Malware - poate, desigur, re-a instala, dar este mai ușor de a dezactiva protecția în timp real. E suficient?
2) Spybot - Cautare Distruge-mi o dată sfătuit Help Desk AVAST. În cazul în care nu doare, atunci aș fi plecat mai devreme.
3) recomandat să UVS poate fi folosit ca un scaner pentru viitor?
4) Cu toate acestea, departe de păcat: MmGetPhysicalAddress Funcție (8366F86F) - nu este definit mașină modificarea codului Method.
>>> Funcția restaurat cu succes!
MmMapIoSpace Funcția (8366FD9B) - mașină modificarea codului Metoda nu este definit.
>>> Funcția restaurat cu succes!
acesta trebuie să fie atât? Am cerut ajutor de pe site-ul dvs., deoarece judecând după Google, înregistrare referitoare identificat ca urme de rootkit-uri, dar nu este așa, nu am putut găsi.
1) Este, dar în mod constant MBAM pur și simplu nu au nevoie.
2) Voi sta la avizul, pentru a decide - tine.
3) Acesta nu este un scanner, un instrument cu privire la același nivel și funcționalitatea pe care avz. Sistemul Kill ambele aceste programe este foarte simplu, le folosesc sub control și pe recomandările ajutoare.
4) Da, bine, mai ales dacă aveți un antivirus.