奇怪的MD5CRACK.EXE

syfwxmh

http://bbs.kafan.cn/thread-355482-1-1.html

花海笑

你好，按你的方法，创建系统报告后，却无法解压——

!   C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP8\AVZ\sysinfo.zip: 无法创建 avz_sysinfo.htm
!   拒绝访问。
!   C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP8\AVZ\sysinfo.zip: 无法创建 avz_sysinfo.xml
!   拒绝访问。
---------
怎么办？

syfwxmh

复制到桌面，然后打开，这是因为卡巴自我保护导致的

花海笑

谢谢

syfwxmh

:)

花海笑

系统分析的结果
卡巴斯基全功能安全软件 2009 8.0.0.506 (已发布的数据库 15/05/2009; 08:38)

进程列表
文件名 PID 描述 Copyright MD5 信息  
e:\应用程序\卡巴\avp.exe
脚本: 隔离, 删除, BC 删除, 终止 1700 Kaspersky Anti-Virus Copyright ? Kaspersky Lab 1996-2008. ?? 201.26 KB, rsAh,
创建: 2008-11-11 下午 08:59:16,
修改: 2009-5-15 下午 08:45:40
命令行:
E:\应用程序\卡巴\avp.exe -r  
e:\应用程序\卡巴\avp.exe
脚本: 隔离, 删除, BC 删除, 终止 324 Kaspersky Anti-Virus Copyright ? Kaspersky Lab 1996-2008. ?? 201.26 KB, rsAh,
创建: 2008-11-11 下午 08:59:16,
修改: 2009-5-15 下午 08:45:40
命令行:
"E:\应用程序\卡巴\avp.exe"  
c:\windows\system32\ctfmon.exe
脚本: 隔离, 删除, BC 删除, 终止 388 CTF Loader ? Microsoft Corporation. All rights reserved. ?? 15.00 KB, rsAh,
创建: 2008-6-12 下午 10:17:41,
修改: 2008-6-12 上午 08:00:00
命令行:
"C:\WINDOWS\system32\ctfmon.exe"  
c:\windows\explorer.exe
脚本: 隔离, 删除, BC 删除, 终止 2000 Windows Explorer (C) Microsoft Corporation. All rights reserved. ?? 955.50 KB, rsAh,
创建: 2008-6-12 下午 10:17:49,
修改: 2008-6-12 上午 08:00:00
命令行:
C:\WINDOWS\Explorer.EXE  
c:\program files\internet explorer\iexplore.exe
脚本: 隔离, 删除, BC 删除, 终止 300 Internet Explorer (C) Microsoft Corporation. All rights reserved. ?? 91.00 KB, rsAh,
创建: 2008-2-15 上午 11:38:40,
修改: 2008-6-12 上午 08:00:00
命令行:
"C:\Program Files\Internet Explorer\iexplore.exe"  
c:\windows\system32\lsass.exe
脚本: 隔离, 删除, BC 删除, 终止 1076 LSA Shell (Export Version) ? Microsoft Corporation. All rights reserved. ?? 13.00 KB, rsAh,
创建: 2008-6-12 下午 10:17:58,
修改: 2008-6-12 上午 08:00:00
命令行:
C:\WINDOWS\system32\lsass.exe  
c:\windows\system32\svchost.exe
脚本: 隔离, 删除, BC 删除, 终止 1520 Generic Host Process for Win32 Services ? Microsoft Corporation. All rights reserved. ?? 14.00 KB, rsAh,
创建: 2008-6-12 下午 10:18:34,
修改: 2008-6-12 上午 08:00:00
命令行:
C:\WINDOWS\System32\svchost.exe -k netsvcs  
c:\windows\system32\svchost.exe
脚本: 隔离, 删除, BC 删除, 终止 1240 Generic Host Process for Win32 Services ? Microsoft Corporation. All rights reserved. ?? 14.00 KB, rsAh,
创建: 2008-6-12 下午 10:18:34,
修改: 2008-6-12 上午 08:00:00
命令行:
C:\WINDOWS\system32\svchost -k DcomLaunch  
c:\windows\system32\svchost.exe
脚本: 隔离, 删除, BC 删除, 终止 1340 Generic Host Process for Win32 Services ? Microsoft Corporation. All rights reserved. ?? 14.00 KB, rsAh,
创建: 2008-6-12 下午 10:18:34,
修改: 2008-6-12 上午 08:00:00
命令行:
C:\WINDOWS\system32\svchost -k rpcss  
c:\windows\system32\winlogon.exe
脚本: 隔离, 删除, BC 删除, 终止 1020 Windows NT Logon Application (C) Microsoft Corporation. All rights reserved. ?? 481.50 KB, rsAh,
创建: 2008-6-12 下午 10:18:42,
修改: 2008-6-12 上午 08:00:00
命令行:
winlogon.exe  
检测到:14, 验证为受信任程序 13  
模块名 Handle 描述 Copyright MD5 根据进程使用  
C:\WINDOWS\system32\shdoclc.dll
脚本: 隔离, 删除, BC 删除 1904214016 Shell Doc Object and Control Library (C) Microsoft Corporation. All rights reserved. -- 324, 2000, 300  
C:\WINDOWS\system32\uxtheme.dll
脚本: 隔离, 删除, BC 删除 1524367360 Microsoft UxTheme Library (C) Microsoft Corporation. All rights reserved. -- 1700, 324, 388, 2000, 300, 1076, 1520, 1240, 1340, 1020  
C:\WINDOWS\system32\winlogon.exe
脚本: 隔离, 删除, BC 删除 16777216 Windows NT Logon Application (C) Microsoft Corporation. All rights reserved. ?? 1020  
C:\WINDOWS\system32\winpy.ime
脚本: 隔离, 删除, BC 删除 1285881856 全拼输入法 5.0 版 Copyright (C) Microsoft Corp. 1981-1999 -- 300  
检测到模块:326, 验证为受信任程序 322  

内核空间模块查看器
模块 基于地址 内存中的值 描述 制造商  
C:\WINDOWS\system32\drivers\ALCXWDM.SYS
脚本: 隔离, 删除, BC 删除 F8885000 3F0000 (4128768) Realtek AC'97 Audio Driver (WDM) Copyright (c) Realtek Semiconductor Corp.1998-2006  
C:\WINDOWS\system32\DRIVERS\tcpip.sys
脚本: 隔离, 删除, BC 删除 F0511000 059000 (364544) TCP/IP Protocol Driver ? Microsoft Corporation. All rights reserved.  
检测到模块 - 107, 验证为信任程序 - 105  

服务
服务 描述 状态 文件 组 附加  
HssTrayService
服务: 停止, 删除, 禁用 Hotspot Shield Tray Service 未启动 HssTrayService.sys
脚本: 隔离, 删除, BC 删除      
kaccore
服务: 停止, 删除, 禁用 Kingsoft Basic Service 未启动 C:\Program Files\Kingsoft\KAC\Service\kaccore.exe
脚本: 隔离, 删除, BC 删除   RPCSS  
检测到 - 77, 验证为信任程序 - 75  

驱动
服务 描述 状态 文件 组 附加  
ALCXWDM
驱动: 卸载, 删除, 禁用 Service for Realtek AC97 Audio (WDM) 运行 C:\WINDOWS\system32\drivers\ALCXWDM.SYS
脚本: 隔离, 删除, BC 删除      
Tcpip
驱动: 卸载, 删除, 禁用 TCP/IP Protocol Driver 运行 C:\WINDOWS\system32\DRIVERS\tcpip.sys
脚本: 隔离, 删除, BC 删除 PNP_TDI IPSec  
Abiosdsk
驱动: 卸载, 删除, 禁用 Abiosdsk 未启动 Abiosdsk.sys
脚本: 隔离, 删除, BC 删除 Primary disk   
abp480n5
驱动: 卸载, 删除, 禁用 abp480n5 未启动 abp480n5.sys
脚本: 隔离, 删除, BC 删除 SCSI miniport   
adpu160m
驱动: 卸载, 删除, 禁用 adpu160m 未启动 adpu160m.sys
脚本: 隔离, 删除, BC 删除 SCSI miniport   
Aha154x
驱动: 卸载, 删除, 禁用 Aha154x 未启动 Aha154x.sys
脚本: 隔离, 删除, BC 删除 SCSI miniport   
aic78u2
驱动: 卸载, 删除, 禁用 aic78u2 未启动 aic78u2.sys
脚本: 隔离, 删除, BC 删除 SCSI miniport   
aic78xx
驱动: 卸载, 删除, 禁用 aic78xx 未启动 aic78xx.sys
脚本: 隔离, 删除, BC 删除 SCSI miniport   
AliIde
驱动: 卸载, 删除, 禁用 AliIde 未启动 AliIde.sys
脚本: 隔离, 删除, BC 删除 System Bus Extender   
amsint
驱动: 卸载, 删除, 禁用 amsint 未启动 amsint.sys
脚本: 隔离, 删除, BC 删除 SCSI miniport   
asc
驱动: 卸载, 删除, 禁用 asc 未启动 asc.sys
脚本: 隔离, 删除, BC 删除 SCSI miniport   
asc3350p
驱动: 卸载, 删除, 禁用 asc3350p 未启动 asc3350p.sys
脚本: 隔离, 删除, BC 删除 SCSI miniport   
asc3550
驱动: 卸载, 删除, 禁用 asc3550 未启动 asc3550.sys
脚本: 隔离, 删除, BC 删除 SCSI miniport   
Atdisk
驱动: 卸载, 删除, 禁用 Atdisk 未启动 Atdisk.sys
脚本: 隔离, 删除, BC 删除 Primary disk   
cd20xrnt
驱动: 卸载, 删除, 禁用 cd20xrnt 未启动 cd20xrnt.sys
脚本: 隔离, 删除, BC 删除 SCSI miniport   
Changer
驱动: 卸载, 删除, 禁用 Changer 未启动 Changer.sys
脚本: 隔离, 删除, BC 删除 Filter   
CmdIde
驱动: 卸载, 删除, 禁用 CmdIde 未启动 CmdIde.sys
脚本: 隔离, 删除, BC 删除 System Bus Extender   
Cpqarray
驱动: 卸载, 删除, 禁用 Cpqarray 未启动 Cpqarray.sys
脚本: 隔离, 删除, BC 删除 SCSI miniport   
dac960nt
驱动: 卸载, 删除, 禁用 dac960nt 未启动 dac960nt.sys
脚本: 隔离, 删除, BC 删除 SCSI miniport   
dpti2o
驱动: 卸载, 删除, 禁用 dpti2o 未启动 dpti2o.sys
脚本: 隔离, 删除, BC 删除 SCSI miniport   
hpn
驱动: 卸载, 删除, 禁用 hpn 未启动 hpn.sys
脚本: 隔离, 删除, BC 删除 SCSI miniport   
i2omgmt
驱动: 卸载, 删除, 禁用 i2omgmt 未启动 i2omgmt.sys
脚本: 隔离, 删除, BC 删除 SCSI Class   
i2omp
驱动: 卸载, 删除, 禁用 i2omp 未启动 i2omp.sys
脚本: 隔离, 删除, BC 删除 SCSI miniport   
ini910u
驱动: 卸载, 删除, 禁用 ini910u 未启动 ini910u.sys
脚本: 隔离, 删除, BC 删除 SCSI miniport   
IntelIde
驱动: 卸载, 删除, 禁用 IntelIde 未启动 IntelIde.sys
脚本: 隔离, 删除, BC 删除 System Bus Extender   
lbrtfdc
驱动: 卸载, 删除, 禁用 lbrtfdc 未启动 lbrtfdc.sys
脚本: 隔离, 删除, BC 删除 System Bus Extender   
mraid35x
驱动: 卸载, 删除, 禁用 mraid35x 未启动 mraid35x.sys
脚本: 隔离, 删除, BC 删除 SCSI miniport   
PCIDump
驱动: 卸载, 删除, 禁用 PCIDump 未启动 PCIDump.sys
脚本: 隔离, 删除, BC 删除 PCI Configuration   
PDCOMP
驱动: 卸载, 删除, 禁用 PDCOMP 未启动 PDCOMP.sys
脚本: 隔离, 删除, BC 删除      
PDFRAME
驱动: 卸载, 删除, 禁用 PDFRAME 未启动 PDFRAME.sys
脚本: 隔离, 删除, BC 删除      
PDRELI
驱动: 卸载, 删除, 禁用 PDRELI 未启动 PDRELI.sys
脚本: 隔离, 删除, BC 删除      
PDRFRAME
驱动: 卸载, 删除, 禁用 PDRFRAME 未启动 PDRFRAME.sys
脚本: 隔离, 删除, BC 删除      
perc2
驱动: 卸载, 删除, 禁用 perc2 未启动 perc2.sys
脚本: 隔离, 删除, BC 删除 SCSI miniport   
perc2hib
驱动: 卸载, 删除, 禁用 perc2hib 未启动 perc2hib.sys
脚本: 隔离, 删除, BC 删除 Filter   
ql1080
驱动: 卸载, 删除, 禁用 ql1080 未启动 ql1080.sys
脚本: 隔离, 删除, BC 删除 SCSI miniport   
Ql10wnt
驱动: 卸载, 删除, 禁用 Ql10wnt 未启动 Ql10wnt.sys
脚本: 隔离, 删除, BC 删除 SCSI miniport   
ql12160
驱动: 卸载, 删除, 禁用 ql12160 未启动 ql12160.sys
脚本: 隔离, 删除, BC 删除 SCSI miniport   
ql1240
驱动: 卸载, 删除, 禁用 ql1240 未启动 ql1240.sys
脚本: 隔离, 删除, BC 删除 SCSI miniport   
ql1280
驱动: 卸载, 删除, 禁用 ql1280 未启动 ql1280.sys
脚本: 隔离, 删除, BC 删除 SCSI miniport   
Simbad
驱动: 卸载, 删除, 禁用 Simbad 未启动 Simbad.sys
脚本: 隔离, 删除, BC 删除 Filter   
Sparrow
驱动: 卸载, 删除, 禁用 Sparrow 未启动 Sparrow.sys
脚本: 隔离, 删除, BC 删除 SCSI miniport   
sym_hi
驱动: 卸载, 删除, 禁用 sym_hi 未启动 sym_hi.sys
脚本: 隔离, 删除, BC 删除 SCSI miniport   
sym_u3
驱动: 卸载, 删除, 禁用 sym_u3 未启动 sym_u3.sys
脚本: 隔离, 删除, BC 删除 SCSI miniport   
symc810
驱动: 卸载, 删除, 禁用 symc810 未启动 symc810.sys
脚本: 隔离, 删除, BC 删除 SCSI miniport   
symc8xx
驱动: 卸载, 删除, 禁用 symc8xx 未启动 symc8xx.sys
脚本: 隔离, 删除, BC 删除 SCSI miniport   
TosIde
驱动: 卸载, 删除, 禁用 TosIde 未启动 TosIde.sys
脚本: 隔离, 删除, BC 删除 System Bus Extender   
ultra
驱动: 卸载, 删除, 禁用 ultra 未启动 ultra.sys
脚本: 隔离, 删除, BC 删除 SCSI miniport   
ViaIde
驱动: 卸载, 删除, 禁用 ViaIde 未启动 ViaIde.sys
脚本: 隔离, 删除, BC 删除 System Bus Extender   
WDICA
驱动: 卸载, 删除, 禁用 WDICA 未启动 WDICA.sys
脚本: 隔离, 删除, BC 删除      
检测到 - 169, 验证为信任程序 - 120  

自动运行
文件名 状态 启动方式 描述  
logon.scr
脚本: 隔离, 删除, BC 删除 活动 注册表项 HKEY_CURRENT_USER, Control Panel\Desktop, scrnsave.exe  
logon.scr
脚本: 隔离, 删除, BC 删除 活动 注册表项 HKEY_USERS, .DEFAULT\Control Panel\Desktop, scrnsave.exe  
logon.scr
脚本: 隔离, 删除, BC 删除 活动 文件 system.ini C:\WINDOWS\system.ini, boot, SCRNSAVE.EXE  
检测到自动运行项 - 61, 验证为信任程序 - 58  

Internet Explorer 扩展模块(BHOs， 工具栏 ...)
文件名 类型 描述 制造商 CLSID  
检测到组件 - 2, 验证为信任程序 - 2  

Windows 资源管理器扩展模块
文件名 目标 描述 制造商 CLSID  
deskpan.dll
脚本: 隔离, 删除, BC 删除 Display Panning CPL Extension   {42071714-76d4-11d1-8b24-00a0c9068ff3}  
Disk Copy Extension   {59099400-57FF-11CE-BD94-0020AF85B590}  
Shell extensions for file compression   {764BF0E1-F219-11ce-972D-00AA00A14F56}  
加密上下文菜单   {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}  
任务栏和「开始」菜单   {0DF44EAA-FF21-4412-828E-260A8728E7F1}  
rundll32.exe C:\WINDOWS\system32\shimgvw.dll,ImageView_COMServer {00E7B358-F65B-4dcf-83DF-CD026B94BFD4}
脚本: 隔离, 删除, BC 删除 Autoplay for SlideShow   {00E7B358-F65B-4dcf-83DF-CD026B94BFD4}  
用户帐户   {7A9D77BD-5403-11d2-8785-2E0420524153}  
检测到组件 - 171, 验证为信任程序 - 164  

打印系统扩展(打印监控， 提供者)
文件名 类型 名称 描述 制造商  
检测到组件 - 5, 验证为信任程序 - 5  

任务计划
文件名 作业名 工作状态 描述 制造商  
检测到组件 - 0, 验证为信任程序 - 0  

SPI/LSP 设置
Namespace提供者(NSP)  制造商 状态 EXE 文件 描述 GUID  
检测到 - 3, 验证为信任程序 - 3  
传输协议提供者(TSP， LSP) 制造商 EXE 文件 描述  
检测到 - 15, 验证为信任程序 - 15  
自动检查SPI设置结果 已检查LSP设置。未发现错误


TCP/UDP 端口
端口 状态 Remote Host Remote Port 应用程序 说明  
TCP端口  
135 LISTENING 0.0.0.0 32981 [1340] c:\windows\system32\svchost.exe
脚本: 隔离, 删除, BC 删除, 终止   
139 LISTENING 0.0.0.0 8277 [4] System
脚本: 隔离, 删除, BC 删除, 终止   
445 LISTENING 0.0.0.0 8297 [4] System
脚本: 隔离, 删除, BC 删除, 终止   
1110 ESTABLISHED 127.0.0.1 2174 [1700] e:\应用程序\卡巴\avp.exe
脚本: 隔离, 删除, BC 删除, 终止   
1110 LISTENING 0.0.0.0 110 [1700] e:\应用程序\卡巴\avp.exe
脚本: 隔离, 删除, BC 删除, 终止   
2102 CLOSE_WAIT 127.0.0.1 1110 [300] c:\program files\internet explorer\iexplore.exe
脚本: 隔离, 删除, BC 删除, 终止   
2129 CLOSE_WAIT 127.0.0.1 1110 [300] c:\program files\internet explorer\iexplore.exe
脚本: 隔离, 删除, BC 删除, 终止   
2156 CLOSE_WAIT 127.0.0.1 1110 [300] c:\program files\internet explorer\iexplore.exe
脚本: 隔离, 删除, BC 删除, 终止   
2160 CLOSE_WAIT 127.0.0.1 1110 [300] c:\program files\internet explorer\iexplore.exe
脚本: 隔离, 删除, BC 删除, 终止   
2174 ESTABLISHED 127.0.0.1 1110 [300] c:\program files\internet explorer\iexplore.exe
脚本: 隔离, 删除, BC 删除, 终止   
2176 ESTABLISHED 211.136.108.143 80 [1700] e:\应用程序\卡巴\avp.exe
脚本: 隔离, 删除, BC 删除, 终止   
2188 CLOSE_WAIT 127.0.0.1 1110 [300] c:\program files\internet explorer\iexplore.exe
脚本: 隔离, 删除, BC 删除, 终止   
2224 CLOSE_WAIT 127.0.0.1 1110 [300] c:\program files\internet explorer\iexplore.exe
脚本: 隔离, 删除, BC 删除, 终止   
19780 LISTENING 0.0.0.0 18647 [1700] e:\应用程序\卡巴\avp.exe
脚本: 隔离, 删除, BC 删除, 终止   
UDP 端口  
123 LISTENING -- -- [1520] c:\windows\system32\svchost.exe
脚本: 隔离, 删除, BC 删除, 终止   
123 LISTENING -- -- [1520] c:\windows\system32\svchost.exe
脚本: 隔离, 删除, BC 删除, 终止   
123 LISTENING -- -- [1520] c:\windows\system32\svchost.exe
脚本: 隔离, 删除, BC 删除, 终止   
137 LISTENING -- -- [4] System
脚本: 隔离, 删除, BC 删除, 终止   
138 LISTENING -- -- [4] System
脚本: 隔离, 删除, BC 删除, 终止   
445 LISTENING -- -- [4] System
脚本: 隔离, 删除, BC 删除, 终止   
1037 LISTENING -- -- [300] c:\program files\internet explorer\iexplore.exe
脚本: 隔离, 删除, BC 删除, 终止   

Downloaded Program Files (DPF)
文件名 描述 制造商 CLSID 源网址  
检测到组件 - 0, 验证为信任程序 - 0

花海笑

控制面板程序 (CPL)
文件名 描述 制造商  
C:\WINDOWS\system32\igfxcpl.cpl
脚本: 隔离, 删除, BC 删除 igfxcpl Module Copyright 1999-2004, Intel Corporation  
检测到组件 - 22, 验证为信任程序 - 21  

Active Setup
文件名 描述 制造商 CLSID  
检测到组件 - 9, 验证为信任程序 - 9  

HOSTS 文件
Hosts文件记录  
127.0.0.1       localhost



协议和管理者
文件名 类型 描述 制造商 CLSID  
检测到组件 - 26, 验证为信任程序 - 26  

可疑对象
文件 描述 类型  
C:\WINDOWS\system32\DRIVERS\klif.sys
脚本: 隔离, 删除, BC 删除 怀疑为Rootkit 内核模式钩子  


--------------------------------------------------------------------------------

主脚本分析
Windows 版本: Microsoft Windows XP, Build=2600, SP="Service Pack 3"
系统恢复: 启用
1.1 搜索用户模式的 API 钩子
分析： kernel32.dll, 在区段中发现导出表 .text
函数 kernel32.dll:CreateProcessA (99) 已被拦截， 模式 ProcAddressHijack.GetProcAddress ->7C80236B->6DA41370
函数 kernel32.dll:CreateProcessW (103) 已被拦截， 模式 ProcAddressHijack.GetProcAddress ->7C802336->6DA413D0
函数 kernel32.dll:FreeLibrary (241) 已被拦截， 模式 ProcAddressHijack.GetProcAddress ->7C80AC7E->6DA41530
函数 kernel32.dll:GetModuleFileNameA (373) 已被拦截， 模式 ProcAddressHijack.GetProcAddress ->7C80B56F->6DA41470
函数 kernel32.dll:GetModuleFileNameW (374) 已被拦截， 模式 ProcAddressHijack.GetProcAddress ->7C80B475->6DA414B0
函数 kernel32.dll:GetProcAddress (409) 已被拦截， 模式 ProcAddressHijack.GetProcAddress ->7C80AE40->6DA41570
函数 kernel32.dll:LoadLibraryA (581) 已被拦截， 模式 ProcAddressHijack.GetProcAddress ->7C801D7B->6DA410B0
函数 kernel32.dll:LoadLibraryExA (582) 已被拦截， 模式 ProcAddressHijack.GetProcAddress ->7C801D53->6DA41230
函数 kernel32.dll:LoadLibraryExW (583) 已被拦截， 模式 ProcAddressHijack.GetProcAddress ->7C801AF5->6DA412F0
函数 kernel32.dll:LoadLibraryW (584) 已被拦截， 模式 ProcAddressHijack.GetProcAddress ->7C80AEEB->6DA41170
检测到IAT 修改: LoadLibraryW - 00A30010<>7C80AEEB
检测到IAT 修改: GetModuleFileNameW - 00A3003A<>7C80B475
检测到IAT 修改: GetModuleFileNameA - 00A30064<>7C80B56F
检测到IAT 修改: CreateProcessA - 00A300B8<>7C80236B
检测到IAT 修改: LoadLibraryA - 00A3010C<>7C801D7B
检测到IAT 修改: GetProcAddress - 00A30136<>7C80AE40
检测到IAT 修改: FreeLibrary - 00A30160<>7C80AC7E
分析： ntdll.dll, 在区段中发现导出表 .text
分析： user32.dll, 在区段中发现导出表 .text
分析： advapi32.dll, 在区段中发现导出表 .text
分析： ws2_32.dll, 在区段中发现导出表 .text
分析： wininet.dll, 在区段中发现导出表 .text
分析： rasapi32.dll, 在区段中发现导出表 .text
函数 rasapi32.dll:RasConnectionNotificationW (14) 已被拦截， 模式 ProcAddressHijack.GetProcAddress ->76EBA817->A70FA6
函数 rasapi32.dll:RasEnumConnectionsW (29) 已被拦截， 模式 ProcAddressHijack.GetProcAddress ->76EB2520->A70FD0
函数 rasapi32.dll:RasEnumEntriesW (34) 已被拦截， 模式 ProcAddressHijack.GetProcAddress ->76EB3CE9->B00010
函数 rasapi32.dll:RasGetEntryPropertiesW (64) 已被拦截， 模式 ProcAddressHijack.GetProcAddress ->76EB9A5B->B0003A
分析： urlmon.dll, 在区段中发现导出表 .text
分析： netapi32.dll, 在区段中发现导出表 .text
1.2 搜索内核模式 API 钩子
成功加载驱动
发现SDT (RVA=083220)
内核 ntoskrnl.exe 在内存地址中发现 804D8000
   SDT = 8055B220
   KiST = FF4902E0 (317)
>>> 注意！KiST 表被移动！ (804E36A8(284)->FF4902E0(317))
函数 NtAdjustPrivilegesToken (0B) 已被拦截 (8058F481->F05D41DA), 钩子 C:\WINDOWS\system32\DRIVERS\klif.sys, 认证为信任驱动
函数 NtClose (19) 已被拦截 (80568A7D->F05D47AE), 钩子 C:\WINDOWS\system32\DRIVERS\klif.sys, 认证为信任驱动
函数 NtConnectPort (1F) 已被拦截 (80589DCB->F05D61EA), 钩子 C:\WINDOWS\system32\DRIVERS\klif.sys, 认证为信任驱动
函数 NtCreateFile (25) 已被拦截 (80570610->F05D5B9C), 钩子 C:\WINDOWS\system32\DRIVERS\klif.sys, 认证为信任驱动
函数 NtCreateKey (29) 已被拦截 (80573EAD->F05D3950), 钩子 C:\WINDOWS\system32\DRIVERS\klif.sys, 认证为信任驱动
函数 NtCreateSymbolicLinkObject (34) 已被拦截 (805A0519->F05D7B7C), 钩子 C:\WINDOWS\system32\DRIVERS\klif.sys, 认证为信任驱动
函数 NtCreateThread (35) 已被拦截 (8057CD8A->F05D45AE), 钩子 C:\WINDOWS\system32\DRIVERS\klif.sys, 认证为信任驱动
函数 NtDeleteKey (3F) 已被拦截 (805962CE->F05D3D92), 钩子 C:\WINDOWS\system32\DRIVERS\klif.sys, 认证为信任驱动
函数 NtDeleteValueKey (41) 已被拦截 (80593D60->F05D3F92), 钩子 C:\WINDOWS\system32\DRIVERS\klif.sys, 认证为信任驱动
函数 NtDeviceIoControlFile (42) 已被拦截 (8057DB40->F05D5EAC), 钩子 C:\WINDOWS\system32\DRIVERS\klif.sys, 认证为信任驱动
函数 NtDuplicateObject (44) 已被拦截 (80574FF9->F05D8084), 钩子 C:\WINDOWS\system32\DRIVERS\klif.sys, 认证为信任驱动
函数 NtEnumerateKey (47) 已被拦截 (805745B4->F05D40A8), 钩子 C:\WINDOWS\system32\DRIVERS\klif.sys, 认证为信任驱动
函数 NtEnumerateValueKey (49) 已被拦截 (80591679->F05D4110), 钩子 C:\WINDOWS\system32\DRIVERS\klif.sys, 认证为信任驱动
函数 NtFsControlFile (54) 已被拦截 (8057B667->F05D5D5E), 钩子 C:\WINDOWS\system32\DRIVERS\klif.sys, 认证为信任驱动
函数 NtLoadDriver (61) 已被拦截 (805A4B11->F05D7620), 钩子 C:\WINDOWS\system32\DRIVERS\klif.sys, 认证为信任驱动
函数 NtOpenFile (74) 已被拦截 (805705AB->F05D59F8), 钩子 C:\WINDOWS\system32\DRIVERS\klif.sys, 认证为信任驱动
函数 NtOpenKey (77) 已被拦截 (80569EF9->F05D3AB2), 钩子 C:\WINDOWS\system32\DRIVERS\klif.sys, 认证为信任驱动
函数 NtOpenProcess (7A) 已被拦截 (805751E0->F05D43B2), 钩子 C:\WINDOWS\system32\DRIVERS\klif.sys, 认证为信任驱动
函数 NtOpenSection (7D) 已被拦截 (8056F213->F05D7BA6), 钩子 C:\WINDOWS\system32\DRIVERS\klif.sys, 认证为信任驱动
函数 NtOpenThread (80) 已被拦截 (8058C59D->F05D42FE), 钩子 C:\WINDOWS\system32\DRIVERS\klif.sys, 认证为信任驱动
函数 NtQueryKey (A0) 已被拦截 (805742BD->F05D4178), 钩子 C:\WINDOWS\system32\DRIVERS\klif.sys, 认证为信任驱动
函数 NtQueryMultipleValueKey (A1) 已被拦截 (8064F33C->F05D3E7C), 钩子 C:\WINDOWS\system32\DRIVERS\klif.sys, 认证为信任驱动
函数 NtQueryValueKey (B1) 已被拦截 (8056B392->F05D3C5A), 钩子 C:\WINDOWS\system32\DRIVERS\klif.sys, 认证为信任驱动
函数 NtQueueApcThread (B4) 已被拦截 (80592099->F05D7888), 钩子 C:\WINDOWS\system32\DRIVERS\klif.sys, 认证为信任驱动
函数 NtReplaceKey (C1) 已被拦截 (80650118->F05D35D2), 钩子 C:\WINDOWS\system32\DRIVERS\klif.sys, 认证为信任驱动
函数 NtRequestWaitReplyPort (C8) 已被拦截 (8056EA30->F05D6A74), 钩子 C:\WINDOWS\system32\DRIVERS\klif.sys, 认证为信任驱动
函数 NtRestoreKey (CC) 已被拦截 (8064FCAD->F05D3734), 钩子 C:\WINDOWS\system32\DRIVERS\klif.sys, 认证为信任驱动
函数 NtResumeThread (CE) 已被拦截 (8057D3FD->F05D7F56), 钩子 C:\WINDOWS\system32\DRIVERS\klif.sys, 认证为信任驱动
函数 NtSaveKey (CF) 已被拦截 (8064FDAE->F05D33D0), 钩子 C:\WINDOWS\system32\DRIVERS\klif.sys, 认证为信任驱动
函数 NtSecureConnectPort (D2) 已被拦截 (805904EC->F05D608C), 钩子 C:\WINDOWS\system32\DRIVERS\klif.sys, 认证为信任驱动
函数 NtSetContextThread (D5) 已被拦截 (8062ED53->F05D46AC), 钩子 C:\WINDOWS\system32\DRIVERS\klif.sys, 认证为信任驱动
函数 NtSetSecurityObject (ED) 已被拦截 (8059C1AB->F05D771A), 钩子 C:\WINDOWS\system32\DRIVERS\klif.sys, 认证为信任驱动
函数 NtSetSystemInformation (F0) 已被拦截 (805A8BFD->F05D7BD0), 钩子 C:\WINDOWS\system32\DRIVERS\klif.sys, 认证为信任驱动
函数 NtSetValueKey (F7) 已被拦截 (8057AA53->F05D3B08), 钩子 C:\WINDOWS\system32\DRIVERS\klif.sys, 认证为信任驱动
函数 NtSuspendProcess (FD) 已被拦截 (80630935->F05D7CB4), 钩子 C:\WINDOWS\system32\DRIVERS\klif.sys, 认证为信任驱动
函数 NtSuspendThread (FE) 已被拦截 (805E1466->F05D7DE0), 钩子 C:\WINDOWS\system32\DRIVERS\klif.sys, 认证为信任驱动
函数 NtSystemDebugControl (FF) 已被拦截 (8064AD15->F05D754C), 钩子 C:\WINDOWS\system32\DRIVERS\klif.sys, 认证为信任驱动
函数 NtTerminateProcess (101) 已被拦截 (805846C0->F05D447E), 钩子 C:\WINDOWS\system32\DRIVERS\klif.sys, 认证为信任驱动
函数 NtWriteVirtualMemory (115) 已被拦截 (805801A8->F05D44F0), 钩子 C:\WINDOWS\system32\DRIVERS\klif.sys, 认证为信任驱动
函数 FsRtlCheckLockForReadAccess (80513919) - 修改的机器码 JmpTo的方式。 jmp F05EB626 \SystemRoot\system32\DRIVERS\klif.sys, 认证为信任驱动
函数 IoIsOperationSynchronous (804E975A) - 修改的机器码 JmpTo的方式。 jmp F05EB9E0 \SystemRoot\system32\DRIVERS\klif.sys, 认证为信任驱动
检查函数: 284, 已被拦截: 39, 已恢复: 0
1.3 检查 IDT 和 SYSENTER
分析 CPU 1
检查 IDT 和 SYSENTER - 完成
成功加载驱动
1.5 检测 IRP 处理程序
检查- 完成
通过可疑的 AppInit_DLLs潜在加载库 : "E:\应用程序\卡巴\mzvkbd.dll,E:\应用程序\卡巴\mzvkbd3.dll,E:\应用程序\卡巴\adialhk.dll"
>> 安全: 磁盘驱动' 自动运行已启用
>> 安全: 启用匿名用户访问
>>  服务终止的超时值已经超过了容许值
>>  阻止帮助及技术支持菜单
>>  禁用硬盘自动运行
>>  禁用网络驱动器的自动运行
>>  禁用 CD/DVD 自动运行
>>  禁用可移动介质的自动运行
>>  Windows Update 已被禁用
系统分析正在运行

脚本命令
添加命令到脚本:使用反Rootkit阻止钩子启用AVZGuardBootCleaner - 导入已删除文件列表在删除文件后执行注册表清理BootCleaner - 启动重启插入 QuarantineFile() 模板- 隔离文件插入BC_QrFile()模板 - 通过BootCleaner隔离文件插入 DeleteFile() 模板 - 删除文件插入 DelCLSID() 模板 - 从注册表中删除 CLSID 项附加操作:安全调整: 禁用CD 自动运行安全调整: 禁用匿名用户访问--------------------------------------------------------------------------------
文件列表

花海笑

这是我的系统报告，该选哪几项？

syfwxmh

你的系统没有任何问题

花海笑

原帖由 syfwxmh 于 2009-5-15 21:54 发表
你的系统没有任何问题

谢谢！