дамп памяти приложить сюда

Probably caused by: klif.sys ( klif+9e3c )

> Вирус в файлике Klif.sys ( 15.1.2009, 16:12)
как избавиться? стоит Касп 7 лицензионный, звонил в тех. поддержку они говорят ещё пока не зделали заплатку (я чуть не упал) и бросил трубку...
теперь, о том как он себя ведёт, вообще klif.sys (C:/Windows/system32/drivers/) это драйвер системы безопасности на антивируснеке (как я понял) в него прописывается вирус пока не знаю как называется, т.к. это верусяка блокирует сразу Касперыча, я даже не могу новые обновления поставить это клиф ругается сразу, ладно, удалил касперыча, (в тех. поддержке, посоветовали переустановить Каспа, и проверить С:\ сканом (стандарт) в итоге после проверки и удаления я ставлю Каспа, и при установке клиф опять ругается и делает откат установки, (тоже самое на антивирах др. веб и нод32 др. не пробывал) решил попытаться счастья в инете, в общем нашол, что с ним может справиться только Авира, скачиваю его обновляю, беру ключ на 90 дней, и при проверке именно клифа выдаётся, что это неопознаный вирус, но если я бывираю какоенибуть дейстивие, то всё, приходится через диспетчер вырубать Авиру... или не отвеснит (ждал 4 сигареты)

«Лаборатория Касперского», ведущий разработчик систем защиты от вирусов, хакерских атак и спама, сообщает о выпуске автопатча, исправляющего уязвимость KLV07-07 в драйвере Klif.sys, входящем в состав нескольких продуктов компании.
Информация о данной уязвимости, приводящей к системной ошибке, была опубликована авторами сайта www.rootkit.com.
Драйвер Klif.sys, предназначенный для защиты продукта от несанкционированного доступа и отключения злоумышленниками, вызывает ошибку при вызове одной из функций с неправильными параметрами. К сожалению, авторы www.rootkit.com нарушили все общепринятые в антивирусной индустрии стандарты, не обратившись в «Лабораторию Касперского» до публикации информации об этой уязвимости.
Хотя в сообщении на www.rootkit.com говорится, что «все попытки проинформировать «Лабораторию Касперского» были проигнорированы», это совершенно не соответствует действительности – ни одного подобного обращения в компанию не было зарегистрировано.
Данная уязвимость распространяется на следующие продукты:
* Kaspersky Internet Security 6.0/7.0
* Антивирус Касперского 6.0/7.0
* Антивирус Касперского 6.0 для Windows Workstation
* Антивирус Касперского 6.0 для Windows Server
Эти продукты уязвимы только при запуске на таких операционных системах, как Windows NT, Windows 2000, Windows 2003 x86 и Windows XP x86. Продукты, запущенные на других ОС компании Microsoft, не подвержены этой уязвимости.
Данной уязвимости присвоен низкий уровень риска, потому что для ее вредоносного использования пользователь должен лично запустить ее на атакуемом компьютере. Использование уязвимости вызывает критическую ошибку (синий экран), но не позволяет добиться больших прав для администрирования системы или удаленного контроля над компьютером.
Впоследствии исследователи с сайта matousec.com сообщили о наличии подобной уязвимости в нескольких других функциях, вызываемых драйвером klif.sys.
Уязвимости, описанные в обеих статьях, были исправлены в автоматически устанавливаемом патче «Лаборатории Касперского», выпущенном 19 июля 2007 года.
http://www.kaspersky.ru/news?id=207732544

http://www.nowa.cc/showthread.php?t=53664
А у меня проблема возникла после удаления вируса Packed.Win32.Klone.bj был удален файл klif.sys и теперь каспер не устанавливается пашет что "Не могу скопировать klif. Не достаточно квот для обработки команды" и теперь на данном компьютере присутствие файла с таким именем не допустимо, что делать??????????? помогите....

Уязвимость klif.sys Heap Overflow
Запущенная на локальной машине программа может записать в системный реестр данные, приводящие к зависанию драйвера klif.sys модуля проактивной защиты. Этот драйвер перехватывает и защищает некоторые системные функции, в числе которых и функции системного реестра. В одном из таких перехватов есть уязвимость, заключающаяся в переполнении буфера в процессе вычисления объема необходимой для данных памяти. Копирование в переполненный буфер приводит к порче kernel page pool.

http://forum.antichat.ru/threadedpost44266.html#post44266
08.06.2005, 08:02
В антивирусе Касперского версии 5.0.227, 5.0.228 (в составе Kaspersky Personal Security Suite) и 5.0.335,работающими под операционной системой Windows2000, обнаружено грубейшее нарушение подсистемы безопасности операционной системы с возможностью её эксплуатации для поднятия собственных привилегий в системе. Было выявлено, что подсистема резидентной защиты антивируса напрямую вызывает функцию из драйвера klif.sys, являющимся частью антивируса. Исключения защиты страницы при этом не возникает, поскольку со страницы драйвера klif.sys снимается бит супервизора, что делает его полностью доступным для приложений уровня пользователя. Точка входа функции внутри драйвера klif.sys вызывается при загрузке динамических бибилотек внутрь старого либо вновь создаваемого процесса. Внутри же этой функции происходит процесс загрузки динамических бибилотек.
Функция внутри драйвера находится по адресу 0xBE934FE1 (0xBE934FA0 для версии 5.0.335), её вызов происходит с помощью инструкции jmp (код 0xE9), находящейся по адресу kernel32!+0x5DFC2. Передача управления на этот джамп происходит из бибилотек rpcrt4.dll, shell32.dll, ole32.dll, oleaut32.dll, shim.dll (часть KAV).
Для вызуального выявления данной уязвимости достаточно поставить точку останова в SoftIce на адрес 0xBE934FE1 (0xBE934FA0 для версии 5.0.335), запустить новое приложение (любое) и постотреть на текущий селектор, атрибуты текущей страницы драйвера klif.sys и адрес возврата.
Эксплуатация данной уязвимости возможна путём перезаписывания части кода и данных в открытых частях драйвера klif.sys в процессе с низким уровнем привилегий. После чего, если в программе или сервисе с высоким уровнем привилегий произойдёт загрузка динамической бибилотеки, этот код получит управление в адресном пространстве процесса с высоким уровнем привилегий.
Тестовый эксплойт уязвимости можно скачать здесь:
http://www.softsphere.com/security/KAV_exploit.zip
Источник: Хакзона