Показано с 1 по 8 из 8.

Неопределенный перехватчик IRP в отчете AVZ. (заявка № 108377)

  1. #1
    Junior Member Репутация
    Регистрация
    06.09.2011
    Адрес
    Minsk
    Сообщений
    5
    Вес репутации
    46

    Thumbs up Неопределенный перехватчик IRP в отчете AVZ.

    Добрый день.

    Посмотрите, пожалуйста, на мою машинку. Система (вроде бы) работает нормально. Но, иногда, svchost долбиться на адреса других провайдеров - я это блокирую через Outpost вручную. В Инете нашел информацию, что это (может быть) обновление Винды лезет по зеркальным адресам.

    Меня интересует: что за неопределенные перехватчики IRP в отчете AVZ (пункт 1.5)? Что-то подобное я нашел в Инете - там говорят, что это от программы эмулятора дисков. Но Алкоголь у меня давно снесен.

    Подскажите, также, нужно ли обращать внимание на перехватчики API (4 шт.), выделенные в отчете AVZ красным цветом (пункт 1.1)?

    Спасибо. Надеюсь на ваши разъяснения и рекомендации. Заранее благодарен.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) DimmOS, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3

  5. #4
    Junior Member Репутация
    Регистрация
    06.09.2011
    Адрес
    Minsk
    Сообщений
    5
    Вес репутации
    46
    Лог MBAM во вложении. Правда делал сканирование MBAM-ом при включенном Инете и загруженными программами (Mozilla, Skype, R&Q и TheBat!).
    Вложения Вложения

  6. #5

  7. #6
    Junior Member Репутация
    Регистрация
    06.09.2011
    Адрес
    Minsk
    Сообщений
    5
    Вес репутации
    46
    Спасибо за оперативность. Отсутствие всякой бяки - успокоило. Но теперь мне хотелось бы разобраться во всем этом до конца, чтобы красные строки в логах AVZ не сильно пугали и не настораживали:

    1. Как я понял (из Инета), что неопределенные перехватчики IRP (\FileSystem\ntfs[IRP_MJ_CREATE] = 8A6DF1F8 -> перехватчик не определен, ...) в отчете AVZ (пункт 1.5) - это от программы эмулятора дисков Daemon Tools, Alcohol120 и т.д. Т.к. Причиной этих прерываний (так пишут) драйвер sptd.sys, который маскируется, сидит в автозагрузке и остается от подобных программ даже после деинсталляции. Вопрос: нужен ли мне в дальнейшем этот драйвер, и если нет - как мне грамотно его "грохнуть"?

    2. Скажите "чьи будут" перехватчики API (Функция user32.dll:ChangeDisplaySettingsExA (34) перехвачена, метод APICodeHijack.JmpTo[100A55EE], ...), выделенные в отчете AVZ красным цветом (пункт 1.1)? А еще лучше как мне самому это посмотреть? В Инете пишут, что бы это сделать нужно включить AVZM, но у меня что-то ничего не получилось...

    Заранее благодарен.

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    1. Как я понял (из Инета), что неопределенные перехватчики IRP (\FileSystem\ntfs[IRP_MJ_CREATE] = 8A6DF1F8 -> перехватчик не определен, ...) в отчете AVZ (пункт 1.5) - это от программы эмулятора дисков Daemon Tools, Alcohol120 и т.д. Т.к. Причиной этих прерываний (так пишут) драйвер sptd.sys, который маскируется, сидит в автозагрузке и остается от подобных программ даже после деинсталляции. Вопрос: нужен ли мне в дальнейшем этот драйвер, и если нет - как мне грамотно его "грохнуть"?
    На Ваше усмотрение. Если хотите удалить, выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     SetServiceStart('sptd', 4);
     StopService('sptd');
     DeleteFile('C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe');
     DeleteFilemask('C:\Program Files\Alcohol Soft','*.*',true);
     Deletedirectory('C:\Program Files\Alcohol Soft');
     DeleteFile('C:\WINDOWS\System32\Drivers\sptd.sys');
     DeleteService('sptd');
     DeleteService('StarWindServiceAE');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    2. Скажите "чьи будут" перехватчики API (Функция user32.dll:ChangeDisplaySettingsExA (34) перехвачена, метод APICodeHijack.JmpTo[100A55EE], ...), выделенные в отчете AVZ красным цветом (пункт 1.1)? А еще лучше как мне самому это посмотреть? В Инете пишут, что бы это сделать нужно включить AVZM, но у меня что-то ничего не получилось...
    Здесь трудно сказать, чьи это перехватчики.

  9. Это понравилось:


  10. #8
    Junior Member Репутация
    Регистрация
    06.09.2011
    Адрес
    Minsk
    Сообщений
    5
    Вес репутации
    46
    Большое спасибо. Скрипт отработал на ура. Следов от Алкоголя в системе не осталось. Теперь и в логе AVZ (пункт 1.5) неопределенных перехватчиков также не наблюдается. С определением перехватчиков в пункте 1.1 лога AVZ попробую "пошуршать" еще (ради спортивного интереса) самостоятельно.

  • Уважаемый(ая) DimmOS, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. подмена PID и неопределенный перехватчик
      От aleks172 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 13.03.2012, 09:41
    2. Ответов: 20
      Последнее сообщение: 07.10.2010, 10:06
    3. Неопределенный вирус
      От st_fenix в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 04.04.2009, 22:21
    4. Ответов: 8
      Последнее сообщение: 22.02.2009, 06:13
    5. Ответов: 2
      Последнее сообщение: 12.02.2008, 15:11

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01115 seconds with 20 queries