Показано с 1 по 10 из 10.

AVZ - перехватчик не определен. А как определить?

  1. #1
    Junior Member Репутация
    Регистрация
    26.08.2007
    Сообщений
    7
    Вес репутации
    34

    AVZ - перехватчик не определен. А как определить?

    AVZ находит перехваченные функции в KernelMode, но пишет что-то в этом роде: "Функция NtCreateThread (35) перехвачена (8057C4A1->F7DFE4B4), перехватчик не определен" Если полечить(блокировкой руткитов), то благополучно все исправляется. Но потом после перезагрузки функции опять прехвачены. Создание протокола исследования системы не помогло - до и после лечения список загруженных модулей один и тот же, и после перезагрузки тоже. Есть какой-нибудь способ найти кто перехватывает, кроме как методом тыка или копания в отладчиках? З.Ы. Уверен, что это не трояны и не руткиты, а какая-то нормальная прога, но вопрос принципа, хочется все-таки определить кто в моем компе функции ядра перехватывает. =)

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Нет ничего проще - нужно сделать логи согласно правилам и приложить их сюда

  4. #3
    Junior Member Репутация
    Регистрация
    26.08.2007
    Сообщений
    7
    Вес репутации
    34
    Правила читал, там надо автоматическое лечение делать. Как я понимаю там полное сканирование диска запустится. Это имхо слишком. Просто думал может есть какая-нибудь еще утилита, которая сама напишет, какие функции кем перехвачены.
    Я сделал протокол до и после "блокировки руткитов".
    И причину кстати нашел, это был Avira Antivir, функции перехватывались почему-то при загрузке его планировщика.

    У меня к Вам еще вопрос: Можно где-нибудь скачать англоязычную версию AVZ 4.27? С сайта качается 4.25.

    И еще. Можно как-нибудь настроить какие службы и модули будут показаны в протоколе. Например написано "Обнаружено модулей - 119, опознано как безопасные - 115". Как сделать чтобы безопасные тоже были добавлены?
    Вложения Вложения
    Последний раз редактировалось Brutal; 14.10.2007 в 01:30. Причина: добавка

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    уже об этом говорилось, 4.27 английской не будет, будет 4.28 мултиязычная .
    Протокол специально так сделан, чтобы удобнее было читать хелперам. А что мешает посмотреть так сервис->меменджеры внедрённых длл и тд ...?
    Последний раз редактировалось drongo; 14.10.2007 в 16:03.

  6. #5
    Junior Member Репутация
    Регистрация
    26.08.2007
    Сообщений
    7
    Вес репутации
    34
    Цитата Сообщение от drongo Посмотреть сообщение
    уже об этом говорилось, 4.27 английской не будет, будет 4.28 мултиязычная .
    Протокол специально так сделан, чтобы удобнее было читать хелперам. А что мешает посмотреть так сервис->меменджеры внедрённых длл и тд ...?
    чтобы удобнее отслеживать изменения в системе. Допустим сделал протокол, потом запустил прогу и снова протокол собрал. А затем например сравнил два xml файла и вывел изменения. То есть по аналогии со всякими анинсталлерами.

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от Brutal Посмотреть сообщение
    чтобы удобнее отслеживать изменения в системе. Допустим сделал протокол, потом запустил прогу и снова протокол собрал. А затем например сравнил два xml файла и вывел изменения. То есть по аналогии со всякими анинсталлерами.
    В исследовании системы AVZ есть настройка - выводить только по неопознанным или все до кучи. В 4.28 будет возможность из скрипта выхвать исследование, детально контролируя, что конкретно и как полно помещать в XML и HTML отчеты

  8. #7
    Junior Member Репутация
    Регистрация
    26.08.2007
    Сообщений
    7
    Вес репутации
    34
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    В исследовании системы AVZ есть настройка - выводить только по неопознанным или все до кучи. В 4.28 будет возможность из скрипта выхвать исследование, детально контролируя, что конкретно и как полно помещать в XML и HTML отчеты
    Спасибо. Действительно я просмотрел. Есть настройка - "Исключить из протокола файлы, опознанные как безопасные". =) Вцелом очень удобная и актуальная программа! ИМХО надо добавить ее в 100 лучших программ 2007 года. =) А нельзя случайно вручную добавить новые базы в английскую 4.25 версию? Проблема в том, что на некоторых зараженных компах возникают проблемы с локалью или шрифтами, и определенные диалоги в русской версии вместо букв крякозяблы выводят. Не то чтобы это была большая проблема, но несколько затрудняет работу.

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    ssmdrv.sys - вполне возможно что перехваты от него (Avira)
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    26.08.2007
    Сообщений
    7
    Вес репутации
    34
    Цитата Сообщение от PavelA Посмотреть сообщение
    ssmdrv.sys - вполне возможно что перехваты от него (Avira)
    возможно. Либо от него, либо(мне кажется даже вероятнее) от avipbb.sys. Но прикол в том, что когда службы авиры(которые кстати запускаются отдельными процессами) не загружены, то и перехватов тоже нет. В этом и была сложность определения перехватчиков - хуки почему-то включались после загрузки sched.exe, которая есть в базе безопасных.

    Кстати сейчас посмотрел в processexplorer: sched.exe обращается к драйверу avipbb.sys, а к ssmdrv.sys не обращается, так что почти наверняка виновен именно avipbb.sys. =) Эх, было бы время, тряхнул бы стариной и оттрейсил NtCreateThread.

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Значит я не угадал
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

Похожие темы

  1. перехватчик не определен
    От am80zx в разделе Помогите!
    Ответов: 10
    Последнее сообщение: 04.08.2010, 21:28
  2. AVZ не может определить перехватчика.
    От Gar2 в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 05.03.2010, 18:49
  3. Перехватчик не определен.
    От v_ov в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 27.10.2009, 18:10
  4. AVZ: перехватчик не определен
    От RMV1983 в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 20.10.2008, 16:09
  5. перехватчик не определен
    От DIMITRIY в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 26.07.2008, 02:24

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01486 seconds with 22 queries