Показано с 1 по 11 из 11.

AVZ находит что-то непонятное при поиске перехватчиков API и проверке обработчиков IRP (заявка № 158463)

  1. #1
    Junior Member Репутация
    Регистрация
    18.04.2014
    Сообщений
    5
    Вес репутации
    10

    AVZ находит что-то непонятное при поиске перехватчиков API и проверке обработчиков IRP

    Результаты из протокола:

    Протокол антивирусной утилиты AVZ версии 4.43
    Сканирование запущено в 18.04.2014 06:56:38
    Загружена база: сигнатуры - 297612, нейропрофили - 2, микропрограммы лечения - 56, база от 18.04.2014 04:00


    ...


    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    SDT найдена (RVA=085700)
    Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
    SDT = 8055C700
    KiST = 80504450 (284)
    Функция NtCreateKey (29) перехвачена (80623786->B9EBE0D0), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
    Функция NtEnumerateKey (47) перехвачена (80623FC6->B9EC3FB2), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
    Функция NtEnumerateValueKey (49) перехвачена (80624230->B9EC4340), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
    Функция NtOpenKey (77) перехвачена (80624B58->B9EBE0B0), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
    Функция NtQueryKey (A0) перехвачена (80624E7E->B9EC441, перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
    Функция NtQueryValueKey (B1) перехвачена (806219BE->B9EC429, перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
    Функция NtSetValueKey (F7) перехвачена (80621D0C->B9EC44AA), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
    Проверено функций: 284, перехвачено: 7, восстановлено: 0


    ...


    1.5 Проверка обработчиков IRP
    Драйвер успешно загружен
    \FileSystem\ntfs[IRP_MJ_CREATE] = 8A8391E8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_CLOSE] = 8A8391E8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_WRITE] = 8A8391E8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8A8391E8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8A8391E8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8A8391E8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_EA] = 8A8391E8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A8391E8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8A8391E8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8A8391E8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A8391E8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8A8391E8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8A8391E8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8A8391E8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8A8391E8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_PNP] = 8A8391E8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_CREATE] = 89AB9768 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_CLOSE] = 89AB9768 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_WRITE] = 89AB9768 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 89AB9768 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 89AB9768 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_EA] = 89AB9768 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_EA] = 89AB9768 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 89AB9768 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 89AB9768 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 89AB9768 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 89AB9768 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 89AB9768 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 89AB9768 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_PNP] = 89AB9768 -> перехватчик не определен
    Проверка завершена
    ...

    Подскажите, пожалуйста, что это значит? Что мне нужно сделать, чтобы исправить ситуацию? Заранее благодарю!
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,266
    Вес репутации
    327
    Уважаемый(ая) Stanislav R, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,248
    Вес репутации
    1022
    Установите Internet Explorer 8 (даже если им не пользуетесь)

    1. Загрузите GMER по одной из указанных ссылок:
      Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
    2. Временно отключите драйверы эмуляторов дисков.
    3. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
    4. Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
    5. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

      • Sections
      • IAT/EAT
      • Show all
    6. Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
    7. Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
    8. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
      !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  5. #4
    Junior Member Репутация
    Регистрация
    18.04.2014
    Сообщений
    5
    Вес репутации
    10
    Мои действия:

    Установил Internet Explorer 8.

    Перезагрузил компьютер

    Загрузил GMER по указанной ссылке Gmer со случайным именем.

    Отключил драйверы эмуляторов дисков с помощью программы DeFogger by LDTate.

    Перезагрузил компьютер по требованию DeFogger.

    Запустил программу GMER (У меня Windows XP)

    Во время экспресс-проверки не появлялись окна с сообщением о деятельности руткита.

    После завершения экспресс-проверки убрал метку со следующих пунктов:

    • Sections
    • IAT/EAT
    • Show all

    Из всех дисков оставил отмеченным только системный диск C:\
    Нажал кнопку Scan. Во время проверки не появлялись окна с сообщением о деятельности руткита.

    После окончания проверки сохранил лог (нажав на кнопку Save) и вложил в сообщение.

    Подскажите, пожалуйста, какие действия мне нужно предпринимать дальше? Благодарю!
    Вложения Вложения
    • Тип файла: log 1.log (7.2 Кб, 3 просмотров)

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,248
    Вес репутации
    1022
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код:
    begin
     ExecuteAVUpdate;
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\gitntiep.dll','');
     DeleteFile('C:\WINDOWS\system32\gitntiep.dll','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ymuwbg\Parameters','ServiceDll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\wbouf\Parameters','ServiceDll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\vfnpiuk\Parameters','ServiceDll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\kmgpvix\Parameters','ServiceDll');
     DeleteService('ymuwbg', true);
     DeleteService('wbouf', true);
     DeleteService('vfnpiuk', true);
     DeleteService('kmgpvix', true);     
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('SCU', 2, 2, true);
    BC_Activate;
    RebootWindows(false);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  7. #6
    Junior Member Репутация
    Регистрация
    18.04.2014
    Сообщений
    5
    Вес репутации
    10
    Мои действия:

    Закрыл все программы. Антивирус выгрузил.

    Запустил программу AVZ (у меня Windows XP)

    Выполнил скрипт:
    Код:
    begin
    ExecuteAVUpdate;
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
    then
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
    end;
    ClearQuarantine;
    QuarantineFile('C:\WINDOWS\system32\gitntiep.dll', '');
    DeleteFile('C:\WINDOWS\system32\gitntiep.dll','32' );
    RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\Curren tControlSet\Services\ymuwbg\Parameters','ServiceDl l');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\Curren tControlSet\Services\wbouf\Parameters','ServiceDll ');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\Curren tControlSet\Services\vfnpiuk\Parameters','ServiceD ll');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\Curren tControlSet\Services\kmgpvix\Parameters','ServiceD ll');
    DeleteService('ymuwbg', true);
    DeleteService('wbouf', true);
    DeleteService('vfnpiuk', true);
    DeleteService('kmgpvix', true);
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('SCU', 2, 2, true);
    BC_Activate;
    RebootWindows(false);
    end.

    Компьютер перезагрузился. Перезагрузка длилась около 5 минут. Сразу появилось окно об ошибке системы Windows и предложением отправить или не отправить отчет.

    Запустил программу AVZ. Выполнил скрипт
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
    end.

    В результате перезагрузки после выполнения первого скрипта поменялись все настройки оформления Windows и рабочего стола. Некоторые программы перестали запускаться. Везде перестала работать функция Копировать/Вставить. В окне сетевых подключений исчезли все подключения. Невозможно создать новое подключение.

    Выключил компьютер и включил заново. Windows загружается очень долго (больше 5 минут) и выдает ту же ошибку.
    Перечисленные неработоспособности остались.

    Запустил программу AVZ.
    Сделал повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

    Так как теперь не могу подключиться к Интернету пишу сообщение от соседа. К сожалению, не могу отправить и файлы quarantine.zip, virusinfo_syscheck.zip и hijackthis.log поскольку не работает копировать/вставить.

    Помогите, пожалуйста!

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,248
    Вес репутации
    1022
    В безопасном режиме с поддержкой сети проблема наблюдается?

    Еще пролечитесь этой http://support.kaspersky.ru/viruses/...on/1956#block2 утилитой
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  9. #8
    Junior Member Репутация
    Регистрация
    18.04.2014
    Сообщений
    5
    Вес репутации
    10
    В безопасном режиме с поддержкой сети проблема остается. К тому же в папке сетевые подключения вообще пустое окно, нет даже панельки "Изменение сетевых параметров" которая в обычном режиме все еще была.

    Рекомендованную вами утилиту не могу перенести на свой компьютер, так как отсутствует возможность копирования/перенесения из флешки.

    До того, как вчера впервые запустил AVZ, проверял компьютер с помощью утилиты Kaspersky Virus Removal Tool. Она ничего не обнаружила.

    К Интеорнет по-прежнему не могу подключиться. Пишу от соседа.

    Что я могу сделать для исправления ситуации?

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,248
    Вес репутации
    1022
    Точки восстановления у вас есть? Можете выполнить откат через восстановление системы до выполнения скрипта? Хотя скрипт не мог привести к таким проблемам.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  11. #10
    Junior Member Репутация
    Регистрация
    18.04.2014
    Сообщений
    5
    Вес репутации
    10
    Система восстановления система отключена не была (до выполнения скрипта). Сейчас, когда иду в меню "Пуск" - "Все программы" - "Служебные" - "Восстановление системы", появляется окно

    "Восстановлению системы не удается защитить компьютер. Перезагрузите компьютер и повторно запустите восстановление системы"

    Если перезагружаю компьютер, повторяется то же самое. Пробовал через папку Restore, которая находится в system32. В этом случае всплывает такое же окно.

    С помощью Total Commander все же удалось перенести с флешки на компьютер рекомендованную вами утилиту с http://support.kaspersky.ru/viruses/...on/1956#block2. Проверка ею не обнаружила никаких вирусов.

    Что я могу сделать?

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,248
    Вес репутации
    1022
    Что я могу сделать?
    1)
    1. Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас.
      • Если у вас windows Vista или windows 7 откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".
      • Если у вас windows XP откройте меню Пуск (Start) -> Выполнить (Run)

    2. Введите sfc /scannow и нажмите Энтер.
    3. Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.


    2) Нужны новые логи AVZ, HiJackThis так очень трудно сказать что пошло не так.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

Присоединяйтесь к нам в соцсетях!

Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

Похожие темы

  1. Ответов: 7
    Последнее сообщение: 05.08.2010, 11:31
  2. Ответов: 0
    Последнее сообщение: 03.08.2010, 21:51
  3. Ответов: 10
    Последнее сообщение: 24.08.2009, 20:56
  4. Ответов: 6
    Последнее сообщение: 22.02.2009, 07:08
  5. Ответов: 6
    Последнее сообщение: 22.07.2008, 01:00

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00524 seconds with 21 queries