Почти аналогичная проблема, как тут только перехвачено побольше.
Почти аналогичная проблема, как тут только перехвачено побольше.
На Висте AVZ надо запускать правой кнопкой через "Запуск от имени..." Администратора!
Выполните такой скрипт:
и сделайте новый лог syscheck (п.10 правил).Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Users\Antharas\AppData\Local\Temp\UDF.exe',''); QuarantineFile('C:\Users\Antharas\AppData\Local\Temp\JSUUDVNRS.exe',''); QuarantineFile('C:\Users\Antharas\AppData\Local\Temp\OROE.exe',''); DeleteFile('C:\Users\Antharas\AppData\Local\Temp\OROE.exe'); DeleteFile('C:\Users\Antharas\AppData\Local\Temp\JSUUDVNRS.exe'); DeleteFile('C:\Users\Antharas\AppData\Local\Temp\UDF.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
Разумеется так и делал. Если бы без прав, то "Поиск маскировки процессов и драйверов" бы ничего не показал.
JSUUDVNRS.exe UDF.exe OROE.exe - это модули утилиты SysInternals RootkitRevealer
Кстати, если без прав админа запускать, то "Поиск маскировки процессов и драйверов"
показывает такой кусок
(написал сюда, т.к. лога такого не запрашиваете, а он есть только без прав админа)Код:Ядро ntkrnlpa.exe обнаружено в памяти по адресу 81A4F000 SDT = 81B86B00 KiST = 81B07970 (391) Функция NtAlertResumeThread (0D) перехвачена (81CE4757->86659390), перехватчик не определен Функция NtAlertThread (0E) перехвачена (81C49E59->86659450), перехватчик не определен Функция NtAllocateVirtualMemory (12) перехвачена (81C819B9->8667A2D0), перехватчик не определен Функция NtConnectPort (36) перехвачена (81C1B6F6->86713838), перехватчик не определен Функция NtCreateMutant (43) перехвачена (81C85AC8->8679C140), перехватчик не определен Функция NtCreateThread (4E) перехвачена (81CE2DD4->855C7C08), перехватчик не определен Функция NtFreeVirtualMemory (93) перехвачена (81AE0D17->866854C0), перехватчик не определен Функция NtImpersonateAnonymousToken (9C) перехвачена (81C0A20F->8679C210), перехватчик не определен Функция NtImpersonateThread (9E) перехвачена (81C1C829->85F89138), перехватчик не определен Функция NtMapViewOfSection (B1) перехвачена (81C73642->866794F0), перехватчик не определен Функция NtOpenEvent (B8) перехвачена (81C34FE3->867101B8), перехватчик не определен Функция NtOpenProcessToken (C3) перехвачена (81C5C1A5->8679D9F8), перехватчик не определен Функция NtOpenThreadToken (CA) перехвачена (81C5C97B->8664E500), перехватчик не определен Функция NtResumeThread (11A) перехвачена (81C5048A->86713A50), перехватчик не определен Функция NtSetContextThread (121) перехвачена (81CE3A9F->86635388), перехватчик не определен Функция NtSetInformationProcess (131) перехвачена (81C83575->86635448), перехватчик не определен Функция NtSetInformationThread (132) перехвачена (81C51A1A->8667A4C0), перехватчик не определен Функция NtSuspendProcess (14A) перехвачена (81CE4693->867100F8), перехватчик не определен Функция NtSuspendThread (14B) перехвачена (81CA16B8->8679D5F8), перехватчик не определен Функция NtTerminateProcess (14E) перехвачена (81C31E84->8679D2B0), перехватчик не определен Функция NtTerminateThread (14F) перехвачена (81C5E61D->8667A400), перехватчик не определен Функция NtUnmapViewOfSection (15C) перехвачена (81C73C99->86685400), перехватчик не определен Функция NtWriteVirtualMemory (166) перехвачена (81C5CB5D->866613A8), перехватчик не определен Проверено функций: 391, перехвачено: 23, восстановлено: 0
спасибо за быстрый ответ
Последний раз редактировалось HellFire; 27.02.2008 в 15:43.
Ну если действительно делали так, то я не знаю... Ничего подозрительного мне разглядеть не удалось, скорее всего "маскировки" в логах - это происки самой Висты, а AVZ пока не в состоянии дать более конкретную информацию.
А что именно вас беспокоит в работе системы?
I am not young enough to know everything...
Это филосовский вопрос. По статусу работы - не люблю неизвестных процессов и непонятных сервисов.
По поводу "что именно беспокоит" могу только рассказать предысторию. У меня два компьютера дома и на работе. Одинаковая виста, одинаковый софт. Но дома началось что-то слишком не приятное - стали тормозить все процессы связанные с музыкой и видео. Т.е. при просмотре/прослушивании музыки/видео и играх всё сопровождается "дёрганиями" звука. Банальный пример - открываем MS WMPlayer и любая музыка дёргается хуже чем пластинка.
Начал удалять софт и проверять утилитами типа AVZ. Ничего не нашёл. Нашёл только странное - это "перехватчик не определен" в большом количестве. Удаление софта не помогло, его очень много. Поверхностное удаление не дало результатов. Только одно - Symantec Antivirus. После удаления качества звука улучшается. Не сильно, но заметно. Но до идеала не дотягивает.
Почему сделал эту тему? Вчера я "добил" тормозной комп. Виста упала и не поднялась. Поставил временно вторую копию и ... не нашёл подобных перехватчиков. Буду ставить софт и смотреть после какого это появится. Но.. на втором компьютере такие же логи. Но проблем с лагами нет. Возможно просто конфигурация компьютера раза в два мощнее и комп справляется. Вторая причина почему начал эти раскопки и смотрю на любое подозрительное проявление - у нашего проекта разработчиков стали воровать информацию, вот мы сейчас проверяем сервера и свои компьютеры на предмет троянов и руткитов.
Хорошо. Даже "ничего подозрительного", - это всё равно результат. Буду ставить опять полный набор софта, возможно найду причину.
Спасибо.
Виста -сила
лучше уж на XP или если хочется потрудиться - на линукс переходить
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Методом полной переустановки ОС и установки софта по шагам, было выявлено что такие логи о перехвате больше 10 прерываний - последствия установки "Symantec Endpoint Protection". Аналогичные логи на WinXP/Vista.
Уважаемый(ая) HellFire, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.