Показано с 1 по 8 из 8.

перехватчик не определен PID=0 и т.п. (заявка № 18760)

  1. #1
    Junior Member Репутация
    Регистрация
    27.02.2008
    Сообщений
    9
    Вес репутации
    33

    Thumbs up перехватчик не определен PID=0 и т.п.

    Почти аналогичная проблема, как тут только перехвачено побольше.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    На Висте AVZ надо запускать правой кнопкой через "Запуск от имени..." Администратора!

    Выполните такой скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Users\Antharas\AppData\Local\Temp\UDF.exe','');
     QuarantineFile('C:\Users\Antharas\AppData\Local\Temp\JSUUDVNRS.exe','');
     QuarantineFile('C:\Users\Antharas\AppData\Local\Temp\OROE.exe','');
     DeleteFile('C:\Users\Antharas\AppData\Local\Temp\OROE.exe');
     DeleteFile('C:\Users\Antharas\AppData\Local\Temp\JSUUDVNRS.exe');
     DeleteFile('C:\Users\Antharas\AppData\Local\Temp\UDF.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    и сделайте новый лог syscheck (п.10 правил).
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    27.02.2008
    Сообщений
    9
    Вес репутации
    33
    Цитата Сообщение от Bratez Посмотреть сообщение
    На Висте AVZ надо запускать правой кнопкой через "Запуск от имени..." Администратора!
    Разумеется так и делал. Если бы без прав, то "Поиск маскировки процессов и драйверов" бы ничего не показал.

    JSUUDVNRS.exe UDF.exe OROE.exe - это модули утилиты SysInternals RootkitRevealer

    Кстати, если без прав админа запускать, то "Поиск маскировки процессов и драйверов"
    показывает такой кусок
    Код:
    Ядро ntkrnlpa.exe обнаружено в памяти по адресу 81A4F000
       SDT = 81B86B00
       KiST = 81B07970 (391)
    Функция NtAlertResumeThread (0D) перехвачена (81CE4757->86659390), перехватчик не определен
    Функция NtAlertThread (0E) перехвачена (81C49E59->86659450), перехватчик не определен
    Функция NtAllocateVirtualMemory (12) перехвачена (81C819B9->8667A2D0), перехватчик не определен
    Функция NtConnectPort (36) перехвачена (81C1B6F6->86713838), перехватчик не определен
    Функция NtCreateMutant (43) перехвачена (81C85AC8->8679C140), перехватчик не определен
    Функция NtCreateThread (4E) перехвачена (81CE2DD4->855C7C08), перехватчик не определен
    Функция NtFreeVirtualMemory (93) перехвачена (81AE0D17->866854C0), перехватчик не определен
    Функция NtImpersonateAnonymousToken (9C) перехвачена (81C0A20F->8679C210), перехватчик не определен
    Функция NtImpersonateThread (9E) перехвачена (81C1C829->85F89138), перехватчик не определен
    Функция NtMapViewOfSection (B1) перехвачена (81C73642->866794F0), перехватчик не определен
    Функция NtOpenEvent (B8) перехвачена (81C34FE3->867101B8), перехватчик не определен
    Функция NtOpenProcessToken (C3) перехвачена (81C5C1A5->8679D9F8), перехватчик не определен
    Функция NtOpenThreadToken (CA) перехвачена (81C5C97B->8664E500), перехватчик не определен
    Функция NtResumeThread (11A) перехвачена (81C5048A->86713A50), перехватчик не определен
    Функция NtSetContextThread (121) перехвачена (81CE3A9F->86635388), перехватчик не определен
    Функция NtSetInformationProcess (131) перехвачена (81C83575->86635448), перехватчик не определен
    Функция NtSetInformationThread (132) перехвачена (81C51A1A->8667A4C0), перехватчик не определен
    Функция NtSuspendProcess (14A) перехвачена (81CE4693->867100F8), перехватчик не определен
    Функция NtSuspendThread (14B) перехвачена (81CA16B8->8679D5F8), перехватчик не определен
    Функция NtTerminateProcess (14E) перехвачена (81C31E84->8679D2B0), перехватчик не определен
    Функция NtTerminateThread (14F) перехвачена (81C5E61D->8667A400), перехватчик не определен
    Функция NtUnmapViewOfSection (15C) перехвачена (81C73C99->86685400), перехватчик не определен
    Функция NtWriteVirtualMemory (166) перехвачена (81C5CB5D->866613A8), перехватчик не определен
    Проверено функций: 391, перехвачено: 23, восстановлено: 0
    (написал сюда, т.к. лога такого не запрашиваете, а он есть только без прав админа)

    спасибо за быстрый ответ
    Вложения Вложения
    Последний раз редактировалось HellFire; 27.02.2008 в 15:43.

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Ну если действительно делали так, то я не знаю... Ничего подозрительного мне разглядеть не удалось, скорее всего "маскировки" в логах - это происки самой Висты, а AVZ пока не в состоянии дать более конкретную информацию.
    А что именно вас беспокоит в работе системы?
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    27.02.2008
    Сообщений
    9
    Вес репутации
    33
    Цитата Сообщение от Bratez Посмотреть сообщение
    Ну если действительно делали так, то я не знаю... Ничего подозрительного мне разглядеть не удалось, скорее всего "маскировки" в логах - это происки самой Висты, а AVZ пока не в состоянии дать более конкретную информацию.

    А что именно вас беспокоит в работе системы?
    Это филосовский вопрос. По статусу работы - не люблю неизвестных процессов и непонятных сервисов.

    По поводу "что именно беспокоит" могу только рассказать предысторию. У меня два компьютера дома и на работе. Одинаковая виста, одинаковый софт. Но дома началось что-то слишком не приятное - стали тормозить все процессы связанные с музыкой и видео. Т.е. при просмотре/прослушивании музыки/видео и играх всё сопровождается "дёрганиями" звука. Банальный пример - открываем MS WMPlayer и любая музыка дёргается хуже чем пластинка.
    Начал удалять софт и проверять утилитами типа AVZ. Ничего не нашёл. Нашёл только странное - это "перехватчик не определен" в большом количестве. Удаление софта не помогло, его очень много. Поверхностное удаление не дало результатов. Только одно - Symantec Antivirus. После удаления качества звука улучшается. Не сильно, но заметно. Но до идеала не дотягивает.

    Почему сделал эту тему? Вчера я "добил" тормозной комп. Виста упала и не поднялась. Поставил временно вторую копию и ... не нашёл подобных перехватчиков. Буду ставить софт и смотреть после какого это появится. Но.. на втором компьютере такие же логи. Но проблем с лагами нет. Возможно просто конфигурация компьютера раза в два мощнее и комп справляется. Вторая причина почему начал эти раскопки и смотрю на любое подозрительное проявление - у нашего проекта разработчиков стали воровать информацию, вот мы сейчас проверяем сервера и свои компьютеры на предмет троянов и руткитов.

    Хорошо. Даже "ничего подозрительного", - это всё равно результат. Буду ставить опять полный набор софта, возможно найду причину.
    Спасибо.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Виста -сила
    лучше уж на XP или если хочется потрудиться - на линукс переходить

  8. #7
    Junior Member Репутация
    Регистрация
    27.02.2008
    Сообщений
    9
    Вес репутации
    33
    Цитата Сообщение от drongo Посмотреть сообщение
    Виста -сила
    лучше уж на XP или если хочется потрудиться - на линукс переходить
    спасибо, я как-то полюбил маяться на MS уже много много лет. Со временем понимаю её как родную Но Висту, вместе 2008 офисом почему то не могу стерпеть. Мучаюсь, но работаю.

  9. #8
    Junior Member Репутация
    Регистрация
    27.02.2008
    Сообщений
    9
    Вес репутации
    33
    Методом полной переустановки ОС и установки софта по шагам, было выявлено что такие логи о перехвате больше 10 прерываний - последствия установки "Symantec Endpoint Protection". Аналогичные логи на WinXP/Vista.

  • Уважаемый(ая) HellFire, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Перехватчик не определен
      От bakemono в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 07.09.2010, 23:38
    2. перехватчик не определен
      От am80zx в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 04.08.2010, 21:28
    3. Перехватчик не определен...
      От Seignior в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 23.04.2009, 17:24
    4. Перехватчик не определен.
      От Longol в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 10.04.2009, 23:11
    5. перехватчик не определен
      От nafisi4 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 28.11.2008, 21:36

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01478 seconds with 21 queries